使用條件式存取原則保護 AI
Microsoft安全性 Copilot 和 Microsoft 365 Copilot 等產生人工智慧 (AI) 服務,在適當使用時為您的組織帶來價值。 若要防止這些服務誤用,可以使用現有的功能來完成,例如Microsoft Entra 條件式存取原則。
您可以將條件式存取原則套用至這些「產生式 AI」服務,可透過現有的原則,針對所有使用者、有風險的使用者或登入,以及具有內部風險的使用者,達成目標。
本文說明如何以特定產生 AI 服務為目標,例如 Microsoft Security Copilot 和 Microsoft 365 Copilot 來強制執行原則。
使用 PowerShell 建立可設定目標的服務主體
若要個別以這些 Generative AI 服務為目標,組織必須建立下列服務主體,才能在條件式存取應用程式選擇器中提供這些服務主體。 下列步驟示範如何使用 New-MgServicePrincipal Cmdlet 新增這些服務主體,這是 Microsoft Graph PowerShell SDK 的一部分。
# Connect with the appropriate scopes to create service principals
Connect-MgGraph -Scopes "Application.ReadWrite.All"
# Create service principal for the service Enterprise Copilot Platform (Microsoft 365 Copilot)
New-MgServicePrincipal -AppId fb8d773d-7ef8-4ec0-a117-179f88add510
# Create service principal for the service Security Copilot (Microsoft Security Copilot)
New-MgServicePrincipal -AppId bb5ffd56-39eb-458c-a53a-775ba21277da
建立條件式存取原則
身為採用 Microsoft 365 Copilot 和 Microsoft Security Copilot 等服務的組織,您想要確保只有符合安全性需求的使用者才能存取。 例如:
- 產生 AI 服務的所有用戶都必須完成網路釣魚防護 MFA
- 當測試人員風險適中時,Generative AI 服務的所有用戶都必須從符合規範的裝置存取
- 提高測試人員風險時,會封鎖產生 AI 服務的所有使用者
提示
下列條件式存取原則是以獨立體驗為目標 ,而不是內嵌體驗。
使用者排除
條件式存取原則是功能強大的工具,建議您從原則中排除下列帳戶:
- 緊急存取 或 中斷帳戶 ,以防止因為原則設定錯誤而導致鎖定。 在不太可能的情況下,所有系統管理員都遭到鎖定,您的緊急存取系統管理帳戶可用來登入並採取復原存取的步驟。
- 如需詳細資訊,請參閱在 Microsoft Entra ID 中管理緊急存取帳戶一文。
- 服務帳戶 和服務 主體,例如Microsoft Entra Connect 同步帳戶。 服務帳戶是未與任何特定使用者繫結的非互動式帳戶。 後端服務通常會使用這些帳戶以程式設計方式存取應用程式,但也可用來登入系統以供管理之用。 服務主體所進行的呼叫不會遭到範圍設定為使用者的條件式存取原則封鎖。 使用適用於工作負載身分識別的條件式存取,來定義以服務主體為目標的原則。
- 如果您的組織在指令碼或程式碼中使用這些帳戶,請考慮將它們取代為受管理的身分識別。
產生 AI 服務的所有用戶都必須完成網路釣魚防護 MFA
下列步驟可協助建立條件式存取原則,以要求所有使用者使用驗證強度原則進行多重要素驗證。
- 至少以條件式存取管理員 (部分機器翻譯) 的身分登入 Microsoft Entra 系統管理中心。
- 瀏覽至 [保護] > [條件式存取] > [原則]。
- 選取 [新增原則]。
- 為您的原則命名。 建議組織針對其原則的名稱建立有意義的標準。
- 在 [指派] 底下,選取 [使用者] 或 [工作負載識別]。
- 在 [包含] 底下,選取 [所有使用者]。
- 在 [排除] 下,選取 [使用者和群組],然後選擇您組織的緊急存取權或中斷帳戶。
- 在 [目標資源資源>](先前稱為雲端應用程式)[包含>選取資源]> 底下,選取:
- Enterprise Copilot Platform fb8d773d-7ef8-4ec0-a117-179f88add510 (Microsoft 365 Copilot)
