Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Man mano che il panorama digitale si evolve rapidamente, le organizzazioni in vari settori adottano sempre più Generative Artificial Intelligence (Gen AI) per favorire l'innovazione e migliorare la produttività. Uno studio di ricerca recente indica che il 93% delle aziende sta implementando o sviluppando una strategia di IA. Approssimativamente la stessa percentuale di leader del rischio segnala la sensazione di non essere preparata o solo in qualche modo preparata per affrontare i rischi associati. Man mano che si integra l'intelligenza artificiale di generazione nelle operazioni, è necessario attenuare i rischi significativi per la sicurezza e la governance.
Microsoft Entra offre una suite completa di funzionalità per gestire in modo sicuro le applicazioni di intelligenza artificiale, controllare in modo appropriato l'accesso e proteggere i dati sensibili:
- Microsoft Entra ID Governance
- Accesso Condizionale di Microsoft Entra
- Microsoft Entra Privileged Identity Management (PIM)
- Rischio Insider di Microsoft Purview
Questo articolo illustra le problematiche di sicurezza specifiche poste dall'intelligenza artificiale di generazione e come risolverle con le funzionalità offerte da Microsoft Entra.
Individuare le identità sovraprivilegiate
Assicurarsi che gli utenti dispongano delle autorizzazioni appropriate per rispettare il principio di privilegi minimi. In base ai dati di telemetria, oltre il 90% delle identità usa meno del 5% delle autorizzazioni concesse. Oltre il 50% di queste autorizzazioni è ad alto rischio. Gli account compromessi possono causare danni irreversibili.
La gestione dell'ambiente multicloud è difficile perché i team di gestione delle identità e degli accessi (IAM) e i team di sicurezza devono spesso collaborare tra le funzionalità. Gli ambienti multicloud possono limitare la visualizzazione completa in identità, autorizzazioni e risorse. Questa visualizzazione limitata aumenta la superficie di attacco sulle identità con ruoli con privilegi elevati e sugli account autorizzati. Il rischio di account inutilizzati compromessi con autorizzazioni elevate aumenta man mano che le organizzazioni adottano multicloud.
Identificare gli account non umani
Gli account non umani hanno modelli ripetibili e hanno meno probabilità di cambiare nel tempo. Quando si identificano questi account, prendere in considerazione l'uso di identità gestite o del carico di lavoro.
Ridurre i ruoli secondo il principio di sicurezza Zero Trust di accesso con privilegi minimi. Prestare particolare attenzione alle identità con privilegi avanzati, ad esempio funzioni serverless e app. Considera i casi d'uso delle applicazioni di intelligenza artificiale generativa.
Imporre l'accesso just-in-time per i ruoli di Microsoft Entra
Microsoft Entra Privileged Identity Management (PIM) consente di gestire, controllare e monitorare l'accesso alle risorse in Microsoft Entra ID, Azure e altri Microsoft Online Services (ad esempio Microsoft 365 o Microsoft Intune). Gli utenti con privilegi non abilitati per PIM hanno accesso permanente (sempre nei ruoli assegnati anche quando non hanno bisogno dei propri privilegi). La pagina di individuazione e approfondimenti di PIM mostra assegnazioni permanenti di Amministratore Globale, account con ruoli altamente privilegiati e principali di servizio con assegnazioni di ruoli privilegiati. Quando vengono visualizzate queste autorizzazioni, tenere presente ciò che dovrebbe essere normale per l'ambiente in uso. Valutare la possibilità di ridurre questi ruoli o di ridurli a un accesso Just-In-Time (JIT) con assegnazioni idonee tramite PIM.
Direttamente all'interno della pagina di scoperta e approfondimenti, è possibile abilitare i ruoli PIM per ridurre l'accesso permanente. È possibile rimuovere completamente l'assegnazione se non necessitano di accesso con privilegi. È possibile creare una verifica di accesso per gli amministratori globali che chiede loro di esaminare regolarmente il proprio accesso.
