AI beveiligen met beleid voor voorwaardelijke toegang
Generatieve AI-services (Artificial Intelligence), zoals Microsoft Security Copilot en Microsoft 365 Copilot , wanneer ze op de juiste wijze worden gebruikt, brengen waarde toe aan uw organisatie. Het beveiligen van deze services tegen misbruik kan worden uitgevoerd met bestaande functies zoals Het beleid voor voorwaardelijke toegang van Microsoft Entra.
Het toepassen van beleid voor voorwaardelijke toegang op deze Generatieve AI-services kan worden uitgevoerd via uw bestaande beleid dat is gericht op alle resources voor alle gebruikers, riskante gebruikers of aanmeldingen en gebruikers met intern risico.
In dit artikel leest u hoe u specifieke Generatieve AI-services, zoals Microsoft Security Copilot en Microsoft 365 Copilot, kunt richten voor het afdwingen van beleid.
Doelbare service-principals maken met Behulp van PowerShell
Om deze Generatieve AI-services afzonderlijk te richten, moeten organisaties de volgende service-principals maken om ze beschikbaar te maken in de appkiezer voor voorwaardelijke toegang. De volgende stappen laten zien hoe u deze service-principals toevoegt met behulp van de cmdlet New-MgServicePrincipal , onderdeel van de Microsoft Graph PowerShell SDK.
# Connect with the appropriate scopes to create service principals
Connect-MgGraph -Scopes "Application.ReadWrite.All"
# Create service principal for the service Enterprise Copilot Platform (Microsoft 365 Copilot)
New-MgServicePrincipal -AppId fb8d773d-7ef8-4ec0-a117-179f88add510
# Create service principal for the service Security Copilot (Microsoft Security Copilot)
New-MgServicePrincipal -AppId bb5ffd56-39eb-458c-a53a-775ba21277da
Beleid voor voorwaardelijke toegang maken
Als organisatie die services zoals Microsoft 365 Copilot en Microsoft Security Copilot aanneemt, wilt u ervoor zorgen dat toegang alleen wordt bereikt door gebruikers die voldoen aan uw beveiligingsvereisten. Voorbeeld:
- Alle gebruikers van Generatieve AI-services moeten phishingbestendig MFA voltooien
- Alle gebruikers van Generatieve AI-services moeten toegang hebben vanaf een compatibel apparaat wanneer intern risico gemiddeld is
- Alle gebruikers van Generatieve AI-services worden geblokkeerd wanneer intern risico verhoogd is
Tip
Het volgende beleid voor voorwaardelijke toegang is gericht op de zelfstandige ervaringen, niet op ingesloten ervaringen.
Uitsluitingen van gebruikers
Beleid voor voorwaardelijke toegang zijn krachtige hulpprogramma's. Het is raadzaam om de volgende accounts uit uw beleid uit te sluiten:
- Accounts voor noodtoegang of break-glass om vergrendeling te voorkomen vanwege onjuiste configuratie van beleid. In het onwaarschijnlijke scenario zijn alle beheerders vergrendeld, kan uw beheerdersaccount voor noodtoegang worden gebruikt om u aan te melden en stappen uit te voeren om de toegang te herstellen.
- Meer informatie vindt u in het artikel, Accounts voor toegang tot noodgevallen beheren in Microsoft Entra ID.
- Serviceaccounts en service-principals, zoals het Microsoft Entra Connect-synchronisatieaccount. Serviceaccounts zijn niet-interactieve accounts die niet zijn gebonden aan een bepaalde gebruiker. Ze worden normaal gebruikt door back-end services die programmatische toegang tot toepassingen mogelijk maken, maar worden ook gebruikt om in te loggen op systemen voor administratieve doeleinden. Oproepen van service-principals worden niet geblokkeerd door beleid voor voorwaardelijke toegang dat is gericht op gebruikers. Gebruik Voorwaardelijke toegang voor workload-identiteiten om beleidsregels te definiëren die gericht zijn op service-principals.
