Condividi tramite

Proteggere l'intelligenza artificiale con i criteri di accesso condizionale

  • Articolo

Servizi di intelligenza artificiale generativi come Microsoft Security Copilot e Microsoft 365 Copilot quando vengono usati in modo appropriato per offrire valore all'organizzazione. La protezione di questi servizi da uso improprio può essere eseguita con funzionalità esistenti come i criteri di accesso condizionale di Microsoft Entra.

L'applicazione dei criteri di accesso condizionale a questi servizi di intelligenza artificiale generativa può essere eseguita tramite i criteri esistenti destinati a tutte le risorse per tutti gli utenti, gli utenti a rischio, gli accessi a rischio e gli utenti con rischio insider.

Questo articolo illustra come definire come destinazione specifici servizi di intelligenza artificiale generativi come Microsoft Security Copilot e Microsoft 365 Copilot per l'applicazione dei criteri.

Creare principali del servizio mirati con PowerShell

Per indirizzare individualmente questi servizi di IA generativa, le organizzazioni devono creare le seguenti entità del servizio per renderle disponibili nel selettore di app dell'accesso condizionale. I passaggi seguenti illustrano come aggiungere queste entità servizio usando il cmdlet New-MgServicePrincipal , parte di Microsoft Graph PowerShell SDK.

# Connect with the appropriate scopes to create service principals
Connect-MgGraph -Scopes "Application.ReadWrite.All"

# Create service principal for the service Enterprise Copilot Platform (Microsoft 365 Copilot)
New-MgServicePrincipal -AppId fb8d773d-7ef8-4ec0-a117-179f88add510

# Create service principal for the service Security Copilot (Microsoft Security Copilot) 
New-MgServicePrincipal -AppId bb5ffd56-39eb-458c-a53a-775ba21277da

Creare criteri di accesso condizionale

In qualità di organizzazione che adotta servizi come Microsoft 365 Copilot e Microsoft Security Copilot, si vuole garantire l'accesso solo agli utenti che soddisfano i requisiti di sicurezza. Ad esempio:

  • Tutti gli utenti dei servizi generativi di intelligenza artificiale devono completare l'autenticazione a più fattori resistente al phishing
  • Tutti gli utenti dei servizi di IA generativa devono accedere da un dispositivo conforme quando il rischio interno è moderato.
  • Tutti gli utenti dei servizi di intelligenza artificiale generativa vengono bloccati quando il rischio interno è elevato.

Suggerimento

I criteri di accesso condizionale seguenti hanno come destinazione le esperienze autonome, non le esperienze incorporate.

Esclusioni di utenti

I criteri di accesso condizionale sono strumenti potenti, ma è consigliabile escludere dai criteri i seguenti account:

  • Accesso di emergenza o account 'break-glass' per impedire il blocco a causa di configurazioni errate dei criteri. Nello scenario improbabile che tutti gli amministratori siano bloccati, l'account amministrativo di accesso di emergenza può essere usato per accedere ed eseguire le operazioni necessarie per ripristinare l'accesso.
  • Account di servizio e principali del servizio, ad esempio l'account di sincronizzazione Microsoft Entra Connect. Gli account del servizio sono account non interattivi che non sono collegati a un utente specifico. Vengono in genere usati dai servizi back-end che consentono l'accesso programmatico alle applicazioni, ma vengono usati anche per accedere ai sistemi per scopi amministrativi. Le chiamate effettuate dalle entità servizio non verranno bloccate dai criteri di accesso condizionale destinati agli utenti. Usare l'accesso condizionale per le identità dei carichi di lavoro al fine di definire politiche destinate ai principali del servizio.
    • Se l'organizzazione dispone di questi account in uso negli script o nel codice, è consigliabile sostituirli con identità gestite.

Tutti gli utenti dei servizi generativi di intelligenza artificiale devono completare l'autenticazione a più fattori resistente al phishing

La procedura seguente consente di creare criteri di accesso condizionale per richiedere l'autenticazione a più fattori usando i criteri di attendibilità dell'autenticazione.

Avviso

Se si usano metodi di autenticazione esterni, questi sono attualmente incompatibili con il livello di attendibilità dell'autenticazione ed è consigliabile usare il Richiedi autenticazione a più fattori controllo di concessione.

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno come amministratore dell'accesso condizionale.
  2. Passare a Protezione>Accesso condizionale>Criteri.
  3. Selezionare Nuovi criteri.
  4. Dai un nome alla tua politica. È consigliabile che le organizzazioni creino uno standard descrittivo per i nomi dei criteri.
  5. In Assegnazioni, selezionare Utenti o identità del carico di lavoro.
    1. In Includi, selezionare Tutti gli utenti
    2. In Escludi selezionare Utenti e gruppi e scegliere l'accesso di emergenza o gli account break-glass dell'organizzazione.
  6. In Risorse di destinazione>Risorse (in precedenza app cloud)>Includi>Seleziona risorse, selezionare:
    1. Enterprise Copilot Platform fb8d773d-7ef8-4ec0-a117-179f88add510 (Microsoft 365 Copilot)
    2. Security Copilot bb5ffd56-39eb-458c-a53a-775ba21277da (Microsoft Security Copilot)
  7. In Controlli di accesso>Concedi selezionare Concedi accesso.
    1. Selezionare Richiedi livello di autenticazione, quindi selezionare dal menu l'opzione di autenticazione a più fattori resistente al phishing predefinita .
    2. Selezionare Seleziona.
  8. Conferma le impostazioni e imposta Abilita criterio su Solo segnalazioni.
  9. Selezionare Crea per creare e abilitare il criterio.

