Compartir a través de

Protección de la inteligencia artificial con la directiva de acceso condicional

  • Artículo

Los servicios de inteligencia artificial (IA) generativa (por ejemplo, Microsoft Copilot para seguridad y Microsoft 365 Copilot) aportan valor a su organización si se usan correctamente. La protección de estos servicios frente al uso indebido se puede lograr con características existentes como la directiva de acceso condicional de Microsoft Entra.

La aplicación de la directiva de acceso condicional a estos servicios de inteligencia artificial generativa se puede realizar mediante las directivas existentes que tienen como destino todos los recursos para todos los usuarios, los usuarios de riesgo o los inicios de sesión y usuarios con riesgo interno.

En este artículo se muestra cómo usar como destino servicios de inteligencia artificial generativa específicos como Microsoft Copilot para seguridad y Microsoft 365 Copilot para la aplicación de directivas.

Creación de entidades de servicio que se pueden establecer como destino mediante PowerShell

Para dirigirse individualmente a estos servicios de inteligencia artificial generativa, las organizaciones deben crear las siguientes entidades de servicio para que estén disponibles en el selector de aplicaciones de acceso condicional. En los pasos siguientes se muestra cómo agregar estas entidades de servicio mediante el cmdlet New-MgServicePrincipal, parte del SDK de PowerShell en Microsoft Graph.

# Connect with the appropriate scopes to create service principals
Connect-MgGraph -Scopes "Application.ReadWrite.All"

# Create service principal for the service Enterprise Copilot Platform (Microsoft 365 Copilot)
New-MgServicePrincipal -AppId fb8d773d-7ef8-4ec0-a117-179f88add510

# Create service principal for the service Security Copilot (Microsoft Copilot for Security) 
New-MgServicePrincipal -AppId bb5ffd56-39eb-458c-a53a-775ba21277da

Creación de directivas de acceso condicional

Como organización que adopta servicios como Microsoft 365 Copilot y Microsoft Copilot para seguridad, quiere asegurarse de que solo los usuarios que cumplen sus requisitos de seguridad tienen acceso. Por ejemplo:

  • Todos los usuarios de los servicios de inteligencia artificial generativa deben completar la MFA resistente a la suplantación de identidad (phishing)
  • Todos los usuarios de los servicios de inteligencia artificial generativa deben acceder desde un dispositivo compatible cuando el riesgo interno es moderado
  • Todos los usuarios de los servicios de inteligencia artificial generativa se bloquean cuando el riesgo interno es elevado

Sugerencia

Las siguientes directivas de acceso condicional tienen como destino las experiencias independientes, no las experiencias insertadas.

Exclusiones de usuarios

Las directivas de acceso condicional son herramientas eficaces, por lo que se recomienda excluir las siguientes cuentas de las directivas:

  • Cuentas de acceso de emergencia o de emergencia para evitar el bloqueo debido a configuración errónea de directivas. En el escenario poco probable, todos los administradores están bloqueados, la cuenta administrativa de acceso de emergencia se puede usar para iniciar sesión y tomar medidas para recuperar el acceso.
  • Cuentas de servicio y Entidades de servicio , como la cuenta de sincronización de Microsoft Entra Connect. Las cuentas de servicio son cuentas no interactivas que no están asociadas a ningún usuario en particular. Los servicios back-end las usan normalmente para permitir el acceso mediante programación a las aplicaciones, pero también se utilizan para iniciar sesión en los sistemas con fines administrativos. Las llamadas realizadas por entidades de servicio no se bloquearán mediante directivas de acceso condicional asignadas a los usuarios. Usa el acceso condicional para las identidades de carga de trabajo para definir directivas destinadas a entidades de servicio.
    • Si su organización usa estas cuentas en scripts o código, piense en la posibilidad de reemplazarlas por identidades administradas.

Todos los usuarios de los servicios de inteligencia artificial generativa deben completar la MFA resistente a la suplantación de identidad (phishing)

Los pasos siguientes le ayudan a crear una directiva de acceso condicional que exija a todos los usuarios realizar la autenticación multifactor mediante la directiva de intensidad de autenticación.

Advertencia

Si usa métodos de autenticación externa, estos son actualmente incompatibles con la intensidad de autenticación y debe usar el control de concesión de solicitud de autenticación multifactor.

  1. Inicie sesión en el Centro de administración de Microsoft Entra al menos como Administrador de acceso condicional.
  2. Vaya a Protección>Acceso condicional>Directivas.
  3. Seleccione Nueva directiva.
  4. Asigna un nombre a la directiva. Se recomienda que las organizaciones creen un estándar significativo para los nombres de sus directivas.
  5. En Assignments (Asignaciones), seleccione Users or workload identities (Identidades de usuario o de carga de trabajo).
    1. En Incluir, seleccione Todos los usuarios
    2. En Excluir, seleccione Usuarios y grupos y, luego, elija las cuentas de emergencia o de acceso de emergencia de la organización.
  6. En Recursos de destino>Recursos (anteriormente aplicaciones en la nube)>Incluir>Seleccionar recursos, seleccione:
    1. Enterprise Copilot Platform fb8d773d-7ef8-4ec0-a117-179f88add510 (Microsoft 365 Copilot)
    2. Security Copilot bb5ffd56-39eb-458c-a53a-775ba21277da (Microsoft Copilot para seguridad)
  7. En Controles de acceso>Conceder, seleccione Conceder acceso.
    1. Seleccione Requerir intensidad de autenticación y, a continuación, seleccione la intensidad de autenticación de MFA resistente a la suplantación de identidad (phishing) integrada de la lista.
    2. Elija Seleccionar.
  8. Confirme la configuración y establezca Habilitar directiva en Solo informe.
  9. Seleccione Crear para crear la directiva.