- Security Copilot bb5ffd56-39eb-458c-a53a-775ba21277da (Microsoft Security Copilot)
- 在 [存取控制]>[授與] 下,選取 [授與存取權]。
- 選取 [需要驗證強度],然後從清單中選取內 建的 Phising-resistant MFA 驗證強度。
- 選取選取。
- 確認您的設定,並將 [啟用原則] 設為 [報告專用]。
- 選取 [建立] 以建立並啟用您的原則。
管理員使用報告專用模式確認設定之後,即可以將 [啟用原則] 從 [報告專用] 切換至 [開啟]。
當測試人員風險適中時,Generative AI 服務的所有用戶都必須從符合規範的裝置存取
提示
在您建立下列原則前,請先設定調適型保護。
如果沒有在 Microsoft Intune 中建立的合規性原則,此條件式存取原則將無法如預期般運作。 請先建立合規性原則,並確定您至少有一部符合規範的裝置後,再繼續進行。
- 至少以條件式存取管理員 (部分機器翻譯) 的身分登入 Microsoft Entra 系統管理中心。
- 瀏覽至 [保護] > [條件式存取] > [原則]。
- 選取 [新增原則]。
- 為您的原則命名。 建議組織針對其原則的名稱建立有意義的標準。
- 在 [指派] 底下,選取 [使用者] 或 [工作負載識別]。
- 在 [包含] 底下,選取 [所有使用者]。
- 在 [排除] 底下:
- 選取 [使用者和群組],然後選擇組織的緊急存取或急用帳戶。
- 選取 [來賓或外部使用者],然後選擇以下內容:
- [B2B 直接連接使用者]。
- [服務提供者使用者]。
- [其他外部使用者]。
- 在 [目標資源資源>](先前稱為雲端應用程式)[包含>選取資源]> 底下,選取:
- Enterprise Copilot Platform fb8d773d-7ef8-4ec0-a117-179f88add510 (Microsoft 365 Copilot)
- Security Copilot bb5ffd56-39eb-458c-a53a-775ba21277da (Microsoft Security Copilot)
- 在 [條件]>[內部風險] 底下,將 [設定] 設為 [是]。
- 在 [選取為強制執行原則而必須指派的風險層級] 底下。
- 選取 [ 仲裁]。
- 選取完成。
- 在 [選取為強制執行原則而必須指派的風險層級] 底下。
- 在 [存取控制]>[授與] 底下。
- 選取 [裝置需要標記為合規]。
- 選取選取。
- 確認您的設定,並將 [啟用原則] 設為 [報告專用]。
- 選取 [建立] 以建立並啟用您的原則。
管理員使用報告專用模式確認設定之後,即可以將 [啟用原則] 從 [報告專用] 切換至 [開啟]。
提高測試人員風險時,會封鎖產生 AI 服務的所有使用者
提示
在您建立下列原則前,請先設定調適型保護。
- 至少以條件式存取管理員 (部分機器翻譯) 的身分登入 Microsoft Entra 系統管理中心。
- 瀏覽至 [保護] > [條件式存取] > [原則]。
- 選取 [新增原則]。
- 為您的原則命名。 建議組織針對其原則的名稱建立有意義的標準。
- 在 [指派] 底下,選取 [使用者] 或 [工作負載識別]。
- 在 [包含] 下,選取 [所有使用者]。
- 在 [排除] 底下:
- 選取 [使用者和群組],然後選擇組織的緊急存取或急用帳戶。
- 選取 [來賓或外部使用者],然後選擇以下內容:
- [B2B 直接連接使用者]。
- [服務提供者使用者]。
- [其他外部使用者]。
- 在 [目標資源資源>](先前稱為雲端應用程式)[包含>選取資源]> 底下,選取:
- Enterprise Copilot Platform fb8d773d-7ef8-4ec0-a117-179f88add510 (Microsoft 365 Copilot)
- Security Copilot bb5ffd56-39eb-458c-a53a-775ba21277da (Microsoft Security Copilot)
- 在 [條件]>[內部風險] 底下,將 [設定] 設為 [是]。
- 在 [選取為強制執行原則而必須指派的風險層級] 底下。
- 選取 [提高]。
- 選取完成。
- 在 [選取為強制執行原則而必須指派的風險層級] 底下。
- 在 [存取控制]>[授與] 下,選取 [封鎖存取],然後選取 [選取]。
- 確認您的設定,並將 [啟用原則] 設為 [報告專用]。
- 選取 [建立] 以建立並啟用您的原則。
管理員使用報告專用模式確認設定之後,即可以將 [啟用原則] 從 [報告專用] 切換至 [開啟]。