Предотвращение совместного использования через Microsoft Edge для бизнеса неуправляемых приложений ИИ с управляемых устройств

В этой статье используется процесс, который вы узнали в статье Разработка политики защиты от потери данных, чтобы показать, как создать политику защиты от потери данных (DLP) Microsoft Purview, которая помогает предотвратить передачу конфиденциальной информации с управляемых организацией устройств в неуправляемые приложения ИИ в Microsoft Edge для бизнеса. Проработайте этот сценарий в тестовой среде, чтобы ознакомиться с пользовательским интерфейсом создания политики.

Используйте этот сценарий, чтобы использовать браузер Edge для бизнеса в качестве точки управления, чтобы заблокировать общий доступ к конфиденциальной информации в неуправляемых приложениях ИИ. Созданная здесь политика применяется к устройствам Windows, управляемым Microsoft Intune.

Важно!

В этой статье представлен гипотетический сценарий с гипотетическими значениями. Это только в иллюстративных целях. Замените собственные типы конфиденциальной информации, метки конфиденциальности, группы рассылки и пользователей.

Развертывание политики так же важно, как и ее проектирование. В этой статье показано, как использовать варианты развертывания, чтобы политика достигла вашего намерения, избегая дорогостоящих сбоев в работе.

Необходимые условия

В этой процедуре используются гипотетические группы рассылки, одна из них называется Finance Team, и другая группа для группы безопасности.

Важно!

Прежде чем приступить к этой процедуре, ознакомьтесь с разделом Сведения о защите от потери данных для облачных приложений в Edge для бизнеса. В нем содержатся важные сведения о предварительных требованиях и допущениях для этого сценария.

Реализация политик защиты от потери данных для неуправляемых приложений в браузере выполняется следующим образом:

  1. Создайте политику защиты от потери данных, предназначенную для неуправляемых приложений, в браузере (процедура, описанная в этой статье) на портале Защита от потери данных Microsoft Purview.

  2. Создание политики защиты от потери данных активирует Служба управления Microsoft Edge автоматически создавать необходимые политики конфигурации для активации политик защиты от потери данных в Edge для бизнеса. Политики конфигурации используют политики Microsoft Intune для полной активации политик Microsoft Purview в Microsoft Edge.

  3. (необязательно) Создайте политику сбора , которая предназначена для неуправляемых приложений в браузере, чтобы определить другой общий доступ к конфиденциальным данным в организации.

Важно!

Активация политики защиты от потери данных Purview для неуправляемых облачных приложений автоматически добавляет включенных пользователей в необходимые политики конфигурации Microsoft Edge. Если политика защиты от потери данных Purview настроена на блокировку, они блокируют использование незащищенных браузеров, где политика не применяется. Взаимодействие с Edge для бизнеса не влияет. Дополнительные сведения см. в статье Активация политики Microsoft Purview в Microsoft Edge.

Выставление счетов

Эта функция использует выставление счетов с оплатой по мере использования или лицензирование на пользователя для возможностей Microsoft Purview или и того, и другого. Чтобы помочь вам понять использование и управлять ими, Microsoft Purview предоставляет центр использования на портале Microsoft Purview. Дополнительные сведения см. в статье Управление использованием лицензий с оплатой по мере использования и лицензированием на пользователя. Дополнительные сведения о выставлении счетов Purview см. в статье Модели выставления счетов Purview.

Оператор намерения политики и сопоставление

Нам необходимо запретить членам финансовой команды предоставлять доступ к конфиденциальной информации в неуправляемых приложениях ИИ в Edge для бизнеса. Другие команды не имеют доступа к этой очень конфиденциальной информации, поэтому блок должен применяться только к этой команде. Если их запросы содержат такие сведения, как банковский счет, маршрутизация или номера SWIFT наших международных клиентов, общий доступ блокируется. Мы также должны соответствовать требованиям к оповещениям. Мы хотим уведомлять нашу службу безопасности по электронной почте каждый раз, когда есть совпадение с политикой. Наконец, мы хотим, чтобы политика начала действовать как можно скорее после тестирования и должна иметь возможность видеть связанные действия в системе.

Statement Ответы на вопрос о конфигурации и сопоставление конфигурации
Нам нужно запретить членам финансовой команды делиться конфиденциальной информацией в неуправляемых приложениях ИИ через Edge... — Выберите, где применить политику: Edge для бизнес-административных
область: Полный каталог
. Где применить политику: адаптивные области приложений Все неуправляемые > приложения ИИ
Другие команды не имеют доступа к этой информации, поэтому блок должен применяться только к этой команде... - область для каждого приложения", конкретные пользователи и группы, Включение пользователей и групп>Финансовое управление
Если их текстовые запросы содержат такие сведения, как банковский счет, маршрутизация или номера SWIFT наших международных клиентов, общий доступ должен быть заблокирован. Что следует отслеживать: — используйте настраиваемый шаблон
политики. Условия для соответствия: Содержимое содержит типы> конфиденциальной информации:номер маршрутизации ABA, номер банковского счета Австралии, номер банковского счета Канады, номер международного банковского счета (IBAN),номер банковского счета в Израиле, номер банковского счета в Японии, номер банковского счета Новой Зеландии, код SWIFT, номер
банковского счета США— действие: Ограничение действий> браузера и сетиБлок отправки> текстаиблок отправки > файлов
Мы также должны соответствовать требованиям к оповещениям. Мы хотим уведомлять нашу службу безопасности по электронной почте каждый раз, когда есть совпадение с политикой. — Отчеты об инцидентах. Отправка оповещения администраторам при совпадении
правил. Отправка оповещений по электронной почте этим людям (необязательно): добавьте команду
безопасности— отправлять оповещение каждый раз, когда действие соответствует правилу: выбрано
— используйте отчеты об инцидентах по электронной почте, чтобы уведомить вас о совпадении политики: отправка
уведомлений этим людям: добавьте отдельных администраторов по мере
необходимости. Вы также можете включить в отчет следующую информацию: Выбор всех параметров
... Наконец, мы хотим, чтобы это войти в силу как можно скорее после тестирования и должны иметь возможность видеть связанные действия в системе.... Режим политики: включено в моделировании

