Поделиться через

Защита ИИ с помощью политики условного доступа

Службы искусственного интеллекта ( ИИ), такие как Microsoft Security Copilot и Microsoft 365 Copilot, когда они используются соответствующим образом, приносят ценность вашей организации. Защита этих служб от неправильного использования может выполняться с помощью существующих функций, таких как политика условного доступа Microsoft Entra.

Применение политики условного доступа к этим службам генерирующего искусственного интеллекта можно выполнить с помощью существующих политик, предназначенных для всех ресурсов, рискованных пользователей, попыток входа и пользователей с внутренним риском.

В этой статье показано, как нацелиться на определенные службы генерированных ИИ, такие как Microsoft Security Copilot и Microsoft 365 Copilot для применения политик.

Создание целевых субъектов-служб с помощью PowerShell

Чтобы целенаправленно использовать эти генеративные ИИ-сервисы, организации должны создать следующие служебные объекты, чтобы сделать их доступными в инструменте выбора приложений для условного доступа. В следующих шагах показано, как добавить эти учетные записи службы с помощью командлета New-MgServicePrincipal, часть пакета SDK Microsoft Graph PowerShell.

# Connect with the appropriate scopes to create service principals
Connect-MgGraph -Scopes "Application.ReadWrite.All"

# Create service principal for the service Enterprise Copilot Platform (Microsoft 365 Copilot)
New-MgServicePrincipal -AppId fb8d773d-7ef8-4ec0-a117-179f88add510

# Create service principal for the service Security Copilot (Microsoft Security Copilot) 
New-MgServicePrincipal -AppId bb5ffd56-39eb-458c-a53a-775ba21277da

Создание политик условного доступа

Как организация, применяющая такие службы, как Microsoft 365 Copilot и Microsoft Security Copilot, вы хотите обеспечить доступ только теми пользователями, которые соответствуют вашим требованиям к безопасности. Например:

  • Все пользователи служб генеративного ИИ должны пройти многофакторную аутентификацию, защищенную от фишинга.
  • Все пользователи служб Генеративного ИИ должны получать доступ с соответствующего устройства, если внутренний риск умеренный.
  • Все пользователи сервисов генеративного искусственного интеллекта блокируются при повышении внутреннего риска.

Совет

Следующие политики условного доступа предназначены для автономных интерфейсов, а не внедренных интерфейсов.

Пользовательские исключения

Политики условного доступа — это мощные инструменты. Рекомендуется исключить следующие учетные записи из политик:

  • Аварийный доступ или учетные записи экстренного доступа, чтобы предотвратить блокировку из-за неправильно настроенной политики. В маловероятном сценарии, когда все администраторы заблокированы, ваша учетная запись администрирования аварийного доступа может использоваться для входа и восстановления доступа.
  • Учетные записи служб и субъекты-службы, такие как учетная запись синхронизации Microsoft Entra Connect. Учетные записи служб являются неинтерактивными учетными записями, которые не привязаны к конкретному пользователю. Они обычно используются внутренними службами для предоставления программного доступа к приложениям, но они также используются для входа в системы для административных целей. Вызовы, выполняемые субъектами-службами, не блокируются политиками условного доступа для пользователей. Используйте условный доступ для удостоверений рабочей нагрузки, чтобы определить политики, предназначенные для субъектов-служб.

Все пользователи служб генеративного ИИ должны пройти многофакторную аутентификацию, защищенную от фишинга.

Ниже описано, как создать политику условного доступа, чтобы все пользователи использовали многофакторную проверку подлинности с помощью политики надежности проверки подлинности.

Предупреждение

Если вы используете внешние методы проверки подлинности, они в настоящее время несовместимы с силой проверки подлинности и следует использовать элемент управления " Требовать многофакторную проверку подлинности ".

  1. Войдите в Центр администрирования Microsoft Entra в качестве как минимум администратора условного доступа.
  2. Перейдите к Entra ID>условный доступ>политики.
  3. Выберите новую политику.
  4. Присвойте политике имя. Мы рекомендуем организациям присваивать политикам понятные имена.
  5. В разделе "Назначения" выберите "Пользователи" или "Удостоверения рабочей нагрузки".
    1. В разделе "Включить" выберите "Все пользователи"
    2. В разделе Исключить выберите Пользователи и группы и выберите учетные записи аварийного доступа вашей организации или аварийные учетные записи.
  6. В разделе Целевые ресурсы>(прежнее название — облачные приложения)>Выберите>ресурсы, выберите:
    1. Корпоративная платформа Copilot fb8d773d-7ef8-4ec0-a117-179f88add510 (Microsoft 365 Copilot)
    2. Безопасность Copilot bb5ffd56-39eb-458c-a53a-775ba21277da (Microsoft Security Copilot)
  7. В разделе "Предоставление> выберите "Предоставить доступ".
    1. Выберите "Требуемая надежность проверки подлинности", а затем выберите встроенную надежность проверки подлинности устойчивую к фишингу из списка.
    2. Нажмите кнопку "Выбрать".
  8. Подтвердите параметры и задайте политику "Включить толькоотчет".
  9. Нажмите кнопку "Создать", чтобы включить политику.

