Compartilhar via

Proteger a IA com a política de acesso condicional

  • Artigo

Serviços de Inteligência Artificial Generativa (IA) como o Microsoft Security Copilot e Microsoft 365 Copilot, quando usados ​​adequadamente, agregam valor à sua organização. A proteção desses serviços contra uso indevido pode ser feita com recursos existentes, como a política de acesso condicional do Microsoft Entra.

A aplicação da política de acesso condicional a esses serviços de IA generativa pode ser realizada por meio das políticas existentes direcionadas a todos os recursos para todos os usuários, usuários ou entradas suspeitas e usuários com risco interno.

Esse artigo mostra como direcionar serviços específicos de IA generativa, como o Microsoft Security Copilot e o Microsoft 365 Copilot para aplicação de políticas.

Criar entidades de serviço direcionáveis usando o PowerShell

Para direcionar individualmente esses serviços de IA generativa, as organizações devem criar as entidades de serviço a seguir para disponibilizá-las no seletor de aplicativos de acesso condicional. As etapas a seguir mostram como adicionar essas entidades de serviço usando o cmdlet New-MgServicePrincipal, parte do SDK do PowerShell do Microsoft Graph.

# Connect with the appropriate scopes to create service principals
Connect-MgGraph -Scopes "Application.ReadWrite.All"

# Create service principal for the service Enterprise Copilot Platform (Microsoft 365 Copilot)
New-MgServicePrincipal -AppId fb8d773d-7ef8-4ec0-a117-179f88add510

# Create service principal for the service Security Copilot (Microsoft Security Copilot) 
New-MgServicePrincipal -AppId bb5ffd56-39eb-458c-a53a-775ba21277da

Criar políticas de acesso condicional

Como uma organização que adota serviços como o Microsoft 365 Copilot e o Microsoft Security Copilot, você quer garantir que o acesso seja feito apenas por usuários que atendem aos seus requisitos de segurança. Por exemplo:

  • Todos os usuários de serviços de IA generativa devem concluir a MFA resistente a phishing
  • Todos os usuários dos serviços de IA generativa devem acessar de um dispositivo em conformidade quando o risco interno é moderado
  • Todos os usuários dos serviços de IA generativa são bloqueados quando o risco interno é elevado

Dica

As políticas de acesso condicional a seguir destinam-se às experiências independentes, não às experiências incorporadas.

Exclusões de usuários

As políticas de Acesso Condicional são ferramentas avançadas, recomendamos excluir as seguintes contas das suas políticas:

  • Contas de acesso de emergência ou de interrupção para impedir o bloqueio devido à configuração incorreta da política. No cenário improvável de todos os administradores serem bloqueados, sua conta administrativa de acesso de emergência poderá ser usada para fazer logon e seguir as etapas para recuperar o acesso.
  • Contas de serviço e Entidades de serviço, como a conta de sincronização do Microsoft Entra Connect. As contas de serviço são contas não interativas que não estão ligadas a nenhum usuário específico. Normalmente, elas são usadas por serviços de back-end que permitem acesso programático a aplicativos, mas também são usadas para entrar em sistemas para fins administrativos. As chamadas feitas pelas entidades de serviço não serão bloqueadas pelas políticas de Acesso Condicional com um escopo que inclua os usuários. Use o Acesso Condicional a identidades de carga de trabalho para definir políticas direcionadas a entidades de serviço.
    • Se a sua organização tiver essas contas em uso em scripts ou código, considere substituí-las por identidades gerenciadas.

Todos os usuários de serviços de IA generativa devem concluir a MFA resistente a phishing

As etapas a seguir ajudam a criar uma política de acesso condicional para exigir que todos os usuários façam autenticação multifator usando a política de força de autenticação.

Aviso

Se você usar métodos de autenticação externos, eles são incompatíveis com a força de autenticação no momento e você deve usar o controle de concessão Exigir de autenticação multifator.

  1. Entre no centro de administração do Microsoft Entra como pelo menos Administrador de acesso condicional.
  2. Navegar para Proteção> de acesso condicional de >Políticas.
  3. Selecione Nova política.
  4. Dê um nome à sua política. Recomendamos que as organizações criem um padrão significativo para os nomes de suas políticas.
  5. Em Atribuições, selecione Usuários ou identidades de carga de trabalho.
    1. Em Incluir, selecione Todos os usuários
    2. Em Excluir, selecione Usuários e grupos e escolha o acesso de emergência ou as contas de interrupção da sua organização.
  6. Em Recursos de destino>Recursos (aplicativos de nuvem anteriores)>Incluir>Selecionar recursos, selecione:
    1. Plataforma Copilot Enterprise fb8d773d-7ef8-4ec0-a117-179f88add510 (Copilot para Microsoft 365)
    2. Copiloto de segurança bb5ffd56-39eb-458c-a53a-775ba21277da (Copiloto de segurança da Microsoft)
  7. Em Controles de acesso>Conceder, selecione Conceder acesso.
    1. Selecione Exigir força da autenticação e selecione a força de autenticação deMFA resistente a phising na lista.
    2. Escolha Selecionar.
  8. Confirme suas configurações e defina Habilitar política com Somente relatório.
  9. Selecione Criar para criar e habilitar sua política.

