Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В Microsoft Intune можно управлять и ограничивать использование искусственного интеллекта на устройствах Android, зарегистрированных в Intune. Вы можете блокировать (или разрешать) приложения ИИ, веб-сайты, интерфейсы на основе экрана, службы ИИ на устройстве и функции ИИ, относящиеся к изготовителям оборудования.
В этой статье перечислены различные способы, которыми возможности ИИ могут быть доступны на устройствах Android, а также способы использования Intune для блокировки этих возможностей.
При выполнении действий, описанных в этом руководстве, вы можете управлять и ограничивать возможности ИИ на устройствах Android.
Применимо к:
- Android Enterprise
Предварительные условия
Требования к платформе устройства
ИТ-администраторы и инженеры по безопасности могут разрешать или блокировать генеративный ИИ для следующих типов регистрации Android:
- Полностью управляемые корпоративные устройства Android Enterprise (COBO)
- Android Enterprise — выделенные корпоративные устройства (COSU)
- Корпоративные устройства Android Enterprise с рабочим профилем (COPE)
- Личные устройства Android Enterprise с рабочим профилем (BYOD)
Дополнительные сведения о различных вариантах регистрации Android см. в руководстве по регистрации Android.
Требования к конфигурации устройства
- Устройства, зарегистрированные в Intune, включая совместно управляемые устройства
- Управляемая учетная запись Google Play, связанная в центре администрирования Intune (Устройства >> Android Enrollment > Managed Google Play)
Требования к ролям
Чтобы настроить политики, используйте учетную запись со следующей ролью:
- Войдите в Центр администрирования Microsoft Intune с учетной записью со встроенной ролью Диспетчер политик и профилей. Дополнительные сведения о встроенных ролях см. в статье Управление доступом на основе ролей для Microsoft Intune.
Подготовка к работе
При создании политик ИИ их можно назначить группам "Все пользователи " и "Все устройства ". Несмотря на то, что это назначение является самым простым подходом, вы можете нацелить свои политики на определенных пользователей и устройства.
Дополнительные сведения см. в статьях
- Группы включения и исключения для назначения приложений, предназначенных для конкретных пользователей и устройств.
- Назначение политик в Intune, предназначенных для конкретных пользователей и устройств.
Для корпоративных устройств с рабочим профилем (COPE) и личных устройств с рабочим профилем (BYOD) большинство элементов управления доступны только в рабочем профиле. Они недоступны в личном профиле.
В этом руководстве показано, как заблокировать возможности ИИ. Если вы хотите разрешить определенные возможности ИИ, можно выполнить те же действия, но настроить их таким образом, чтобы они были разрешены вместо блокировки.
При создании и назначении политики устройства получают ее при следующем проверка с Intune. Дополнительные сведения см. в разделе интервалы обновления политики Intune.
Отображение ИИ в Android
На устройствах Android ИИ доступен несколькими способами:
- Приложения ИИ. Автономные приложения, такие как ChatGPT, Microsoft Copilot и Perplexity, можно скачать и использовать на устройствах.
- Веб-сайты ИИ . Пользователи могут получать доступ к веб-сайтам ИИ с помощью браузерных приложений, таких как Microsoft Edge и Chrome.
- Интерфейсы на основе экрана и помощника. Функции, интегрированные с ОС, которые считывают содержимое на экране (например, от круга до поиска) или предоставляют помощник справку, обычно устанавливаются и доступны по умолчанию.
- Службы ИИ на устройстве. Android может локально запускать базовую модель Nano Gemini на устройстве с помощью AICore. Такие приложения, как Сообщения, Recorder или GBoard, используют Gemini Nano для реагирования на сообщения, создания сводок и предложения смарт-ответов.
- Службы ИИ, относящиеся к изготовителям оборудования. Изготовители оборудования могут реализовать собственные возможности ИИ, такие как Galaxy AI от Samsung.
Блокировка приложений ИИ
✅ Цель. Конечные пользователи не могут устанавливать приложения ИИ из Магазина Google Play
Приложения ИИ, такие как ChatGPT, Copilot, Perplexity и Claude, можно установить из Магазина Google Play. Вы можете использовать Intune, чтобы запретить установку этих приложений на ваших устройствах.
Поддерживаемые типы регистрации:
- Корпоративные полностью управляемые устройства (COBO)
- Корпоративные выделенные устройства (COSU)
- Корпоративные устройства с рабочим профилем (COPE)
Шаг 1. Определение стратегии приложения
Определите стратегию приложений вашей организации — блокировать или разрешить:
Стратегия блокировки . Никакие приложения в Google Play Store не могут быть скачанны, если они не назначены администраторами. На устройстве доступны только назначенные приложения.
