Partilhar via


Proteja a IA com a política de Acesso Condicional

Serviços de Inteligência Artificial Generativa (IA), como o Microsoft Security Copilot e o Microsoft 365 Copilot , quando usados adequadamente, agregam valor à sua organização. A proteção desses serviços contra uso indevido pode ser realizada com recursos existentes, como a política de Acesso Condicional do Microsoft Entra.

A aplicação da política de Acesso Condicional a esses serviços de IA Generativa pode ser realizada por meio de suas políticas existentes que visam todos os recursos para todos os usuários, usuários ou logins arriscados e usuários com risco interno.

Este artigo mostra como direcionar serviços específicos de IA generativa, como o Microsoft Security Copilot e o Microsoft 365 Copilot para aplicação de políticas.

Criar entidades de serviço segmentáveis usando o PowerShell

Para direcionar individualmente esses serviços de IA Generativa, as organizações devem criar as seguintes entidades de serviço para disponibilizá-las no seletor de aplicativos de Acesso Condicional. As etapas a seguir mostram como adicionar essas entidades de serviço usando o cmdlet New-MgServicePrincipal , parte do SDK do PowerShell do Microsoft Graph.

# Connect with the appropriate scopes to create service principals
Connect-MgGraph -Scopes "Application.ReadWrite.All"

# Create service principal for the service Enterprise Copilot Platform (Microsoft 365 Copilot)
New-MgServicePrincipal -AppId fb8d773d-7ef8-4ec0-a117-179f88add510

# Create service principal for the service Security Copilot (Microsoft Security Copilot) 
New-MgServicePrincipal -AppId bb5ffd56-39eb-458c-a53a-775ba21277da

Criar políticas de Acesso Condicional

Como uma organização que adota serviços como o Microsoft 365 Copilot e o Microsoft Security Copilot, você deseja garantir que o acesso seja feito apenas pelos usuários que atendem aos seus requisitos de segurança. Por exemplo:

  • Todos os usuários de serviços de IA generativa devem concluir MFA resistente a phishing
  • Todos os usuários de serviços de IA generativa devem acessar a partir de um dispositivo compatível quando o risco interno é moderado
  • Todos os usuários de serviços de IA generativa são bloqueados quando o risco interno é elevado

Gorjeta

As seguintes políticas de Acesso Condicional destinam-se às experiências autónomas, não às experiências incorporadas.

Exclusões de utilizadores

As políticas de Acesso Condicional são ferramentas poderosas, recomendamos excluir as seguintes contas das suas políticas:

  • Acesso de emergência ou contas de quebra-vidro para evitar o bloqueio devido à configuração incorreta da política. No cenário improvável de todos os administradores estarem bloqueados, sua conta administrativa de acesso de emergência pode ser usada para fazer login e tomar medidas para recuperar o acesso.
  • Contas de serviço e entidades de serviço, como a Conta de Sincronização do Microsoft Entra Connect. As contas de serviço são contas não interativas que não estão vinculadas a nenhum utilizador em particular. Normalmente, são usadas por serviços de back-end que permitem acesso programático a aplicações, mas também são usadas para iniciar sessão em sistemas para fins administrativos. As chamadas feitas por principais de serviço não serão bloqueadas pelas políticas de Acesso Condicional com âmbito definido para os utilizadores. Use o Acesso Condicional para identidades de carga de trabalho para definir políticas direcionadas para principais de serviço.
    • Se sua organização tiver essas contas em uso em scripts ou código, considere substituí-las por identidades gerenciadas.

Todos os usuários de serviços de IA generativa devem concluir MFA resistente a phishing

As etapas a seguir ajudam a criar uma política de Acesso Condicional para exigir que todos os usuários façam autenticação multifator usando a política de força de autenticação.

Aviso

Se você usar métodos de autenticação externos, eles são atualmente incompatíveis com a força da autenticação e você deve usar o controle de concessão Exigir autenticação multifator.

  1. Inicie sessão no centro de administração Microsoft Entra como, pelo menos, Administrador de Acesso Condicional.
  2. Navegue até Políticas de Acesso>Condicional de Proteção.>
  3. Selecione Nova política.
  4. Dê um nome à sua política. Recomendamos que as organizações criem um padrão significativo para os nomes de suas políticas.
  5. Em Atribuições, selecione Usuários ou identidades de carga de trabalho.
    1. Em Incluir, selecione Todos os usuários
    2. Em Excluir , selecione Usuários e grupos e escolha as contas de acesso de emergência ou de quebra-vidro da sua organização.
  6. Em Recursos de destino>Recursos (anteriormente aplicativos na nuvem)>Incluir>Selecionar recursos, selecione:
    1. Plataforma Enterprise Copilot fb8d773d-7ef8-4ec0-a117-179f88add510 (Microsoft 365 Copilot)
    2. Security Copilot bb5ffd56-39eb-458c-a53a-775ba21277da (Microsoft Security Copilot)
  7. Em Conceder controles>de acesso, selecione Conceder acesso.
    1. Selecione Exigir força de autenticação e, em seguida, selecione a força de autenticação MFA resistente a Phising, na lista.
    2. Selecione Selecionar.
  8. Confirme suas configurações e defina Habilitar política como Somente relatório.
  9. Selecione Criar para criar para habilitar sua política.