Depois que os administradores confirmarem as configurações com o modo somente relatório, eles poderão alternar a opção Habilitar política de Somente relatório para Ativado.

Todos os usuários dos serviços de IA generativa devem acessar de um dispositivo em conformidade quando o risco interno é moderado

Dica

Configure a proteção adaptável antes de criar a política a seguir.

Sem uma política de conformidade criada no Microsoft Intune, essa política de acesso condicional não funcionará conforme o esperado. Primeiro crie uma política de conformidade e verifique se você tem pelo menos um dispositivo compatível antes de continuar.

  1. Entre no centro de administração do Microsoft Entra como pelo menos Administrador de acesso condicional.
  2. Navegar para Proteção> de acesso condicional de >Políticas.
  3. Selecione Nova política.
  4. Dê um nome à sua política. Recomendamos que as organizações criem um padrão significativo para os nomes de suas políticas.
  5. Em Atribuições, selecione Usuários ou identidades de carga de trabalho.
    1. Em Incluir, selecione Todos os usuários
    2. Em Excluir.
      1. Selecione Usuários e grupos e escolha o acesso de emergência ou as contas de interrupção da sua organização.
      2. Selecione Usuários convidados ou externos e escolha o seguinte:
        1. Usuários de conexão direta de B2B.
        2. Usuários do provedor de serviços.
        3. Outros usuários externos.
  6. Em Recursos de destino>Recursos (aplicativos de nuvem anteriores)>Incluir>Selecionar recursos, selecione:
    1. Plataforma Copilot Enterprise fb8d773d-7ef8-4ec0-a117-179f88add510 (Copilot para Microsoft 365)
    2. Copiloto de segurança bb5ffd56-39eb-458c-a53a-775ba21277da (Copiloto de segurança da Microsoft)
  7. Em Condições>Risco interno, defina Configurar como Sim.
    1. Em Selecione os níveis de risco que devem ser atribuídos para impor a política.
      1. Selecione Moderado.
      2. Selecione Concluído.
  8. Em Controles de acesso>Conceder.
    1. Selecione Exigir que o dispositivo seja marcado como em conformidade.
    2. Escolha Selecionar.
  9. Confirme suas configurações e defina Habilitar política com Somente relatório.
  10. Selecione Criar para criar e habilitar sua política.

Depois que os administradores confirmarem as configurações com o modo somente relatório, eles poderão alternar a opção Habilitar política de Somente relatório para Ativado.

Todos os usuários dos serviços de IA generativa são bloqueados quando o risco interno é elevado

Dica

Configure a proteção adaptável antes de criar a política a seguir.

  1. Entre no centro de administração do Microsoft Entra como pelo menos Administrador de acesso condicional.
  2. Navegar para Proteção> de acesso condicional de >Políticas.
  3. Selecione Nova política.
  4. Dê um nome à sua política. Recomendamos que as organizações criem um padrão significativo para os nomes de suas políticas.
  5. Em Atribuições, selecione Usuários ou identidades de carga de trabalho.
    1. Em Incluir, selecione Todos os usuários.
    2. Em Excluir.
      1. Selecione Usuários e grupos e escolha o acesso de emergência ou as contas de interrupção da sua organização.
      2. Selecione Usuários convidados ou externos e escolha o seguinte:
        1. Usuários de conexão direta de B2B.
        2. Usuários do provedor de serviços.
        3. Outros usuários externos.
  6. Em Recursos de destino>Recursos (aplicativos de nuvem anteriores)>Incluir>Selecionar recursos, selecione:
    1. Plataforma Copilot Enterprise fb8d773d-7ef8-4ec0-a117-179f88add510 (Copilot para Microsoft 365)
    2. Copiloto de segurança bb5ffd56-39eb-458c-a53a-775ba21277da (Copiloto de segurança da Microsoft)
  7. Em Condições>Risco interno, defina Configurar como Sim.
    1. Em Selecione os níveis de risco que devem ser atribuídos para impor a política.
      1. Selecione om privilégios elevados.
      2. Selecione Concluído.
  8. Em Controles de acesso>Conceder, selecione Bloquear acesso e depois Selecionar.
  9. Confirme suas configurações e defina Habilitar política com Somente relatório.
  10. Selecione Criar para criar e habilitar sua política.

Depois que os administradores confirmarem as configurações com o modo somente relatório, eles poderão alternar a opção Habilitar política de Somente relatório para Ativado.

Conteúdo relacionado