Поделиться через


Защита ИИ с помощью политики условного доступа

Службы искусственного интеллекта ( ИИ), такие как Microsoft Security Copilot и Microsoft 365 Copilot, когда они используются соответствующим образом, приносят ценность вашей организации. Защита этих служб от неправильного использования может выполняться с помощью существующих функций, таких как политика условного доступа Microsoft Entra.

Применение политики условного доступа к этим службам генерированного искусственного интеллекта можно выполнить с помощью существующих политик, предназначенных для всех ресурсов для всех пользователей, рискованных пользователей или входа и пользователей с риском для предварительной оценки.

В этой статье показано, как нацелиться на определенные службы генерированных ИИ, такие как Microsoft Security Copilot и Microsoft 365 Copilot для применения политик.

Создание целевых субъектов-служб с помощью PowerShell

Для отдельных целей этих служб создания ИИ организации должны создать следующие субъекты-службы, чтобы сделать их доступными в средстве выбора приложений условного доступа. В следующих шагах показано, как добавить эти субъекты-службы с помощью командлета New-MgServicePrincipal , часть пакета SDK Microsoft Graph PowerShell.

# Connect with the appropriate scopes to create service principals
Connect-MgGraph -Scopes "Application.ReadWrite.All"

# Create service principal for the service Enterprise Copilot Platform (Microsoft 365 Copilot)
New-MgServicePrincipal -AppId fb8d773d-7ef8-4ec0-a117-179f88add510

# Create service principal for the service Security Copilot (Microsoft Security Copilot) 
New-MgServicePrincipal -AppId bb5ffd56-39eb-458c-a53a-775ba21277da

Создание политик условного доступа

Как организация, применяющая такие службы, как Microsoft 365 Copilot и Microsoft Security Copilot, вы хотите обеспечить доступ только теми пользователями, которые соответствуют вашим требованиям к безопасности. Например:

  • Все пользователи служб Создания ИИ должны завершить фишинговый MFA
  • Все пользователи служб Генеривных ИИ должны получать доступ с соответствующего устройства, если внутренний риск является умеренным.
  • Все пользователи служб Генерированного искусственного интеллекта блокируются при повышении риска для предварительной оценки

Совет

Следующие политики условного доступа предназначены для автономных интерфейсов, а не внедренных интерфейсов.

Пользовательские исключения

Политики условного доступа являются мощными средствами, мы рекомендуем исключить следующие учетные записи из политик:

  • Аварийный доступ или учетные записи с разрывом, чтобы предотвратить блокировку из-за неправильной настройки политики. В маловероятном сценарии, когда все администраторы заблокированы, ваша учетная запись администратора для аварийного доступа может использоваться для входа и выполнения действий по восстановлению доступа.
  • Учетные записи служб и субъекты-службы, такие как учетная запись синхронизации Microsoft Entra Connect. Учетные записи служб представляют собой автономные учетные записи, которые не привязаны к какому-либо конкретному пользователю. Они обычно используются службами сервера для предоставления программного доступа к приложениям, но также могут применяться для входа в системы в целях администрирования. Вызовы, сделанные субъектами-службами, не будут блокироваться политиками условного доступа, применяемыми к пользователям. Используйте условный доступ для удостоверений рабочей нагрузки, чтобы определить политики, нацеленные на субъекты-службы.

Все пользователи служб Создания ИИ должны завершить фишинговый MFA

Ниже описано, как создать политику условного доступа, чтобы все пользователи использовали многофакторную проверку подлинности с помощью политики надежности проверки подлинности.

Предупреждение

Если вы используете внешние методы проверки подлинности, они в настоящее время несовместимы с силой проверки подлинности и следует использовать элемент управления "Требовать многофакторную проверку подлинности".

  1. Войдите в Центр администрирования Microsoft Entra в качестве администратора условного доступа.
  2. Перейдите к политикам условного доступа>защиты>.
  3. Выберите Новая политика.
  4. Присвойте политике имя. Мы рекомендуем организациям присваивать политикам понятные имена.
  5. В разделе Назначения выберите Идентификаторы пользователей или рабочих нагрузок.
    1. В разделе Включить выберите Все пользователи.
    2. В разделе " Исключить " выберите "Пользователи" и "Группы " и выберите учетные записи аварийного доступа вашей организации или учетные записи с разрывом.
  6. В разделе "Целевые ресурсы>" (прежнее название — облачные приложения)>Выберите>ресурсы, выберите:
    1. Корпоративная платформа Copilot fb8d773d-7ef8-4ec0-a117-179f88add510 (Microsoft 365 Copilot)
    2. Безопасность Copilot bb5ffd56-39eb-458c-a53a-775ba21277da (Microsoft Security Copilot)
  7. В разделе Управление доступом>Предоставить разрешение выберите Предоставить доступ.
    1. Выберите "Требовать надежность проверки подлинности", а затем выберите встроенную устойчивость проверки подлинности MFA в списке.
    2. Выберите Выбрать.
  8. Подтвердите параметры и задайте для параметра Включить политику значение Только отчет.
  9. Нажмите Создать, чтобы создать и включить политику.