Эта стратегия используется по умолчанию для корпоративных устройств.
Разрешить стратегию . Все приложения можно скачать, если они не заблокированы администраторами.
Если для следующего параметра задано значение Разрешить в профиле конфигурации ограничений устройств, то ваша организация, вероятно, использует стратегию Разрешить. Этот параметр позволяет скачивать приложения, не указанные администратором:
- Устройств>Android Enterprise>Конфигурации>Создать>Новая политика>Шаблоны>Ограничения> устройствПриложений>Разрешить доступ ко всем приложениям в магазине Google Play
Шаг 2. Реализация стратегии приложения
На этом шаге реализуйте стратегию приложений, чтобы блокировать или разрешать приложения ИИ.
Стратегия блокировки (по умолчанию)
При использовании стратегии блокировки никакие приложения в Google Play Store не можно скачать, если это не разрешено явным образом. Выполните следующие действия, чтобы убедиться, что приложение, которое вы хотите заблокировать, еще не развернуто на ваших устройствах.
- В Центре администрирования Intune перейдите в раздел Приложения > Android > приложения android.
- Выберите имя > приложения Свойства.
- Убедитесь, что для параметра Назначения не задано значение Обязательно, не задано значение Доступно для зарегистрированных устройств или не задано значение Доступно с регистрацией или без регистрации.
Если все эти параметры не заданы, приложение не было развернуто политикой Intune. Если задан какой-либо из этих параметров, приложение развертывается. В этом сценарии можно изменить назначение на Удалить , чтобы удалить его с устройств.
Разрешить стратегию
С помощью стратегии Разрешить можно скачать все приложения в Google Play Store.
Определите, установлен ли параметр Разрешить доступ ко всем приложениям в магазине Google Play .
Если вы используете Copilot, вы можете попросить Copilot проверка этот параметр. Вы также можете создать новый профиль ограничений устройств, чтобы настроить этот параметр.
В Центре администрирования Intune перейдите в разделКонфигурация>устройств>Создание>политики.
Настройте следующие свойства и выберите Создать:
- Платформа: выберите Android Enterprise.
- Тип профиля: выберите Шаблоны>Полностью управляемые, Выделенные и Corporate-Owned Ограничения рабочего профиля>устройства.
Разверните категорию Приложения и установите для параметра Разрешить доступ ко всем приложениям в магазине Google Play значение Разрешить.
Нажмите кнопку Далее и продолжите создание профиля. Пошаговые инструкции см. в статье Создание профилей устройств.
Добавьте приложения, которые нужно заблокировать.
Когда они будут добавлены в Intune, вы можете заблокировать приложения. Затем они считаются управляемыми приложениями.
- В центре администрирования Intune перейдите в раздел Приложения > Android > Создание > управляемого приложения Google Play.
- Выберите приложение ИИ, которое вы хотите заблокировать >синхронизацию.
- Убедитесь, что приложение отображается в списке приложений > Android для Android>. Синхронизация может занять несколько минут.
Блокирует определенные приложения, назначая их для удаления:
Если приложения уже установлены на устройствах, при назначении их для удаления они удаляются с устройств.
- В Центре администрирования Intune перейдите в раздел Приложения > Android > приложения android.
- Выберите приложение ИИ, которое вы хотите удалить >Свойства.
- Выберите Изменить назначения>.
- В разделе Удаление добавьте группу, пользователей или устройства.
Блокировка веб-сайтов ИИ
✅ Цель . Блокировка веб-сайтов ИИ в приложениях веб-браузера
Политики конфигурации приложений Intune можно использовать для блокировки доступа к веб-сайтам ИИ в приложениях веб-браузера, таких как Microsoft Edge и Chrome. Заблокированы только те веб-сайты, которые вы вводите. Таким образом, вы также можете использовать этот подход, чтобы разрешить только определенные веб-сайты ИИ. Если вы используете несколько браузеров, необходимо создать отдельную политику для каждого приложения веб-браузера.
Поддерживаемые типы регистрации:
- Корпоративные полностью управляемые устройства (COBO)
- Корпоративные выделенные устройства (COSU)
- Корпоративные устройства с рабочим профилем (COPE)
- Личные устройства с рабочим профилем (BYOD)
Шаг 1. Добавление веб-браузера в качестве управляемого приложения
Чтобы настроить параметры браузера, сначала необходимо добавить приложение браузера в Intune, чтобы оно стало управляемым.
Инструкции см. в следующих разделах:
- Возможно, браузерное приложение встроено.
