次の方法で共有

AI を条件付きアクセス ポリシーで保護する

  • [アーティクル]

Microsoft Security CopilotMicrosoft 365 Copilot などの生成人工知能 (AI) サービスは、適切に使用すれば組織に価値をもたらします。 Microsoft Entra 条件付きアクセス ポリシーなどの既存の機能を使用して、これらのサービスが不適切に使用されないようにする保護を実現できます。

これらの生成 AI サービスへの条件付きアクセス ポリシーの適用は、すべてのユーザー、リスクのあるユーザーまたはサインインインサイダー リスクのあるユーザーのすべてのリソースを対象とする既存のポリシーを使用して実現できます。

この記事では、Microsoft Security Copilot や Microsoft 365 Copilot などの特定の生成 AI サービスをポリシー適用の対象にする方法について説明します。

PowerShell を使用して、対象にできるサービス プリンシパルを作成する

これらの生成 AI サービスを個別に対象にするには、組織は次のサービス プリンシパルを作成して、条件付きアクセス アプリ ピッカーで使用できるようにする必要があります。 次の手順では、Microsoft Graph PowerShell SDK の一部である New-MgServicePrincipal コマンドレットを使用してこれらのサービス プリンシパルを追加する方法を示します。

# Connect with the appropriate scopes to create service principals
Connect-MgGraph -Scopes "Application.ReadWrite.All"

# Create service principal for the service Enterprise Copilot Platform (Microsoft 365 Copilot)
New-MgServicePrincipal -AppId fb8d773d-7ef8-4ec0-a117-179f88add510

# Create service principal for the service Security Copilot (Microsoft Security Copilot) 
New-MgServicePrincipal -AppId bb5ffd56-39eb-458c-a53a-775ba21277da

条件付きアクセス ポリシーを作成する

Microsoft 365 Copilot や Microsoft Security Copilot などのサービスを採用している組織では、セキュリティ要件を満たすユーザーのみがアクセスできるようにしたいと考えています。 次に例を示します。

  • 生成 AI サービスのすべてのユーザーが、フィッシングに強い MFA を実行する必要があります
  • インサイダー リスクが中程度の場合、生成 AI サービスのすべてのユーザーが、準拠しているデバイスからアクセスする必要があります
  • インサイダー リスクが上昇した場合は、生成 AI サービスのすべてのユーザーがブロックされます

ヒント

次の条件付きアクセス ポリシーは、埋め込みエクスペリエンスではなくスタンドアロン エクスペリエンスを対象としています。

ユーザーの除外

条件付きアクセス ポリシーは強力なツールであり、次のアカウントをポリシーから除外することをお勧めします。

  • ポリシー構成の誤りによるロックアウトを防ぐための緊急アクセスまたはブレークグラス アカウント。 すべての管理者がロックアウトされるというごくまれなシナリオにおいて、緊急アクセス用管理アカウントは、ログインを行い、アクセスを復旧させるための手順を実行するために使用できます。
  • サービス アカウントサービス プリンシパル (Microsoft Entra Connect 同期アカウントなど)。 サービス アカウントは、特定のユーザーに関連付けられていない非対話型のアカウントです。 通常、アプリケーションへのプログラムによるアクセスを可能にするバックエンド サービスによって使用されますが、管理目的でシステムにログインするときにも使用されます。 サービス プリンシパルによる呼び出しは、ユーザーにスコーピングされる条件付きアクセス ポリシーによってブロックされません。 ワークロード ID の条件付きアクセスを使用して、サービス プリンシパルを対象とするポリシーを定義します。
    • 組織がスクリプトまたはコードでこれらのアカウントを使用している場合、マネージド ID に置き換えることを検討してください。

生成 AI サービスのすべてのユーザーが、フィッシングに強い MFA を実行する必要があります

次の手順は、認証強度ポリシーを使用してすべてのユーザーに対して多要素認証の実行を必須にする条件付きアクセス ポリシーを作成するのに役立ちます。

警告

外部認証方法を使用する場合、現在は認証強度と互換性がないため、多要素認証を要求するという許可の制御を使用する必要があります。

  1. 条件付きアクセス管理者以上として Microsoft Entra 管理センターにサインインします。
  2. [保護]>[条件付きアクセス]>[ポリシー] に移動します。
  3. [新しいポリシー] を選択します。
  4. ポリシーに名前を付けます。 ポリシーの名前に対する意味のある標準を組織で作成することをお勧めします。
  5. [割り当て] で、 [ユーザーまたはワークロード ID] を選択します。
    1. [Include](含める) で、 [すべてのユーザー] を選択します。
    2. [対象外] で、[ユーザーとグループ] を選択し、組織の緊急アクセス用または非常用アカウントを選択します。
  6. [ターゲット リソース]>[リソース] (以前の [クラウド アプリ])>[対象]>[リソースの選択] で、以下を選択します。
    1. Enterprise Copilot Platform fb8d773d-7ef8-4ec0-a117-179f88add510 (Microsoft 365 Copilot)
    2. Security Copilot bb5ffd56-39eb-458c-a53a-775ba21277da (Microsoft Security Copilot)
  7. [アクセス制御]>[許可] で、 [アクセス権の付与] を選択します。
    1. [認証強度を要求する] を選択し、一覧から組み込みの認証強度である [フィッシングに強い MFA] を選択します。
    2. [選択] を選択します。
  8. 設定を確認し、 [ポリシーの有効化][レポート専用] に設定します。
  9. [作成] を選択して、ポリシーを作成および有効化します。

