Protéger l’IA avec une stratégie d’accès conditionnel

Lorsqu’ils sont utilisés de manière appropriée, les services d’intelligence artificielle (IA) générative tels que Microsoft Security Copilot et Microsoft 365 Copilot apportent de la valeur à votre entreprise. Il est possible de protéger ces services contre toute utilisation incorrecte à l’aide des fonctionnalités existantes telles que la stratégie d’accès conditionnel Microsoft Entra.

Il est possible d’appliquer une stratégie d’accès conditionnel à ces services d’IA générative à l’aide de vos stratégies existantes qui ciblent toutes les ressources pour tous les utilisateurs, les utilisateurs à risque ou les connexions et utilisateurs présentant des risques internes.

Cet article explique comment cibler des services d’IA générative spécifiques tels que Microsoft Security Copilot et Microsoft 365 Copilot pour l’application des stratégies.

Créer des principaux de service pouvant être ciblés à l’aide de PowerShell

Pour cibler individuellement ces services d’IA générative, les organisations doivent créer les principaux de service suivants pour les rendre disponibles dans le sélecteur d’application d’accès conditionnel. Les étapes suivantes expliquent comment ajouter ces principaux de service à l’aide de la cmdlet New-MgServicePrincipal, qui fait partie du kit de développement logiciel (SDK) Microsoft Graph PowerShell.

# Connect with the appropriate scopes to create service principals
Connect-MgGraph -Scopes "Application.ReadWrite.All"

# Create service principal for the service Enterprise Copilot Platform (Microsoft 365 Copilot)
New-MgServicePrincipal -AppId fb8d773d-7ef8-4ec0-a117-179f88add510

# Create service principal for the service Security Copilot (Microsoft Security Copilot) 
New-MgServicePrincipal -AppId bb5ffd56-39eb-458c-a53a-775ba21277da

Créer des stratégies d’accès conditionnel

En tant qu’organisation adoptant des services tels que Microsoft 365 Copilot et Microsoft Security Copilot, vous souhaitez vous assurer que seuls les utilisateurs qui répondent à vos exigences de sécurité peuvent y accéder. Par exemple :

• Tous les utilisateurs des services d’IA générative doivent réussir l’authentification multifacteur résistante au hameçonnage
• Tous les utilisateurs des services d’IA générative doivent y accéder à partir d’un appareil conforme lorsque le risque interne est modéré
• Tous les utilisateurs des services d’IA générative sont bloqués lorsque le risque interne est élevé

Conseil

Les stratégies d’accès conditionnel suivantes ciblent les expériences autonomes, et non les expériences incorporées.

Exclusions d’utilisateurs

Les stratégies d’accès conditionnel sont des outils puissants. Nous vous recommandons donc d’exclure les comptes suivants de vos stratégies :

• Comptes d’accès d’urgence ou de secours pour empêcher le verrouillage en raison d’une mauvaise configuration. Dans le scénario improbable où tous les administrateurs seraient verrouillés, votre compte administratif d’accès d’urgence peut être utilisé pour la connexion et la prise de mesures pour récupérer l’accès.
  • Pour obtenir plus d’informations, consultez l’article Gérer les comptes d’accès d’urgence dans Microsoft Entra ID.
• Comptes de service et principaux de service, tels que le compte Microsoft Entra Connect Sync. Les comptes de service sont des comptes non interactifs qui ne sont liés à aucun utilisateur particulier. Ils sont généralement utilisés par des services back-end autorisant l’accès par programmation aux applications, mais ils le sont également pour une connexion aux systèmes à des fins administratives. Les appels effectués par les principaux de service ne seront pas bloqués par les stratégies d’accès conditionnel destinées aux utilisateurs. Utilisez l’accès conditionnel des identités de charge de travail pour élaborer des stratégies ciblant les principaux de service.
  • Si votre organisation utilise ces comptes dans des scripts ou du code, envisagez de les remplacer par des identités managées.

Tous les utilisateurs des services d’IA générative doivent réussir l’authentification multifacteur résistante au hameçonnage

Les étapes suivantes permettent de créer une stratégie d’accès conditionnel pour exiger que tous les utilisateurs effectuent une authentification multifacteur à l’aide de la stratégie de force d’authentification.

Avertissement

Si vous utilisez des méthodes d’authentification externes, celles-ci sont actuellement incompatibles avec la force d’authentification et vous devez utiliser le contrôle d’autorisation Exiger l’authentification multifacteur.

1. Connectez-vous au Centre d’administration de Microsoft Entra en tant qu’administrateur d’accès conditionnel.
2. Accédez à Protection>Accès conditionnel>Stratégies.
3. Sélectionnez Nouvelle stratégie.
4. Donnez un nom à votre stratégie. Nous recommandons aux organisations de créer une norme explicite pour les noms de leurs stratégies.
5. Sous Affectations, sélectionnez Utilisateurs ou identités de charge de travail.
   1. Sous Inclure, sélectionnez Tous les utilisateurs
   2. Sous Exclure, sélectionnez Utilisateurs et groupes, puis choisissez les comptes d’accès d’urgence ou de secours de votre organisation.
6. Sous Ressources cibles>Ressources (anciennement Applications cloud)>Inclure>Sélectionner les ressources, sélectionnez :
   1. Enterprise Copilot Platform fb8d773d-7ef8-4ec0-a117-179f88add510 (Microsoft 365 Copilot)
   2. Security Copilot bb5ffd56-39eb-458c-a53a-775ba21277da (Microsoft Security Copilot)
7. Sous Contrôles d’accès>Accorder, sélectionnez Accorder l’accès.
   1. Sélectionnez Exiger une force d’authentification, puis sélectionnez la force d’authentification intégrée MFA résistante au hameçonnage dans la liste.
   2. Sélectionnez Sélectionner.
8. Confirmez vos paramètres et définissez Activer la stratégie sur Rapport seul.
9. Sélectionnez Créer pour créer votre stratégie.

