Οι ομάδες IT αγωνίζονται να απενεργοποιήσουν τις ενσωματωμένες λειτουργίες AI σε Microsoft, Google, Apple

Η τεχνητή νοημοσύνη δεν χτυπά πλέον την πόρτα πριν μπει στο γραφείο. Είναι ήδη ενσωματωμένη σε επεξεργαστές κειμένου, προγράμματα περιήγησης, προγράμματα-πελάτες ηλεκτρονικού ταχυδρομείου και λειτουργικά συστήματα, συχνά χωρίς κανείς να το έχει ζητήσει. Για τους διαχειριστές IT και τις εταιρικές ομάδες ασφαλείας που προσπαθούν να απενεργοποιήσουν τις ενσωματωμένες λειτουργίες AI στο εταιρικό λογισμικό που αποστέλλεται πλέον ως προεπιλογή, η πρόκληση δεν είναι μόνο τεχνική. Είναι ένας κινούμενος στόχος σε Microsoft, Google και Apple, με τη δική του λογική, πολιτικές και εξαιρέσεις για κάθε μία.

Αυτός ο οδηγός, βασισμένος σε έρευνα του συγγραφέα ασφαλείας Stan Kaminsky, αναλύει τον τρόπο εντοπισμού και απενεργοποίησης των βοηθών AI μέσα σε προϊόντα Microsoft, Google και Apple σε εταιρικές συσκευές. Στην πράξη, η εργασία συνήθως απαιτεί περισσότερα από ένα επίπεδο: ρυθμίσεις πολιτικής, αποκλεισμό δικτύου και μερικές φορές περιορισμούς εκτελέσιμων αρχείων.

Γιατί οι εταιρείες θέλουν να απενεργοποιήσουν την ενσωματωμένη τεχνητή νοημοσύνη

Οι ενσωματώσεις τεχνητής νοημοσύνης που εμφανίζονται στα καθημερινά εργαλεία δεν είναι εγγενώς κακόβουλες. Ωστόσο, εγείρουν πραγματικές ανησυχίες για οργανισμούς που δίνουν έμφαση στην ασφάλεια. Τα δεδομένα που επεξεργάζονται οι βοηθοί τεχνητής νοημοσύνης μπορεί να εξέλθουν από την εταιρική περίμετρο, ενώ οι εργαζόμενοι μπορεί επίσης να μοιράζονται ευαίσθητες πληροφορίες μέσω προτροπών χωρίς να το σκοπεύουν. Σε ρυθμιζόμενους κλάδους όπως η χρηματοδότηση, η υγειονομική περίθαλψη και οι νομικές υπηρεσίες, οι κανόνες συμμόρφωσης συχνά απαιτούν αυστηρότερο έλεγχο στις ροές δεδομένων.

Γι' αυτό ο αποκλεισμός της ενσωματωμένης τεχνητής νοημοσύνης έχει γίνει προτεραιότητα για έναν αυξανόμενο αριθμό ομάδων IT. Η προσέγγιση συνήθως ξεκινά με διαμόρφωση πολιτικής, στη συνέχεια προσθέτει αποκλεισμό τομέα σε επίπεδο δικτύου, και σε ορισμένες περιπτώσεις και περιορισμούς σε επίπεδο εκτελέσιμων αρχείων.

Πώς να εντοπίσετε και να απενεργοποιήσετε το Microsoft 365 Copilot

Το Microsoft 365 Copilot βρίσκεται κοντά στην κορυφή της λίστας για πολλά εταιρικά περιβάλλοντα επειδή είναι βαθιά ενσωματωμένο στο Teams, το Outlook, το Word και άλλα εργαλεία του Office. Ως αποτέλεσμα, οι προσπάθειες απενεργοποίησης του Microsoft 365 Copilot συχνά ξεκινούν με ορατότητα πριν τον περιορισμό.

Εντοπισμός χρήσης του Copilot μέσω αρχείων καταγραφής διαχειριστή

Πριν αποκλείσετε οτιδήποτε, οι διαχειριστές πρέπει να κατανοήσουν τι εκτελείται στην πραγματικότητα. Η χρήση του Microsoft 365 Copilot μπορεί να εντοπιστεί μέσω της πύλης διαχειριστή πλοηγώντας στο Microsoft 365 Admin → Copilot Usage Report. Αυτή η αναφορά δείχνει ποιοι χρήστες χρησιμοποιούν ενεργά το εργαλείο και πόσο συχνά.

