Freigeben über

Schützen von KI mit einer Richtlinie für bedingten Zugriff

  • Artikel

Generative KI-Dienste (künstliche Intelligenz) wie Microsoft Copilot for Security und Microsoft 365 Copilot, liefern Ihrer Organisation einen Mehrwert, wenn sie entsprechend verwendet werden. Es ist möglich, diese Dienste mit vorhandenen Funktionen wie der Richtlinie für bedingten Zugriff von Microsoft Entra zu schützen.

Das Anwenden der Richtlinie für bedingten Zugriff auf diese generativen KI-Dienste ist über Ihre vorhandenen Richtlinien möglich, die auf alle Ressourcen für alle Benutzer, riskante Benutzer oder Anmeldungen sowie Benutzer mit Insider-Risiko abzielen.

In diesem Artikel erfahren Sie, wie Sie für bestimmte generative KI-Dienste wie Microsoft Copilot for Security und Microsoft 365 Copilot eine Richtlinienerzwingung festlegen.

Erstellen als Ziel festlegbarer Dienstprinzipale mithilfe von PowerShell

Um diese generativen KI-Dienste individuell anzusprechen, müssen Organisationen die folgenden Dienstprinzipale erstellen, um sie in der App-Auswahl für bedingten Zugriff verfügbar zu machen. Die folgenden Schritte zeigen, wie Sie diese Dienstprinzipale mithilfe des Cmdlets New-MgServicePrincipal hinzufügen, das Bestandteil des Microsoft Graph PowerShell SDKs ist.

# Connect with the appropriate scopes to create service principals
Connect-MgGraph -Scopes "Application.ReadWrite.All"

# Create service principal for the service Enterprise Copilot Platform (Microsoft 365 Copilot)
New-MgServicePrincipal -AppId fb8d773d-7ef8-4ec0-a117-179f88add510

# Create service principal for the service Security Copilot (Microsoft Copilot for Security) 
New-MgServicePrincipal -AppId bb5ffd56-39eb-458c-a53a-775ba21277da

Erstellen von Richtlinien für bedingten Zugriff

Als Organisation, die Dienste wie Microsoft 365 Copilot und Microsoft Copilot for Security einführt, möchten Sie sicherstellen, dass der Zugriff nur durch Benutzer erfolgt, die Ihre Sicherheitsanforderungen erfüllen. Zum Beispiel:

  • Alle Benutzer generativer KI-Dienste müssen phishingresistente MFA abschließen.
  • Alle Benutzer generativer KI-Diensten müssen von einem kompatiblen Gerät aus zugreifen, wenn das Insider-Risiko moderat ist.
  • Alle Benutzer generativer KI-Diensten werden blockiert, wenn das Insider-Risiko erhöht ist.

Tipp

Die folgenden Richtlinien für bedingten Zugriff zielen auf die eigenständigen, nicht auf die eingebetteten Umgebungen ab.

Ausschluss von Benutzern

Richtlinien für bedingten Zugriff sind leistungsstarke Tools, daher wird empfohlen, die folgenden Konten von Ihren Richtlinien auszuschließen:

  • Notfallzugriffs- oder Break-Glass-Konten zum Verhindern einer Sperrung aufgrund von falsch konfigurierten Richtlinien. In dem unwahrscheinlichen Fall, dass alle Administratoren ausgesperrt sind, können Sie sich mit Ihrem Administratorkonto für den Notfallzugriff anmelden und Maßnahmen ergreifen, um den Zugriff wiederherzustellen.
  • Dienstkonten und Dienstprinzipale, z. B. das Konto für die Microsoft Entra Connect-Synchronisierung. Dienstkonten sind nicht interaktive Konten, die nicht an einen bestimmten Benutzer gebunden sind. Sie werden normalerweise von Back-End-Diensten verwendet, die den programmatischen Zugriff auf Anwendungen ermöglichen, aber auch für die Anmeldung bei Systemen zu Verwaltungszwecken. Aufrufe, die von Dienstprinzipalen getätigt werden, werden nicht durch Richtlinien für den bedingten Zugriff blockiert, die für Benutzer gelten. Verwenden Sie den bedingten Zugriff für Workload-Identitäten, um Richtlinien für Dienstprinzipale zu definieren.
    • Wenn Ihre Organisation diese Konten in Skripts oder Code verwendet, sollten Sie in Betracht ziehen, diese durch verwaltete Identitäten zu ersetzen.

