IT-meeskonnad kiirustavad Microsofti, Google’i ja Apple’i sisseehitatud AI-funktsioonide keelustamisega

AI ei koputa enam enne, kui siseneda kontorisse. See on juba sisse ehitatud tekstiredaktoritesse, brauseritesse, e-posti klientidesse ja operatsioonisüsteemidesse, sageli ilma keegi seda palunudki. IT-haldajate ja ettevõtte turvameeskondade jaoks, kes püüavad keelata sisseehitatud AI-funktsioonid ettevõttesoftis, mille keskkonnad nüüd vaikimisi pakuvad, pole väljakutse mitte ainult tehniline. See on liikuv sihtmärk Microsofti, Google’i ja Apple’i juures, kus igaüks omab oma loogikat, poliitikaid ja erandeid.

Selle juhendi, mis põhineb turvaautor Stan Kaminsky tehtud uuringul, eesmärgiks on selgitada, kuidas tuvastada ja keelata AI-assistentide funktsioone Microsofti, Google’i ja Apple’i toodetes ettevõtte seadmetel. Praktikas võtab see tavaliselt rohkem kui ühte kihti: poliitikaseaded, võrgupõhine domeeniplokkimine ja mõnikord ka käivitatavate failide piirangud.

Miks soovivad ettevõtted sisseehitatud AI-d keelata

Iga päev kasutatavates tööriistades ilmuvad AI-integratsioonid ei ole oma olemuselt kurja taotlevad. Siiski teevad need tõsiselt võetavad turvahuvitused turvalisusest hoolivate organisatsioonide jaoks. AI-assistentide töödeldav andmestik võib lahkuda ettevõtte piiridest, samas kui töötajad võivad oma küsimustes (prompts) juhuslikult jagada tundlikku teavet. Reguleeritud valdkondades – nagu finants-, tervishoiu- ja õigusabi – nõuavad vastavalt seaduslikele nõuetele andmepotentsiaalide suhtes tihti täpsemat kontrolli.

Seetõttu on sisseehitatud AI blokeerimine muutunud üha rohkemate IT-meeskondade prioriteediks. Lähenemisviis algab tavaliselt poliitika konfigureerimisega, seejärel lisatakse võrgutasandil domeenide blokeerimine ja mõnel juhul ka käivitatavate failide tasandi piirangud.

Kuidas tuvastada ja keelata Microsoft 365 Copilot

Microsoft 365 Copilot on paljude ettevõttesüsteemide jaoks esikohal, kuna see on sügavalt integreeritud Teamsi, Outlooki, Wordi ja teiste Office’i rakenduste sisse. Seetõttu algavad Microsoft 365 Copilot keelamise tegevused sageli nähtavuse tagamisega enne piirangute rakendamist.

Copiloti kasutuse tuvastamine administraatori logides

Enne midagi blokeerida peavad adminid mõistma, mis tegelikult töötab. Microsoft 365 Copiloti kasutust saab tuvastada administraatori portaalist navigeerides teele Microsoft 365 Admin → Copilot Usage Report. Selles aruandes kuvatakse, millised kasutajad tööriista aktiivselt kasutavad ja kui sageli.

Copiloti blokeerimine poliitikatega ja SKU-haldusega

Microsoft 365 Copiloti blokeerimiseks saavad adminid minna Microsoft 365 Admin Centerisse, seejärel Settings → Integrated Apps, leida Copilot saadaval olevate rakenduste loendist ja valida Block. Täpsemat kontrolli pakub Customization → Policy Management, kus on üle kahe tuhande poliitikasätte, mistõttu on praktikas mõistlik filtrida sõnaga „Copilot“.

On ka rahaline aspekt. Kuna Copilot on tasuline lisafunktsioon, ei anna kasutajatele Copiloti sisaldavaid SKU-sid ligipääsu vaid siis, kui see on vajalik, ning see aitab samas ka raha säästa.