Αποκλεισμός του Copilot με πολιτικές και διαχείριση SKU

Για να αποκλείσετε το Microsoft 365 Copilot, οι διαχειριστές μπορούν να μεταβούν στο Microsoft 365 Admin Center, στη συνέχεια στις Ρυθμίσεις → Ενσωματωμένες Εφαρμογές, να εντοπίσουν το Copilot στη λίστα Διαθέσιμων Εφαρμογών και να επιλέξουν Αποκλεισμός. Πιο λεπτομερής έλεγχος είναι διαθέσιμος στην Προσαρμογή → Διαχείριση Πολιτικής, που περιέχει περισσότερες από δύο χιλιάδες καταχωρήσεις πολιτικής, οπότε το φιλτράρισμα με τη λέξη-κλειδί "Copilot" είναι η πρακτική προσέγγιση.

Υπάρχει επίσης μια οικονομική πτυχή. Εφόσον το Copilot είναι ένα επί πληρωμή πρόσθετο, η μη ανάθεση στους χρήστες των SKU που περιλαμβάνουν το Copilot αποτρέπει την πρόσβαση ενώ εξοικονομεί και χρήματα.

Ένα στοιχείο που συχνά παραβλέπεται είναι το Copilot Chat, το οποίο είναι διαθέσιμο ξεχωριστά στο Teams, το Edge και το Outlook. Χρειάζεται να αποκλειστεί ανεξάρτητα χρησιμοποιώντας μια αφιερωμένη διαδικασία, επειδή ο κύριος αποκλεισμός του Copilot δεν θα το καλύψει μόνο του.

Χρήση αποκλεισμού τομέα ως δευτερεύον επίπεδο

Για ένα επιπλέον επίπεδο προστασίας, οι διαχειριστές μπορούν να αποκλείσουν το copilot.cloud.microsoft και το m365.cloud.microsoft/chat σε επίπεδο φίλτρου ιστού ή τείχους προστασίας επόμενης γενιάς. Ωστόσο, η Microsoft προειδοποιεί ρητά ότι αυτή η προσέγγιση ενδέχεται να διακόψει άλλες λειτουργίες του Microsoft 365, οπότε θα πρέπει να αντιμετωπίζεται ως δευτερεύον μέτρο και όχι ως πρωταρχικό.

Απενεργοποίηση του Windows Copilot και της πλαϊνής γραμμής Copilot του Edge

Απενεργοποίηση του Windows Copilot μέσω Ομαδικής Πολιτικής

Το Windows Copilot λειτουργεί σε επίπεδο λειτουργικού συστήματος, πράγμα που σημαίνει ότι ο εντοπισμός βασίζεται στην παρακολούθηση των αρχείων καταγραφής δικτύου για κίνηση που αγγίζει τα copilot.microsoft.com, bing.com/chat ή edgeservices.bing.com. Για να το απενεργοποιήσετε, οι διαχειριστές πρέπει να χρησιμοποιήσουν την Ομαδική Πολιτική στο Computer Config → Admin Templates → Windows Components → Windows Copilot.

Στο κέντρο διαχείρισης Ομαδικής Πολιτικής του Microsoft 365, η ρύθμιση "Block consumer Copilot for organizational accounts" προσθέτει ένα επιπλέον επίπεδο ελέγχου. Εάν η πολιτική από μόνη της δεν είναι αρκετή, ο αποκλεισμός του εκτελέσιμου αρχείου Copilot.exe αποτρέπει την εκτέλεσή του.

