Защита ИИ с помощью политики условного доступа
Службы искусственного интеллекта ( ИИ), такие как Microsoft Security Copilot и Microsoft 365 Copilot, когда они используются соответствующим образом, приносят ценность вашей организации. Защита этих служб от неправильного использования может выполняться с помощью существующих функций, таких как политика условного доступа Microsoft Entra.
Применение политики условного доступа к этим службам генерированного искусственного интеллекта можно выполнить с помощью существующих политик, предназначенных для всех ресурсов для всех пользователей, рискованных пользователей или входа и пользователей с риском для предварительной оценки.
В этой статье показано, как нацелиться на определенные службы генерированных ИИ, такие как Microsoft Security Copilot и Microsoft 365 Copilot для применения политик.
Создание целевых субъектов-служб с помощью PowerShell
Для отдельных целей этих служб создания ИИ организации должны создать следующие субъекты-службы, чтобы сделать их доступными в средстве выбора приложений условного доступа. В следующих шагах показано, как добавить эти субъекты-службы с помощью командлета New-MgServicePrincipal , часть пакета SDK Microsoft Graph PowerShell.
# Connect with the appropriate scopes to create service principals
Connect-MgGraph -Scopes "Application.ReadWrite.All"
# Create service principal for the service Enterprise Copilot Platform (Microsoft 365 Copilot)
New-MgServicePrincipal -AppId fb8d773d-7ef8-4ec0-a117-179f88add510
# Create service principal for the service Security Copilot (Microsoft Security Copilot)
New-MgServicePrincipal -AppId bb5ffd56-39eb-458c-a53a-775ba21277da
Создание политик условного доступа
Как организация, применяющая такие службы, как Microsoft 365 Copilot и Microsoft Security Copilot, вы хотите обеспечить доступ только теми пользователями, которые соответствуют вашим требованиям к безопасности. Например:
- Все пользователи служб Создания ИИ должны завершить фишинговый MFA
- Все пользователи служб Генеривных ИИ должны получать доступ с соответствующего устройства, если внутренний риск является умеренным.
- Все пользователи служб Генерированного искусственного интеллекта блокируются при повышении риска для предварительной оценки
Совет
Следующие политики условного доступа предназначены для автономных интерфейсов, а не внедренных интерфейсов.
Пользовательские исключения
Политики условного доступа являются мощными средствами, мы рекомендуем исключить следующие учетные записи из политик:
- Аварийный доступ или учетные записи с разрывом, чтобы предотвратить блокировку из-за неправильной настройки политики. В маловероятном сценарии, когда все администраторы заблокированы, ваша учетная запись администратора для аварийного доступа может использоваться для входа и выполнения действий по восстановлению доступа.
- Дополнительные сведения см. в статье об управлении учетными записями аварийного доступа в идентификаторе Microsoft Entra.
- Учетные записи служб и субъекты-службы, такие как учетная запись синхронизации Microsoft Entra Connect. Учетные записи служб представляют собой автономные учетные записи, которые не привязаны к какому-либо конкретному пользователю. Они обычно используются службами сервера для предоставления программного доступа к приложениям, но также могут применяться для входа в системы в целях администрирования. Вызовы, сделанные субъектами-службами, не будут блокироваться политиками условного доступа, применяемыми к пользователям. Используйте условный доступ для удостоверений рабочей нагрузки, чтобы определить политики, нацеленные на субъекты-службы.
- Если в вашей организации эти учетные записи используются в сценариях или в коде, попробуйте заменить их управляемыми удостоверениями.
Все пользователи служб Создания ИИ должны завершить фишинговый MFA
Ниже описано, как создать политику условного доступа, чтобы все пользователи использовали многофакторную проверку подлинности с помощью политики надежности проверки подлинности.
Предупреждение
Если вы используете внешние методы проверки подлинности, они в настоящее время несовместимы с силой проверки подлинности и следует использовать элемент управления "Требовать многофакторную проверку подлинности".
- Войдите в Центр администрирования Microsoft Entra в качестве администратора условного доступа.
- Перейдите к политикам условного доступа>защиты>.
- Выберите Новая политика.
- Присвойте политике имя. Мы рекомендуем организациям присваивать политикам понятные имена.
- В разделе Назначения выберите Идентификаторы пользователей или рабочих нагрузок.
- В разделе Включить выберите Все пользователи.
- В разделе " Исключить " выберите "Пользователи" и "Группы " и выберите учетные записи аварийного доступа вашей организации или учетные записи с разрывом.
- В разделе "Целевые ресурсы>" (прежнее название — облачные приложения)>Выберите>ресурсы, выберите:
- Корпоративная платформа Copilot fb8d773d-7ef8-4ec0-a117-179f88add510 (Microsoft 365 Copilot)
- Безопасность Copilot bb5ffd56-39eb-458c-a53a-775ba21277da (Microsoft Security Copilot)
- В разделе Управление доступом>Предоставить разрешение выберите Предоставить доступ.
- Выберите "Требовать надежность проверки подлинности", а затем выберите встроенную устойчивость проверки подлинности MFA в списке.
- Выберите Выбрать.
- Подтвердите параметры и задайте для параметра Включить политику значение Только отчет.