Después de que los administradores confirmen la configuración mediante el modo de solo informe, podrán pasar el botón de alternancia Habilitar directiva de Solo informe a Activar.

Todos los usuarios de los servicios de inteligencia artificial generativa deben acceder desde un dispositivo compatible cuando el riesgo interno es moderado

Sugerencia

Configure la protección adaptable antes de crear la siguiente directiva.

Sin una directiva de cumplimiento creada en Microsoft Intune, esta directiva de acceso condicional no funcionará según lo previsto. Crea primero una directiva de cumplimiento y asegúrate de que tienes al menos un dispositivo compatible antes de continuar.

  1. Inicie sesión en el Centro de administración de Microsoft Entra al menos como Administrador de acceso condicional.
  2. Vaya a Protección>Acceso condicional>Directivas.
  3. Seleccione Nueva directiva.
  4. Asigna un nombre a la directiva. Se recomienda que las organizaciones creen un estándar significativo para los nombres de sus directivas.
  5. En Assignments (Asignaciones), seleccione Users or workload identities (Identidades de usuario o de carga de trabajo).
    1. En Incluir, seleccione Todos los usuarios
    2. En Excluir:
      1. Seleccione Usuarios y grupos y, a continuación, elija las cuentas de acceso de emergencia de la organización.
      2. Seleccione Usuarios invitados o externos y elija lo siguiente:
        1. Usuarios de conexión directa B2B.
        2. Usuarios del proveedor de servicios.
        3. Otros usuarios externos.
  6. En Recursos de destino>Recursos (anteriormente aplicaciones en la nube)>Incluir>Seleccionar recursos, seleccione:
    1. Enterprise Copilot Platform fb8d773d-7ef8-4ec0-a117-179f88add510 (Microsoft 365 Copilot)
    2. Security Copilot bb5ffd56-39eb-458c-a53a-775ba21277da (Microsoft Copilot para seguridad)
  7. En Condiciones>Riesgo interno, establezca Configurar en .
    1. En Seleccione los niveles de riesgo que se deben asignar para aplicar la directiva.
      1. Seleccione Moderado.
      2. Seleccione Listo.
  8. En Controles de acceso>Conceder.
    1. Seleccione Requerir que el dispositivo esté marcado como compatible.
    2. Elija Seleccionar.
  9. Confirme la configuración y establezca Habilitar directiva en Solo informe.
  10. Seleccione Crear para crear la directiva.

Después de que los administradores confirmen la configuración mediante el modo de solo informe, podrán pasar el botón de alternancia Habilitar directiva de Solo informe a Activar.

Todos los usuarios de los servicios de inteligencia artificial generativa se bloquean cuando el riesgo interno es elevado

Sugerencia

Configure la protección adaptable antes de crear la siguiente directiva.

  1. Inicie sesión en el Centro de administración de Microsoft Entra al menos como Administrador de acceso condicional.
  2. Vaya a Protección>Acceso condicional>Directivas.
  3. Seleccione Nueva directiva.
  4. Asigna un nombre a la directiva. Se recomienda que las organizaciones creen un estándar significativo para los nombres de sus directivas.
  5. En Asignaciones, selecciona Identidades de carga de trabajo o usarios.
    1. En Incluir, seleccione Todos los usuarios.
    2. En Excluir:
      1. Seleccione Usuarios y grupos y, a continuación, elija las cuentas de acceso de emergencia de la organización.
      2. Seleccione Usuarios invitados o externos y elija lo siguiente:
        1. Usuarios de conexión directa B2B.
        2. Usuarios del proveedor de servicios.
        3. Otros usuarios externos.
  6. En Recursos de destino>Recursos (anteriormente aplicaciones en la nube)>Incluir>Seleccionar recursos, seleccione:
    1. Enterprise Copilot Platform fb8d773d-7ef8-4ec0-a117-179f88add510 (Microsoft 365 Copilot)
    2. Security Copilot bb5ffd56-39eb-458c-a53a-775ba21277da (Microsoft Copilot para seguridad)
  7. En Condiciones>Riesgo interno, establezca Configurar en .
    1. En Seleccione los niveles de riesgo que se deben asignar para aplicar la directiva.
      1. Seleccione Elevados.
      2. Seleccione Listo.
  8. En Controles de acceso>Conceder, seleccione Bloquear acceso y, después, Seleccionar.
  9. Confirme la configuración y establezca Habilitar directiva en Solo informe.
  10. Seleccione Crear para crear la directiva.

Después de que los administradores confirmen la configuración mediante el modo de solo informe, podrán pasar el botón de alternancia Habilitar directiva de Solo informe a Activar.

Contenido relacionado