После подтверждения параметров с помощью режима влияния политики или режима только для отчета переместите переключатель политики "Включить" из "Только отчет".

Все пользователи служб Генеративного ИИ должны получать доступ с соответствующего устройства, если внутренний риск умеренный.

Совет

Настройте адаптивную защиту перед созданием следующей политики.

Без политики соответствия требованиям, созданной в Microsoft Intune , эта политика условного доступа не будет функционировать должным образом. Сначала создайте политику соответствия требованиям и убедитесь, что перед продолжением работы у вас есть по крайней мере одно соответствующее устройство.

  1. Войдите в Центр администрирования Microsoft Entra в качестве как минимум администратора условного доступа.
  2. Перейдите к Entra ID>условный доступ>политики.
  3. Выберите новую политику.
  4. Присвойте политике имя. Мы рекомендуем организациям присваивать политикам понятные имена.
  5. В разделе "Назначения" выберите "Пользователи" или "Удостоверения рабочей нагрузки".
    1. В разделе "Включить" выберите "Все пользователи"
    2. В разделе "Исключить":
      1. Выберите пользователей и группы и выберите учетные записи экстренного или аварийного доступа вашей организации.
      2. Выберите гостевых или внешних пользователей и выберите следующее:
        1. Пользователи прямого подключения B2B.
        2. Пользователи поставщика услуг.
        3. Другие внешние пользователи.
  6. В разделе Целевые ресурсы>(прежнее название — облачные приложения)>Выберите>ресурсы, выберите:
    1. Корпоративная платформа Copilot fb8d773d-7ef8-4ec0-a117-179f88add510 (Microsoft 365 Copilot)
    2. Безопасность Copilot bb5ffd56-39eb-458c-a53a-775ba21277da (Microsoft Security Copilot)
  7. В разделе Условия>Внутренний риск установите Настроить на Да.
    1. В разделе "Выбор уровней риска", которые должны быть назначены для принудительного применения политики.
      1. Выберите "Умеренный".
      2. Нажмите кнопку "Готово".
  8. В разделе "Управление доступом>Предоставление".
    1. Выберите "Требовать, чтобы устройство было помечено как соответствующее".
    2. Нажмите кнопку "Выбрать".
  9. Подтвердите параметры и задайте политику "Включить толькоотчет".
  10. Нажмите кнопку "Создать", чтобы включить политику.

После подтверждения параметров с помощью режима влияния политики или режима только для отчета переместите переключатель политики "Включить" из "Только отчет".

Все пользователи сервисов генеративного искусственного интеллекта блокируются при повышении внутреннего риска.

Совет

Настройте адаптивную защиту перед созданием следующей политики.

  1. Войдите в Центр администрирования Microsoft Entra в качестве как минимум администратора условного доступа.
  2. Перейдите к Entra ID>условный доступ>политики.
  3. Выберите новую политику.
  4. Присвойте политике имя. Мы рекомендуем организациям присваивать политикам понятные имена.
  5. В разделе "Назначения" выберите "Пользователи" или "Удостоверения рабочей нагрузки".
    1. В разделе "Включить" выберите "Все пользователи".
    2. В разделе "Исключить":
      1. Выберите пользователей и группы и выберите учетные записи экстренного или аварийного доступа вашей организации.
      2. Выберите гостевых или внешних пользователей и выберите следующее:
        1. Пользователи прямого подключения B2B.
        2. Пользователи поставщика услуг.
        3. Другие внешние пользователи.
  6. В разделе Целевые ресурсы>(прежнее название — облачные приложения)>Выберите>ресурсы, выберите:
    1. Корпоративная платформа Copilot fb8d773d-7ef8-4ec0-a117-179f88add510 (Microsoft 365 Copilot)
    2. Безопасность Copilot bb5ffd56-39eb-458c-a53a-775ba21277da (Microsoft Security Copilot)
  7. В разделе Условия>Внутренний риск установите Настроить на Да.
    1. В разделе "Выбор уровней риска", которые должны быть назначены для принудительного применения политики.
      1. Выберите "Повышенные привилегии".
      2. Нажмите кнопку "Готово".
  8. В разделе "Управление доступом>Предоставление выберите "Блокировать доступ", а затем нажмите "Выбрать".
  9. Подтвердите параметры и задайте политику "Включить толькоотчет".
  10. Нажмите кнопку "Создать", чтобы включить политику.

После подтверждения параметров с помощью режима влияния политики или режима только для отчета переместите переключатель политики "Включить" из "Только отчет".

Связанный контент

  • Last updated on