Üks sageli unustatud element on Copilot Chat, mille saab eraldi kasutada Teamsis, Edge’is ja Outlookis. Seda tuleb blokeerida eraldi, sest peamise Copiloti blokeerimine ei pruugi seda automaatselt kinni püüda.

Domeeniplokkimine kui teine kiht

Lisakaitvena meetmena saavad adminid blokeerida domeenid copilot.cloud.microsoft ja m365.cloud.microsoft/chat veebifiltris või järgmise põlvkonna tulemüüri tasandil. Siiski hoiatab Microsoft selgelt, et see lähenemisviis võib katkestada teisi Microsoft 365 funktsioone, seega tuleks seda pidada pigem teiseseks meetmeks, mitte esmatähtsaks.

Windows Copiloti ja Edge Copiloti külgriba keelamine

Windows Copiloti keelamine grupipoliitikaga

Windows Copilot toimib operatsioonisüsteemi tasandil, mis tähendab, et selle tuvastamine sõltub võrgulogide jälgimisest, et tuvastada liiklust domeenidele copilot.microsoft.com, bing.com/chat või edgeservices.bing.com. Selle keelamiseks peavad adminid kasutama grupipoliitikat Computer Config → Admin Templates → Windows Components → Windows Copilot.

Microsoft 365 grupipoliitika administraatori keskkonnas lisab seade „Block consumer Copilot for organizational accounts“ veel ühe kontrollikihi. Kui üksi poliitika ei piisa, takistab Copilot.exe käivitumist selle käivitatava faili blokeerimine.

Copiloti külgriba keelamine Microsoft Edge’is

Microsoft Edge’i Copiloti külgriba on eraldi probleem. Selle tuvastamine toimub sama viisil – NGFW ja võrgulogide abil liikluse jälgimisega ülalmainitud domeenide poole. Külgriba keelamiseks peavad adminid konfigureerima mitmeid konkreetseid Edge’i grupipoliitikaseadeid:

• HubsSidebarEnabled = false
• EdgeShoppingAssistantEnabled = false
• CopilotPageContext = Disabled (false)
• CopilotNewTabPageEnabled = false
• Microsoft365CopilotChatIconEnabled = false
• GenAILocalFoundationalModelSettings = 1

Viimase seade puhul tuleb rõhutada: selle funktsiooni keelamiseks on vaja väärtust 1, mitte 0. Samuti kehtib siin sama domeeniplokkimise lähenemisviis – copilot.cloud.microsoft ja m365.cloud.microsoft/chat – koos sama varustusega teiste Microsofti teenuste võimaliku häirimise kohta.

Kuidas blokeerida Google Gemini Assistanti ja Chrome’i AI-funktsioone

Gemini Assistanti keelamine Google Workspace’is

Google’i AI-jäljed ettevõttesüsteemides ilmnevad peamiselt Gemini Assistanti kaudu Workspace’is ja Chrome’is sisseehitatud Gemini funktsioonide kaudu. Workspace’i puhul saavad adminid kontrollida Gemini kasutusaruandeid Admin Console’is aadressil admin.google.com. See muudab Google Gemini Assistanti blokeerimise otsuste jälgimise lihtsamaks enne muudatuste rakendamist.

Gemini Assistanti keelamiseks Google Workspace’is tuleb minna Admin Console → Apps → Additional Google services → Gemini app → seadistada OFF-iks. Adminid peaksid ka minema Manage Workspace Smart Feature Settings → Smart Features in Google Workspace ja seadistama selle samuti OFF-iks. Mõlemad sammud on täieliku katvuse saavutamiseks vajalikud.

Võrgutasandil lisab veel ühe barjääri liikluse blokeerimine domeenidele gemini.google.com, bard.google.com ja aistudio.google.com.

