Udostępnij za pośrednictwem

Ochrona sztucznej inteligencji przy użyciu zasad dostępu warunkowego

  • Artykuł

Generacyjne usługi sztucznej inteligencji (AI), takie jak Microsoft Security Copilot i Microsoft 365 Copilot, gdy są używane odpowiednio, przynoszą wartość twojej organizacji. Ochronę tych usług przed nieprawidłowym użyciem można osiągnąć przy użyciu istniejących funkcji, takich jak zasady dostępu warunkowego firmy Microsoft Entra.

Zastosowanie zasad dostępu warunkowego do tych usług generatywnej sztucznej inteligencji można wykonać za pomocą istniejących zasad przeznaczonych dla wszystkich użytkowników, ryzykownych użytkowników lub logowań oraz użytkowników z ryzykiem wewnętrznym.

W tym artykule przedstawiono, w jaki sposób kierować określone usługi generatywnej sztucznej inteligencji, takie jak Microsoft Security Copilot i Microsoft 365 Copilot, na potrzeby egzekwowania zasad.

Tworzenie docelowych jednostek usługi przy użyciu programu PowerShell

Aby skierować indywidualnie te usługi Generative AI, organizacje muszą utworzyć następujące zasady usługi, aby były dostępne w selektorze aplikacji dostępu warunkowego. W poniższych krokach pokazano, jak dodać te zasady usługi przy użyciu polecenia cmdlet New-MgServicePrincipal, części pakietu Microsoft Graph PowerShell SDK.

# Connect with the appropriate scopes to create service principals
Connect-MgGraph -Scopes "Application.ReadWrite.All"

# Create service principal for the service Enterprise Copilot Platform (Microsoft 365 Copilot)
New-MgServicePrincipal -AppId fb8d773d-7ef8-4ec0-a117-179f88add510

# Create service principal for the service Security Copilot (Microsoft Security Copilot) 
New-MgServicePrincipal -AppId bb5ffd56-39eb-458c-a53a-775ba21277da

Tworzenie zasad dostępu warunkowego

Jako organizacja przyjmująca usługi, takie jak Microsoft 365 Copilot i Microsoft Security Copilot, chcesz zapewnić dostęp tylko tym użytkownikom, którzy spełniają twoje wymagania dotyczące zabezpieczeń. Na przykład:

  • Wszyscy użytkownicy usług Sztucznej Inteligencji generatywnej muszą ukończyć uwierzytelnianie wieloskładnikowe odporne na phishing.
  • Wszyscy użytkownicy usług generatywnej sztucznej inteligencji muszą uzyskiwać dostęp z urządzenia zgodnego z przepisami, gdy ryzyko wewnętrzne jest umiarkowane.
  • Wszyscy użytkownicy usług generacyjnych sztucznej inteligencji są blokowani, gdy podwyższono poziom ryzyka wewnętrznego

Napiwek

Następujące zasady dostępu warunkowego są przeznaczone dla doświadczeń autonomicznych, a nie do doświadczeń osadzonych.

Wykluczenia użytkowników

Zasady dostępu warunkowego są zaawansowanymi narzędziami. Zalecamy wykluczenie następujących kont z zasad:

  • Dostęp awaryjny lub konta typu break-glass, aby zapobiec zablokowaniu z powodu błędnej konfiguracji zasad. W mało prawdopodobnym scenariuszu wszyscy administratorzy są zablokowani, konto administracyjne dostępu awaryjnego może służyć do logowania się i podjęcia kroków w celu odzyskania dostępu.
  • Konta usług i zasady usługi, takie jak konto synchronizacji programu Microsoft Entra Connect. Konta usług to konta nieinterakcyjne, które nie są powiązane z żadnym konkretnym użytkownikiem. Są one zwykle używane przez usługi zaplecza i umożliwiają programowy dostęp do aplikacji, ale są również używane do logowania się do systemów w celach administracyjnych. Wywołania wykonywane przez jednostki usługi nie będą blokowane przez zasady dostępu warunkowego ograniczone do użytkowników. Użyj dostępu warunkowego dla tożsamości obciążeń, aby zdefiniować zasady przeznaczone dla jednostek usług.
    • Jeśli twoja organizacja ma te konta używane w skryptach lub kodzie, rozważ zastąpienie ich tożsamościami zarządzanymi.