Abilitare i controlli di accesso
L'aumento involontario delle autorizzazioni crea un rischio di accesso non autorizzato e di manipolazione non autorizzata dei dati aziendali. Proteggere le applicazioni di intelligenza artificiale con le stesse regole di governance applicate a tutte le risorse aziendali. Per raggiungere questo obiettivo, definire e implementare criteri di accesso granulari per tutti gli utenti e le risorse aziendali (incluse le app di Gen AI) con ID Governance e Accesso Condizionale di Microsoft Entra.
Assicurarsi che solo le persone giuste abbiano il livello di accesso corretto per le risorse appropriate. Automatizzare i cicli di vita degli accessi su larga scala attraverso controlli con la gestione delle autorizzazioni, flussi di lavoro del ciclo di vita, richieste di accesso, revisioni e scadenze.
Regola i processi utente di Joiner, Mover e Leaver (JML) con i flussi di lavoro relativi al ciclo di vita e controlla l'accesso in ID Governance.
Configurare criteri e controlli per gestire l'accesso degli utenti
Usare Entitlement Management in ID Governance per controllare chi può accedere a applicazioni, gruppi, teams e siti di SharePoint con criteri di approvazione in più fasi.
Configurare le policy di assegnazione automatica in Gestione dei diritti per concedere automaticamente agli utenti l'accesso alle risorse in base alle proprietà utente, ad esempio reparto o centro di costo. Rimuovere l'accesso utente quando tali proprietà cambiano.
Per ottimizzare l'accesso, consigliamo di applicare una data di scadenza e/o una revisione periodica dell'accesso alle politiche di gestione dei diritti. Questi requisiti assicurano che gli utenti non mantengano l'accesso a tempo indefinito tramite assegnazioni limitate a tempo e verifiche ricorrenti di accesso alle applicazioni.
Applicare le politiche organizzative con l'accesso condizionale di Microsoft Entra
L'accesso condizionale riunisce i segnali per prendere decisioni e applicare i criteri dell'organizzazione. L'accesso condizionale è il motore dei criteri Zero Trust di Microsoft che tiene conto dei segnali provenienti da varie origini per applicare decisioni di policy.
Applicare i principi dei privilegi minimi e applicare i controlli di accesso corretti per proteggere l'organizzazione con i criteri di accesso condizionale. Si considerino i criteri di accesso condizionale come istruzioni if-then in cui le identità che soddisfano determinati criteri possono accedere solo alle risorse se soddisfano requisiti specifici, ad esempio MFA o stato di conformità del dispositivo.
Limitare l'accesso alle app di intelligenza artificiale di generazione in base a segnali come utenti, gruppi, ruoli, posizione o rischio per migliorare le decisioni relative ai criteri.
- Usare il controllo dell'accesso condizionale basato sulla forza dell'autenticazione che specifica le combinazioni di metodi di autenticazione per accedere a una risorsa. Richiedere agli utenti di completare l'autenticazione a più fattori (MFA) resistente al phishing per accedere alle app di intelligenza artificiale di generazione.
- Distribuire la protezione adattiva di Microsoft Purview per attenuare e gestire i rischi di utilizzo dell'intelligenza artificiale. Usare la condizione di rischio Insider per bloccare l'accesso alle app di IA generativa per gli utenti con rischio Insider elevato.
- Distribuire i criteri di conformità dei dispositivi di Microsoft Intune per incorporare i segnali di conformità dei dispositivi nelle decisioni dei criteri di accesso condizionale. Usare la condizione di conformità del dispositivo per richiedere agli utenti di avere un dispositivo conforme per accedere alle app di intelligenza artificiale di generazione.
Dopo aver distribuito i criteri di accesso condizionale, usa il workbook dell'analizzatore delle lacune di accesso condizionale per identificare gli accessi e le applicazioni in cui questi criteri non vengono applicati. È consigliabile distribuire almeno un criterio di accesso condizionale destinato a tutte le risorse per garantire il controllo di accesso di base.
