はじめに
以前、以下のような記事を書いたのですが、残念ながら、こちらの機能のプレビューが取り下げられたようで、Power Platform から Azure OpenAI に対する通信について、パブリックな通信になってしまう (通信自体は、マイクロソフトのバックボーンネットワークを通る認識ですが、Azure OpenAI 側では、以下のように、すべてのネットワークを許可している必要がある) ため、本番利用にあたって、セキュリティ面で少なからず課題がありました。
もちろん、AI Builder の AI プロンプトを利用する場合、Copilot Studio の生成 AI 機能のデータソースとして SharePoint Online やファイルのアップロードを利用する場合、Azure OpenAI との通信はセキュリティが保証されているため、特に心配する必要はありません。実際には Azure OpenAI の技術がバックエンドで利用されていますが、Azure OpenAI 側でリソースを用意し、モデルをデプロイする必要はないためです。
しかし、利用したいモデル、機能によっては、Power Platform から Azure OpenAI の API を直接利用したいというケースがあるという認識です。
例えば、以下の機能では、gpt-4 モデルを利用しており、ハイブリッド (ベクトル + キーワード) + セマンティックベクトル検索を有効にしているため、以下のように、独自の文章の意味を元に回答を得ることが出来ます。そのため、Copilot Studio の生成 AI 機能では十分な精度が出ない場合、こちらの機能を利用することが代替案となるかもしれません。
現状、ベクトル検索は、Copilot Studio の生成 AI 機能ではサポートされていないようなので、例えば、Copilot Studio から、Power Automate を介して、こちらの API を利用するカスタムコネクタを介してリクエストをする、かつ、Azure Virtual Network を利用してプライベートエンドポイント経由にするのが個人的に良いと思います。
上記のような背景を踏まえ、今回は、こちらの機能がパブリックプレビューとなったため、試してみました。
結論から言うと、以下の記事 (特にブログの方) を参考に色々試してみたのですが、上手く行かなかった、具体的には、プライベートエンドポイントのみから通信を許可するようにしたのですが、以下のようなエラーとなり、カスタムコネクタを利用したリクエストに失敗してしまいました。
パブリックプレビューのため動作が安定しない、何らかの制約があるのかもしれませんが、どこか設定に誤りがある場合、アウトプットすることで、その原因を知れるかもしれないことや、実際に試すことで少なからず学んだことがあるので、一応記事に残しておこうと思います。
Azure OpenAI 準備作業
East US にリソースを作成し、モデルをデプロイします。
先に、AI Serarch 側でインデックスを作成しておき、on your data で利用できるようにしておきます。
Virtual Network の作成
Power Platform からの通信を受け付ける Virtual Network を East US と West US に作成しておきます。
また、Azure OpenAI リソースのプライベートエンドポイント用にも Virtual Network を作成しておきます。
以下のようにピアリングの設定もしています。
サブネットの委任設定
Power Platform からの通信を受け付ける Virtual Network のサブネットにて ( East US と West US の両方)、以下の設定を行います。
Enterprise Policy の作成
今回初めて実行しますが、上記からダウンロードしたファイルの .\CreateSubnetInjectionEnterprisePolicy.ps1、.\NewSubnetInjection.ps1 PowerShell スクリプトを実行し、Enterprise Policy の作成、環境との紐づけを行いました。
上述のブログを参考にしたのですが、私の環境の場合、いくつかのテナントにゲストアカウントで入っていることもあり、EnterprisePolicyOperations.ps1 と EnvironmentEnterprisePolicyOperations.ps1 ファイルについて、以下のように、Connect-AzAccount コマンドにて、明示的に自分のテナントを指定しないとコマンドが失敗しました。
スクリプト内で Connect-AzAccount コマンド実行していますが、明示的にテナント ID を指定していないと、自分のテナントだけでく、ゲスト参加しているテナントにも接続しようとしているように見受けられます。
警告: Unable to acquire token for tenant 'ゲスト参加しているテナント ID' with error 'SharedTokenCacheCredential
authentication unavailable. Token acquisition failed for user *****. Ensure that you have
authenticated with a developer tool that supports Azure single sign on.'