После подтверждения параметров в режиме "только отчет" администратор может перевести переключатель Включить политику из положения Только отчет в положение Вкл.

Все пользователи служб Генеривных ИИ должны получать доступ с соответствующего устройства, если внутренний риск является умеренным.

Совет

Настройте адаптивную защиту перед созданием следующей политики.

Без политики соответствия требованиям, созданной в Microsoft Intune, эта политика условного доступа не будет функционировать должным образом. Сначала создайте политику соответствия требованиям и убедитесь, что перед продолжением работы у вас есть по крайней мере одно соответствующее устройство.

  1. Войдите в Центр администрирования Microsoft Entra в качестве администратора условного доступа.
  2. Перейдите к политикам условного доступа>защиты>.
  3. Выберите Новая политика.
  4. Присвойте политике имя. Мы рекомендуем организациям присваивать политикам понятные имена.
  5. В разделе Назначения выберите Идентификаторы пользователей или рабочих нагрузок.
    1. В разделе Включить выберите Все пользователи.
    2. В разделе " Исключить":
      1. Выберите Пользователи и группы, а затем выберите корпоративные учетные записи для аварийного доступа (или для обхода стандартной системы контроля).
      2. Выберите гостевых или внешних пользователей и выберите следующее:
        1. Пользователи прямого подключения B2B.
        2. Пользователи поставщика услуг.
        3. Другие внешние пользователи.
  6. В разделе "Целевые ресурсы>" (прежнее название — облачные приложения)>Выберите>ресурсы, выберите:
    1. Корпоративная платформа Copilot fb8d773d-7ef8-4ec0-a117-179f88add510 (Microsoft 365 Copilot)
    2. Безопасность Copilot bb5ffd56-39eb-458c-a53a-775ba21277da (Microsoft Security Copilot)
  7. В разделе "Риск предварительной оценки условий>" задайте для параметра "Да".
    1. В разделе "Выбор уровней риска", которые должны быть назначены для принудительного применения политики.
      1. Выберите "Умеренный".
      2. Нажмите кнопку Готово.
  8. Выберите Элементы управления доступом>Предоставить разрешение.
    1. Выберите " Требовать, чтобы устройство было помечено как соответствующее".
    2. Выберите Выбрать.
  9. Подтвердите параметры и задайте для параметра Включить политику значение Только отчет.
  10. Нажмите Создать, чтобы создать и включить политику.

После подтверждения параметров в режиме "только отчет" администратор может перевести переключатель Включить политику из положения Только отчет в положение Вкл.

Все пользователи служб Генерированного искусственного интеллекта блокируются при повышении риска для предварительной оценки

Совет

Настройте адаптивную защиту перед созданием следующей политики.

  1. Войдите в Центр администрирования Microsoft Entra в качестве администратора условного доступа.
  2. Перейдите к политикам условного доступа>защиты>.
  3. Выберите Новая политика.
  4. Присвойте политике имя. Мы рекомендуем организациям присваивать политикам понятные имена.
  5. В разделе Назначения выберите Идентификаторы пользователей или рабочих нагрузок.
    1. В разделе Включить выберите Все пользователи.
    2. В разделе " Исключить":
      1. Выберите Пользователи и группы, а затем выберите корпоративные учетные записи для аварийного доступа (или для обхода стандартной системы контроля).
      2. Выберите гостевых или внешних пользователей и выберите следующее:
        1. Пользователи прямого подключения B2B.
        2. Пользователи поставщика услуг.
        3. Другие внешние пользователи.
  6. В разделе "Целевые ресурсы>" (прежнее название — облачные приложения)>Выберите>ресурсы, выберите:
    1. Корпоративная платформа Copilot fb8d773d-7ef8-4ec0-a117-179f88add510 (Microsoft 365 Copilot)
    2. Безопасность Copilot bb5ffd56-39eb-458c-a53a-775ba21277da (Microsoft Security Copilot)
  7. В разделе "Риск предварительной оценки условий>" задайте для параметра "Да".
    1. В разделе "Выбор уровней риска", которые должны быть назначены для принудительного применения политики.
      1. Выберите "Повышенные привилегии".
      2. Нажмите кнопку Готово.
  8. В разделе Управление доступом>Предоставить разрешение выберите Блокировать доступ и нажмите Выбрать.
  9. Подтвердите параметры и задайте для параметра Включить политику значение Только отчет.
  10. Нажмите Создать, чтобы создать и включить политику.

После подтверждения параметров в режиме "только отчет" администратор может перевести переключатель Включить политику из положения Только отчет в положение Вкл.