Azure OpenAI では、Azure リソースへの個々のアクセスを管理するための承認システムである Azure ロールベースのアクセス制御 (Azure RBAC) がサポートされています。 Azure RBAC を使用すると、特定のプロジェクトに対するニーズに応じて、チーム メンバーごとに異なるレベルのアクセス許可を割り当てることができます。 詳細については、Azure RBAC のドキュメントを参照してください。
Azure OpenAI リソースにロールの割り当てを追加する
Azure RBAC を Azure OpenAI リソースに割り当てることができます。 Azure リソースへのアクセス権を付与するには、ロールの割り当てを追加します。
In the Azure portal, search for Azure OpenAI.
Select Azure OpenAI, and navigate to your specific resource.
Note
また、リソース グループ、サブスクリプション、または管理グループ全体に対して Azure RBAC を設定することもできます。 これを行うには、目的のスコープ レベルを選択し、目的の項目に移動します。 For example, selecting Resource groups and then navigating to a specific resource group.
左側のウィンドウで [アクセス制御 (IAM)] を選択します。
Select Add, then select Add role assignment.
On the Role tab on the next screen, select a role you want to add.
On the Members tab, select a user, group, service principal, or managed identity.
[確認と 割り当て] タブで、 [確認と割り当て] を選択して ロールを割り当てます。
数分以内に、選択したスコープで選択したロールがターゲットに割り当てられます。 これらの手順については、「Azure portal を使用して Azure ロールを割り当てる」を参照してください。
Azure OpenAI のロール
- Cognitive Services OpenAI ユーザー
- Cognitive Services OpenAI 共同作成者
- Cognitive Services 共同作成者
- Cognitive Services 使用状況閲覧者
Note
Subscription level Owner and Contributor roles are inherited and take priority over the custom Azure OpenAI roles applied at the Resource Group level.
このセクションでは、各種アカウントおよび組み合わせたアカウントで Azure OpenAI リソースに対して実行できる一般的なタスクについて説明します。 To view the full list of available Actions and DataActions, an individual role is granted from your Azure OpenAI resource go Access control (IAM)>Roles> Under the Details column for the role you're interested in select View. By default the Actions radial button is selected. You need to examine both Actions and DataActions to understand the full scope of capabilities assigned to a role.
Cognitive Services OpenAI ユーザー
Azure OpenAI リソースについてこのロールのみに対するロールベースのアクセスがユーザーに付与されている場合、ユーザーは次の一般的なタスクを実行できます。
✅ View the resource in Azure portal
✅ キーとエンドポイントでリソース エンドポイントを表示する
✅Azure AI Foundry ポータルでリソースと関連するモデルのデプロイを表示する機能。
✅Azure AI Foundry ポータルでデプロイに使用できるモデルを表示する機能。
✅ チャット、入力候補、DALL-E (プレビュー) プレイグラウンド エクスペリエンスを使用して、この Azure OpenAI リソースに既にデプロイされているモデルでテキストとイメージを生成する。
✅ Microsoft Entra ID を使用して推論 API 呼び出しを行います。
このロールしか割り当てられてないユーザーは、次のタスクを実行できません。
❌ 新しい Azure OpenAI リソースを作成する
❌ キーとエンドポイントでキーを表示/コピー/再生成する
❌ 新しいモデル デプロイを作成するか、既存のモデル デプロイを編集する
❌ カスタムの微調整モデルを作成/デプロイする
❌ 微調整するためにデータセットをアップロードする
❌ 保存済み入力候補データを表示、クエリ、フィルター処理する
❌ クォータにアクセスする
❌ カスタマイズされたコンテンツ フィルターを作成する
Cognitive Services OpenAI 共同作成者
このロールには Cognitive Services OpenAI ユーザーのすべてのアクセス許可が含まれ、次のようなタスクを追加で実行できます。
✅ カスタムの微調整モデルを作成する
✅ 微調整するためにデータセットをアップロードする
✅ 保存済み入力候補データを表示、クエリ、フィルター処理する
✅ 新しいモデル デプロイを作成するか、既存のモデル デプロイを編集する [2023 年の秋に追加]
✅ Assistants API へのアクセスを許可する
✅Azure OpenAI On Your Data にデータ ソースを追加します。
このロールしか割り当てられてないユーザーは、次のタスクを実行できません。
❌ 新しい Azure OpenAI リソースを作成する
❌ キーとエンドポイントでキーを表示/コピー/再生成する
❌ クォータにアクセスする
❌ カスタマイズされたコンテンツ フィルターを作成する
Cognitive Services 寄稿者
通常、このロールには、追加のロールと組み合わせてユーザーのリソース グループ レベルでアクセス権が付与されます。 このロール自体は、ユーザーに次のタスクの実行を許可します。
✅ 割り当てられたリソース グループ内に新しい Azure OpenAI リソースを作成する。
✅ View resources in the assigned resource group in the Azure portal.
