ทีม IT เร่งปิดการใช้งานฟีเจอร์ AI ในตัวของ Microsoft, Google, Apple

AI ไม่ได้เคาะประตูก่อนเดินเข้ามาในออฟฟิศอีกต่อไปแล้ว มันถูกฝังอยู่ในโปรแกรมประมวลคำ เบราว์เซอร์ อีเมลไคลเอนต์ และระบบปฏิบัติการแล้ว มักโดยที่ไม่มีใครร้องขอ สำหรับผู้ดูแลระบบ IT และทีมรักษาความปลอดภัยองค์กรที่พยายามปิดใช้งานฟีเจอร์ AI ในตัวของซอฟต์แวร์องค์กรที่ปัจจุบันมาพร้อมกับการเปิดใช้งานตามค่าเริ่มต้น ความท้าทายนี้ไม่ใช่แค่เรื่องเทคนิค แต่ยังเป็นเป้าหมายที่เคลื่อนที่อยู่ตลอดเวลาทั้งใน Microsoft, Google และ Apple ซึ่งแต่ละรายมีตรรกะ นโยบาย และข้อยกเว้นของตัวเอง

คู่มือนี้ อิงจากงานวิจัยของนักเขียนด้านความปลอดภัย Stan Kaminsky อธิบายวิธีการตรวจจับและปิดการทำงานของผู้ช่วย AI ในผลิตภัณฑ์ของ Microsoft, Google และ Apple บนอุปกรณ์ขององค์กร ในทางปฏิบัติ งานนี้มักต้องใช้มากกว่าหนึ่งชั้น ได้แก่ การตั้งค่านโยบาย การบล็อกระดับเครือข่าย และบางครั้งการจำกัดไฟล์ปฏิบัติการด้วย

ทำไมบริษัทจึงต้องการปิด AI ในตัว

การผสานรวม AI ที่ปรากฏในเครื่องมือประจำวันไม่ได้เป็นอันตรายโดยเนื้อแท้ อย่างไรก็ตาม สิ่งเหล่านี้สร้างความกังวลที่แท้จริงให้กับองค์กรที่ตระหนักด้านความปลอดภัย ข้อมูลที่ผ่านการประมวลผลโดยผู้ช่วย AI อาจออกไปนอกขอบเขตองค์กร ขณะที่พนักงานอาจแบ่งปันข้อมูลที่ละเอียดอ่อนผ่านการป้อนคำสั่งโดยไม่ได้ตั้งใจ ในอุตสาหกรรมที่มีการกำกับดูแล เช่น การเงิน การดูแลสุขภาพ และบริการทางกฎหมาย กฎการปฏิบัติตามข้อกำหนดมักกำหนดให้มีการควบคุมการไหลของข้อมูลที่เข้มงวดยิ่งขึ้น

นั่นคือเหตุผลที่การบล็อก AI ในตัวกลายเป็นสิ่งสำคัญสำหรับทีม IT จำนวนมากที่เพิ่มขึ้น แนวทางมักเริ่มต้นด้วยการกำหนดค่านโยบาย จากนั้นเพิ่มการบล็อกโดเมนระดับเครือข่าย และในบางกรณียังมีการจำกัดระดับไฟล์ปฏิบัติการด้วย

วิธีตรวจจับและปิดใช้งาน Microsoft 365 Copilot

Microsoft 365 Copilot อยู่ในอันดับต้น ๆ ของรายการสำหรับสภาพแวดล้อมองค์กรจำนวนมาก เนื่องจากฝังตัวอยู่ลึกใน Teams, Outlook, Word และเครื่องมือ Office อื่น ๆ ด้วยเหตุนี้ ความพยายามปิดใช้งาน Microsoft 365 Copilotจึงมักเริ่มต้นด้วยการมองเห็นก่อนการจำกัด

