Sdílet prostřednictvím

Ochrana AI pomocí zásad podmíněného přístupu

  • Článek

Služby generující umělou inteligenci (AI), jako je Microsoft Security Copilot a Microsoft 365 Copilot , při použití vhodné hodnoty pro vaši organizaci. Ochranu těchto služeb před zneužitím je možné dosáhnout pomocí stávajících funkcí, jako jsou zásady podmíněného přístupu Microsoft Entra.

Použití zásad podmíněného přístupu na tyto služby generující AI je možné provádět prostřednictvím stávajících zásad, které cílí na všechny prostředky pro všechny uživatele, rizikové uživatele nebo přihlášení a uživatele s interním rizikem.

Tento článek ukazuje, jak cílit na konkrétní služby Generative AI, jako je Microsoft Security Copilot a Microsoft 365 Copilot pro vynucení zásad.

Vytváření cílových instančních objektů pomocí PowerShellu

Aby bylo možné tyto služby Generative AI cílit jednotlivě, musí organizace vytvořit následující instanční objekty, aby je zpřístupňovaly ve výběru aplikace pro podmíněný přístup. Následující kroky ukazují, jak tyto instanční objekty přidat pomocí rutiny New-MgServicePrincipal , která je součástí sady Microsoft Graph PowerShell SDK.

# Connect with the appropriate scopes to create service principals
Connect-MgGraph -Scopes "Application.ReadWrite.All"

# Create service principal for the service Enterprise Copilot Platform (Microsoft 365 Copilot)
New-MgServicePrincipal -AppId fb8d773d-7ef8-4ec0-a117-179f88add510

# Create service principal for the service Security Copilot (Microsoft Security Copilot) 
New-MgServicePrincipal -AppId bb5ffd56-39eb-458c-a53a-775ba21277da

Vytváření zásad podmíněného přístupu

Jako organizace, která přijímá služby, jako je Microsoft 365 Copilot a Microsoft Security Copilot, chcete zajistit, aby přístup byl jenom uživatelům, kteří splňují vaše požadavky na zabezpečení. Příklad:

  • Všichni uživatelé služeb Generative AI musí dokončit vícefaktorové ověřování odolné proti útokům phishing.
  • Všichni uživatelé služeb generující AI musí mít přístup ze vyhovujícího zařízení, pokud je vnitřní riziko střední.
  • Všichni uživatelé služeb generující AI se zablokují, když se zvýší riziko insiderů.

Tip

Následující zásady podmíněného přístupu cílí na samostatná prostředí, nikoli vložená prostředí.

Vyloučení uživatelů

Zásady podmíněného přístupu jsou výkonné nástroje, doporučujeme z vašich zásad vyloučit následující účty:

  • Nouzový přístup nebo prolomení účtů, které brání uzamčení kvůli chybné konfiguraci zásad. V nepravděpodobném scénáři jsou všichni správci uzamčeni, váš účet pro správu tísňového volání se dá použít k přihlášení a provedení kroků pro obnovení přístupu.
  • Účty služeb a instanční objekty, jako je účet synchronizace Microsoft Entra Connect. Účty služby jsou neinteraktivní účty, které nejsou vázané na konkrétního uživatele. Obvykle je používají back-endové služby, které umožňují programový přístup k aplikacím, ale používají se také k přihlášení do systémů pro účely správy. Volání instančních objektů nebudou blokovaná zásadami podmíněného přístupu vymezenými pro uživatele. Pomocí podmíněného přístupu pro identity úloh definujte zásady, které cílí na instanční objekty.
    • Pokud má vaše organizace tyto účty používané ve skriptech nebo kódu, zvažte jejich nahrazení spravovanými identitami.

Všichni uživatelé služeb Generative AI musí dokončit vícefaktorové ověřování odolné proti útokům phishing.

Následující postup vám pomůže vytvořit zásadu podmíněného přístupu, která vyžaduje vícefaktorové ověřování pomocí zásad síly ověřování.

Upozorňující

Pokud používáte metody externího ověřování, tyto metody jsou momentálně nekompatibilní s silou ověřování a měli byste použít řízení udělení vícefaktorového ověřování .

  1. Přihlaste se do Centra pro správu Microsoft Entra s úrovní minimálně jako Správce podmíněného přístupu.
  2. Přejděte k zásadám podmíněného přístupu ochrany>>.
  3. Vyberte Možnost Nová zásada.
  4. Pojmenujte zásadu. Doporučujeme, aby organizace vytvořily smysluplný standard pro názvy zásad.
  5. V části Přiřazení vyberte Uživatelé nebo identity úloh.
    1. V části Zahrnout vyberte Všichni uživatelé.
    2. V části Vyloučit vyberte Uživatelé a skupiny a zvolte účty pro nouzový přístup nebo prolomení účtů vaší organizace.
  6. V části Cílové prostředky>(dříve cloudové aplikace)> Vyberte>prostředky vyberte:
    1. Enterprise Copilot Platform fb8d773d-7ef8-4ec0-a117-179f88add510 (Microsoft 365 Copilot)
    2. Zabezpečení Copilot bb5ffd56-39eb-458c-a53a-775ba21277da (Microsoft Security Copilot)
  7. V části Řízení>přístupu udělte možnost Udělit přístup.
    1. Vyberte Možnost Vyžadovat sílu ověřování a pak ze seznamu vyberte integrovanou sílu ověřování MFA odolnou proti phisingu.
    2. Zvolte Zvolit.
  8. Potvrďte nastavení a nastavte Povolit zásadu pouze pro sestavy.
  9. Pokud chcete zásadu povolit, vyberte Vytvořit .