- Als uw organisatie deze accounts in scripts of code gebruikt, kunt u overwegen om deze te vervangen door beheerde identiteiten.
Alle gebruikers van Generatieve AI-services moeten phishingbestendig MFA voltooien
De volgende stappen helpen bij het maken van een beleid voor voorwaardelijke toegang om te vereisen dat alle gebruikers meervoudige verificatie uitvoeren met behulp van het verificatiesterktebeleid.
Waarschuwing
Als u externe verificatiemethoden gebruikt, zijn deze momenteel niet compatibel met de verificatiesterkte en moet u het besturingselement Meervoudige verificatie verlenen vereisen gebruiken.
- Meld u aan bij het Microsoft Entra-beheercentrum als Beheerder voor voorwaardelijke toegang.
- Blader naar het beleid voor voorwaardelijke toegang>beveiligen.>
- Selecteer Nieuw beleid.
- Geef uw beleid een naam. We raden organisaties aan een zinvolle standaard te maken voor de namen van hun beleidsregels.
- Onder Toewijzingen selecteert u Gebruikers- of workload-identiteiten.
- Selecteer onder Opnemen alle gebruikers
- Selecteer onder Uitsluiten gebruikers en groepen en kies de toegang tot noodgevallen of break-glass-accounts van uw organisatie.
- Selecteer onder Resources voor doelresources>(voorheen cloud-apps)> Selecteer>resources, selecteer:
- Enterprise Copilot Platform fb8d773d-7ef8-4ec0-a117-179f88add510 (Microsoft 365 Copilot)
- Security Copilot bb5ffd56-39eb-458c-a53a-775ba21277da (Microsoft Security Copilot)
- Selecteer bijToegangsbeheer>Verlenen de optie Toegang verlenen.
- Selecteer Verificatiesterkte vereisen en selecteer vervolgens de ingebouwde MFA-verificatiesterkte die bestand is tegen phising in de lijst.
- Selecteer Selecteren.
- Controleer uw instellingen en stel Beleid inschakelen in op Alleen rapporteren.
- Selecteer Maken om het beleid te kunnen inschakelen.
Nadat beheerders de instellingen hebben bevestigd met de modus Alleen-rapport, kunnen ze de wisselknop Beleid inschakelen van alleen rapport naar Aan verplaatsen.
Alle gebruikers van Generatieve AI-services moeten toegang hebben vanaf een compatibel apparaat wanneer intern risico gemiddeld is
Tip
Configureer adaptieve beveiliging voordat u het volgende beleid maakt.
Zonder nalevingsbeleid dat in Microsoft Intune is gemaakt, werkt dit beleid voor voorwaardelijke toegang niet zoals bedoeld. Maak eerst een nalevingsbeleid en zorg ervoor dat u ten minste één compatibel apparaat hebt voordat u doorgaat.
- Meld u aan bij het Microsoft Entra-beheercentrum als Beheerder voor voorwaardelijke toegang.
- Blader naar het beleid voor voorwaardelijke toegang>beveiligen.>
- Selecteer Nieuw beleid.
- Geef uw beleid een naam. We raden organisaties aan een zinvolle standaard te maken voor de namen van hun beleidsregels.
- Onder Toewijzingen selecteert u Gebruikers- of workload-identiteiten.
- Selecteer onder Opnemen alle gebruikers
- Onder Uitsluiten:
- Selecteer Gebruikers en groepen en kiest u de noodtoegangs- of 'break glass'-accounts van uw organisatie.
- Selecteer Gast- of externe gebruikers en kies het volgende:
- B2B directe verbinding maken met gebruikers.
- Gebruikers van serviceproviders.
- Andere externe gebruikers.
