Como desativar IAs indesejadas em dispositivos corporativos

Guia para detectar e bloquear recursos de IA integrados em produtos de software populares.

Guia para desativar o Copilot, o Gemini e o Apple Intelligence

Recentemente, desenvolvedores de software têm integrado recursos de IA a ferramentas de trabalho, sistemas operacionais e navegadores. Em alguns casos, eles são realmente úteis. No entanto, sua presença introduz riscos específicos, o que faz com que muitas empresas hesitem em conceder acesso a essas ferramentas aos funcionários. Em uma postagem anterior, categorizamos sistemas de IA indesejados, analisamos sua identificação em redes e endpoints e abordamos a solução definitiva: o gerenciamento de acesso OAuth em plataformas corporativas. Nesta análise aprofundada, vamos focar nas medidas práticas: detalhar como desativar ou restringir a IA integrada em plataformas populares.

Aviso rápido: grandes fornecedores de software podem alterar ocasionalmente os nomes das configurações de IA e seu funcionamento. Se alguma das opções abaixo estiver ausente ou não funcionar como esperado, uma busca rápida pelo nome da configuração normalmente levará à sua nova localização ou nome de marca.

Como desativar o Microsoft 365 Copilot

Detecção: você pode verificar o uso real do Copilot nos logs acessando Administração do Microsoft 365 (Microsoft 365 admin)Relatório de uso do Copilot (Copilot usage report).

Desativação por meio de políticas: no Centro de administração do Microsoft 365, acesse Configurações (Settings)Aplicativos integrados (Integrated Apps), localize Copilot na lista Aplicativos disponíveis (Available Apps) e selecione Bloquear (Block). Políticas de configuração mais granulares estão disponíveis em Personalização (Customization)Gerenciamento de políticas (Policy Management). A página Políticas (Policies) aqui contém mais de duas mil entradas, portanto, convém filtrá-las pela palavra-chave “Copilot” (guia detalhado). Como o Copilot é um complemento pago do Office, outra forma de bloqueá-lo e reduzir custos é evitar atribuir aos usuários SKUs que o incluam.

Recomendamos bloquear separadamente o Copilot Chat, disponível no Teams, Edge, Outlook e vários outros serviços. Sim, não é o Copilot em si. E sim, ele precisa ser bloqueado separadamente seguindo este guia.

Camada adicional de proteção: você pode bloquear os domínios copilot.cloud.microsoft e m365.cloud.microsoft/chat no filtro da Web ou no NGFW. No entanto, a Microsoft recomenda evitar essa prática, pois ela pode impedir o funcionamento correto de outros recursos do Microsoft 365.

Como desativar o Windows Copilot

Além da versão do Copilot para Office, também é necessário gerenciar a versão voltada ao consumidor.

Detecção: no NGFW ou em outros logs de rede, procure tráfego direcionado a copilot.microsoft.com, bing.com/chat ou edgeservices.bing.com.
Desativação por meio de políticas: na Política de Grupo do Windows, navegue até Configuração do computador (Computer Config)Modelos de administração (Admin Templates)Componentes do Windows (Windows Components)Windows Copilot. Na Política de Grupo do Microsoft 365, acesse Centro de administração (Admin center)Bloquear o Copilot voltado para o consumidor para contas organizacionais (Block consumer Copilot for organizational accounts).

Camada adicional de proteção: bloqueie totalmente a execução do executável Copilot.exe.

Como desativar a barra lateral do Copilot no Edge

Detecção: no NGFW ou em outros logs de rede, procure tráfego direcionado a copilot.microsoft.com, bing.com/chat ou edgeservices.bing.com.

Bloqueio: configure as seguintes Políticas de Grupo do MS Edge: HubsSidebarEnabled = falso, EdgeShoppingAssistantEnabled = falso, CopilotPageContext = Desativado (falso), CopilotNewTabPageEnabled = falso, Microsoft365CopilotChatIconEnabled = falso, GenAILocalFoundationalModelSettings = 1 (observe que desativar isso exige inesperadamente um 1 em vez de 0).

Camada adicional de proteção: bloqueie os domínios copilot.cloud.microsoft e m365.cloud.microsoft/chat no filtro da Web ou no NGFW. No entanto, a Microsoft não aconselha fazer isso, pois pode quebrar outros recursos.

Como desativar o Gemini Assistant no Google Workspace

Detecção: verifique o Console de administração do Workspace (admin.google.com), na seção Relatório de uso do Gemini (Gemini usage).

Bloqueio por meio de políticas: no Console de administração, navegue até Aplicativos (Apps)Serviços adicionais do Google (Additional Google services) → > Aplicativo Gemini (Gemini app) e defina-o como DESATIVADO (OFF). Em seguida, acesse Gerenciar configurações dos recursos inteligentes do Workspace (Manage Workspace smart feature settings)Recursos inteligentes no Google Workspace (Smart features in Google Workspace) e defina-o como DESATIVADO (OFF).

Camada adicional de proteção: bloqueie o tráfego de rede para os domínios gemini.google.com, bard.google.com e aistudio.google.com.

Como desativar o Gemini no Google Chrome

Detecção: verifique seus relatórios do Chrome Enterprise (Gerenciamento do Chrome (Chrome management)Relatórios (Reports)) ou procure nos registros de tráfego de rede conexões com os domínios mencionados anteriormente.

Bloqueio por meio de políticas: nas políticas do Chrome Enterprise, defina as seguintes configurações: GenAILocalFoundationalModelSettings = 0, HelpMeWriteSettings = 2 (desativado), TabOrganizerSettings = 2, CreateThemesSettings = 2, DevToolsGenAiSettings = 2.

Camada adicional de proteção: bloqueie o tráfego de rede para os domínios gemini.google.com, bard.google.com e aistudio.google.com. Além disso, bloqueie instalações não autorizadas do Chrome/Chromium (aquelas que estão fora do gerenciamento de políticas) com a ajuda de ferramentas de controle de aplicativos baseadas em host, como EPP/EDR ou AppLocker.

Como desativar a Apple Intelligence

Detecção: no NGFW e filtros da Web, o tráfego direcionado a apple-relay.apple.com e *.apple-cloudkit.com é um indicador claro de que a Apple Intelligence está ativa.

Bloqueio por meio de políticas: qualquer dispositivo Apple gerenciado permite desativar recursos individuais de IA, embora não haja um botão central que você possa usar para desativar “todos os recursos de IA”. Em seu perfil de MDM, você precisa definir as seguintes chaves como false (desativado): allowWritingTools, allowMailSummary, allowGenmoji, allowImagePlayground, allowImageWand, allowPersonalizedHandwritingResults, allowExternalIntelligenceIntegrations, allowExternalIntelligenceIntegrationsSignIn, allowNotesTranscription e allowNotesTranscriptionSummary. Veja este pequeno snippet de configuração:

<dict>

<key>PayloadType</key>

<string>com.apple.applicationaccess</string>

<key>allowWritingTools</key>

<false/>

<key>allowMailSummary</key>

<false/>

</dict>

Apesar da mudança da Apple para o gerenciamento declarativo de dispositivos, esses recursos de IA ainda precisam ser gerenciados por meio das configurações tradicionais de carga do MDM.

Camada adicional de proteção: bloqueie o tráfego de rede para os hosts mencionados acima; embora isso tenha a desvantagem óbvia de não funcionar em dispositivos móveis fora da rede corporativa.

Dicas