AI
Ultimamente, gli sviluppatori di software hanno incorporato le funzionalità di IA direttamente negli strumenti di lavoro quotidiani, nei sistemi operativi e nei browser. In alcuni casi sono davvero utili. La loro presenza introduce tuttavia rischi specifici, il che significa che molte aziende esitano a concedere ai dipendenti l’accesso a questi strumenti. In un post precedente abbiamo classificato questi sistemi di IA indesiderati, abbiamo esaminato come individuarli a livello di rete e di endpoint e abbiamo trattato lo strumento Kill Switch universale definitivo: la gestione dell’accesso OAuth sulle principali piattaforme aziendali. In questo approfondimento, stiamo diventando tattici: esaminiamo come scomporre come disabilitare o limitare l’IA integrata nelle piattaforme popolari.
Un rapido avvertimento: i principali fornitori di software di tanto in tanto cambiano i nomi delle proprie impostazioni di IA e ne modificano il funzionamento. Se una delle opzioni menzionate di seguito non è presente o non funziona come previsto, una rapida ricerca nel Web del nome dell’impostazione indicherà la nuova posizione o il nuovo branding.
Come disattivare Microsoft 365 Copilot
Rilevamento di Microsoft 365 Copilot: è possibile controllare l’utilizzo effettivo di Copilot nei log accedendo alla sezione Amministrazione di Microsoft 365 (Microsoft 365 admin) → Rapporto sull’utilizzo di Copilot (Copilot usage report).
Disabilitazione tramite criteri: nell’interfaccia di amministrazione di Microsoft 365 passare a Impostazioni (Settings) → App integrate (Integrated Apps), trovare Copilot nell’elenco App disponibili (Available Apps) e selezionare Blocca (Block). Criteri di configurazione più dettagliati sono disponibili in Personalizzazione (Customization) → Gestione criteri (Policy Management). La pagina Criteri (Policies) qui contiene oltre duemila voci, pertanto è consigliabile filtrarle in base alla parola chiave “Copilot” (guida dettagliata). Dato che Copilot è un componente aggiuntivo a pagamento per Office, un altro modo per bloccarlo, e quindi risparmiare, è semplicemente evitare di assegnare agli utenti SKU che includono Copilot.
È consigliabile bloccare separatamente Copilot Chat, disponibile in Teams, Edge, Outlook e diversi altri servizi. Sì, non è Copilot in sé. E sì, deve essere bloccato separatamente seguendo questa guida.
Livello di protezione aggiuntivo: è possibile bloccare i domini copilot.cloud.microsoft e m365.cloud.microsoft/chat a livello di filtro Web o NGFW. Microsoft tuttavia sconsiglia esplicitamente questa operazione, avvertendo che potrebbe interrompere altre funzionalità di Microsoft 365.
Come disattivare Windows Copilot
Oltre alla versione Office di Copilot, è anche necessario gestirne il cugino rivolto ai privati.
Rilevamento: ricerca nel proprio NGFW o in altri registri di rete il traffico in entrata di copilot.microsoft.com, bing.com/chat o edgeservices.bing.com.
Disabilitazione tramite criteri: in Criteri di gruppo di Windows passare a Config Computer (Computer Config) → Modelli amministratore (Admin Templates) → Componenti di Windows (Windows Components) → Windows Copilot. In Criteri di gruppo di Microsoft 365 passare ad Interfaccia di amministrazione (Admin center) → Blocca Copilot consumer per gli account dell’organizzazione (Block consumer Copilot for organizational accounts).
Livello di protezione aggiuntivo: bloccare completamente l’esecuzione del file eseguibile Copilot.exe.
Come disattivare la barra laterale di Copilot in Edge
Rilevamento: ricerca nel proprio NGFW o in altri registri di rete il traffico in entrata di copilot.microsoft.com, bing.com/chat o edgeservices.bing.com.