今回、米国環境を作成しており、以下からは成功しているように見えます。
※何度かポリシー作成して割り当ての変更も行いました
検証
まず、一旦は、以下の設定にして、HTTP コネクタやカスタムコネクタで動作することを確認します。最終的には、Enterprise Policy を紐づけている環境、かつ、現状サポートされているカスタムコネクタからのみ通信が成功する想定です。個人的には将来的に HTTP コネクタがサポートされたら嬉しいですが。
on your data のデータソースを元にした回答が返ってきました。ベクトル検索の効果もあり、年休という単語でも、有給休暇に関する情報が返ってきました。
次に、プライベートエンドポイントを作成し、許可するアクセス元の設定を無効にします。
プライベート DNS ゾーンにて、Power Platform からの通信を受け付ける Virtual Network 2 つをリンクに追加します。
再度テストしたところ、HTTP コネクタだけでなく、カスタムコネクタについても失敗してしまいました。設定を元に戻すと成功するので、残念ながら、Azure Virtual Network を介して Azure OpenAI リソースのプライベートエンドポイントに対して接続が上手くできていないようです。あまりこの辺のインフラ回り詳しくないこともあり、どこか設定に問題があるのか、パブリックプレビューということで、環境や Azure のリソースのリージョンなどの影響で動作が安定していないのかよく分からず、また、具体的に通信のどの段階で失敗しているのかまでは分かりませんでした。。
{
"error": {
"code": "403",
"message": "A Virtual Network is configured for this resource. Please use the correct endpoint for making requests. Check https://aka.ms/cogsvc-vnet for more details."
}
}
(補足) on your data を API で利用する
以前以下の記事を書いたのですが、久しぶりに利用すると、結構変わっていました。
まず、プレイグラウンドに表示される json を利用してもいいと思いますが、リファレンスと結構違ってパラメーターが多かったので、とりあえず、以下のような Body でリクエストをしました。
{
"data_sources": [
{
"type": "azure_search",
"parameters": {
"endpoint": "https://*****.search.windows.net",
"index_name": "vector-1714517262881",
"authentication": {
"type": "api_key",
"key": "*****"
}
}
}
],
"messages": [
{
"role": "user",
"content": "年休取得方法を教えて"
}
]
}
一応、上述の通り、問題なく動作しています。必要に応じて、独自データを元に、ハイブリッド検索して回答を返してくれるので、社内で ChatGPT を使えない、独自データも精度良く回答を返してほしいといったケースにおいて、Power Platform (フロントエンドを Power Apps にしたり、Copilot Studio にしたり) にするアプローチについて、引き続き需要あるかと思います。
(補足) 作成したリソースの削除
検証でちょっと試してみる場合、Virtual Network など、作成したリソースの削除処理が面倒です。私が慣れていないのもありますが、依存関係のあるリソースを削除しないと削除に失敗します。
例えば、Enterprise Policy については、環境との紐づけを解除し、その上で、以下コマンドで削除する必要がありました。その上で、Virtual Network のサブネットで委任を削除し、サブネットを削除し、Virtual Network 自体を削除する必要がありました。
なお、環境が削除されていると、そもそも紐づけが解除できないため、Enterprise Policy リソースの削除自体もできず、結果として、Virtual Network の削除も出来ない認識です。
PS C:\PowerApps-Samples-master\PowerApps-Samples-master\powershell\enterprisePolicies\SubnetInjection> Remove-AzResource -ResourceId "/subscriptions/*****/resourceGroups/OpenAITestResourceGroup/providers/Microsoft.PowerPlatform/enterprisePolicies/pp-vnet" -Force
Remove-AzResource : EnterprisePolicyDeleteNotAllowed : Enterprise Policy Deletion not allowed for Enterprise Policy with name pp-vnet as it is linked with
1 environment with environmentId as 1b181271-cbaf-ea99-ad83-4a8cc6c3230b. Please unlink these environments from Enterprise Policy name pp-vnet and id 0b120