- Нажмите Создать, чтобы создать и включить политику.
После подтверждения параметров в режиме "только отчет" администратор может перевести переключатель Включить политику из положения Только отчет в положение Вкл.
Все пользователи служб Генеривных ИИ должны получать доступ с соответствующего устройства, если внутренний риск является умеренным.
Совет
Настройте адаптивную защиту перед созданием следующей политики.
Без политики соответствия требованиям, созданной в Microsoft Intune, эта политика условного доступа не будет функционировать должным образом. Сначала создайте политику соответствия требованиям и убедитесь, что перед продолжением работы у вас есть по крайней мере одно соответствующее устройство.
- Войдите в Центр администрирования Microsoft Entra в качестве администратора условного доступа.
- Перейдите к политикам условного доступа>защиты>.
- Выберите Новая политика.
- Присвойте политике имя. Мы рекомендуем организациям присваивать политикам понятные имена.
- В разделе Назначения выберите Идентификаторы пользователей или рабочих нагрузок.
- В разделе Включить выберите Все пользователи.
- В разделе " Исключить":
- Выберите Пользователи и группы, а затем выберите корпоративные учетные записи для аварийного доступа (или для обхода стандартной системы контроля).
- Выберите гостевых или внешних пользователей и выберите следующее:
- Пользователи прямого подключения B2B.
- Пользователи поставщика услуг.
- Другие внешние пользователи.
- В разделе "Целевые ресурсы>" (прежнее название — облачные приложения)>Выберите>ресурсы, выберите:
- Корпоративная платформа Copilot fb8d773d-7ef8-4ec0-a117-179f88add510 (Microsoft 365 Copilot)
- Безопасность Copilot bb5ffd56-39eb-458c-a53a-775ba21277da (Microsoft Security Copilot)
- В разделе "Риск предварительной оценки условий>" задайте для параметра "Да".
- В разделе "Выбор уровней риска", которые должны быть назначены для принудительного применения политики.
- Выберите "Умеренный".
- Нажмите кнопку Готово.
- В разделе "Выбор уровней риска", которые должны быть назначены для принудительного применения политики.
- Выберите Элементы управления доступом>Предоставить разрешение.
- Выберите " Требовать, чтобы устройство было помечено как соответствующее".
- Выберите Выбрать.
- Подтвердите параметры и задайте для параметра Включить политику значение Только отчет.
- Нажмите Создать, чтобы создать и включить политику.
После подтверждения параметров в режиме "только отчет" администратор может перевести переключатель Включить политику из положения Только отчет в положение Вкл.
Все пользователи служб Генерированного искусственного интеллекта блокируются при повышении риска для предварительной оценки
Совет
Настройте адаптивную защиту перед созданием следующей политики.
- Войдите в Центр администрирования Microsoft Entra в качестве администратора условного доступа.
- Перейдите к политикам условного доступа>защиты>.
- Выберите Новая политика.
- Присвойте политике имя. Мы рекомендуем организациям присваивать политикам понятные имена.
- В разделе Назначения выберите Идентификаторы пользователей или рабочих нагрузок.
- В разделе Включить выберите Все пользователи.
- В разделе " Исключить":
- Выберите Пользователи и группы, а затем выберите корпоративные учетные записи для аварийного доступа (или для обхода стандартной системы контроля).
- Выберите гостевых или внешних пользователей и выберите следующее:
- Пользователи прямого подключения B2B.
- Пользователи поставщика услуг.
- Другие внешние пользователи.
- В разделе "Целевые ресурсы>" (прежнее название — облачные приложения)>Выберите>ресурсы, выберите:
- Корпоративная платформа Copilot fb8d773d-7ef8-4ec0-a117-179f88add510 (Microsoft 365 Copilot)
- Безопасность Copilot bb5ffd56-39eb-458c-a53a-775ba21277da (Microsoft Security Copilot)
- В разделе "Риск предварительной оценки условий>" задайте для параметра "Да".
- В разделе "Выбор уровней риска", которые должны быть назначены для принудительного применения политики.
- Выберите "Повышенные привилегии".
- Нажмите кнопку Готово.
- В разделе "Выбор уровней риска", которые должны быть назначены для принудительного применения политики.
- В разделе Управление доступом>Предоставить разрешение выберите Блокировать доступ и нажмите Выбрать.
- Подтвердите параметры и задайте для параметра Включить политику значение Только отчет.
- Нажмите Создать, чтобы создать и включить политику.
После подтверждения параметров в режиме "только отчет" администратор может перевести переключатель Включить политику из положения Только отчет в положение Вкл.
Связанный контент
- Используйте режим "только отчет" для условного доступа, чтобы определить результаты новых решений по политике.
- Безопасный генерированный ИИ с помощью Microsoft Entra
- Защита данных и соответствия требованиям Microsoft Purview для созданных приложений искусственного интеллекта
- Рекомендации по обеспечению безопасности и соответствия требованиям Центра искусственного интеллекта Microsoft Purview для Copilot
- Применение принципов нулевого доверия к Microsoft Copilot
- Применение принципов нулевого доверия к Microsoft 365 Copilot
- Применение принципов нулевого доверия к Microsoft Security Copilot