การตรวจจับการใช้งาน Copilot ผ่านบันทึกผู้ดูแลระบบ

ก่อนที่จะบล็อกสิ่งใด ผู้ดูแลระบบต้องเข้าใจว่าอะไรกำลังทำงานอยู่จริง ๆ การใช้งาน Microsoft 365 Copilot สามารถตรวจจับได้ผ่านพอร์ทัลผู้ดูแลระบบโดยไปที่ Microsoft 365 Admin → Copilot Usage Report รายงานนั้นแสดงให้เห็นว่าผู้ใช้รายใดกำลังใช้งานเครื่องมือนี้อย่างต่อเนื่องและบ่อยเพียงใด

การบล็อก Copilot ด้วยนโยบายและการจัดการ SKU

ในการบล็อก Microsoft 365 Copilot ผู้ดูแลระบบสามารถไปที่ Microsoft 365 Admin Center จากนั้น Settings → Integrated Apps ค้นหา Copilot ในรายการ Available Apps และเลือก Block การควบคุมที่ละเอียดยิ่งขึ้นมีอยู่ใน Customization → Policy Management ซึ่งมีรายการนโยบายมากกว่าสองพันรายการ ดังนั้นการกรองด้วยคำสำคัญ "Copilot" จึงเป็นแนวทางที่ใช้งานได้จริง

ยังมีแง่มุมทางการเงินด้วย เนื่องจาก Copilot เป็นส่วนเสริมที่ต้องชำระเงิน การไม่กำหนด SKU ที่รวม Copilot ให้แก่ผู้ใช้จะป้องกันการเข้าถึงและยังประหยัดเงินด้วย

องค์ประกอบที่มักถูกมองข้ามคือ Copilot Chat ซึ่งมีให้ใช้งานแยกต่างหากใน Teams, Edge และ Outlook จำเป็นต้องบล็อกแยกต่างหากโดยใช้กระบวนการเฉพาะ เนื่องจากการบล็อก Copilot หลักจะไม่ครอบคลุมถึงมันได้เอง

การใช้การบล็อกโดเมนเป็นชั้นรองลงมา

เพื่อเพิ่มชั้นการป้องกัน ผู้ดูแลระบบสามารถบล็อก copilot.cloud.microsoft และ m365.cloud.microsoft/chat ที่ระดับตัวกรองเว็บหรือไฟร์วอลล์รุ่นใหม่ อย่างไรก็ตาม Microsoft เตือนอย่างชัดเจนว่าวิธีนี้อาจทำให้ฟีเจอร์อื่น ๆ ของ Microsoft 365 ใช้งานไม่ได้ ดังนั้นควรถือเป็นมาตรการรองไม่ใช่มาตรการหลัก

การปิด Windows Copilot และแถบด้านข้าง Edge Copilot

การปิดใช้งาน Windows Copilot ผ่าน Group Policy

Windows Copilot ทำงานในระดับระบบปฏิบัติการ ซึ่งหมายความว่าการตรวจจับพึ่งพาการตรวจสอบบันทึกเครือข่ายสำหรับการรับส่งข้อมูลที่เข้าถึง copilot.microsoft.com, bing.com/chat หรือ edgeservices.bing.com ในการปิดใช้งาน ผู้ดูแลระบบต้องใช้ Group Policy ที่ Computer Config → Admin Templates → Windows Components → Windows Copilot

ใน Microsoft 365 Group Policy admin center การตั้งค่า "Block consumer Copilot for organizational accounts" เพิ่มชั้นการควบคุมอีกชั้น หากนโยบายเพียงอย่างเดียวไม่เพียงพอ การบล็อกไฟล์ปฏิบัติการ Copilot.exe จะป้องกันไม่ให้มันทำงาน

การปิดใช้งานแถบด้านข้าง Copilot ใน Microsoft Edge

แถบด้านข้าง Copilot ใน Microsoft Edge เป็นประเด็นแยกต่างหาก การตรวจจับทำงานในลักษณะเดียวกันผ่าน NGFW และการรับส่งข้อมูลในบันทึกเครือข่ายไปยังโดเมนข้างต้น ในการปิดใช้งาน ผู้ดูแลระบบต้องกำหนดค่าการตั้งค่า Edge Group Policy หลายรายการโดยเฉพาะ:

• HubsSidebarEnabled = false
• EdgeShoppingAssistantEnabled = false
• CopilotPageContext = Disabled (false)
• CopilotNewTabPageEnabled = false
• Microsoft365CopilotChatIconEnabled = false
• GenAILocalFoundationalModelSettings = 1

การตั้งค่าสุดท้ายนั้นควรสังเกต: การปิดใช้งานฟีเจอร์นี้ต้องใช้ค่า 1 ไม่ใช่ 0 วิธีการบล็อกโดเมนเดิมที่ครอบคลุม copilot.cloud.microsoft และ m365.cloud.microsoft/chat ก็ใช้ได้ที่นี่เช่นกัน พร้อมกับข้อควรระวังเดิมเกี่ยวกับการรบกวนบริการ Microsoft อื่น ๆ ที่อาจเกิดขึ้น

วิธีบล็อก Google Gemini Assistant และฟีเจอร์ AI ของ Chrome

การปิดใช้งาน Gemini Assistant ใน Google Workspace

รอยเท้า AI ของ Google ในสภาพแวดล้อมองค์กรส่วนใหญ่ดำเนินการผ่าน Gemini Assistant ใน Workspace และผ่านฟีเจอร์ Gemini ที่ฝังอยู่ใน Chrome สำหรับ Workspace ผู้ดูแลระบบสามารถตรวจสอบส่วนรายงานการใช้งาน Gemini ภายใน Admin Console ที่ admin.google.com ซึ่งทำให้การตัดสินใจบล็อก Google Gemini Assistantติดตามได้ง่ายขึ้นก่อนที่การเปลี่ยนแปลงจะมีผล

ในการปิด Gemini Assistant ใน Google Workspace เส้นทางคือ Admin Console → Apps → Additional Google services → Gemini app → ตั้งค่าเป็น OFF ผู้ดูแลระบบควรไปที่ Manage Workspace Smart Feature Settings → Smart Features in Google Workspace และตั้งค่าเป็น OFF ด้วยเช่นกัน ต้องดำเนินการทั้งสองขั้นตอนเพื่อให้ครอบคลุมอย่างสมบูรณ์

ในระดับเครือข่าย การบล็อกการรับส่งข้อมูลไปยัง gemini.google.com, bard.google.com และ aistudio.google.com เพิ่มอีกหนึ่งเกราะป้องกัน

การบล็อก Gemini ใน Google Chrome ด้วยนโยบายองค์กร

สำหรับ Chrome ผู้ดูแลระบบสามารถตรวจจับกิจกรรม AI ผ่านรายงาน Chrome Enterprise ใน Chrome Management → Reports หรือโดยการเฝ้าดูการเชื่อมต่อเครือข่ายกับโดเมน Google AI เดิม การปิดฟีเจอร์ Gemini ใน Chrome ต้องกำหนดค่าการตั้งค่านโยบาย Chrome Enterprise เหล่านี้: GenAILocalFoundationalModelSettings = 0, HelpMeWriteSettings = 2, TabOrganizerSettings = 2, CreateThemesSettings = 2 และ DevToolsGenAiSettings = 2

การบล็อกโดเมน AI เดิมใช้ได้ที่นี่เช่นกัน องค์กรควรพิจารณาบล็อกการติดตั้ง Chrome หรือ Chromium ที่ไม่ได้รับอนุญาตนอกการจัดการนโยบายโดยใช้เครื่องมือควบคุมแอปพลิเคชันบนโฮสต์ เช่น EPP, EDR หรือ AppLocker

การจัดการ AI ของ Apple Intelligence ผ่านโปรไฟล์ MDM

การปิดใช้งานฟีเจอร์ Apple Intelligence ทีละรายการ

Apple Intelligence สร้างความท้าทายในรูปแบบที่แตกต่าง ต่างจาก Microsoft และ Google ตรงที่ Apple ไม่มีสวิตช์หลักที่ปิดฟีเจอร์ AI ทั้งหมดพร้อมกัน แต่ทุกความสามารถต้องถูกปิดใช้งานทีละรายการผ่านการตั้งค่าโปรไฟล์ MDM ซึ่งทำให้การจัดการ AI ของ Apple Intelligenceเป็นงานที่ต้องดำเนินการด้วยตนเองมากขึ้น แต่ก็ให้ผู้ดูแลระบบมีการควบคุมที่แม่นยำด้วย