Depois que os administradores confirmarem as configurações usando o modo somente relatório, eles poderão mover a alternância Habilitar política de Somente relatório para Ativado.

Todos os usuários de serviços de IA generativa devem acessar a partir de um dispositivo compatível quando o risco interno é moderado

Gorjeta

Configure a proteção adaptável antes de criar a política a seguir.

Sem uma política de conformidade criada no Microsoft Intune , esta política de Acesso Condicional não funcionará como pretendido. Crie uma política de conformidade primeiro e certifique-se de ter pelo menos um dispositivo compatível antes de prosseguir.

  1. Inicie sessão no centro de administração Microsoft Entra como, pelo menos, Administrador de Acesso Condicional.
  2. Navegue até Políticas de Acesso>Condicional de Proteção.>
  3. Selecione Nova política.
  4. Dê um nome à sua política. Recomendamos que as organizações criem um padrão significativo para os nomes de suas políticas.
  5. Em Atribuições, selecione Usuários ou identidades de carga de trabalho.
    1. Em Incluir, selecione Todos os usuários
    2. Em Excluir:
      1. Selecione Usuários e grupos e escolha as contas de acesso de emergência ou de quebra-vidro da sua organização.
      2. Selecione Usuários convidados ou externos e escolha o seguinte:
        1. Usuários de conexão direta B2B.
        2. Usuários do provedor de serviços.
        3. Outros utilizadores externos.
  6. Em Recursos de destino>Recursos (anteriormente aplicativos na nuvem)>Incluir>Selecionar recursos, selecione:
    1. Plataforma Enterprise Copilot fb8d773d-7ef8-4ec0-a117-179f88add510 (Microsoft 365 Copilot)
    2. Security Copilot bb5ffd56-39eb-458c-a53a-775ba21277da (Microsoft Security Copilot)
  7. Em Condições>de risco Insider, defina Configurar como Sim.
    1. Em Selecione os níveis de risco que devem ser atribuídos para aplicar a política.
      1. Selecione Moderado.
      2. Selecionar Concluído.
  8. Em Conceder controles>de acesso.
    1. Selecione Exigir que o dispositivo seja marcado como compatível.
    2. Selecione Selecionar.
  9. Confirme suas configurações e defina Habilitar política como Somente relatório.
  10. Selecione Criar para criar para habilitar sua política.

Depois que os administradores confirmarem as configurações usando o modo somente relatório, eles poderão mover a alternância Habilitar política de Somente relatório para Ativado.

Todos os usuários de serviços de IA generativa são bloqueados quando o risco interno é elevado

Gorjeta

Configure a proteção adaptável antes de criar a política a seguir.

  1. Inicie sessão no centro de administração Microsoft Entra como, pelo menos, Administrador de Acesso Condicional.
  2. Navegue até Políticas de Acesso>Condicional de Proteção.>
  3. Selecione Nova política.
  4. Dê um nome à sua política. Recomendamos que as organizações criem um padrão significativo para os nomes de suas políticas.
  5. Em Atribuições, selecione Usuários ou identidades de carga de trabalho.
    1. Em Incluir, selecione Todos os usuários.
    2. Em Excluir:
      1. Selecione Usuários e grupos e escolha as contas de acesso de emergência ou de quebra-vidro da sua organização.
      2. Selecione Usuários convidados ou externos e escolha o seguinte:
        1. Usuários de conexão direta B2B.
        2. Usuários do provedor de serviços.
        3. Outros utilizadores externos.
  6. Em Recursos de destino>Recursos (anteriormente aplicativos na nuvem)>Incluir>Selecionar recursos, selecione:
    1. Plataforma Enterprise Copilot fb8d773d-7ef8-4ec0-a117-179f88add510 (Microsoft 365 Copilot)
    2. Security Copilot bb5ffd56-39eb-458c-a53a-775ba21277da (Microsoft Security Copilot)
  7. Em Condições>de risco Insider, defina Configurar como Sim.
    1. Em Selecione os níveis de risco que devem ser atribuídos para aplicar a política.
      1. Selecione Elevado.
      2. Selecionar Concluído.
  8. Em Conceder controlos>de acesso, selecione Bloquear acesso e, em seguida, selecione Selecionar.
  9. Confirme suas configurações e defina Habilitar política como Somente relatório.
  10. Selecione Criar para criar para habilitar sua política.

Depois que os administradores confirmarem as configurações usando o modo somente relatório, eles poderão mover a alternância Habilitar política de Somente relatório para Ativado.