Compartilhar via

Proteger a IA com a política de acesso condicional

Serviços de IA (Inteligência Artificial Generativa), como o Microsoft Security Copilot e o Microsoft 365 Copilot, quando usados adequadamente, agregam valor à sua organização. A proteção desses serviços contra uso indevido pode ser feita com recursos existentes, como a política de acesso condicional do Microsoft Entra.

A aplicação da política de Acesso Condicional a esses serviços de IA Generativa pode ser realizada por meio de suas políticas existentes que visam todos os recursos para todos os usuários, usuários arriscados, entradas e usuários com risco interno.

Esse artigo mostra como direcionar serviços específicos de IA generativa, como o Microsoft Security Copilot e o Microsoft 365 Copilot para aplicação de políticas.

Criar entidades de serviço direcionáveis usando o PowerShell

Para direcionar individualmente esses serviços de IA generativa, as organizações devem criar as entidades de serviço a seguir para disponibilizá-las no seletor de aplicativos de acesso condicional. As etapas a seguir mostram como adicionar essas entidades de serviço usando o cmdlet New-MgServicePrincipal , parte do SDK do Microsoft Graph PowerShell.

# Connect with the appropriate scopes to create service principals
Connect-MgGraph -Scopes "Application.ReadWrite.All"

# Create service principal for the service Enterprise Copilot Platform (Microsoft 365 Copilot)
New-MgServicePrincipal -AppId fb8d773d-7ef8-4ec0-a117-179f88add510

# Create service principal for the service Security Copilot (Microsoft Security Copilot) 
New-MgServicePrincipal -AppId bb5ffd56-39eb-458c-a53a-775ba21277da

Criar políticas de acesso condicional

Como uma organização que adota serviços como o Microsoft 365 Copilot e o Microsoft Security Copilot, você quer garantir que o acesso seja feito apenas por usuários que atendem aos seus requisitos de segurança. Por exemplo:

  • Todos os usuários de serviços de IA generativa devem concluir a autenticação multifatorial resistente a phishing.
  • Todos os usuários dos serviços de IA generativa devem acessar de um dispositivo em conformidade quando o risco interno é moderado
  • Todos os usuários dos serviços de IA generativa são bloqueados quando o risco interno é elevado

Dica

As políticas de Acesso Condicional a seguir destinam-se às experiências autônomas, não às experiências inseridas.

Exclusões de usuários

As políticas de Acesso Condicional são ferramentas avançadas. É recomendável excluir as seguintes contas de suas políticas:

  • Contas de acesso de emergência ou segurança para evitar o bloqueio devido a configuração incorreta da política. No cenário improvável em que todos os administradores estão bloqueados, sua conta administrativa de acesso de emergência pode ser usada para entrar e recuperar o acesso.
  • Contas de serviço e entidades de serviço, como a conta de sincronização do Microsoft Entra Connect. As contas de serviço são contas não interativas que não estão vinculadas a nenhum usuário específico. Normalmente, eles são usados por serviços de back-end para permitir acesso programático a aplicativos, mas também são usados para entrar em sistemas para fins administrativos. As chamadas feitas por entidades de serviço não são bloqueadas pelas políticas de Acesso Condicional com escopo para os usuários. Use o Acesso Condicional para identidades de carga de trabalho para definir políticas direcionadas às entidades de serviço.

Todos os usuários de serviços de IA generativa devem concluir a autenticação multifatorial resistente a phishing.

As etapas a seguir ajudam a criar uma política de acesso condicional para exigir que todos os usuários façam autenticação multifator usando a política de força de autenticação.

Aviso

Se você usar métodos de autenticação externos, eles são atualmente incompatíveis com o nível de segurança de autenticação e você deve usar o controle de concessão Exigir autenticação multifator.

  1. Entre no Centro de administração do Microsoft Entra como pelo menos um Administrador de Acesso Condicional.
  2. Navegue até Entra ID>Acesso Condicional>Políticas.
  3. Selecione Nova política.
  4. Dê um nome à sua política. Recomendamos que as organizações criem um padrão significativo para os nomes de suas políticas.
  5. Em Atribuições, selecione Usuários ou identidades de carga de trabalho.
    1. Em Incluir, selecione Todos os usuários
    2. Em Excluir, selecione Usuários e grupos e escolha o acesso de emergência ou as contas de interrupção da sua organização.
  6. Em Recursos de destino>Recursos (anteriormente aplicativos de nuvem)>Incluir>Selecionar recursos, selecione:
    1. Enterprise Copilot Platform fb8d773d-7ef8-4ec0-a117-179f88add510 (Microsoft 365 Copilot)
    2. Copiloto de segurança bb5ffd56-39eb-458c-a53a-775ba21277da (Copiloto de segurança da Microsoft)
  7. Em Controles de acesso>Conceda, selecione Conceder acesso.
    1. Selecione Exigir força de autenticação e, em seguida, selecione a força de autenticação MFA resistente a phishing interna na lista.
    2. Selecione Selecionar.
  8. Confirme suas configurações e defina Habilitar política com Somente relatório.
  9. Selecione Criar para criar para habilitar sua política.