ในโปรไฟล์ MDM ผู้ดูแลระบบต้องตั้งค่าคีย์ต่อไปนี้เป็น false: allowWritingTools, allowMailSummary, allowGenmoji, allowImagePlayground, allowImageWand, allowPersonalizedHandwritingResults, allowExternalIntelligenceIntegrations, allowExternalIntelligenceIntegrationsSignIn, allowNotesTranscription และ allowNotesTranscriptionSummary แต่ละคีย์ครอบคลุมความสามารถ Apple Intelligence ที่แตกต่างกัน ดังนั้นการพลาดแม้แต่รายการเดียวก็ทิ้งช่องว่างไว้ ที่น่าสังเกตคือ แม้ Apple จะมีการเคลื่อนไหวในวงกว้างสู่การจัดการอุปกรณ์แบบประกาศ แต่ฟีเจอร์ AI เหล่านี้ยังคงต้องการการกำหนดค่า MDM payload แบบดั้งเดิม

ทำไมการบล็อกระดับเครือข่ายจึงยากขึ้นบนอุปกรณ์มือถือของ Apple

ในด้านการตรวจจับ การรับส่งข้อมูลที่เข้าถึง apple-relay.apple.com และ *.apple-cloudkit.com ที่ระดับไฟร์วอลล์หรือตัวกรองเว็บเป็นสัญญาณว่า Apple Intelligence กำลังทำงาน การบล็อกโดเมนเหล่านั้นเพิ่มชั้นการป้องกันอีกชั้น

อย่างไรก็ตาม อุปกรณ์มือถือทำให้ภาพซับซ้อนขึ้น การบล็อกโดเมนระดับเครือข่ายใช้ได้เฉพาะเมื่ออุปกรณ์เชื่อมต่อกับเครือข่ายองค์กรเท่านั้น เมื่อ iPhone หรือ iPad ของพนักงานย้ายไปยังเครือข่ายส่วนตัว การบล็อกเหล่านั้นก็หายไป ด้วยเหตุนี้ โปรไฟล์ MDM จึงไม่ใช่แค่มีประโยชน์สำหรับอุปกรณ์ Apple ที่เคลื่อนที่ระหว่างการเชื่อมต่องานและส่วนตัว แต่เป็นกลไกที่เชื่อถือได้เพียงอย่างเดียว

สิ่งที่ทีม IT และความปลอดภัยควรคำนึงถึง

การปิดใช้งานฟีเจอร์ AI ในตัวเป็นเรื่องยากเพราะไม่มีขั้นตอนเดียวที่แก้ปัญหาได้ เครื่องมือหลายอย่างมีส่วนประกอบ AI ของตัวเอง การบล็อกที่มีประสิทธิภาพมักต้องการหลายชั้น และการบล็อกโดเมนเชิงรุกอาจรบกวนฟังก์ชันการทำงานที่ไม่เกี่ยวข้อง

ความเป็นจริงแบบหลายแพลตฟอร์มไม่ได้ชะลอตัวลง Microsoft, Google และ Apple ต่างเคลื่อนไหวอย่างรวดเร็วในการฝัง AI ทั่วทั้งระบบนิเวศของตน ซึ่งหมายความว่าทีม IT ไม่ได้กำลังจัดการกับการตัดสินใจกำกับดูแลเพียงครั้งเดียว แต่กำลังบริหาร AI control เป็นงานปฏิบัติการต่อเนื่องที่ต้องทบทวนทุกครั้งที่มีการอัปเดตหลักมาถึง สำหรับองค์กรในอุตสาหกรรมที่มีการกำกับดูแลอย่างเข้มงวด การปฏิบัติต่อสิ่งนี้เหมือนการกำหนดค่าแล้วลืมไปเลยถือเป็นความผิดพลาด