Une fois que les administrateurs ont confirmé les paramètres à l’aide du mode État uniquement, ils peuvent modifier la position du bouton bascule Activer la stratégie de État uniquement en Activé.

Tous les utilisateurs des services d’IA générative doivent y accéder à partir d’un appareil conforme lorsque le risque interne est modéré

Conseil

Configurez la protection adaptative avant de créer la stratégie suivante.

Sans stratégie de conformité créée dans Microsoft Intune, cette stratégie d’accès conditionnel ne fonctionnera pas comme prévu. Créez d’abord une stratégie de conformité et vérifiez que vous disposez d’au moins un appareil conforme avant de continuer.

1. Connectez-vous au Centre d’administration de Microsoft Entra en tant qu’administrateur d’accès conditionnel.
2. Accédez à Protection>Accès conditionnel>Stratégies.
3. Sélectionnez Nouvelle stratégie.
4. Donnez un nom à votre stratégie. Nous recommandons aux organisations de créer une norme explicite pour les noms de leurs stratégies.
5. Sous Affectations, sélectionnez Utilisateurs ou identités de charge de travail.
   1. Sous Inclure, sélectionnez Tous les utilisateurs
   2. Sous Exclure :
      1. Sélectionnez Utilisateurs et groupes et choisissez les comptes d’accès d’urgence ou de secours de votre organisation.
      2. Sélectionnez Utilisateurs invités ou externes, puis choisissez ce qui suit :
         1. Utilisateurs de connexion directe B2B.
         2. Utilisateurs de fournisseur de services.
         3. Autres utilisateurs externes.
6. Sous Ressources cibles>Ressources (anciennement Applications cloud)>Inclure>Sélectionner les ressources, sélectionnez :
   1. Enterprise Copilot Platform fb8d773d-7ef8-4ec0-a117-179f88add510 (Microsoft 365 Copilot)
   2. Security Copilot bb5ffd56-39eb-458c-a53a-775ba21277da (Microsoft Security Copilot)
7. Sous Conditions>Risque interne, définissez Configurer sur Oui.
   1. Sous Sélectionner les niveaux de risque qui doivent être affectés pour appliquer la stratégie :
      1. Sélectionnez Modéré.
      2. Cliquez sur Terminé.
8. Sous Contrôles d’accès>Octroyer.
   1. Sélectionnez Exiger que l'appareil soit marqué comme conforme.
   2. Sélectionnez Sélectionner.
9. Confirmez vos paramètres et définissez Activer la stratégie sur Rapport seul.
10. Sélectionnez Créer pour créer votre stratégie.

Une fois que les administrateurs ont confirmé les paramètres à l’aide du mode État uniquement, ils peuvent modifier la position du bouton bascule Activer la stratégie de État uniquement en Activé.

Tous les utilisateurs des services d’IA générative sont bloqués lorsque le risque interne est élevé

Conseil

Configurez la protection adaptative avant de créer la stratégie suivante.

1. Connectez-vous au Centre d’administration de Microsoft Entra en tant qu’administrateur d’accès conditionnel.
2. Accédez à Protection>Accès conditionnel>Stratégies.
3. Sélectionnez Nouvelle stratégie.
4. Donnez un nom à votre stratégie. Nous recommandons aux organisations de créer une norme explicite pour les noms de leurs stratégies.
5. Sous Affectations, sélectionnez Utilisateurs ou identités de charge de travail.
   1. Sous Inclure, sélectionnez Tous les utilisateurs.
   2. Sous Exclure :
      1. Sélectionnez Utilisateurs et groupes et choisissez les comptes d’accès d’urgence ou de secours de votre organisation.
      2. Sélectionnez Utilisateurs invités ou externes, puis choisissez ce qui suit :
         1. Utilisateurs de connexion directe B2B.
         2. Utilisateurs de fournisseur de services.
         3. Autres utilisateurs externes.
6. Sous Ressources cibles>Ressources (anciennement Applications cloud)>Inclure>Sélectionner les ressources, sélectionnez :
   1. Enterprise Copilot Platform fb8d773d-7ef8-4ec0-a117-179f88add510 (Microsoft 365 Copilot)
   2. Security Copilot bb5ffd56-39eb-458c-a53a-775ba21277da (Microsoft Security Copilot)
7. Sous Conditions>Risque interne, définissez Configurer sur Oui.
   1. Sous Sélectionner les niveaux de risque qui doivent être affectés pour appliquer la stratégie :
      1. Sélectionnez Élevés.
      2. Cliquez sur Terminé.
8. Sous Contrôles d’accès>Accorder, sélectionnez Bloquer l’accès, puis Sélectionner.
9. Confirmez vos paramètres et définissez Activer la stratégie sur Rapport seul.
10. Sélectionnez Créer pour créer votre stratégie.

Une fois que les administrateurs ont confirmé les paramètres à l’aide du mode État uniquement, ils peuvent modifier la position du bouton bascule Activer la stratégie de État uniquement en Activé.

Contenu connexe

• Utilisez le mode rapport seul pour l’accès conditionnel afin de déterminer l’impact des nouvelles décisions de stratégie.
• IA générative sécurisée avec Microsoft Entra
• Protections de la sécurité et de la conformité des données Microsoft Purview pour les applications d’IA générative
• Considérations relatives au Hub IA Microsoft Purview et aux protections de la sécurité et de la conformité des données pour Copilot
• Appliquer les principes de Confiance Zéro à Microsoft Copilot
• Appliquer les principes de Confiance Zéro à Microsoft 365 Copilot
• Appliquer les principes de Confiance Zéro à Microsoft Security Copilot