Поделиться через

Защита ИИ с помощью политики условного доступа

  • Статья

Службы искусственного интеллекта ( ИИ), такие как Microsoft Security Copilot и Microsoft 365 Copilot, когда они используются соответствующим образом, приносят ценность вашей организации. Защита этих служб от неправильного использования может выполняться с помощью существующих функций, таких как политика условного доступа Microsoft Entra.

Применение политики условного доступа к этим службам генеративного искусственного интеллекта можно осуществить с помощью существующих политик, которые нацелены на все ресурсы для всех пользователей, рискованных пользователей или входов и пользователей с внутренним риском.

В этой статье показано, как нацелиться на определенные службы генерированных ИИ, такие как Microsoft Security Copilot и Microsoft 365 Copilot для применения политик.

Создание целевых субъектов-служб с помощью PowerShell

Чтобы целенаправленно использовать эти генеративные ИИ-сервисы, организации должны создать следующие служебные объекты, чтобы сделать их доступными в инструменте выбора приложений для условного доступа. В следующих шагах показано, как добавить эти основные компоненты службы с помощью командлета New-MgServicePrincipal, который является частью Microsoft Graph PowerShell SDK.

# Connect with the appropriate scopes to create service principals
Connect-MgGraph -Scopes "Application.ReadWrite.All"

# Create service principal for the service Enterprise Copilot Platform (Microsoft 365 Copilot)
New-MgServicePrincipal -AppId fb8d773d-7ef8-4ec0-a117-179f88add510

# Create service principal for the service Security Copilot (Microsoft Security Copilot) 
New-MgServicePrincipal -AppId bb5ffd56-39eb-458c-a53a-775ba21277da

Создание политик условного доступа

Как организация, применяющая такие службы, как Microsoft 365 Copilot и Microsoft Security Copilot, вы хотите обеспечить доступ только теми пользователями, которые соответствуют вашим требованиям к безопасности. Например:

  • Все пользователи служб генеративного ИИ должны пройти многофакторную аутентификацию, защищенную от фишинга.
  • Все пользователи служб Генеривных ИИ должны получать доступ с соответствующего устройства, если внутренний риск является умеренным.
  • Все пользователи сервисов генеративного искусственного интеллекта блокируются при повышении внутреннего риска.

Совет

Следующие политики условного доступа предназначены для автономных интерфейсов, а не внедренных интерфейсов.

Пользовательские исключения

Политики условного доступа являются мощными средствами, мы рекомендуем исключить следующие учетные записи из политик:

  • Аварийный доступ или учетные записи для экстренных случаев, чтобы предотвратить блокировку из-за неправильной настройки политики. В маловероятном сценарии, когда все администраторы заблокированы, ваша учетная запись администратора для аварийного доступа может использоваться для входа и выполнения действий по восстановлению доступа.
  • Учетные записи служб и субъекты-службы, такие как учетная запись синхронизации Microsoft Entra Connect. Учетные записи служб представляют собой автономные учетные записи, которые не привязаны к какому-либо конкретному пользователю. Они обычно используются службами сервера для предоставления программного доступа к приложениям, но также могут применяться для входа в системы в целях администрирования. Вызовы, сделанные служебными принципалами, не будут блокироваться политиками условного доступа, применяемыми к пользователям. Используйте условный доступ для учетных данных нагрузок, чтобы определить политики, нацеленные на принципалы службы.

Все пользователи генеративных ИИ-сервисов должны пройти устойчивую к фишингу многофакторную аутентификацию.

Ниже описано, как создать политику условного доступа, чтобы все пользователи использовали многофакторную проверку подлинности с помощью политики надежности проверки подлинности.

Предупреждение

Если вы используете внешние методы проверки подлинности, они в настоящее время несовместимы с уровнем безопасности проверки подлинности, и следует использовать управление предоставлением доступа Требовать многофакторную проверку подлинности.

  1. Войдите в Центр администрирования Microsoft Entra как минимум в качестве администратора условного доступа.
  2. Перейдите к Защита>Условный доступ>Политики.
  3. Выберите Новая политика.
  4. Присвойте политике имя. Мы рекомендуем организациям присваивать политикам понятные имена.
  5. В разделе Назначения выберите Идентификаторы пользователей или рабочих нагрузок.
    1. В разделе Включить выберите Все пользователи.
    2. В разделе Исключить выберите Пользователи и группы и выберите аварийные или экстренные учетные записи вашей организации.
  6. В разделе Целевые ресурсы> (прежнее название — облачные приложения)>включите> и выберите:
    1. Корпоративная платформа Copilot fb8d773d-7ef8-4ec0-a117-179f88add510 (Microsoft 365 Copilot)
    2. Security Copilot bb5ffd56-39eb-458c-a53a-775ba21277da (Microsoft Security Copilot)
  7. В разделе Управление доступом>Предоставить разрешение выберите Предоставить доступ.
    1. Выберите Требоватьнадежности проверки подлинности, а затем выберите встроенную устойчивость к фишингу MFA в списке.
    2. Выберите Выберите.
  8. Подтвердите параметры и задайте для параметра Включить политику значение Только отчет.
  9. Нажмите Создать, чтобы создать и включить политику.