Wszyscy użytkownicy usług generatywnej sztucznej inteligencji muszą ukończyć uwierzytelnianie wieloskładnikowe odporne na phishing.

Poniższe kroki pomagają utworzyć zasady dostępu warunkowego, aby wymagać od wszystkich użytkowników uwierzytelniania wieloskładnikowego przy użyciu zasad siły uwierzytelniania.

Ostrzeżenie

Jeśli używasz metod uwierzytelniania zewnętrznego, są one obecnie niekompatybilne z siłą uwierzytelniania i powinieneś użyć opcji Wymagaj uwierzytelniania wieloskładnikowego w kontroli dostępu.

  1. Zaloguj się do centrum administracyjnego Microsoft Entra jako co najmniej Administrator dostępu warunkowego.
  2. Przejdź do Ochrona>Dostęp warunkowy>Zasady.
  3. Wybierz pozycję Nowe zasady.
  4. Nadaj zasadzie nazwę. Zalecamy, aby organizacje tworzyły znaczący standard dla nazw swoich zasad.
  5. W obszarze Przypisania wybierz Użytkowników lub tożsamości obciążenia roboczego.
    1. W obszarze Dołącz wybierz pozycję Wszyscy użytkownicy
    2. W obszarze Wyklucz wybierz pozycję Użytkownicy i grupy i wybierz konta awaryjne lub konta break-glass twojej organizacji.
  6. W obszarze Zasoby docelowe>Zasoby (dawniej aplikacje w chmurze)>Uwzględnij>Wybierz zasoby, wybierz:
    1. Enterprise Copilot Platform fb8d773d-7ef8-4ec0-a117-179f88add510 (Microsoft 365 Copilot)
    2. Security Copilot bb5ffd56-39eb-458c-a53a-775ba21277da (Microsoft Security Copilot)
  7. W sekcji Kontrola dostępu>Udziel, wybierz pozycję Udziel dostępu.
    1. Wybierz pozycję Wymagaj siły uwierzytelniania, a następnie z listy wybierz wbudowaną siłę uwierzytelniania MFA odporną na phishing .
    2. Wybierz Wybierz.
  8. Potwierdź ustawienia i ustaw Włącz politykę na Tylko raportowanie.
  9. Wybierz Utwórz, aby utworzyć i włączyć swoją zasadę.

Po potwierdzeniu przez administratorów ustawień w trybie tylko do raportu, mogą przenieść przełącznik Włącz politykę z trybu Tylko do raportu do pozycji Włączone.

Wszyscy użytkownicy usług generatywnej sztucznej inteligencji muszą uzyskiwać dostęp z urządzenia zgodnego z przepisami, gdy ryzyko wewnętrzne jest umiarkowane.

Napiwek

Skonfiguruj ochronę adaptacyjną przed utworzeniem następujących zasad.

Bez zasad zgodności utworzonych w usłudze Microsoft Intune te zasady dostępu warunkowego nie będą działać zgodnie z oczekiwaniami. Najpierw utwórz zasady zgodności i przed kontynuowaniem upewnij się, że masz co najmniej jedno zgodne urządzenie.

