Condividi tramite

Proteggere l'intelligenza artificiale con i criteri di accesso condizionale

  • Articolo

Servizi di intelligenza artificiale generativi come Microsoft Security Copilot e Microsoft 365 Copilot quando vengono usati in modo appropriato per offrire valore all'organizzazione. La protezione di questi servizi da uso improprio può essere eseguita con funzionalità esistenti come i criteri di accesso condizionale di Microsoft Entra.

L'applicazione dei criteri di accesso condizionale a questi servizi di intelligenza artificiale generativa può essere eseguita tramite i criteri esistenti destinati a tutte le risorse per tutti gli utenti, gli utenti a rischio o gli accessi e gli utenti con rischi Insider.

Questo articolo illustra come definire come destinazione specifici servizi di intelligenza artificiale generativi come Microsoft Security Copilot e Microsoft 365 Copilot per l'applicazione dei criteri.

Creare entità servizio di destinazione con PowerShell

Per definire singolarmente questi servizi di intelligenza artificiale generativa, le organizzazioni devono creare le entità servizio seguenti per renderle disponibili nella selezione app per l'accesso condizionale. I passaggi seguenti illustrano come aggiungere queste entità servizio usando il cmdlet New-MgServicePrincipal , parte di Microsoft Graph PowerShell SDK.

# Connect with the appropriate scopes to create service principals
Connect-MgGraph -Scopes "Application.ReadWrite.All"

# Create service principal for the service Enterprise Copilot Platform (Microsoft 365 Copilot)
New-MgServicePrincipal -AppId fb8d773d-7ef8-4ec0-a117-179f88add510

# Create service principal for the service Security Copilot (Microsoft Security Copilot) 
New-MgServicePrincipal -AppId bb5ffd56-39eb-458c-a53a-775ba21277da

Creare criteri di accesso condizionale

In qualità di organizzazione che adotta servizi come Microsoft 365 Copilot e Microsoft Security Copilot, si vuole garantire l'accesso solo agli utenti che soddisfano i requisiti di sicurezza. Ad esempio:

  • Tutti gli utenti dei servizi generativi di intelligenza artificiale devono completare l'autenticazione a più fattori resistente al phishing
  • Tutti gli utenti dei servizi di intelligenza artificiale generativa devono accedere da un dispositivo conforme quando il rischio Insider è moderato
  • Tutti gli utenti dei servizi generativi di intelligenza artificiale vengono bloccati quando il rischio Insider è elevato

Suggerimento

I criteri di accesso condizionale seguenti hanno come destinazione le esperienze autonome, non le esperienze incorporate.

Esclusioni di utenti

I criteri di accesso condizionale sono strumenti potenti, ma è consigliabile escludere dai criteri i seguenti account:

  • Accesso di emergenza o account break-glass per impedire il blocco a causa di errori di configurazione dei criteri. Nello scenario improbabile che tutti gli amministratori siano bloccati, l'account amministrativo di accesso di emergenza può essere usato per accedere ed eseguire le operazioni necessarie per ripristinare l'accesso.
  • Account del servizio e entità servizio, ad esempio l'account di sincronizzazione Microsoft Entra Connect. Gli account del servizio sono account non interattivi che non sono collegati a un utente specifico. Vengono in genere usati dai servizi back-end che consentono l'accesso programmatico alle applicazioni, ma vengono usati anche per accedere ai sistemi per scopi amministrativi. Le chiamate effettuate dalle entità servizio non verranno bloccate dai criteri di accesso condizionale con ambito utenti. Usare l'accesso condizionale per le identità identità dei carichi di lavoro al fine di definire criteri destinati alle entità servizio.
    • Se l'organizzazione dispone di questi account in uso negli script o nel codice, è consigliabile sostituirli con identità gestite.

Tutti gli utenti dei servizi generativi di intelligenza artificiale devono completare l'autenticazione a più fattori resistente al phishing

La procedura seguente consente di creare criteri di accesso condizionale per richiedere l'autenticazione a più fattori usando i criteri di attendibilità dell'autenticazione.

Avviso

Se si usano metodi di autenticazione esterni, questi sono attualmente incompabili con livello di autenticazione ed è necessario usare il controllo Richiedi concessione autenticazione a più fattori.

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno come amministratore dell'accesso condizionale.
  2. Passare a Protezione>Accesso condizionale>Criteri.
  3. Selezionare Nuovi criteri.
  4. Assegnare un nome ai criteri. È consigliabile che le organizzazioni creino uno standard descrittivo per i nomi dei criteri.
  5. In Assegnazioni, selezionare Utenti o identità del carico di lavoro.
    1. In Includi, selezionare Tutti gli utenti
    2. In Escludi selezionare Utenti e gruppi e scegliere l'accesso di emergenza o gli account break-glass dell'organizzazione.
  6. In Risorse di destinazione>(in precedenza app cloud)>Includi>selezionare le risorse, selezionare:
    1. Enterprise Copilot Platform fb8d773d-7ef8-4ec0-a117-179f88add510 (Microsoft 365 Copilot)
    2. Security Copilot bb5ffd56-39eb-458c-a53a-775ba21277da (Microsoft Security Copilot)
  7. In Controlli di accesso>Concedi selezionare Concedi accesso.
    1. Selezionare Richiedi livello di autenticazione e quindi selezionare il livello di autenticazione MFA resistente al phising nell'elenco.
    2. Selezionare Seleziona.
  8. Confermare le impostazioni e impostare Abilitare criterio su Solo report.
  9. Selezionare Crea per creare e abilitare il criterio.