✅ キーとエンドポイントでリソース エンドポイントを表示する
✅ キーとエンドポイントでキーを表示/コピー/再生成する
✅Azure AI Foundry ポータルでデプロイに使用できるモデルを表示する機能
✅ チャット、入力候補、DALL-E (プレビュー) プレイグラウンド エクスペリエンスを使用して、この Azure OpenAI リソースに既にデプロイされているモデルでテキストとイメージを生成する
✅ カスタマイズされたコンテンツ フィルターを作成する
✅Azure OpenAI On Your Data にデータ ソースを追加します。
✅ 新しいモデル デプロイを作成するか、既存のモデル デプロイを編集する (API 経由)
✅ カスタムの微調整モデルを作成する [2023 年の秋に追加]
✅ 微調整するためにデータセットをアップロードする [2023 年の秋に追加]
✅ 新しいモデル デプロイを作成するか、既存のモデル デプロイを編集する (Azure AI Foundry 経由) [2023 年の秋に追加]
✅ 保存済み入力候補データを表示、クエリ、フィルター処理する
このロールしか割り当てられてないユーザーは、次のタスクを実行できません。
❌ クォータにアクセスする
❌ Microsoft Entra ID を使用して推論 API 呼び出しを行います。
Cognitive Services の使用状況閲覧者
クォータを表示するには、Cognitive Services 使用状況閲覧者ロールが必要です。 このロールは、Azure サブスクリプション全体のクォータの使用状況を表示するために必要な最小限のアクセス権を提供します。
This role can be found in the Azure portal under Subscriptions> *Access control (IAM)>Add role assignment> search for Cognitive Services Usages Reader. ロールはサブスクリプション レベルで適用する必要があります。リソース レベルには存在しません。
If you don't wish to use this role, the subscription Reader role provides equivalent access, but it also grants read access beyond the scope of what is needed for viewing quota. Azure AI Foundry ポータルを使用したモデルのデプロイも、このロールの存在に部分的に依存します。
このロール自体はあまり有用ではないため、通常は前述の 1 つ以上のロールと組み合わせて割り当てられます。
Cognitive Services 使用状況閲覧者 + Cognitive Services OpenAI ユーザー
Cognitive Services OpenAI のすべての権限に加えて、次のタスクを実行できます。
✅Azure AI Foundry ポータルでクォータ割り当てを表示する
Cognitive Services 使用状況閲覧者 + Cognitive Services OpenAI 共同作成者
Cognitive Services OpenAI 共同作成者のすべての権限に加えて、次のタスクを実行できます。
✅Azure AI Foundry ポータルでクォータ割り当てを表示する
Cognitive Services 使用状況閲覧者 + Cognitive Services 共同作成者
Cognitive Services 共同作成者のすべての権限に加えて、次のタスクを実行できます。
✅Azure AI Foundry ポータルでクォータ割り当てを表示および編集する
✅ 新しいモデル デプロイを作成するか、既存のモデル デプロイを編集する (Azure AI Foundry 経由)
Summary
| Permissions | Cognitive Services OpenAI ユーザー | Cognitive Services OpenAI 共同作成者 | Cognitive Services 寄稿者 | Cognitive Services の使用状況閲覧者 |
|---|---|---|---|---|
| Azure portal でリソースを表示する | ✅ | ✅ | ✅ | ➖ |
| "キーとエンドポイント" でリソース エンドポイントを表示する | ✅ | ✅ | ✅ | ➖ |
| Azure AI Foundry ポータルでリソースと関連するモデルのデプロイを表示する | ✅ | ✅ | ✅ | ➖ |
| Azure AI Foundry ポータルでデプロイに使用できるモデルを表示する | ✅ | ✅ | ✅ | ➖ |
| チャット、入力候補、DALL-E (プレビュー) プレイグラウンド エクスペリエンスと共に、この Azure OpenAI リソースに既にデプロイされているモデルを使用します。 | ✅ | ✅ | ✅ | ➖ |
| モデル デプロイを作成または管理します | ❌ | ✅ | ✅ | ➖ |
| カスタムの微調整モデルを作成またはデプロイする | ❌ | ✅ | ✅ | ➖ |
| 微調整するためにデータセットをアップロードする | ❌ | ✅ | ✅ | ➖ |
| 保存済み入力候補データを表示、クエリ、フィルター処理する | ❌ | ✅ | ✅ | ➖ |
| 新しい Azure OpenAI リソースを作成する | ❌ | ❌ | ✅ | ➖ |
| "キーとエンドポイント" でキーを表示/コピー/再生成する | ❌ | ❌ | ✅ | ➖ |
| カスタマイズされたコンテンツ フィルターを作成する | ❌ | ❌ | ✅ | ➖ |
| "on your data" 機能のデータ ソースを追加する | ✅ | ✅ | ✅ | ➖ |
| Access quota | ❌ | ❌ | ❌ | ✅ |
| Microsoft Entra ID を使用して推論 API 呼び出しを行います。 | ✅ | ✅ | ❌ | ➖ |
Common Issues
Azure AI Foundry ポータルで Azure Cognitive Search オプションを表示できない
Issue:
既存の Azure Cognitive Search リソースを選択すると、検索インデックスは読み込まれません。読み込みホイールが回転している状態が続きます。 Azure AI Foundry ポータルで、[Playground Chat]\(プレイグラウンド チャット\)>[Assistant setup]\(アシスタントのセットアップ\) でデータを追加する (プレビュー) に移動します。 [データ ソースの追加] を選択するとモーダルが開き、そこで Azure Cognitive Search または Blob Storage を介してデータ ソースを追加できます。 Azure Cognitive Search オプションと既存の Azure Cognitive Search リソースを選択すると、選択可能な Azure Cognitive Search インデックスが読み込まれます。
Root cause
Azure Cognitive Search サービスを一覧表示するための汎用 API 呼び出しを行うには、次の呼び出しを行います。
https://management.azure.com/subscriptions/{subscriptionId}/providers/Microsoft.Search/searchServices?api-version=2021-04-01-Preview
{subscriptionId} は実際のサブスクリプション ID に置き換えます。
For this API call, you need a subscription-level scope role. You can use the Reader role for read-only access or the Contributor role for read-write access. Azure Cognitive Search サービスへのアクセスのみが必要な場合は、Azure Cognitive Search サービス共同作成者ロールまたは Azure Cognitive Search サービス閲覧者ロールを使用できます。
Solution options
サブスクリプションの管理者または所有者に問い合わせる: Azure サブスクリプションを管理しているユーザーに連絡し、適切なアクセス権を要求します。 要件と必要な特定のロール (閲覧者、共同作成者、Azure Cognitive Search サービス共同作成者、Azure Cognitive Search サービス閲覧者など) について説明します。
サブスクリプション レベルまたはリソース グループ レベルのアクセス権を要求する: 特定のリソースへのアクセス権が必要な場合は、サブスクリプション所有者に適切なレベル (サブスクリプションまたはリソース グループ) でアクセス権を付与するように依頼します。 これにより、関連のないリソースにアクセスすることなく、必要なタスクを実行できます。
Azure Cognitive Search に API キーを使用する: Azure Cognitive Search サービスの操作のみが必要な場合は、サブスクリプション所有者に管理者キーまたはクエリ キーを要求できます。 これらのキーを使用すると、Azure RBAC ロールなしで検索サービスに直接 API 呼び出しを行うことができます。 Keep in mind that using API keys will bypass the Azure RBAC access control, so use them cautiously and follow security best practices.
On Your Data 用に Azure AI Foundry ポータルでファイルをアップロードできない
Symptom: Unable to access storage for the on your data feature using Azure AI Foundry.
Root cause:
Azure AI Foundry ポータルで BLOB ストレージにアクセスしようとしているユーザーに対するサブスクリプション レベルのアクセスが不十分です。 The user may not have the necessary permissions to call the Azure Management API endpoint: https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Storage/storageAccounts/{accountName}/listAccountSas?api-version=2022-09-01
セキュリティ上の理由から、Azure サブスクリプションの所有者によって BLOB ストレージへのパブリック アクセスが無効にされています。
API 呼び出しに必要なアクセス許可: **Microsoft.Storage/storageAccounts/listAccountSas/action:** このアクセス許可を使用すると、ユーザーは、指定されたストレージ アカウントの Shared Access Signature (SAS) トークンを一覧表示できます。
Possible reasons why the user may not have permissions:
- ユーザーに、API 呼び出しに必要なアクセス許可が含まれない制限付きロールが Azure サブスクリプションで割り当てられている。
- ユーザーのロールが、セキュリティ上の懸念や組織のポリシーにより、サブスクリプションの所有者または管理者によって制限されている。
- ユーザーのロールが最近変更され、必要なアクセス許可が新しいロールで付与されていない。
Solution options
- アクセス権の確認と更新: API 呼び出しに必要なアクセス許可 (Microsoft.Storage/storageAccounts/listAccountSas/action) が含まれる適切なサブスクリプション レベルのアクセス権がユーザーにあることを確認します。 必要に応じて、サブスクリプションの所有者または管理者に必要なアクセス権を付与するように要求します。
- 所有者または管理者にサポートを依頼する: 上記のソリューションが実行できない場合は、サブスクリプションの所有者または管理者に、代わりにデータ ファイルをアップロードするよう要求することを検討します。 This approach can help import the data into Azure AI Foundry without user requiring subscription-level access or public access to the blob storage.
Next steps
- Azure OpenAI セキュリティ構成要素を使って始めましょう
- Azure ロールベースのアクセス制御 (Azure RBAC) について詳しく確認します。
- 「Azure portal を使用して Azure ロールを割り当てる」も確認します。