Dopo che gli amministratori confermano le impostazioni usando la modalità 'solo report', possono spostare l'interruttore Abilita criterio da 'Solo report' ad Attiva.

Tutti gli utenti dei servizi di IA generativa devono accedere da un dispositivo conforme quando il rischio interno è moderato.

Suggerimento

Configurare la protezione adattiva prima di creare i criteri seguenti.

Senza criteri di conformità creati in Microsoft Intune , questo criterio di accesso condizionale non funzionerà come previsto. Creare prima di tutto un criterio di conformità e assicurarsi di disporre di almeno un dispositivo conforme prima di procedere.

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno come amministratore dell'accesso condizionale.
  2. Passare a Protezione>Accesso condizionale>Criteri.
  3. Selezionare Nuovi criteri.
  4. Dai un nome alla tua politica. È consigliabile che le organizzazioni creino uno standard descrittivo per i nomi dei criteri.
  5. In Assegnazioni, selezionare Utenti o identità del carico di lavoro.
    1. In Includi, selezionare Tutti gli utenti
    2. Sotto Escludi:
      1. Seleziona Utenti e gruppi e scegli gli account di accesso di emergenza o break-glass della tua organizzazione.
      2. Selezionare Utenti guest o esterni e scegliere quanto segue:
        1. Utenti B2B con connessione diretta.
        2. Utenti del provider di servizi.
        3. Altri utenti esterni.
  6. In Risorse di destinazione>Risorse (in precedenza app cloud)>Includi>Seleziona risorse, selezionare:
    1. Enterprise Copilot Platform fb8d773d-7ef8-4ec0-a117-179f88add510 (Microsoft 365 Copilot)
    2. Security Copilot bb5ffd56-39eb-458c-a53a-775ba21277da (Microsoft Security Copilot)
  7. Sotto Condizioni>rischio interno, impostare Configura su .
    1. In Selezionare i livelli di rischio da assegnare per applicare i criteri.
      1. Selezionare Modera.
      2. Selezionare Fatto.
  8. In Controlli di accesso>Concedi.
    1. Selezionare Richiedi che i dispositivi siano contrassegnati come conformi.
    2. Selezionare Seleziona.
  9. Conferma le impostazioni e imposta Abilita criterio su Solo segnalazioni.
  10. Seleziona Crea per abilitare il tuo criterio.

Dopo che gli amministratori confermano le impostazioni usando la modalità solo segnalazione, possono spostare l'opzione Abilita criterio da Solo segnalazione ad Attiva.

Tutti gli utenti dei servizi di intelligenza artificiale generativa vengono bloccati quando il rischio interno è elevato.

Suggerimento

Configurare la protezione adattiva prima di creare i criteri seguenti.

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno come amministratore dell'accesso condizionale.
  2. Passare a Protezione>Accesso condizionale>Criteri.
  3. Selezionare Nuovi criteri.
  4. Dai un nome alla tua politica. È consigliabile che le organizzazioni creino uno standard descrittivo per i nomi dei criteri.
  5. In Assegnazioni, selezionare Utenti o identità del carico di lavoro.
    1. In Includi selezionare Tutti gli utenti.
    2. In Escludi:
      1. Seleziona Utenti e gruppi e scegli gli account di accesso di emergenza o break-glass della tua organizzazione.
      2. Selezionare Utenti guest o esterni e scegliere quanto segue:
        1. Utenti B2B con connessione diretta.
        2. Utenti del provider di servizi.
        3. Altri utenti esterni.
  6. In Risorse di destinazione>Risorse (in precedenza app cloud)>Includi>Seleziona risorse, selezionare:
    1. Enterprise Copilot Platform fb8d773d-7ef8-4ec0-a117-179f88add510 (Microsoft 365 Copilot)
    2. Security Copilot bb5ffd56-39eb-458c-a53a-775ba21277da (Microsoft Security Copilot)
  7. Sotto Condizioni>Rischio Insider, impostare Configura su .
    1. In Selezionare i livelli di rischio da assegnare per applicare i criteri.
      1. Selezionare Con privilegi elevati.
      2. Selezionare Fatto.
  8. In Controlli di accesso>Concedi selezionare Blocca accesso, quindi Seleziona.
  9. Conferma le impostazioni e imposta Abilita criterio su Solo segnalazioni.
  10. Selezionare Crea per creare e abilitare il criterio.

Dopo che gli amministratori confermano le impostazioni usando la modalità solo segnalazione, possono spostare l'interruttore Abilita criterio da Solo segnalazione ad Attiva.

Contenuto correlato