Ochrona sztucznej inteligencji przy użyciu zasad dostępu warunkowego

Generacyjne usługi sztucznej inteligencji (AI), takie jak Microsoft Security Copilot i Microsoft 365 Copilot, gdy są używane odpowiednio, przynoszą wartość twojej organizacji. Ochronę tych usług przed nieprawidłowym użyciem można osiągnąć przy użyciu istniejących funkcji, takich jak zasady dostępu warunkowego firmy Microsoft Entra.

Zastosowanie polityki dostępu warunkowego do tych usług związanych z generowaniem sztucznej inteligencji można wykonać za pomocą istniejących zasad przeznaczonych dla wszystkich użytkowników, użytkowników o zwiększonym ryzyku, użytkowników podczas logowania oraz użytkowników z ryzykiem związanym z poufnymi informacjami.

W tym artykule przedstawiono, w jaki sposób kierować określone usługi generatywnej sztucznej inteligencji, takie jak Microsoft Security Copilot i Microsoft 365 Copilot, na potrzeby egzekwowania zasad.

Tworzenie docelowych jednostek usługi przy użyciu programu PowerShell

Aby skierować indywidualnie te usługi Generative AI, organizacje muszą utworzyć następujące zasady usługi, aby były dostępne w selektorze aplikacji dostępu warunkowego. W poniższych krokach pokazano, jak dodać te główne usługi przy użyciu polecenia cmdlet New-MgServicePrincipal, części zestawu Microsoft Graph PowerShell SDK.

# Connect with the appropriate scopes to create service principals
Connect-MgGraph -Scopes "Application.ReadWrite.All"

# Create service principal for the service Enterprise Copilot Platform (Microsoft 365 Copilot)
New-MgServicePrincipal -AppId fb8d773d-7ef8-4ec0-a117-179f88add510

# Create service principal for the service Security Copilot (Microsoft Security Copilot) 
New-MgServicePrincipal -AppId bb5ffd56-39eb-458c-a53a-775ba21277da

Tworzenie zasad dostępu warunkowego

Jako organizacja przyjmująca usługi, takie jak Microsoft 365 Copilot i Microsoft Security Copilot, chcesz zapewnić dostęp tylko tym użytkownikom, którzy spełniają twoje wymagania dotyczące zabezpieczeń. Na przykład:

• Wszyscy użytkownicy usług Sztucznej Inteligencji generatywnej muszą ukończyć uwierzytelnianie wieloskładnikowe odporne na phishing.
• Wszyscy użytkownicy usług generatywnej sztucznej inteligencji muszą uzyskiwać dostęp z urządzenia zgodnego z przepisami, gdy ryzyko wewnętrzne jest umiarkowane.
• Wszyscy użytkownicy usług generacyjnych sztucznej inteligencji są blokowani, gdy podwyższono poziom ryzyka wewnętrznego

Wykluczenia użytkowników

Zasady dostępu warunkowego to zaawansowane narzędzia. Zalecamy wykluczenie następujących kont z zasad:

• Dostęp awaryjny lub konta awaryjne typu break-glass, aby zapobiec zablokowaniu z powodu błędnej konfiguracji zasad. W mało prawdopodobnym scenariuszu, w którym wszyscy administratorzy są zablokowani, konto administracyjne dostępu awaryjnego może służyć do logowania się i odzyskiwania dostępu.
  • Więcej informacji można znaleźć w artykule Zarządzanie kontami dostępu awaryjnego w usłudze Microsoft Entra ID.
• Konta usług i jednostki usługi, takie jak konto synchronizacji programu Microsoft Entra Connect. Konta usług to konta nieinteraktywne, które nie są powiązane z żadnym określonym użytkownikiem. Są one zwykle używane przez usługi zaplecza, aby umożliwić programowy dostęp do aplikacji, ale są one również używane do logowania się do systemów w celach administracyjnych. Wywołania wykonywane przez jednostki usługi nie są blokowane przez zasady dostępu warunkowego ograniczone do użytkowników. Użyj dostępu warunkowego dla tożsamości obciążeń, aby zdefiniować zasady przeznaczone dla jednostek usługi.
  • Jeśli organizacja używa tych kont w skryptach lub kodzie, zastąp je tożsamościami zarządzanymi.