Abilitare l'automazione per gestire il ciclo di vita delle identità dei dipendenti su larga scala
Concedere agli utenti l'accesso alle informazioni e alle risorse solo se hanno una vera necessità di svolgere le proprie attività. Questo approccio impedisce l'accesso non autorizzato ai dati sensibili e riduce al minimo il potenziale impatto sulle violazioni della sicurezza. Usare il provisioning automatizzato degli utenti per ridurre la concessione non necessaria dei diritti di accesso.
Automatizzare i processi del ciclo di vita per gli utenti di Microsoft Entra in modo scalabile con flussi di lavoro del ciclo di vita in ID Governance. Automatizzare le attività del flusso di lavoro per ottimizzare l'accesso degli utenti quando si verificano eventi chiave. Gli eventi di esempio includono prima che un nuovo dipendente sia programmato per iniziare a lavorare all'interno dell'organizzazione, quando i dipendenti cambiano stato e quando i dipendenti lasciano l'organizzazione.
Gestire l'accesso ai ruoli amministrativi con privilegi elevati
In alcuni casi le identità richiedono l'accesso con privilegi più elevati a causa di requisiti aziendali, operativi, come ad esempio gli account break glass.
Gli account con privilegi devono avere il livello di protezione più elevato. Gli account con privilegi compromessi possono causare un impatto potenzialmente significativo o significativo sulle operazioni dell'organizzazione.
Assegnare utenti autorizzati solo ai ruoli amministrativi in Microsoft Azure e Microsoft Entra. Microsoft consiglia di richiedere l'autenticazione a più fattori resistente al phishing nei ruoli seguenti almeno:
- Amministratore globale
- Amministratore applicazione
- Amministratore dell'autenticazione
- Amministratore fatturazione
- Amministratore di applicazioni cloud
- Amministratore dell'accesso condizionale
- Amministratore di Exchange
- Amministratore supporto tecnico
- Amministratore delle password
- Amministratore dell'autenticazione privilegiato
- Amministratore di ruoli privilegiati
- Amministratore della sicurezza
- Amministratore di SharePoint
- Amministratore utenti
L'organizzazione potrebbe scegliere di includere o escludere ruoli in base ai requisiti. Per esaminare le appartenenze ai ruoli, configurare e usare le revisioni di accesso ai ruoli della directory.
Applicare il controllo degli accessi in base al ruolo usando Privileged Identity Management (PIM) e l'accesso JIT (Just-In-Time). PIM fornisce l'accesso JIT alle risorse assegnando l'accesso con limitazione temporale. Eliminare l'accesso permanente per ridurre il rischio di accesso eccessivo o improprio. PIM consente l'approvazione e i requisiti di giustificazione, l'applicazione dell'autenticazione a più fattori per l'attivazione dei ruoli e la cronologia di controllo.
Gestire il ciclo di vita e l'accesso delle identità guest esterne
Nella maggior parte delle organizzazioni, gli utenti finali invitano partner commerciali (B2B) e fornitori per la collaborazione e forniscono l'accesso alle applicazioni. In genere, i partner di collaborazione ricevono l'accesso alle applicazioni durante il processo di onboarding. Quando le collaborazioni non hanno una data di fine chiara, non è chiaro quando un utente non necessita più dell'accesso.
Le funzionalità di Gestione dei Diritti consentono il ciclo di vita automatizzato delle identità esterne con accesso alle risorse. Stabilire processi e procedure per gestire l'accesso tramite gestione dei diritti. Pubblicare le risorse tramite pacchetti di accesso. Questo approccio consente di tenere traccia dell'accesso degli utenti esterni alle risorse e ridurre la complessità del problema.
Quando si autorizzano i dipendenti a collaborare con utenti esterni, possono invitare un numero qualsiasi di utenti esterni all'organizzazione. Se le identità esterne usano applicazioni, le verifiche di accesso di Microsoft Entra consentono di esaminare l'accesso. È possibile consentire al proprietario della risorsa, alle identità esterne stesse o a un'altra persona delegata di attestare se richiedono l'accesso continuo.
