ИИ
В последнее время разработчики ПО встраивают ИИ-функции в привычные рабочие инструменты, включая операционные системы и браузеры. В некоторых случаях это действительно удобно. Но их наличие создает определенные риски, а потому далеко не все компании готовы предоставлять своим сотрудникам доступ к таким инструментам. В нашей предыдущей статье мы рассмотрели классификацию нежелательных ИИ-систем, способы их обнаружения на уровне сети и конечных точек, а также ключевой универсальный «рубильник» — управление OAuth-доступом в основных корпоративных платформах. В этом материале мы переходим к конкретике: разбираем, как отключить или ограничить ИИ, встроенный в популярные платформы.
Отметим, что крупные производители ПО иногда меняют названия настроек, связанных с ИИ, а также модифицируют нюансы их работы. Если какая-то из приведенных ниже настроек недоступна или работает не так, как ожидалось, поиск в Интернете по названию опции обычно позволяет найти ее новое местоположение или название.
Как отключить Microsoft 365 Copilot
Детектирование: реальное использование Copilot можно проверить в журнале: Microsoft 365 admin → Copilot usage report.
Отключение при помощи политик: в Admin Center пройти в раздел Settings → Integrated Apps, найти Copilot в списке Available Apps, выбрать Block. Более подробные политики конфигураций доступны через Customization → Policy Management. Здесь на странице Policies есть более двух тысяч политик, которые нужно отфильтровать по слову Copilot (подробное руководство). Учитывая, что Copilot является платным дополнением к Office, другой вариант блокировки и экономии — не назначать пользователям лицензии (SKU), включающие Copilot.
Отдельно рекомендуется заблокировать Copilot Chat, доступный в инструментах Teams, Edge, Outlook и нескольких других сервисах. Да, это не то же самое, что Copilot. Да, его надо блокировать отдельно, по этой инструкции.
Дополнительный слой защиты: на уровне веб-фильтра или NGFW заблокировать домены copilot.cloud.microsoft и m365.cloud.microsoft/chat, но Microsoft в явном виде не рекомендует этого делать, угрожая нарушением других функций Microsoft 365.
Как отключить Windows Copilot
Кроме «офисного» Copilot, необходимо контролировать применение его двоюродного брата из потребительской линейки.
Детектирование: на уровне NGFW или других сетевых журналов искать обращение к ресурсам copilot.microsoft.com, bing.com/chat, edgeservices.bing.com.
Отключение при помощи политик: в групповых политиках Windows: Computer Config → Admin Templates → Windows Components → Windows Copilot. В групповых политиках Microsoft 365: Admin center → Block consumer Copilot for organizational accounts.
Дополнительный слой защиты: блокировка запуска приложения Copilot.exe.
Как отключить панель Copilot в Edge
Детектирование: на уровне NGFW или других сетевых журналов искать обращение к ресурсам copilot.microsoft.com, bing.com/chat, edgeservices.bing.com.
Блокировка: установить групповые политики MS Edge: HubsSidebarEnabled = false, EdgeShoppingAssistantEnabled = false, CopilotPageContext = Disabled (false), CopilotNewTabPageEnabled = false, Microsoft365CopilotChatIconEnabled = false, GenAILocalFoundationalModelSettings = 1 (обратите внимание, что запрет, внезапно, это 1, а не 0).
Второй слой защиты: на уровне веб-фильтра или NGFW заблокировать домены copilot.cloud.microsoft и m365.cloud.microsoft/chat, но Microsoft в явном виде не рекомендует этого делать, угрожая нарушением других функций.
Как отключить ассистент Gemini в Google Workspace
Детектирование: панель управления рабочим пространством (admin.google.com) — подраздел Gemini usage report.
Блокировка с помощью политик: в панели управления: Apps → Additional Google services → Gemini app: OFF. Manage Workspace smart feature settings →Smart features in Google Workspace: OFF.
Второй слой защиты: блокировка сетевого трафика к доменам gemini.google.com, bard.google.com, aistudio.google.com.
Как отключить Gemini в Google Chrome
Детектирование: отчет корпоративной версии Chrome (Chrome management → Reports), журналы сетевого трафика к вышеупомянутым доменам.
Блокировка с помощью политик: в корпоративных политиках Chrome необходимо установить: GenAILocalFoundationalModelSettings = 0, HelpMeWriteSettings = 2 (отключено), TabOrganizerSettings = 2, CreateThemesSettings = 2, DevToolsGenAiSettings = 2.
Дополнительный слой защиты: блокировка сетевого трафика к доменам gemini.google.com, bard.google.com, aistudio.google.com, блокировка дополнительных (вне управления через политики) инсталляций Chrome/Chromium через контроль приложений на хостах (EPP/EDR, AppLocker).
Как отключить Apple Intelligence
Детектирование: в NGFW и веб-фильтрах признаком работы Apple Intelligence является трафик к хостам apple-relay.apple.com, *.apple-cloudkit.com.
Блокировка с помощью политик: любое управляемое (managed) устройство Apple позволяет отключить индивидуальные ИИ-функции, но не «весь ИИ» целиком. В профиле MDM необходимо установить в false (отключено) следующие ключи: allowWritingTools, allowMailSummary, allowGenmoji, allowImagePlayground, allowImageWand, allowPersonalizedHandwritingResults, allowExternalIntelligenceIntegrations, allowExternalIntelligenceIntegrationsSignIn, allowNotesTranscription, allowNotesTranscriptionSummary. Короткий пример настроек:
<dict>
<key>PayloadType</key>
<string>com.apple.applicationaccess</string>
<key>allowWritingTools</key>
<false/>
<key>allowMailSummary</key>
<false/>
</dict>
Несмотря на переход к новой модели управления разрешениями (declarative device management), ИИ-функциями нужно управлять через традиционные настройки MDM.
Второй слой защиты: блокировка сетевого трафика к вышеупомянутым хостам (очевидный недостаток для мобильных устройств в том, что за пределами корпоративной сети это не работает).
Советы