Wszyscy użytkownicy usług Sztucznej Inteligencji generatywnej muszą ukończyć uwierzytelnianie wieloskładnikowe odporne na phishing.

Poniższe kroki pomagają utworzyć zasady dostępu warunkowego, aby wymagać od wszystkich użytkowników uwierzytelniania wieloskładnikowego przy użyciu zasad siły uwierzytelniania.

1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej administrator dostępu warunkowego.
2. Przejdź do sekcji Entra ID>dostęp warunkowy>zasady.
3. Wybierz pozycję Nowe zasady.
4. Nadaj zasadzie nazwę. Zalecamy, aby organizacje tworzyły znaczący standard dla nazw swoich zasad.
5. W obszarze Przypisania wybierz Użytkownicy lub tożsamości zasobów.
   1. W obszarze Dołącz wybierz pozycję Wszyscy użytkownicy
   2. W obszarze Wyklucz wybierz Użytkownicy i grupy, a następnie wybierz konta awaryjne lub konta typu break-glass w organizacji.
6. W obszarze Zasoby docelowe>(dawniej aplikacje w chmurze)>Uwzględnij>wybierz pozycję Wybierz zasoby:
   1. Platforma Copilot przedsiębiorstwa fb8d773d-7ef8-4ec0-a117-179f88add510 (Microsoft 365 Copilot)
   2. Kontroler zabezpieczeń bb5ffd56-39eb-458c-a53a-775ba21277da (Microsoft Security Copilot)
7. W obszarze Kontrole dostępu>Udzielania wybierz pozycję Udziel dostępu.
   1. Wybierz pozycję Wymagaj siły uwierzytelniania, a następnie wybierz wbudowaną siłę uwierzytelniania MFA odpornego na wyłudzenie informacji z listy.
   2. Wybierz Wybierz.
8. Potwierdź ustawienia i ustaw opcję Włącz zasadyna tryb raportowania.
9. Wybierz Utwórz, aby włączyć swoją politykę.

Po potwierdzeniu ustawień przy użyciu trybu wpływu zasad lub trybu tylko do raportu przenieś przełącznik Włącz zasady z opcji Tylko raport do pozycji Włączone.

Wszyscy użytkownicy usług generatywnej sztucznej inteligencji muszą uzyskiwać dostęp z urządzenia zgodnego z przepisami, gdy ryzyko wewnętrzne jest umiarkowane.

1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej administrator dostępu warunkowego.
2. Przejdź do sekcji Entra ID>dostęp warunkowy>zasady.
3. Wybierz pozycję Nowe zasady.
4. Nadaj zasadzie nazwę. Zalecamy, aby organizacje tworzyły znaczący standard dla nazw swoich zasad.
5. W obszarze Przypisania wybierz Użytkownicy lub tożsamości zasobów.
   1. W obszarze Dołącz wybierz pozycję Wszyscy użytkownicy
   2. W obszarze Wyklucz:
      1. Wybierz pozycję Użytkownicy i grupy, a następnie wybierz konta awaryjnego dostępu lub konta awaryjne typu break-glass w organizacji.
      2. Wybierz pozycję Goście lub użytkownicy zewnętrzni i wybierz następujące opcje:
         1. Użytkownicy bezpośredniego połączenia B2B
         2. Użytkownicy dostawcy usług.
         3. Inni użytkownicy zewnętrzni.
6. W obszarze Zasoby docelowe>(dawniej aplikacje w chmurze)>Uwzględnij>wybierz pozycję Wybierz zasoby:
   1. Platforma Copilot przedsiębiorstwa fb8d773d-7ef8-4ec0-a117-179f88add510 (Microsoft 365 Copilot)
   2. Kontroler zabezpieczeń bb5ffd56-39eb-458c-a53a-775ba21277da (Microsoft Security Copilot)
7. W obszarze Warunki>Ryzyko związane z osobami wtajemniczonymi, ustaw Skonfiguruj na Tak.
   1. W obszarze Wybierz poziomy ryzyka, które muszą być przypisane, aby wymusić zasady.
      1. Wybierz pozycję Umiarkowane.
      2. Wybierz pozycję Gotowe.
8. W obszarze Kontrola> dostępuUdziel.
   1. Wybierz pozycję Wymagaj, aby urządzenie było oznaczone jako zgodne.
   2. Wybierz Wybierz.
9. Potwierdź ustawienia i ustaw opcję Włącz zasadyna tryb raportowania.
10. Wybierz Utwórz, aby włączyć swoją politykę.