320-db50-4952-9455-f6c2a561b6b5 to perform deletion
CorrelationId: 8118a621-bd33-4702-873a-7de60c45e47b
発生場所 行:1 文字:1 + Remove-AzResource -ResourceId "/subscriptions/***** ... + ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ + CategoryInfo : CloseError: (:) [Remove-AzResource]、ErrorResponseMessageException + FullyQualifiedErrorId : Microsoft.Azure.Commands.ResourceManager.Cmdlets.Implementation.RemoveAzureResourceCmdlet
PS C:\PowerApps-Samples-master\PowerApps-Samples-master\powershell\enterprisePolicies\SubnetInjection> .\RevertSubnetInjection
コマンド パイプライン位置 1 のコマンドレット RevertSubnetInjection
次のパラメーターに値を指定してください:
environmentId: *****
policyArmId: /subscriptions/*****/resourceGroups/OpenAITestResourceGroup/providers/Microsoft.PowerPlatform/enterprisePolicies/pp-vnet
Logging In...
Logged In...
Error getting environment with ***** for endpoint prod Error = @{StatusCode=404; StatusDescription=Not Found; Headers=Strict-Transport-Security: max-age=31536000; includeSubDomains
x-ms-islandgateway: ga0000001
x-ms-request-id: japanwest:21198c4c-2589-4495-8ee3-1c04583f70cb
x-ms-correlation-request-id: 8356d385-bc7b-413d-87d8-25daeb19fb21
x-ms-correlation-id: 8356d385-bc7b-413d-87d8-25daeb19fb21
Server-Timing: x-ms-igw-upstream-headers;dur=328.7,x-ms-igw-req-overhead;dur=1.1
X-Content-Type-Options: nosniff
x-ms-service-request-id: 171d9f2b-145d-4c55-9f2c-ef78f5caa91a
x-ms-activity-vector: 00
Content-Length: 211
Cache-Control: no-cache, no-store
Content-Type: application/json; charset=utf-8
Date: Thu, 02 May 2024 00:19:05 GMT
; Error=; Message=The environment '1b181271-cbaf-ea99-ad83-4a8cc6c3230b' could not be found in the tenant '*****'.; Internal=System.Net.HttpWebResponse}
まとめ
今回は、上手く行きませんでしたが、Power Platform の Azure Virtual Network サポートを試してみた内容について整理しました。
正直、Azure のインフラ回りに慣れていないと敷居が高く、パブリックプレビューという位置づけからも、個人的には、現状は、本番運用で利用するのは厳しいかなと思いますが、アプローチとしては絶対必要な機能だと思うので、今後の機能の進化に期待したいです。そして、私の手元でも動いて欲しいです。。
また、設定難易度やセキュリティ面の課題を考慮すると、フュージョン開発であれば別ですが、市民開発者の方が、生成 AI 技術を利用した独自のアプリや自動化フロー、チャットボットを作成できるよう広く開放する場合は、AI Builder、Copilot Studio を利用する方が良いと思います。そのため、これらの機能の進化 (取り急ぎ、AI モデルや検索精度向上辺り) にも期待したいです。
※あと、これは完全な主観ですが、個人的に カスタムコネクタの作成エクスペリエンスあまりよくなく、API キーを使う場合においても、HTTP コネクタと比較すると、動作不安定な印象があります。例えば、同じエンドポイントに同じリクエストをしている場合においても、急によくわからない応答が返ってくることがあります。以下は、"Request Header Fields Too Large"ですが、それ以外にも、"Bad Gateway"、"Resource not found"といったエラーが返ってきて動かなくなることがありました。