Alle Benutzer generativer KI-Dienste müssen phishingresistente MFA abschließen.

Mithilfe folgender Schritten können Sie eine Richtlinie für bedingten Zugriff erstellen, die erfordert, dass alle Benutzer eine Multi-Faktor-Authentifizierung durchführen müssen, die die Richtlinie für Authentifizierungsstärke verwenden.

Warnung

Wenn Sie externen Authentifizierungsmethoden verwenden, sind diese zurzeit nicht mit der Authentifizierungsstärke kompatibel, und Sie sollten das Gewährungssteuerelement Vorschreiben von Multi-Faktor-Authentifizierung verwenden.

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Administrator für bedingten Zugriff an.
  2. Navigieren Sie zu Schutz>Bedingter Zugriff>Richtlinien.
  3. Wählen Sie Neue Richtlinie.
  4. Benennen Sie Ihre Richtlinie. Es wird empfohlen, dass Unternehmen einen aussagekräftigen Standard für die Namen ihrer Richtlinien erstellen.
  5. Wählen Sie unter Zuweisungen die Option Benutzer- oder Workloadidentitäten aus.
    1. Wählen Sie unter Einschließen die Option Alle Benutzer aus.
    2. Wählen Sie unter Ausschließen die Option Benutzer und Gruppen und dann die Konten für den Notfallzugriff Ihres Unternehmens aus.
  6. Wählen Sie unter Zielressourcen>Ressourcen (ehemals Cloud-Apps)>Einschließen>Gewählte Ressourcen die folgenden aus:
    1. Enterprise Copilot Platform fb8d773d-7ef8-4ec0-a117-179f88add510 (Microsoft 365 Copilot)
    2. Security Copilot bb5ffd56-39eb-458c-a53a-775ba21277da (Microsoft Copilot for Security)
  7. Wählen Sie unter Zugriffssteuerung>Erteilen die Option Zugriff gewähren aus.
    1. Wählen Sie Authentifizierungsstärke erforderlich und dann in der Liste die integrierte Authentifizierungsstärke Phisingresistente MFA aus.
    2. Wählen Sie Auswählen.
  8. Bestätigen Sie die Einstellungen, und legen Sie Richtlinie aktivieren auf Nur Bericht fest.
  9. Wählen Sie Erstellen aus, um die Richtlinie zu erstellen und zu aktivieren.

Wenn ein Administrator die Einstellungen mit dem reinen Berichtsmodus bestätigt hat, kann er den Schalter Richtlinie aktivieren von Nur Bericht auf Ein festlegen.

Alle Benutzer generativer KI-Diensten müssen von einem kompatiblen Gerät aus zugreifen, wenn das Insider-Risiko moderat ist.

Tipp

Konfigurieren Sie den adaptiven Schutz, bevor Sie die folgende Richtlinie erstellen.

Ohne eine in Microsoft Intune erstellte Compliancerichtlinie funktioniert diese Richtlinie für bedingten Zugriff nicht wie beabsichtigt. Erstellen Sie zuerst eine Compliancerichtlinie, und stellen Sie sicher, dass Sie mindestens ein kompatibles Gerät haben, bevor Sie fortfahren.