Dopo che gli amministratori confermano le impostazioni usando la modalità solo report, possono spostare l'opzione Attiva criterio da Solo report ad Attiva.

Tutti gli utenti dei servizi di intelligenza artificiale generativa devono accedere da un dispositivo conforme quando il rischio Insider è moderato

Suggerimento

Configurare la protezione adattiva prima di creare i criteri seguenti.

Senza criteri di conformità creati in Microsoft Intune , questo criterio di accesso condizionale non funzionerà come previsto. Creare prima di tutto un criterio di conformità e assicurarsi di disporre di almeno un dispositivo conforme prima di procedere.

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno come amministratore dell'accesso condizionale.
  2. Passare a Protezione>Accesso condizionale>Criteri.
  3. Selezionare Nuovi criteri.
  4. Assegnare un nome ai criteri. È consigliabile che le organizzazioni creino uno standard descrittivo per i nomi dei criteri.
  5. In Assegnazioni, selezionare Utenti o identità del carico di lavoro.
    1. In Includi, selezionare Tutti gli utenti
    2. In Escludi:
      1. Selezionare Utenti e gruppi e scegliere l'accesso di emergenza o gli account break-glass dell'organizzazione.
      2. Selezionare Utenti guest o esterni e scegliere quanto segue:
        1. Utenti con connessione diretta B2B.
        2. Utenti del provider di servizi.
        3. Altri utenti esterni.
  6. In Risorse di destinazione>(in precedenza app cloud)>Includi>selezionare le risorse, selezionare:
    1. Enterprise Copilot Platform fb8d773d-7ef8-4ec0-a117-179f88add510 (Microsoft 365 Copilot)
    2. Security Copilot bb5ffd56-39eb-458c-a53a-775ba21277da (Microsoft Security Copilot)
  7. In Condizioni>rischio Insider impostare Configura su Sì.
    1. In Selezionare i livelli di rischio da assegnare per applicare i criteri.
      1. Selezionare Modera.
      2. Selezionare Fatto.
  8. In Controlli di accesso>Concedi.
    1. Selezionare Richiedi che i dispositivi siano contrassegnati come conformi.
    2. Selezionare Seleziona.
  9. Confermare le impostazioni e impostare Abilitare criterio su Solo report.
  10. Selezionare Crea per creare e abilitare il criterio.

Dopo che gli amministratori confermano le impostazioni usando la modalità solo report, possono spostare l'opzione Attiva criterio da Solo report ad Attiva.

Tutti gli utenti dei servizi generativi di intelligenza artificiale vengono bloccati quando il rischio Insider è elevato

Suggerimento

Configurare la protezione adattiva prima di creare i criteri seguenti.

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno come amministratore dell'accesso condizionale.
  2. Passare a Protezione>Accesso condizionale>Criteri.
  3. Selezionare Nuovi criteri.
  4. Assegnare un nome ai criteri. È consigliabile che le organizzazioni creino uno standard descrittivo per i nomi dei criteri.
  5. In Assegnazioni, selezionare Utenti o identità del carico di lavoro.
    1. In Includi selezionare Tutti gli utenti.
    2. In Escludi:
      1. Selezionare Utenti e gruppi e scegliere l'accesso di emergenza o gli account break-glass dell'organizzazione.
      2. Selezionare Utenti guest o esterni e scegliere quanto segue:
        1. Utenti con connessione diretta B2B.
        2. Utenti del provider di servizi.
        3. Altri utenti esterni.
  6. In Risorse di destinazione>(in precedenza app cloud)>Includi>selezionare le risorse, selezionare:
    1. Enterprise Copilot Platform fb8d773d-7ef8-4ec0-a117-179f88add510 (Microsoft 365 Copilot)
    2. Security Copilot bb5ffd56-39eb-458c-a53a-775ba21277da (Microsoft Security Copilot)
  7. In Condizioni>rischio Insider impostare Configura su Sì.
    1. In Selezionare i livelli di rischio da assegnare per applicare i criteri.
      1. Selezionare Con privilegi elevati.
      2. Selezionare Fatto.
  8. In Controlli di accesso>Concedi selezionare Blocca accesso, quindi Seleziona.
  9. Confermare le impostazioni e impostare Attiva criterio su Solo report.
  10. Selezionare Crea per creare e abilitare il criterio.

Dopo che gli amministratori confermano le impostazioni usando la modalità solo report, possono spostare l'opzione Attiva criterio da Solo report ad Attiva.

Contenuto correlato