- Selecteer onder Resources voor doelresources>(voorheen cloud-apps)> Selecteer>resources, selecteer:
- Enterprise Copilot Platform fb8d773d-7ef8-4ec0-a117-179f88add510 (Microsoft 365 Copilot)
- Security Copilot bb5ffd56-39eb-458c-a53a-775ba21277da (Microsoft Security Copilot)
- Stel Onder Voorwaarden>Insider-risico configureren in op Ja.
- Selecteer de risiconiveaus die moeten worden toegewezen om het beleid af te dwingen.
- Selecteer Gemiddeld.
- Selecteer Gereed.
- Selecteer de risiconiveaus die moeten worden toegewezen om het beleid af te dwingen.
- Selecteer Toegangsbeheer>Verlenen.
- Selecteer Vereisen dat het apparaat als compatibel moet worden gemarkeerd.
- Selecteer Selecteren.
- Controleer uw instellingen en stel Beleid inschakelen in op Alleen rapporteren.
- Selecteer Maken om het beleid te kunnen inschakelen.
Nadat beheerders de instellingen hebben bevestigd met de modus Alleen-rapport, kunnen ze de wisselknop Beleid inschakelen van alleen rapport naar Aan verplaatsen.
Alle gebruikers van Generatieve AI-services worden geblokkeerd wanneer intern risico verhoogd is
Tip
Configureer adaptieve beveiliging voordat u het volgende beleid maakt.
- Meld u aan bij het Microsoft Entra-beheercentrum als Beheerder voor voorwaardelijke toegang.
- Blader naar het beleid voor voorwaardelijke toegang>beveiligen.>
- Selecteer Nieuw beleid.
- Geef uw beleid een naam. We raden organisaties aan een zinvolle standaard te maken voor de namen van hun beleidsregels.
- Onder Toewijzingen selecteert u Gebruikers- of workload-identiteiten.
- Selecteer onder Opnemen de optie Alle gebruikers.
- Onder Uitsluiten:
- Selecteer Gebruikers en groepen en kiest u de noodtoegangs- of 'break glass'-accounts van uw organisatie.
- Selecteer Gast- of externe gebruikers en kies het volgende:
- B2B directe verbinding maken met gebruikers.
- Gebruikers van serviceproviders.
- Andere externe gebruikers.
- Selecteer onder Resources voor doelresources>(voorheen cloud-apps)> Selecteer>resources, selecteer:
- Enterprise Copilot Platform fb8d773d-7ef8-4ec0-a117-179f88add510 (Microsoft 365 Copilot)
- Security Copilot bb5ffd56-39eb-458c-a53a-775ba21277da (Microsoft Security Copilot)
- Stel Onder Voorwaarden>Insider-risico configureren in op Ja.
- Selecteer de risiconiveaus die moeten worden toegewezen om het beleid af te dwingen.
- Selecteer Verhoogde bevoegdheid.
- Selecteer Gereed.
- Selecteer de risiconiveaus die moeten worden toegewezen om het beleid af te dwingen.
- Selecteer bij Toegangsbeheer>Verlenende optie Toegang blokkeren en selecteer vervolgens Selecteren.
- Controleer uw instellingen en stel Beleid inschakelen in op Alleen rapporteren.
- Selecteer Maken om het beleid te kunnen inschakelen.
Nadat beheerders de instellingen hebben bevestigd met de modus Alleen-rapport, kunnen ze de wisselknop Beleid inschakelen van alleen rapport naar Aan verplaatsen.
Gerelateerde inhoud
- Gebruik de modus alleen rapporteren voor voorwaardelijke toegang om de resultaten van nieuwe beleidsbeslissingen te bepalen.
- Veilige Generatieve AI met Microsoft Entra
- Microsoft Purview-gegevensbeveiliging en -nalevingsbescherming voor generatieve AI-apps
- Overwegingen voor Microsoft Purview AI Hub en beveiliging en naleving van gegevens voor Copilot
- Principes van Zero Trust toepassen op Microsoft Copilot
- Principes van Zero Trust toepassen op Microsoft 365 Copilot
- Principes van Zero Trust toepassen op Microsoft Security Copilot