Usare le verifiche di accesso di Microsoft Entra per impedire alle identità esterne di accedere al tenant ed eliminare identità esterne dal tenant dopo 30 giorni.
Applicare la sicurezza dei dati e le protezioni di conformità con Microsoft Purview
Usare Microsoft Purview per attenuare e gestire i rischi associati all'utilizzo dell'intelligenza artificiale. Implementare i controlli di protezione e governance corrispondenti. Microsoft Purview AI Hub è attualmente in fase di anteprima. Offre strumenti e report grafici facili da usare per ottenere rapidamente informazioni dettagliate sull'uso dell'intelligenza artificiale all'interno dell'organizzazione. I criteri con un clic consentono di proteggere i dati e di rispettare i requisiti normativi.
All'interno dell'accesso condizionale è possibile abilitare Microsoft Purview Adaptive Protection per contrassegnare il comportamento indicativo del rischio Insider. Applicare la protezione adattiva quando si applicano altri controlli di accesso condizionale per richiedere all'utente l'autenticazione a più fattori o fornire altre azioni in base ai casi d'uso.
Monitorare l'accesso
Il monitoraggio è fondamentale per rilevare tempestivamente potenziali minacce e vulnerabilità. Controllare le attività insolite e le modifiche alla configurazione per evitare violazioni della sicurezza e mantenere l'integrità dei dati.
Esaminare e monitorare continuamente l'accesso all'ambiente per individuare attività sospette. Evitare l'accumulo di autorizzazioni e ricevere avvisi quando le modifiche avvengono inavvertitamente.
- Per monitorare in modo proattivo l'ambiente per le modifiche alla configurazione e le attività sospette, integrare i log di controllo di Microsoft Entra ID con Monitoraggio di Azure.
- Configurare gli avvisi di sicurezza da monitorare quando gli utenti attivano i ruoli con privilegi.
- Controllare i modelli di utilizzo atipici degli utenti con Microsoft Entra ID Protection. L'utilizzo atipico potrebbe indicare che un malintenzionato sta esplorando e utilizzando in modo inappropriato strumenti di intelligenza artificiale generativa.
In alcuni scenari, è possibile usare solo le applicazioni di intelligenza artificiale in modo stagionale. Ad esempio, le app finanziarie potrebbero avere un basso utilizzo al di fuori della stagione fiscale e di controllo, mentre le app per la vendita al dettaglio potrebbero avere picchi di utilizzo durante la stagione delle festività. Disabilitare gli account che rimangono inutilizzati per un periodo significativo, in particolare gli account dei partner esterni, utilizzando i Flussi di Lavoro del Ciclo di Vita. Considerare la stagionalità per stabilire se sia più appropriata la disattivazione temporanea o tramite JIT dell'account.
Idealmente, tutti gli utenti seguono i criteri di accesso per proteggere l'accesso alle risorse dell'organizzazione. Quando è necessario usare i criteri di accesso condizionale con esclusioni per singoli utenti o ospiti, è possibile evitare la gestione delle eccezioni nelle policy. Usare le verifiche di accesso di Microsoft Entra per fornire ai revisori la prova di revisione regolare delle eccezioni.
- Configurare i report per essere eseguiti regolarmente. Configurare report personalizzati per casi d'uso specifici, in particolare per identità che necessitano di accedere alle app di IA generativa.
Contenuto correlato
- Microsoft Security Copilot consente di supportare professionisti della sicurezza in scenari end-to-end, ad esempio risposta agli eventi imprevisti, ricerca di minacce, raccolta di intelligence e gestione del comportamento.
- Le barriere informative di Microsoft Purview sono criteri che possono impedire a singoli utenti o gruppi di comunicare tra loro. Le barriere informative in Microsoft Teams possono determinare e impedire collaborazioni non autorizzate.
- Per i requisiti di Copilot di Microsoft 365, vedere Protezione dei dati aziendali in Copilot per Microsoft 365 e Microsoft Copilot.