  1. Zaloguj się do centrum administracyjnego Microsoft Entra jako co najmniej Administrator dostępu warunkowego.
  2. Przejdź do Ochrona>Dostęp warunkowy>Zasady.
  3. Wybierz pozycję Nowe zasady.
  4. Nadaj zasadzie nazwę. Zalecamy, aby organizacje tworzyły znaczący standard dla nazw swoich zasad.
  5. Pod Przypisania wybierz tożsamości użytkowników lub obciążenia roboczego.
    1. W obszarze Dołącz wybierz pozycję Wszyscy użytkownicy
    2. W obszarze Wyklucz:
      1. Wybierz Użytkownicy i grupy i wybierz konta awaryjne lub konta typu "break-glass" w twojej organizacji.
      2. Wybierz pozycję Goście lub użytkownicy zewnętrzni i wybierz następujące opcje:
        1. Użytkownicy bezpośredniego połączenia B2B.
        2. Użytkownicy dostawców usług.
        3. Inni użytkownicy zewnętrzni.
  6. W obszarze Zasoby docelowe>Zasoby (dawniej aplikacje w chmurze)>Uwzględnij>Wybierz zasoby, wybierz:
    1. Enterprise Copilot Platform fb8d773d-7ef8-4ec0-a117-179f88add510 (Microsoft 365 Copilot)
    2. Security Copilot bb5ffd56-39eb-458c-a53a-775ba21277da (Microsoft Security Copilot)
  7. W obszarze Warunki>Ryzyko wewnętrzne ustaw Konfiguruj na Tak.
    1. W obszarze Wybierz poziomy ryzyka, które muszą być przypisane, aby wymusić zasady.
      1. Wybierz pozycję Umiarkowane.
      2. Wybierz pozycję Gotowe.
  8. W sekcji Kontrola dostępu>Udzielanie uprawnień.
    1. Wybierz pozycję Wymagaj, aby urządzenie było oznaczone jako zgodne.
    2. Wybierz Wybierz.
  9. Potwierdź ustawienia i ustaw Włącz politykę na Tylko raportowanie.
  10. Wybierz Utwórz, aby włączyć swoją zasadę.

Po potwierdzeniu przez administratorów ustawień w trybie tylko do raportu, mogą przenieść przełącznik Włącz politykę z trybu Tylko do raportu do pozycji Włączone.

Wszyscy użytkownicy usług generacyjnych sztucznej inteligencji są blokowani, gdy podwyższono poziom ryzyka wewnętrznego

Wskazówka

Skonfiguruj ochronę adaptacyjną przed utworzeniem następujących zasad.

  1. Zaloguj się do centrum administracyjnego Microsoft Entra jako co najmniej Administrator dostępu warunkowego.
  2. Przejdź do Ochrona>Dostęp warunkowy>Zasady.
  3. Wybierz pozycję Nowe zasady.
  4. Nadaj zasadzie nazwę. Zalecamy, aby organizacje tworzyły znaczący standard dla nazw swoich zasad.
  5. W obszarze Przypisania wybierz Użytkowników lub tożsamości obciążenia roboczego.
    1. W obszarze Dołącz wybierz pozycję Wszyscy użytkownicy.
    2. W obszarze Wyklucz:
      1. Wybierz Użytkownicy i grupy i wybierz konta awaryjne lub konta typu "break-glass" w twojej organizacji.
      2. Wybierz pozycję Goście lub użytkownicy zewnętrzni i wybierz następujące opcje:
        1. Użytkownicy bezpośredniego połączenia B2B
        2. Użytkownicy dostawców usług.
        3. Inni użytkownicy zewnętrzni.
  6. W obszarze Zasoby docelowe>Zasoby (dawniej aplikacje w chmurze)>Uwzględnij>Wybierz zasoby, wybierz:
    1. Enterprise Copilot Platform fb8d773d-7ef8-4ec0-a117-179f88add510 (Microsoft 365 Copilot)
    2. Security Copilot bb5ffd56-39eb-458c-a53a-775ba21277da (Microsoft Security Copilot)
  7. W obszarze Warunki>Ryzyko wewnętrzne ustaw Skonfiguruj na Tak.
    1. W obszarze Wybierz poziomy ryzyka, które muszą być przypisane, aby wymusić zasady.
      1. Wybierz Podwyższony.
      2. Wybierz pozycję Gotowe.
  8. W obszarze Kontrole dostępu>Przyznanie, wybierz Blokuj dostęp, a następnie Wybierz.
  9. Potwierdź ustawienia i ustaw Włącz politykę na Tylko raportowanie.
  10. Wybierz Utwórz, aby włączyć swoją politykę.

Po potwierdzeniu przez administratorów ustawień w trybie tylko do raportu, mogą przenieść przełącznik Włącz politykę z trybu Tylko do raportu do pozycji Włączone.

Powiązana zawartość