Απενεργοποίηση της πλαϊνής γραμμής Copilot στο Microsoft Edge

Η πλαϊνή γραμμή Copilot στο Microsoft Edge είναι ξεχωριστό ζήτημα. Ο εντοπισμός λειτουργεί με τον ίδιο τρόπο μέσω NGFW και κίνησης αρχείων καταγραφής δικτύου στους παραπάνω τομείς. Για να την απενεργοποιήσετε, οι διαχειριστές πρέπει να διαμορφώσουν συγκεκριμένα αρκετές ρυθμίσεις Ομαδικής Πολιτικής Edge:

• HubsSidebarEnabled = false
• EdgeShoppingAssistantEnabled = false
• CopilotPageContext = Disabled (false)
• CopilotNewTabPageEnabled = false
• Microsoft365CopilotChatIconEnabled = false
• GenAILocalFoundationalModelSettings = 1

Αυτή η τελευταία ρύθμιση αξίζει να σημειωθεί: η απενεργοποίηση αυτής της λειτουργίας απαιτεί τιμή 1, όχι 0. Η ίδια προσέγγιση αποκλεισμού τομέα που καλύπτει τα copilot.cloud.microsoft και m365.cloud.microsoft/chat ισχύει επίσης εδώ, με την ίδια επιφύλαξη σχετικά με πιθανή διακοπή άλλων υπηρεσιών Microsoft.

Πώς να αποκλείσετε τον Google Gemini Assistant και τις λειτουργίες AI του Chrome

Απενεργοποίηση του Gemini Assistant στο Google Workspace

Το αποτύπωμα τεχνητής νοημοσύνης της Google σε εταιρικά περιβάλλοντα εκτελείται κυρίως μέσω του Gemini Assistant στο Workspace και μέσω των λειτουργιών Gemini που είναι ενσωματωμένες στο Chrome. Για το Workspace, οι διαχειριστές μπορούν να ελέγξουν την ενότητα αναφοράς χρήσης Gemini μέσα στην Κονσόλα Διαχειριστή στο admin.google.com. Αυτό καθιστά τις αποφάσεις αποκλεισμού του Google Gemini Assistant ευκολότερο να παρακολουθηθούν πριν οι αλλαγές τεθούν σε ισχύ.

Για να απενεργοποιήσετε τον Gemini Assistant στο Google Workspace, η διαδρομή είναι Admin Console → Apps → Additional Google services → Gemini app → ορίστε σε OFF. Οι διαχειριστές θα πρέπει επίσης να μεταβούν στο Manage Workspace Smart Feature Settings → Smart Features in Google Workspace και να το ορίσουν επίσης σε OFF. Και τα δύο βήματα είναι απαραίτητα για πλήρη κάλυψη.

Σε επίπεδο δικτύου, ο αποκλεισμός κίνησης στα gemini.google.com, bard.google.com και aistudio.google.com προσθέτει ένα επιπλέον εμπόδιο.

Αποκλεισμός του Gemini στο Google Chrome με εταιρικές πολιτικές

Για το Chrome, οι διαχειριστές μπορούν να εντοπίσουν δραστηριότητα AI μέσω αναφορών Chrome Enterprise στο Chrome Management → Reports, ή παρακολουθώντας συνδέσεις δικτύου στους ίδιους τομείς Google AI. Η απενεργοποίηση των λειτουργιών Gemini στο Chrome απαιτεί τη διαμόρφωση αυτών των ρυθμίσεων πολιτικής Chrome Enterprise: GenAILocalFoundationalModelSettings = 0, HelpMeWriteSettings = 2, TabOrganizerSettings = 2, CreateThemesSettings = 2 και DevToolsGenAiSettings = 2.

Οι ίδιοι αποκλεισμοί τομέα AI ισχύουν εδώ. Οι οργανισμοί θα πρέπει επίσης να εξετάσουν τον αποκλεισμό μη εξουσιοδοτημένων εγκαταστάσεων Chrome ή Chromium εκτός διαχείρισης πολιτικής χρησιμοποιώντας εργαλεία ελέγχου εφαρμογών βασισμένα σε υπολογιστή, όπως EPP, λύσεις EDR ή AppLocker.