После подтверждения параметров в режиме "только отчет" администратор может перевести переключатель Включить политику из положения Только отчет в положение Вкл.

Все пользователи служб генеративного ИИ должны получать доступ с совместимого устройства при умеренном внутреннем риске.

Совет

Настройте адаптивную защиту перед созданием следующей политики.

Без политики соответствия требованиям, созданной в Microsoft Intune, эта политика условного доступа не будет функционировать должным образом. Сначала создайте политику соответствия требованиям и убедитесь, что перед продолжением работы у вас есть по крайней мере одно соответствующее устройство.

  1. Войдите в Центр администрирования Microsoft Entra в качестве администратора условного доступа.
  2. Перейдите к Защита>Условный доступ>Политики.
  3. Выберите Новая политика.
  4. Присвойте политике имя. Мы рекомендуем организациям присваивать политикам понятные имена.
  5. В разделе Назначения выберите Идентификаторы пользователей или рабочих нагрузок.
    1. В разделе Включить выберите Все пользователи.
    2. В разделе " Исключить":
      1. Выберите Пользователи и группы, а затем выберите корпоративные учетные записи для аварийного доступа (или для обхода стандартной системы контроля).
      2. Выберите гостевых или внешних пользователей и выберите следующее:
        1. Пользователи B2B-прямого подключения.
        2. Пользователи поставщика услуг.
        3. Другие внешние пользователи.
  6. В разделе Целевые ресурсы>Ресурсы (прежнее название — облачные приложения)>Включает>Выберите ресурсы, выберите:
    1. Корпоративная платформа Copilot fb8d773d-7ef8-4ec0-a117-179f88add510 (Microsoft 365 Copilot)
    2. Security Copilot bb5ffd56-39eb-458c-a53a-775ba21277da (Microsoft Security Copilot)
  7. В разделе "Условия">"Риск инсайдеров", задайте параметр"Да".
    1. В разделе "Выбор уровней риска", которые должны быть назначены для принудительного применения политики.
      1. Выберите "Умеренный".
      2. Нажмите кнопку Готово.
  8. Выберите Элементы управления доступом>Предоставить разрешение.
    1. Выберите " Требовать, чтобы устройство было помечено как соответствующее".
    2. Выберите Выбрать.
  9. Подтвердите параметры и задайте для параметра Включить политику значение Только отчет.
  10. Нажмите Создать, чтобы создать и включить политику.

После подтверждения параметров в режиме "только отчет" администратор может перевести переключатель Включить политику из положения Только отчет в положение Вкл.

Все пользователи служб генеративного искусственного интеллекта блокируются при повышении внутреннего риска.

Совет

Настройте адаптивную защиту перед созданием следующей политики.

  1. Войдите в Центр администрирования Microsoft Entra как минимум в качестве администратора условного доступа.
  2. Перейдите к защите>условного доступа>политикам.
  3. Выберите Новая политика.
  4. Присвойте политике имя. Мы рекомендуем организациям присваивать политикам понятные имена.
  5. В разделе Назначения выберите Идентификаторы пользователей или рабочих нагрузок.
    1. В разделе Включить выберите Все пользователи.
    2. В разделе " Исключить":
      1. Выберите Пользователи и группы, а затем выберите корпоративные учетные записи для аварийного доступа (или для обхода стандартной системы контроля).
      2. Выберите гостевых или внешних пользователей и выберите следующее:
        1. Пользователи прямого подключения B2B.
        2. Пользователи поставщика услуг.
        3. Другие внешние пользователи.
  6. В разделе Целевые ресурсы>Ресурсы (прежнее название — облачные приложения)>Включить>Выберите ресурсы, выберите:
    1. Корпоративная платформа Copilot fb8d773d-7ef8-4ec0-a117-179f88add510 (Microsoft 365 Copilot)
    2. Security Copilot bb5ffd56-39eb-458c-a53a-775ba21277da (Microsoft Security Copilot)
  7. В разделе Условия>Риск инсайдера задайте Настроить на Да.
    1. В разделе "Выбор уровней риска", которые должны быть назначены для принудительного применения политики.
      1. Выберите "Повышенные привилегии".
      2. Нажмите кнопку Готово.
  8. В разделе Управление доступом>Предоставить разрешение выберите Блокировать доступ и нажмите Выбрать.
  9. Подтвердите параметры и задайте для параметра Включить политику значение Только отчет.
  10. Нажмите Создать, чтобы создать и включить политику.

После подтверждения параметров в режиме "только отчет" администратор может перевести переключатель Включить политику из положения Только отчет в положение Вкл.

Связанный контент