Po potwierdzeniu ustawień przy użyciu trybu wpływu zasad lub trybu tylko do raportu przenieś przełącznik Włącz zasady z opcji Tylko raport do pozycji Włączone.

Wszyscy użytkownicy usług generacyjnych sztucznej inteligencji są blokowani, gdy podwyższono poziom ryzyka wewnętrznego

1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej administrator dostępu warunkowego.
2. Przejdź do sekcji Entra ID>dostęp warunkowy>zasady.
3. Wybierz pozycję Nowe zasady.
4. Nadaj zasadzie nazwę. Zalecamy, aby organizacje tworzyły znaczący standard dla nazw swoich zasad.
5. W obszarze Przypisania wybierz Użytkownicy lub tożsamości zasobów.
   1. W obszarze Dołącz wybierz pozycję Wszyscy użytkownicy.
   2. W obszarze Wyklucz:
      1. Wybierz pozycję Użytkownicy i grupy, a następnie wybierz konta awaryjnego dostępu lub konta awaryjne typu break-glass w organizacji.
      2. Wybierz pozycję Goście lub użytkownicy zewnętrzni i wybierz następujące opcje:
         1. Użytkownicy bezpośredniego połączenia B2B
         2. Użytkownicy dostawcy usług.
         3. Inni użytkownicy zewnętrzni.
6. W obszarze Zasoby docelowe>(dawniej aplikacje w chmurze)>Uwzględnij>wybierz pozycję Wybierz zasoby:
   1. Platforma Copilot przedsiębiorstwa fb8d773d-7ef8-4ec0-a117-179f88add510 (Microsoft 365 Copilot)
   2. Kontroler zabezpieczeń bb5ffd56-39eb-458c-a53a-775ba21277da (Microsoft Security Copilot)
7. W obszarze Warunki>Ryzyko związane z osobami wtajemniczonymi, ustaw Skonfiguruj na Tak.
   1. W obszarze Wybierz poziomy ryzyka, które muszą być przypisane, aby wymusić zasady.
      1. Wybierz Podwyższony.
      2. Wybierz pozycję Gotowe.
8. W obszarze Kontrole dostępu>, pod Udziel, wybierz opcję Blokuj dostęp, a następnie wybierz opcję Wybierz.
9. Potwierdź ustawienia i ustaw opcję Włącz zasadyna tryb raportowania.
10. Wybierz Utwórz, aby włączyć swoją politykę.

Po potwierdzeniu ustawień przy użyciu trybu wpływu zasad lub trybu tylko do raportu przenieś przełącznik Włącz zasady z opcji Tylko raport do pozycji Włączone.

Powiązana zawartość

• Zarządzanie platformą Microsoft 365 dla systemów iOS i Android przy użyciu usługi Microsoft Intune
• Użyj trybu tylko raportowania dla Zarządzania dostępem warunkowym, aby określić wyniki nowych decyzji politycznych.
• Zabezpiecz generatywną sztuczną inteligencję z Microsoft Entra
• Ochrona bezpieczeństwa danych i zgodności w usłudze Microsoft Purview dla aplikacji generatywnej sztucznej inteligencji
• Zagadnienia dotyczące centrum sztucznej inteligencji usługi Microsoft Purview oraz zabezpieczeń danych i ochrony zgodności dla rozwiązania Copilot
• Stosowanie zasad zerowego zaufania do platformy Microsoft Copilot
• Stosowanie zasad zero trust do platformy Microsoft 365 Copilot
• Stosowanie zasad zerowego zaufania do rozwiązania Microsoft Security Copilot