- Если приложение не встроено, вы можете добавить приложение браузера из Play Store.
Шаг 2. Создание политики конфигурации приложения
Выполните следующие действия, чтобы создать политику конфигурации приложений, которая настраивает приложение веб-браузера для блокировки доступа к веб-сайтам ИИ, которые вы вводите.
В Центре администрирования Intune перейдите в раздел Конфигурация > приложений > Создание > управляемых устройств.
В разделе Основные сведения настройте следующие свойства:
Имя. Введите имя политики, например Блокировать веб-сайты ИИ в Edge.
Платформа: выберите Android Enterprise.
Тип профиля: выберите тип регистрации:
- Только полностью управляемый, выделенный и Corporate-Owned рабочий профиль
- Устройства с личным рабочим профилем
Целевое приложение. Выберите приложение браузера, которое вы добавили, например Microsoft Edge или Chrome.
Нажмите кнопку Далее.
В разделе Параметры>Формат параметров конфигурации выберите Ввести данные JSON. Введите список URL-адресов для блокировки. Например, введите:
{ "key": "URLBlocklist", "valueStringArray": [ "https://chatgpt.com", "https://claude.ai", "https://copilot.microsoft.com", "https://perplexity.ai", "https://gemini.google.com" ] }Нажмите кнопку Далее и продолжите создание политики. Пошаговые инструкции см. в статье Добавление политик Конфигурация приложений для управляемых устройств Android Enterprise.
Блокировать возможности ИИ Screen-Driven
✅ Цель — блокировка функций, которые могут читать содержимое на экране
Функции ИИ могут читать содержимое на экране и предоставлять аналитические сведения & рекомендации на снимках экранах и содержимом, отображаемом на экране. Некоторые из этих функций встроены в ОС, например Circle to Search, а некоторые предоставляются помощник приложениями.
Чтобы заблокировать эти функции, можно использовать Intune, чтобы ограничить возможности снимка экрана и заблокировать общий доступ к содержимому с привилегированными приложениями.
-
полностью управляемое устройство.
Выделенный - Корпоративный с рабочим профилем
- Личные с рабочим профилем
Поддерживаемые типы регистрации:
- Корпоративные полностью управляемые устройства (COBO)
- Корпоративные выделенные устройства (COSU)
Шаг 1. Реализация базового покрытия
На этом шаге создается политика каталога параметров, которая настраивает параметр Блокировать общий доступ к содержимому с привилегированными приложениями .
Этот параметр блокирует отправку содержимого, например снимков экрана и сведений о приложении, в привилегированное приложение, например в приложение помощник. Этот параметр можно использовать для возможностей ИИ Android, таких как от круга до поиска. Этот параметр не влияет на общие возможности снимка экрана.
В Центре администрирования Intune перейдите в раздел Конфигурация > устройств > Создать > политику.
Укажите следующие свойства:
- Платформа: выберите Android Enterprise.
- Тип профиля: выберите Каталог параметров.
Нажмите Создать.
В разделе Основные сведения введите имя профиля и нажмите кнопку Далее.
Выберите Добавить параметры.
Выберите параметр Общие категория >Блокировать предоставление общего доступа к содержимому с привилегированными приложениями . Задайте для параметра значение True.
Нажмите кнопку Далее и продолжите создание профиля. Пошаговые инструкции см. в разделе Использование каталога параметров Intune для настройки параметров.
Шаг 2. Реализация комплексного покрытия (необязательно)
Для более полной защиты можно также ограничить возможности снимка экрана и другие функции, блокируя снимки экрана.
Этот параметр блокирует доступ функций ИИ к экранным содержимому, но также отключает снимки экрана на уровне устройства.
В Центре администрирования Intune перейдите в раздел Конфигурация > устройств > Создать > политику.
Укажите следующие свойства:
- Платформа: выберите Android Enterprise.
- Тип профиля: выберите Каталог параметров.
Нажмите Создать.
В разделе Основные сведения введите имя профиля и нажмите кнопку Далее.
Выберите Добавить параметры.
Выберите параметр Общие категория >Запись экрана блокировки . Задайте для параметра значение True.
Этот параметр блокирует доступ функций ИИ к содержимому на экране. Пользователи не могут делать снимки экрана на устройстве.
Нажмите кнопку Далее и продолжите создание профиля. Пошаговые инструкции см. в разделе Использование каталога параметров Intune для настройки параметров.
Отключение системного приложения ИИ на устройстве
✅ Цель — блокировка локальной обработки ИИ Google
Gemini Nano — это базовая модель Google на устройстве, которая обрабатывает взаимодействие СИ на устройстве. Он включает возможности сводки ИИ и ответа на сообщения в сообщениях, регистраторе, GBoard и других службах. Для отключения системного приложения AICore можно использовать Intune.