Действия по созданию политики

  1. Войдите на портал Microsoft Purview.
  2. ВыберитеПолитики>защиты от> потери данных + Создать политику.
  3. Выберите Встроенный веб-трафик.
  4. Выберите Настраиваемые в списке Категории , а затем выберите Пользовательская политика в списке Правила .
  5. Нажмите кнопку Далее.
  6. Введите имя политики и укажите описание. Инструкцию намерения политики можно использовать здесь.

Важно!

Нельзя переименовать политики.

  1. Нажмите кнопку Далее.
  2. Выберите + Добавить облачные приложения > Адаптивные области приложений
    1. Выберите Все неуправляемые приложения > ИИ Добавить. Неуправляемые приложения в категории Generative AI включены в эту область.

Важно!

Не все неуправляемые приложения ИИ поддерживаются в Edge для бизнеса. Области адаптивных приложений применяются только к поддерживаемым неуправляемыми приложениями ИИ в Edge для бизнеса. Дополнительные сведения см. в статье Дополнительные сведения о поддерживаемых приложениях.

  1. Выберите Изменитьобласть

  2. Выберите Включить только определенный

  3. Выберите + Добавить включения

  4. Выберите Команду по финансам

  5. Нажмите кнопку Добавить , а затем нажмите кнопку Сохранить и Закрыть , а затем нажмите кнопку Далее.

  6. На шаге Выбор места применения политики выберите Edge для бизнеса.

  7. На странице Определение параметров политики уже должен быть выбран параметр Создать или настроить расширенные правила защиты от потери данных .

  8. Нажмите кнопку Далее.

  9. На странице Настройка расширенных правил защиты от потери данных выберите + Создать правило.

  10. Введите имя и описание правила.

  11. Выберите Добавить условие и используйте следующие значения:

    1. Выберите Содержимое содержит.
    2. Выберите Добавить>типы>конфиденциальной информации. Типы> конфиденциальной информации:номер маршрутизации ABA, номер банковского счета Австралии, номер банковского счета Канады, номер международного банковского счета (IBAN),номер банковского счета в Израиле, номер банковского счета в Японии, номер банковского счета Новой Зеландии, код SWIFT, номер банковского счета США.

  12. Нажмите Добавить.

  13. В разделе Действия добавьте действие со следующими значениями:

    1. Ограничение действий браузера и сети

    2. Текст, отправленный в облачные приложения или приложения ИИ или общий доступ к ним>Блок

    3. Файл, отправленный в облако или блок приложения > ИИ или общий доступ к ним

  14. В разделе Отчеты об инцидентах выберите:

    1. Установите для параметра Использовать этот уровень серьезности в оповещениях и отчетах администратора значение Низкий.
    2. Установите переключатель Отправить оповещение администраторам при совпадении правила в значение Вкл.
    3. В разделе Отправка оповещений по электронной почте этим людям (необязательно) выберите + Добавить или удалить пользователей , а затем добавьте адрес электронной почты группы безопасности.

  15. Нажмите кнопку Сохранить , а затем нажмите кнопку Далее.

  16. На странице Режим политики выберите Запустить политику в режиме имитации.

  17. Нажмите кнопку Далее , а затем — Отправить.

  18. Нажмите кнопку Готово.

  19. Служба управления Microsoft Edge автоматически создает необходимые политики конфигурации и политики Microsoft Intune для активации политик Microsoft Purview в Microsoft Edge. Для администрирования Microsoft Intune и администрирования Microsoft Edge на этом шаге требуются дополнительные разрешения.

Важно!

Если автоматическое поведение не синхронизируется , Microsoft Purview отображает сообщение об ошибке, а политики не применяются в Edge для бизнеса. Для устранения ошибки Администратор с необходимыми разрешениями необходимо выполнить повторную синхронизацию. Дополнительные сведения см. в статье Активация политики Microsoft Purview в Microsoft Edge.

Примечание.

Если действие политики настроено как Блокировать, пользователи на уровне устройства не могут открывать Firefox и другие браузеры. Они также не могут открывать Chrome, если расширение Microsoft Purview для Chrome не установлено или устарело. В Chrome с расширением Microsoft Purview доступ к динамическому набору генерирующих приложений ИИ блокируется. Дополнительные сведения см. в статье Активация политик Microsoft Purview в Microsoft Edge.

Действия по проверке результатов политики в обозревателе действий Microsoft Purview

Инструкции по мониторингу и просмотру действий в обозревателе действий см. в статье Начало работы с обозревателем действий.

Действия по проверке результатов политики Microsoft Purview в Microsoft Defender

Инструкции по изучению и реагированию с помощью Microsoft Defender см. в статье Исследование и реагирование.

  • Last updated on