Gemini blokeerimine Google Chrome’is ettevõttemeetmete abil

Chrome’i puhul saab AI-tegevust tuvastada Chrome Enterprise aruannetest Chrome Management → Reports alamvalikus või jälgides sama Google AI-domeenide poole suunatud võrguühendusi. Gemini funktsioonide keelamiseks Chrome’is tuleb konfigureerida järgmised Chrome Enterprise poliitikaseaded: GenAILocalFoundationalModelSettings = 0, HelpMeWriteSettings = 2, TabOrganizerSettings = 2, CreateThemesSettings = 2 ja DevToolsGenAiSettings = 2.

Sama AI-domeenide blokeerimine kehtib ka siin. Organisatsioonid peaksid ka kaaluma volitamata Chrome’i või Chromiumi installatsioonide blokeerimist väljaspool poliitikahaldust hostipõhiste rakenduskontrollitööriistade abil, nagu EPP, EDR-lahendused või AppLocker.

Apple Intelligence AI-haldus MDM-profiilide kaudu

Apple Intelligence funktsioonide ükshaaval keelamine

Apple Intelligence teeb teistsuguseid väljakutseid. Erinevalt Microsoftist ja Google’ist ei paku Apple ühtset lülitit, millega saaks kõik AI-funktsioonid korraga välja lülitada. Asemel tuleb iga võimalus eraldi keelata MDM-profiili seadete kaudu. See teeb Apple Intelligence AI-halduse käsitsi teostatavamaks, kuid annab samas administraatoritele täpsema kontrolli.

MDM-profiilides tuleb seadistada järgmised võtmed väärtusele false: allowWritingTools, allowMailSummary, allowGenmoji, allowImagePlayground, allowImageWand, allowPersonalizedHandwritingResults, allowExternalIntelligenceIntegrations, allowExternalIntelligenceIntegrationsSignIn, allowNotesTranscription ja allowNotesTranscriptionSummary. Iga võti hõlmab üht kindlat Apple Intelligence võimalust, seega isegi ühe puudumine jätta auk. Märkimisväärne on, et kuigi Apple liigub laiemalt deklaratiivse seadme halduse suunas, nõuavad need AI-funktsioonid endiselt traditsioonilist MDM-payloadi konfigureerimist.

Miks on võrgupõhine blokeerimine mobiilsetel Apple-seadmetel keerulisem

Tuvastamise osas viitab liiklus domeenile apple-relay.apple.com ja *.apple-cloudkit.com tulemüüri või veebifiltri tasandil sellele, et Apple Intelligence on aktiivne. Nende domeenide blokeerimine lisab veel ühe kaitvekihi.

Siiski keerutab olukorda mobiilseadmed. Võrgutasandil domeenide blokeerimine toimib ainult siis, kui seadmed on ühendatud ettevõtte võrku. Kui töötaja iPhone või iPad liigub isikliku võrgu alla, kaovad need blokeeringud. Seetõttu ei ole MDM-profiilid Apple-seadmete jaoks, mis liiguvad töö- ja isikliku ühenduse vahel, mitte ainult kasulikud – nad on ainsad usaldusväärsed mehhanismid.

Mida IT- ja turvameeskonnad peaksid meeles pidama

Sisseehitatud AI-funktsioonide keelamine on keeruline, kuna üksainus samm ei lahenda probleemi. Mitmed tööriistad sisaldavad praegu oma AI-komponente, efektiivne blokeerimine nõuab tavaliselt mitmeid kihte ja agressiivne domeeniplokkimine võib häirida mitteseotud funktsioone.

Mitmeplatvormilise reaalsuse kiirus ei aeglusta. Microsoft, Google ja Apple liiguvad kiiresti AI integratsioonide poole oma ekosüsteemides, mis tähendab, et IT-meeskonnad ei ole tegemas ühekordset valitsusotsust. Nad haldavad AI-kontrolli kui pidevat operatsioonilist ülesannet, mida tuleb üle vaadata igakord, kui ilmuvad suured värskendused. Organisatsioonide jaoks reguleeritud valdkondades oleks selle käsitlus „seadista ja unusta“ konfiguratsioonina viga.