Depois de confirmar suas configurações usando o impacto da política ou o modo somente relatório, mova a alternância habilitar a política de somente relatório para Ativar.

Todos os usuários dos serviços de IA generativa devem acessar de um dispositivo em conformidade quando o risco interno é moderado

Dica

Configure a proteção adaptável antes de criar a política a seguir.

Sem uma política de conformidade criada no Microsoft Intune , essa política de Acesso Condicional não funcionará conforme o esperado. Primeiro crie uma política de conformidade e verifique se você tem pelo menos um dispositivo compatível antes de continuar.

  1. Entre no Centro de administração do Microsoft Entra como pelo menos um Administrador de Acesso Condicional.
  2. Navegue até Entra ID>Acesso Condicional>Políticas.
  3. Selecione Nova política.
  4. Dê um nome à sua política. Recomendamos que as organizações criem um padrão significativo para os nomes de suas políticas.
  5. Em Atribuições, selecione Usuários ou identidades de carga de trabalho.
    1. Em Incluir, selecione Todos os usuários
    2. Em Excluir:
      1. Selecione Usuários e grupos e escolha o acesso de emergência ou de break-glass da sua organização.
      2. Selecione Usuários convidados ou externos e escolha o seguinte:
        1. Usuários da conexão direta de B2B
        2. Usuários do provedor de serviços.
        3. Outros usuários externos.
  6. Em Recursos de destino>Recursos (anteriormente aplicativos de nuvem)>Incluir>Selecionar recursos, selecione:
    1. Enterprise Copilot Platform fb8d773d-7ef8-4ec0-a117-179f88add510 (Microsoft 365 Copilot)
    2. Copiloto de segurança bb5ffd56-39eb-458c-a53a-775ba21277da (Copiloto de segurança da Microsoft)
  7. Em Condições>de Risco interno, defina Configurar como Sim.
    1. Em Selecionar os níveis de risco que devem ser atribuídos para impor a política.
      1. Selecione Moderado.
      2. Selecione Concluído.
  8. Em Controles de acesso>Conceder.
    1. Selecione Exigir que o dispositivo seja marcado como compatível.
    2. Selecione Selecionar.
  9. Confirme suas configurações e defina Habilitar política com Somente relatório.
  10. Selecione Criar para criar para habilitar sua política.

Depois de confirmar suas configurações usando o impacto da política ou o modo somente relatório, mova a alternância habilitar a política de somente relatório para Ativar.

Todos os usuários dos serviços de IA generativa são bloqueados quando o risco interno é elevado

Dica

Configure a proteção adaptável antes de criar a política a seguir.

  1. Entre no Centro de administração do Microsoft Entra como pelo menos um Administrador de Acesso Condicional.
  2. Navegue até Entra ID>Acesso Condicional>Políticas.
  3. Selecione Nova política.
  4. Dê um nome à sua política. Recomendamos que as organizações criem um padrão significativo para os nomes de suas políticas.
  5. Em Atribuições, selecione Usuários ou identidades de carga de trabalho.
    1. Em Incluir, selecione Todos os usuários.
    2. Em Excluir:
      1. Selecione Usuários e grupos e escolha o acesso de emergência ou de break-glass da sua organização.
      2. Selecione Usuários convidados ou externos e escolha o seguinte:
        1. Usuários da conexão direta de B2B
        2. Usuários do provedor de serviços.
        3. Outros usuários externos.
  6. Em Recursos de destino>Recursos (anteriormente aplicativos de nuvem)>Incluir>Selecionar recursos, selecione:
    1. Enterprise Copilot Platform fb8d773d-7ef8-4ec0-a117-179f88add510 (Microsoft 365 Copilot)
    2. Copiloto de segurança bb5ffd56-39eb-458c-a53a-775ba21277da (Copiloto de segurança da Microsoft)
  7. Em Condições>de Risco interno, defina Configurar como Sim.
    1. Em Selecionar os níveis de risco que devem ser atribuídos para impor a política.
      1. Selecione Elevado.
      2. Selecione Concluído.
  8. Em Controles de acesso>Concessão, selecione Bloquear acesso e selecione Escolher.
  9. Confirme suas configurações e defina Habilitar política com Somente relatório.
  10. Selecione Criar para criar para habilitar sua política.

Depois de confirmar suas configurações usando o impacto da política ou o modo somente relatório, mova a alternância habilitar a política de somente relatório para Ativar.

Conteúdo relacionado

  • Last updated on