管理者は、レポート専用モードを使用して設定を確認したら、[ポリシーの有効化] トグルを [レポートのみ] から [オン] に移動できます。

インサイダー リスクが中程度の場合、生成 AI サービスのすべてのユーザーが、準拠しているデバイスからアクセスする必要があります

ヒント

次のポリシーを作成する前に、適応型保護を構成します。

Microsoft Intune で作成されたコンプライアンス ポリシーがない場合、この条件付きアクセス ポリシーは意図したとおりに機能しません。 先にコンプライアンス ポリシーを作成し、少なくとも 1 つの準拠デバイスがあることを続行する前に確認します。

  1. 条件付きアクセス管理者以上として Microsoft Entra 管理センターにサインインします。
  2. [保護]>[条件付きアクセス]>[ポリシー] に移動します。
  3. [新しいポリシー] を選択します。
  4. ポリシーに名前を付けます。 ポリシーの名前に対する意味のある標準を組織で作成することをお勧めします。
  5. [割り当て] で、 [ユーザーまたはワークロード ID] を選択します。
    1. [Include](含める) で、 [すべてのユーザー] を選択します。
    2. [除外] で、次のようにします。
      1. [ユーザーとグループ] を選択し、組織の緊急アクセス用または非常用アカウントを選択します。
      2. [ゲストまたは外部ユーザー] を選択し、次の内容を選択します。
        1. B2B 直接接続ユーザー
        2. サービス プロバイダー ユーザー
        3. その他の外部ユーザー
  6. [ターゲット リソース]>[リソース] (以前の [クラウド アプリ])>[対象]>[リソースの選択] で、以下を選択します。
    1. Enterprise Copilot Platform fb8d773d-7ef8-4ec0-a117-179f88add510 (Microsoft 365 Copilot)
    2. Security Copilot bb5ffd56-39eb-458c-a53a-775ba21277da (Microsoft Security Copilot)
  7. [条件]>[インサイダー リスク] で、[構成][はい] に設定します。
    1. [ポリシーを適用するために割り当てる必要があるリスク レベルを選択する]
      1. [中] を選択します。
      2. 完了 を選択します。
  8. [アクセス管理]>[許可] で。
    1. [デバイスは準拠としてマーク済みである必要があります] を選択します。
    2. [選択] を選択します。
  9. 設定を確認し、 [ポリシーの有効化][レポート専用] に設定します。
  10. [作成] を選択して、ポリシーを作成および有効化します。

管理者は、レポート専用モードを使用して設定を確認したら、[ポリシーの有効化] トグルを [レポートのみ] から [オン] に移動できます。

インサイダー リスクが上昇した場合は、生成 AI サービスのすべてのユーザーがブロックされます

ヒント

次のポリシーを作成する前に、適応型保護を構成します。

  1. 条件付きアクセス管理者以上として Microsoft Entra 管理センターにサインインします。
  2. [保護]>[条件付きアクセス]>[ポリシー] に移動します。
  3. [新しいポリシー] を選択します。
  4. ポリシーに名前を付けます。 ポリシーの名前に対する意味のある標準を組織で作成することをお勧めします。
  5. [割り当て] で、 [ユーザーまたはワークロード ID] を選択します。
    1. [Include](含める) で、 [すべてのユーザー] を選択します。
    2. [除外] で、次のようにします。
      1. [ユーザーとグループ] を選択し、組織の緊急アクセス用または非常用アカウントを選択します。
      2. [ゲストまたは外部ユーザー] を選択し、次の内容を選択します。
        1. B2B 直接接続ユーザー
        2. サービス プロバイダー ユーザー
        3. その他の外部ユーザー
  6. [ターゲット リソース]>[リソース] (以前の [クラウド アプリ])>[対象]>[リソースの選択] で、以下を選択します。
    1. Enterprise Copilot Platform fb8d773d-7ef8-4ec0-a117-179f88add510 (Microsoft 365 Copilot)
    2. Security Copilot bb5ffd56-39eb-458c-a53a-775ba21277da (Microsoft Security Copilot)
  7. [条件]>[インサイダー リスク] で、[構成][はい] に設定します。
    1. [ポリシーを適用するために割り当てる必要があるリスク レベルを選択する]
      1. [昇格済み] を選択します。
      2. 完了 を選択します。
  8. [アクセス制御]>[許可] で、 [アクセスのブロック][選択] の順に選択します。
  9. 設定を確認し、 [ポリシーの有効化][レポート専用] に設定します。
  10. [作成] を選択して、ポリシーを作成および有効化します。

管理者は、レポート専用モードを使用して設定を確認したら、[ポリシーの有効化] トグルを [レポートのみ] から [オン] に移動できます。

関連するコンテンツ