Blocco: configurare i seguenti criteri di gruppo di MS Edge: HubsSidebarEnabled = false, EdgeShoppingAssistantEnabled = false, CopilotPageContext = Disabled (false), CopilotNewTabPageEnabled = false, Microsoft365CopilotChatIconEnabled = false, GenAILocalFoundationalModelSettings = 1 (notare che per la disattivazione di questa operazione in modo imprevisto è necessario un 1 anziché uno 0).
Secondo livello di protezione: bloccare i domini copilot.cloud.microsoft e m365.cloud.microsoft/chat a livello di filtro Web o NGFW. Microsoft tuttavia sconsiglia esplicitamente questa operazione, avvertendo che potrebbe interrompere altre funzionalità.
Come disattivare l’Assistente Gemini in Google Workspace
Rilevamento: controllare la Console di amministrazione di Workspace (admin.google.com), la sezione dei rapporti sull’utilizzo di Gemini (Gemini usage).
Blocco tramite criteri: nella Console di amministrazione, navigare fino ad App (Apps) → Servizi Google aggiuntivi (Additional Google services) → > App Gemini (Gemini app) e impostarla su OFF. Quindi, passare a Gestisci le funzionalità smart di Workspace (Manage Workspace smart feature settings) → Funzionalità smart in Google Workspace (Smart features in Google Workspace) e impostarle su OFF.
Secondo livello di protezione: bloccare il traffico di rete verso i domini gemini.google.com, bard.google.com e aistudio.google.com.
Come disattivare Gemini in Google Chrome
Rilevamento: controllare i rapporti Chrome Enterprise (Gestione Chrome (Chrome management) → Rapporti (Reports)) o cerca nei registri del traffico di rete le connessioni ai domini menzionati in precedenza.
Blocco tramite criteri: nei criteri di Chrome Enterprise configurare le seguenti impostazioni: GenAILocalFoundationalModelSettings = 0, HelpMeWriteSettings = 2 (disabilitato), TabOrganizerSettings = 2, CreateThemesSettings = 2, DevToolsGenAiSettings = 2.
Livello di protezione aggiuntivo: blocca il traffico di rete verso i domini gemini.google.com, bard.google.com e aistudio.google.com. È inoltre possibile bloccare le installazioni Chrome/Chromium non autorizzate (quelle esterne alla gestione dei criteri) con l’aiuto di strumenti di controllo delle applicazioni basati su host PPE/EDR o AppLocker.
Come disattivare Apple Intelligence?
Rilevamento: su NGFW e filtri Web, il traffico che raggiunge apple-relay.apple.com e *.apple-cloudkit.com è un chiaro indicatore dell’attivazione di Apple Intelligence.
Blocco tramite criteri: qualsiasi dispositivo Apple gestito consente di disabilitare le singole funzionalità di intelligenza artificiale, sebbene non sia disponibile un interruttore principale da spostare per spegnere “tutta l’IA”. Nel profilo MDM, è necessario impostare le seguenti chiavi su false (disabilitato): allowWritingTools, allowMailSummary, allowGenmoji, allowImagePlayground, allowImageWand, allowPersonalizedHandwritingResults, allowExternalIntelligenceIntegrations, allowExternalIntelligenceIntegrationsSignIn, allowNotesTranscription e allowNotesTranscriptionSummary. Di seguito è riportato un breve frammento di configurazione:
<dict>
<key>PayloadType</key>
<string>com.apple.applicationaccess</string>
<key>allowWritingTools</key>
<false/>
<key>allowMailSummary</key>
<false/>
</dict>
Nonostante il passaggio di Apple verso la gestione dichiarativa dei dispositivi, queste funzionalità di IA devono ancora essere gestite tramite le tradizionali impostazioni del payload MDM.
Secondo livello di protezione: bloccare il traffico di rete verso gli host sopra menzionati, anche se l’ovvio svantaggio per i dispositivi mobili è che non funzionerà una volta che questi lasciano la rete aziendale.
Consigli