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Administrator für bedingten Zugriff an.
  2. Navigieren Sie zu Schutz>Bedingter Zugriff>Richtlinien.
  3. Wählen Sie Neue Richtlinie.
  4. Benennen Sie Ihre Richtlinie. Es wird empfohlen, dass Unternehmen einen aussagekräftigen Standard für die Namen ihrer Richtlinien erstellen.
  5. Wählen Sie unter Zuweisungen die Option Benutzer- oder Workloadidentitäten aus.
    1. Wählen Sie unter Einschließen die Option Alle Benutzer aus.
    2. Führen Sie unter Ausschließen die folgenden Schritte aus:
      1. Wählen Sie Benutzer und Gruppen und dann die Konten für den Notfallzugriff Ihres Unternehmens aus.
      2. Wählen Sie Gast- oder externe Benutzer und dann Folgendes aus:
        1. Benutzer mit direkter B2B-Verbindung
        2. Dienstanbieterbenutzer
        3. Andere externe Benutzer
  6. Wählen Sie unter Zielressourcen>Ressourcen (ehemals Cloud-Apps)>Einschließen>Gewählte Ressourcen die folgenden aus:
    1. Enterprise Copilot Platform fb8d773d-7ef8-4ec0-a117-179f88add510 (Microsoft 365 Copilot)
    2. Security Copilot bb5ffd56-39eb-458c-a53a-775ba21277da (Microsoft Copilot for Security)
  7. Legen Sie unter Bedingungen>Insider-Risiko die Option Konfigurieren auf Ja fest.
    1. Unter Risikostufen auswählen, die zum Erzwingen der Richtlinie zugewiesen werden müssen:
      1. Wählen Sie moderat aus.
      2. Wählen Sie Fertig aus.
  8. Unter Zugriffssteuerungen>Erteilen:
    1. Klicken Sie auf Markieren des Geräts als konform erforderlich.
    2. Wählen Sie Auswählen.
  9. Bestätigen Sie die Einstellungen, und legen Sie Richtlinie aktivieren auf Nur Bericht fest.
  10. Wählen Sie Erstellen aus, um die Richtlinie zu erstellen und zu aktivieren.

Wenn ein Administrator die Einstellungen mit dem reinen Berichtsmodus bestätigt hat, kann er den Schalter Richtlinie aktivieren von Nur Bericht auf Ein festlegen.

Alle Benutzer generativer KI-Diensten werden blockiert, wenn das Insider-Risiko erhöht ist.

Tipp

Konfigurieren Sie den adaptiven Schutz, bevor Sie die folgende Richtlinie erstellen.

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Administrator für bedingten Zugriff an.
  2. Navigieren Sie zu Schutz>Bedingter Zugriff>Richtlinien.
  3. Wählen Sie Neue Richtlinie.
  4. Benennen Sie Ihre Richtlinie. Es wird empfohlen, dass Unternehmen einen aussagekräftigen Standard für die Namen ihrer Richtlinien erstellen.
  5. Wählen Sie unter Zuweisungen die Option Benutzer- oder Workloadidentitäten aus.
    1. Wählen Sie unter Einschließen die Option Alle Benutzer aus.
    2. Führen Sie unter Ausschließen die folgenden Schritte aus:
      1. Wählen Sie Benutzer und Gruppen und dann die Konten für den Notfallzugriff Ihres Unternehmens aus.
      2. Wählen Sie Gast- oder externe Benutzer und dann Folgendes aus:
        1. Benutzer mit direkter B2B-Verbindung
        2. Dienstanbieterbenutzer
        3. Andere externe Benutzer
  6. Wählen Sie unter Zielressourcen>Ressourcen (ehemals Cloud-Apps)>Einschließen>Gewählte Ressourcen die folgenden aus:
    1. Enterprise Copilot Platform fb8d773d-7ef8-4ec0-a117-179f88add510 (Microsoft 365 Copilot)
    2. Security Copilot bb5ffd56-39eb-458c-a53a-775ba21277da (Microsoft Copilot for Security)
  7. Legen Sie unter Bedingungen>Insider-Risiko die Option Konfigurieren auf Ja fest.
    1. Unter Risikostufen auswählen, die zum Erzwingen der Richtlinie zugewiesen werden müssen:
      1. Wählen Sie Erhöht aus.
      2. Wählen Sie Fertig aus.
  8. Wählen Sie unter Zugriffssteuerung>Erteilen die Option Zugriff blockieren und dann Auswählen aus.
  9. Bestätigen Sie die Einstellungen, und legen Sie Richtlinie aktivieren auf Nur Bericht fest.
  10. Wählen Sie Erstellen aus, um die Richtlinie zu erstellen und zu aktivieren.

Wenn ein Administrator die Einstellungen mit dem reinen Berichtsmodus bestätigt hat, kann er den Schalter Richtlinie aktivieren von Nur Bericht auf Ein festlegen.

Zugehöriger Inhalt