Διαχείριση AI του Apple Intelligence μέσω προφίλ MDM

Απενεργοποίηση λειτουργιών Apple Intelligence μία προς μία

Το Apple Intelligence δημιουργεί διαφορετικού είδους πρόκληση. Σε αντίθεση με τη Microsoft και την Google, η Apple δεν παρέχει κεντρικό διακόπτη που απενεργοποιεί όλες τις λειτουργίες AI ταυτόχρονα. Αντίθετα, κάθε δυνατότητα πρέπει να απενεργοποιηθεί μεμονωμένα μέσω ρυθμίσεων προφίλ MDM. Αυτό καθιστά τη διαχείριση AI του Apple Intelligence πιο χειροκίνητη, αλλά παρέχει επίσης στους διαχειριστές ακριβή έλεγχο.

Στα προφίλ MDM, οι διαχειριστές πρέπει να ορίσουν τα ακόλουθα κλειδιά σε false: allowWritingTools, allowMailSummary, allowGenmoji, allowImagePlayground, allowImageWand, allowPersonalizedHandwritingResults, allowExternalIntelligenceIntegrations, allowExternalIntelligenceIntegrationsSignIn, allowNotesTranscription και allowNotesTranscriptionSummary. Κάθε κλειδί καλύπτει μια διακριτή δυνατότητα του Apple Intelligence, οπότε η παράλειψη έστω και ενός αφήνει ένα κενό. Αξίζει να σημειωθεί ότι, παρά την ευρύτερη κίνηση της Apple προς δηλωτική διαχείριση συσκευών, αυτές οι λειτουργίες AI εξακολουθούν να απαιτούν παραδοσιακή διαμόρφωση ωφέλιμου φορτίου MDM.

Γιατί ο αποκλεισμός δικτύου είναι πιο δύσκολος σε φορητές συσκευές Apple

Από πλευράς εντοπισμού, η κίνηση που αγγίζει τα apple-relay.apple.com και *.apple-cloudkit.com στο επίπεδο τείχους προστασίας ή φίλτρου ιστού σηματοδοτεί ότι το Apple Intelligence είναι ενεργό. Ο αποκλεισμός αυτών των τομέων προσθέτει ένα επιπλέον επίπεδο προστασίας.

Ωστόσο, οι φορητές συσκευές περιπλέκουν την εικόνα. Ο αποκλεισμός τομέα σε επίπεδο δικτύου λειτουργεί μόνο όταν οι συσκευές είναι συνδεδεμένες στο εταιρικό δίκτυο. Μόλις το iPhone ή το iPad ενός εργαζομένου μεταβεί σε προσωπικό δίκτυο, αυτοί οι αποκλεισμοί εξαφανίζονται. Γι' αυτό, τα προφίλ MDM δεν είναι απλώς χρήσιμα για συσκευές Apple που κινούνται μεταξύ εταιρικής και προσωπικής συνδεσιμότητας· είναι ο μόνος αξιόπιστος μηχανισμός.

Τι πρέπει να έχουν κατά νου οι ομάδες IT και ασφαλείας

Η απενεργοποίηση των ενσωματωμένων λειτουργιών AI είναι δύσκολη επειδή κανένα μεμονωμένο βήμα δεν λύνει το πρόβλημα. Πολλαπλά εργαλεία φέρουν πλέον τα δικά τους στοιχεία AI, ο αποτελεσματικός αποκλεισμός συνήθως απαιτεί πολλά επίπεδα, και ο επιθετικός αποκλεισμός τομέα μπορεί να διαταράξει ασχέτιστες λειτουργίες.

Η πολυπλατφορμική πραγματικότητα δεν επιβραδύνεται. Η Microsoft, η Google και η Apple κινούνται γρήγορα για να ενσωματώσουν την τεχνητή νοημοσύνη σε όλα τα οικοσυστήματά τους, πράγμα που σημαίνει ότι οι ομάδες IT δεν αντιμετωπίζουν μια εφάπαξ απόφαση διακυβέρνησης. Αντίθετα, διαχειρίζονται τον έλεγχο AI ως μια συνεχή επιχειρησιακή εργασία που θα χρειαστεί επανεξέταση κάθε φορά που εγκαθίστανται σημαντικές ενημερώσεις. Για οργανισμούς σε αυστηρά ρυθμιζόμενους κλάδους, η αντιμετώπιση αυτού ως διαμόρφωσης "ορίστε και ξεχάστε" θα ήταν λάθος.