Desativar IA não solicitada em dispositivos corporativos

Um guia para detectar e bloquear recursos de IA integrados em softwares populares.

Ultimamente, os desenvolvedores de software têm incorporado recursos de IA diretamente em ferramentas de trabalho do dia a dia, sistemas operacionais e navegadores. Em alguns casos, eles são realmente úteis. No entanto, sua presença introduz riscos específicos, o que significa que muitas empresas hesitam em dar acesso a essas ferramentas aos seus funcionários. Em uma publicação anterior , categorizamos esses sistemas de IA indesejados, analisamos como identificá-los nos níveis de rede e de endpoint e abordamos a solução definitiva: gerenciar o acesso OAuth nas principais plataformas corporativas. Nesta análise detalhada, vamos nos aprofundar na prática: detalhando como desativar ou restringir a IA integrada em plataformas populares.

Um aviso rápido: os principais fornecedores de software ocasionalmente alteram os nomes de suas configurações de IA e ajustam seu funcionamento. Se alguma das opções mencionadas abaixo estiver faltando ou não estiver funcionando como esperado, uma rápida pesquisa na internet pelo nome da configuração geralmente indicará sua nova localização ou marca.

Como desativar o Microsoft 365 Copilot

Detecção: você pode verificar o uso real do Copilot nos registros acessando Administração do Microsoft 365 → Relatório de uso do Copilot .

Desativação por meio de políticas: no Centro de administração do Microsoft 365, acesse Configurações → Aplicativos integrados , encontre o Copilot na lista Aplicativos disponíveis e selecione Bloquear . Políticas de configuração mais detalhadas estão disponíveis em Personalização → Gerenciamento de políticas . A página Políticas contém mais de duas mil entradas, portanto, você precisará filtrá-las pela palavra-chave “Copilot” ( guia detalhado ). Como o Copilot é um complemento pago do Office, outra maneira de bloqueá-lo — e economizar dinheiro com isso — é simplesmente evitar atribuir aos usuários SKUs que incluam o Copilot.

Recomendamos bloquear separadamente o Copilot Chat, que está disponível no Teams, Edge, Outlook e vários outros serviços. Sim, não é o próprio Copilot. E sim, ele precisa ser bloqueado separadamente seguindo este guia .

Camada adicional de proteção: você pode bloquear os domínios copilot.cloud.microsoft e m365.cloud.microsoft/chat no nível do filtro da web ou do NGFW. No entanto, a Microsoft desaconselha explicitamente essa prática, alertando que ela pode afetar outros recursos do Microsoft 365.

Como desativar o Windows Copilot

Além da versão do Copilot para Office, você também precisa gerenciar a versão voltada para o consumidor.

Detecção: examine os logs do seu NGFW ou de outras redes em busca de tráfego direcionado para copilot.microsoft.com , bing.com/chat ou edgeservices.bing.com .
Desativação por meio de políticas: na Política de Grupo do Windows, navegue até Configuração do Computador → Modelos Administrativos → Componentes do Windows → Windows Copilot . Na Política de Grupo do Microsoft 365, acesse Central de administração → Bloquear o Copilot para contas de consumidor em contas organizacionais .

Camada adicional de proteção: bloqueie completamente a execução do arquivo Copilot.exe .

Como desativar a barra lateral do Copilot no Edge

Detecção: examine os registros do seu NGFW ou de outras redes em busca de tráfego que chegue a copilot.microsoft.com , bing.com/chat ou edgeservices.bing.com .

Bloqueio: configure as seguintes Políticas de Grupo do MS Edge : HubsSidebarEnabled = false, EdgeShoppingAssistantEnabled = false, CopilotPageContext = Disabled (false), CopilotNewTabPageEnabled = false, Microsoft365CopilotChatIconEnabled = false, GenAILocalFoundationalModelSettings = 1 (observe que desabilitar isso inesperadamente requer um 1 em vez de um 0).

Segunda camada de proteção: bloquear os domínios copilot.cloud.microsoft e m365.cloud.microsoft/chat no nível do filtro da web ou NGFW. No entanto, a Microsoft desaconselha explicitamente essa prática, alertando que ela pode afetar outras funcionalidades.

Como desativar o Gemini Assistant no Google Workspace

Detecção: verifique o Console de administração do Workspace ( admin.google.com ), seção de relatório de uso do Gemini .

Bloqueio por meio de políticas: no Admin Console, acesse Aplicativos → Serviços adicionais do Google → > Aplicativo Gemini e desative-o . Em seguida, acesse Gerenciar configurações de recursos inteligentes do Workspace → Recursos inteligentes no Google Workspace e desative- o .

Segunda camada de proteção: bloquear o tráfego de rede para os domínios gemini.google.com , bard.google.com e aistudio.google.com .

Como desativar o Gemini no Google Chrome

Detecção: verifique seus relatórios do Chrome Enterprise ( Gerenciamento do Chrome → Relatórios ) ou examine os registros de tráfego de rede em busca de conexões com os domínios mencionados anteriormente.

Bloqueio por meio de políticas: nas suas políticas do Chrome Enterprise , configure as seguintes definições: GenAILocalFoundationalModelSettings = 0, HelpMeWriteSettings = 2 (desativado), TabOrganizerSettings = 2, CreateThemesSettings = 2, DevToolsGenAiSettings = 2.

Camada adicional de proteção: bloqueie o tráfego de rede para os domínios gemini.google.com , bard.google.com e aistudio.google.com . Além disso, bloqueie instalações não autorizadas do Chrome/Chromium (aquelas fora do seu controle de políticas) com a ajuda de ferramentas de controle de aplicativos baseadas em host, como EPP/EDR ou AppLocker.

Como desativar a Inteligência Artificial da Apple

Detecção: em seu NGFW e filtros da web, o tráfego que chega a apple-relay.apple.com e *.apple-cloudkit.com é um indicador claro de que o Apple Intelligence está ativo.

Bloqueio por meio de políticas: qualquer dispositivo Apple gerenciado permite desativar recursos de IA individuais, embora não haja uma opção geral para desativar “toda a IA”. No seu perfil MDM, você precisa definir as seguintes chaves como false (desativadas): allowWritingTools , allowMailSummary , allowGenmoji , allowImagePlayground , allowImageWand , allowPersonalizedHandwritingResults , allowExternalIntelligenceIntegrations , allowExternalIntelligenceIntegrationsSignIn , allowNotesTranscription e allowNotesTranscriptionSummary . Aqui está um breve exemplo de configuração:

<dict>
   <key> PayloadType </key>
   <string> com.apple.applicationaccess </string>
   <key> allowWritingTools </key>
   <false/>
   <key> allowMailSummary </key>
   <false/>
</dict>

Apesar da mudança da Apple em direção ao gerenciamento declarativo de dispositivos, esses recursos de IA ainda precisam ser gerenciados por meio das configurações tradicionais de payload MDM.

Segunda camada de proteção: bloquear o tráfego de rede para os hosts mencionados acima — embora a desvantagem óbvia para dispositivos móveis seja que isso não funcionará quando eles saírem da rede corporativa.