Jakmile správci potvrdí nastavení pomocí režimu jen pro sestavy, můžou přepnout zásadu Povolit pouze ze sestavy do polohy Zapnuto.

Všichni uživatelé služeb generující AI musí mít přístup ze vyhovujícího zařízení, pokud je vnitřní riziko střední.

Tip

Před vytvořením následujících zásad nakonfigurujte adaptivní ochranu .

Bez zásad dodržování předpisů vytvořených v Microsoft Intune nebudou tyto zásady podmíněného přístupu fungovat podle očekávání. Nejprve vytvořte zásadu dodržování předpisů a před pokračováním se ujistěte, že máte aspoň jedno vyhovující zařízení.

  1. Přihlaste se do Centra pro správu Microsoft Entra s úrovní minimálně jako Správce podmíněného přístupu.
  2. Přejděte k zásadám podmíněného přístupu ochrany>>.
  3. Vyberte Možnost Nová zásada.
  4. Pojmenujte zásadu. Doporučujeme, aby organizace vytvořily smysluplný standard pro názvy zásad.
  5. V části Přiřazení vyberte Uživatelé nebo identity úloh.
    1. V části Zahrnout vyberte Všichni uživatelé.
    2. V části Vyloučit:
      1. Vyberte Uživatelé a skupiny a zvolte účty pro nouzový přístup nebo prolomení účtů ve vaší organizaci.
      2. Vyberte hosta nebo externí uživatele a zvolte následující:
        1. B2B přímé připojení uživatelů.
        2. Uživatelé poskytovatele služeb.
        3. Ostatní externí uživatelé.
  6. V části Cílové prostředky>(dříve cloudové aplikace)> Vyberte>prostředky vyberte:
    1. Enterprise Copilot Platform fb8d773d-7ef8-4ec0-a117-179f88add510 (Microsoft 365 Copilot)
    2. Zabezpečení Copilot bb5ffd56-39eb-458c-a53a-775ba21277da (Microsoft Security Copilot)
  7. V rámci podmínek>insiderských rizik nastavte možnost Konfigurovat na ano.
    1. V části Vyberte úrovně rizika, které musí být přiřazeny k vynucení zásady.
      1. Vyberte Střední.
      2. Vyberte Hotovo.
  8. V části Řízení>přístupu Udělení.
    1. Vyberte Vyžadovat, aby zařízení bylo označené jako vyhovující.
    2. Zvolte Zvolit.
  9. Potvrďte nastavení a nastavte Povolit zásadu pouze pro sestavy.
  10. Pokud chcete zásadu povolit, vyberte Vytvořit .

Jakmile správci potvrdí nastavení pomocí režimu jen pro sestavy, můžou přepnout zásadu Povolit pouze ze sestavy do polohy Zapnuto.

Všichni uživatelé služeb generující AI se zablokují, když se zvýší riziko insiderů.

Tip

Před vytvořením následujících zásad nakonfigurujte adaptivní ochranu .

  1. Přihlaste se do Centra pro správu Microsoft Entra s úrovní minimálně jako Správce podmíněného přístupu.
  2. Přejděte k zásadám podmíněného přístupu ochrany>>.
  3. Vyberte Možnost Nová zásada.
  4. Pojmenujte zásadu. Doporučujeme, aby organizace vytvořily smysluplný standard pro názvy zásad.
  5. V části Přiřazení vyberte Uživatelé nebo identity úloh.
    1. V části Zahrnout vyberte Možnost Všichni uživatelé.
    2. V části Vyloučit:
      1. Vyberte Uživatelé a skupiny a zvolte účty pro nouzový přístup nebo prolomení účtů ve vaší organizaci.
      2. Vyberte hosta nebo externí uživatele a zvolte následující:
        1. B2B přímé připojení uživatelů.
        2. Uživatelé poskytovatele služeb.
        3. Ostatní externí uživatelé.
  6. V části Cílové prostředky>(dříve cloudové aplikace)> Vyberte>prostředky vyberte:
    1. Enterprise Copilot Platform fb8d773d-7ef8-4ec0-a117-179f88add510 (Microsoft 365 Copilot)
    2. Zabezpečení Copilot bb5ffd56-39eb-458c-a53a-775ba21277da (Microsoft Security Copilot)
  7. V rámci podmínek>insiderských rizik nastavte možnost Konfigurovat na ano.
    1. V části Vyberte úrovně rizika, které musí být přiřazeny k vynucení zásady.
      1. Vyberte zvýšenou úroveň.
      2. Vyberte Hotovo.
  8. V části Řízení>přístupu udělte, vyberte Blokovat přístup a pak vyberte Vybrat.
  9. Potvrďte nastavení a nastavte Povolit zásadu pouze pro sestavy.
  10. Pokud chcete zásadu povolit, vyberte Vytvořit .

Jakmile správci potvrdí nastavení pomocí režimu jen pro sestavy, můžou přepnout zásadu Povolit pouze ze sestavy do polohy Zapnuto.

Související obsah