Поддерживаемые типы регистрации:
- Корпоративные полностью управляемые устройства (COBO)
- Корпоративные выделенные устройства (COSU)
- Корпоративные устройства с рабочим профилем (COPE)
- Личные устройства с рабочим профилем (BYOD)
Чтобы отключить системное приложение AICore, выполните следующие действия.
В Центре администрирования Intune выберите Приложения > Android > Создать.
В разделе Выбор типа приложения выберите Другое > системное приложение Android Enterprise и нажмите кнопку Выбрать.
В разделе Сведения о приложении настройте следующие свойства и нажмите кнопку Далее:
-
Имя: введите
AICore. -
Издатель: введите
Google Android. -
Имя пакета: введите
com.google.android.aicore.
-
Имя: введите
В разделе Теги области выберите Далее.
В разделе Удаление назначений >выберите назначения групп для приложения. При нажатии кнопки Удалить приложение отключается.
Нажмите кнопку Далее.
В разделе Просмотр и создание просмотрите значения и параметры, введенные для приложения. После завершения нажмите Создать.
Отключение возможностей ИИ OEM-Specific
✅ Цель. Отключение функций ИИ, предоставляемых oem
Изготовители оборудования могут включать свои собственные функции и возможности ИИ на устройстве, такие как возможности ИИ Samsung Galaxy через подключаемый модуль службы Knox. Управление этими функциями обычно осуществляется через приложение OEMConfig. С помощью Intune можно настроить приложение OEMConfig для управления этими функциями ИИ.
Чтобы настроить приложение OEMConfig, необходимо знать параметры ИИ, доступные в приложении. Обратитесь к изготовителям оборудования, чтобы получить список доступных элементов управления ИИ в приложениях OEMConfig.
Список поддерживаемых приложений OEMConfig см. в статье OEMConfig в Intune — поддерживаемые приложения OEMConfig.
Поддерживаемые типы регистрации:
- Корпоративные полностью управляемые устройства (COBO)
- Корпоративные выделенные устройства (COSU)
- Корпоративные устройства с рабочим профилем (COPE)
- Личные устройства с рабочим профилем (BYOD)
Выполните следующие действия, чтобы добавить, развернуть и настроить приложение OEMConfig и его возможности ИИ.
Шаг 1. Добавление приложения OEMConfig
- В центре администрирования Intune перейдите в раздел Приложения > Android > Создание > управляемого приложения > Google Play Выберите.
- Выберите приложение OEMConfig, которое вы хотите настроить.
- Нажмите кнопку>Синхронизировать.
Убедитесь, что приложение отображается в списке (приложения Android > для Android>). Синхронизация может занять несколько минут.
Шаг 2. Развертывание приложения OEMConfig
В Центре администрирования Intune перейдите в раздел Приложения > Android > приложения android.
Выберите добавленное приложение OEMConfig.
Выберите Свойства>Назначения>Изменить.
Добавьте группу и (или) пользователей к следующим назначениям:
- Обязательный
- Доступно для зарегистрированных устройств
- Доступно с регистрацией или без нее
Еще раз просмотрите изменения и сохраните их.
Шаг 3. Настройка приложения OEMConfig
В центре администрирования Intune перейдите в раздел Устройства > Управление устройствами > Конфигурация > Создание > новой политики.
Укажите следующие свойства:
- Платформа: выберите Android Enterprise.
- Тип профиля: выберите Шаблоны > OEMConfig.
Нажмите Создать.
В разделе Основные сведения настройте следующие свойства и нажмите кнопку Далее:
- Имя. Введите имя профиля.
- Приложение OEMConfig. Выберите приложение OEMConfig, которое вы добавили и назначили.
В разделе Параметры конфигурации выберите Конструктор конфигураций или Редактор JSON , чтобы настроить параметры, доступные в приложении OEMConfig. Если выбрать конструктор конфигураций, возможно, вы сможете использовать поле поиска Найти для поиска параметров, связанных с ИИ.
Доступные параметры зависят от выбранного приложения OEMConfig. Обратитесь к изготовителю оборудования, чтобы получить список доступных элементов управления ИИ в приложениях OEMConfig.
Нажмите кнопку Далее и продолжите создание профиля. Пошаговые инструкции см. в статье Использование устройств Android Enterprise и управление ими с помощью OEMConfig.
Убедитесь, что вы назначаете профиль тем же группам и (или) пользователям, которым вы назначили приложение OEMConfig.