IT 團隊競相停用 Microsoft、Google、Apple 內建 AI 功能

AI 已不再敲門就直接走進辦公室。它已內嵌於文字處理器、瀏覽器、電子郵件客戶端和作業系統中，往往沒有人要求就自動啟用。對於試圖在企業軟體環境中停用內建 AI 功能的 IT 管理員和企業安全團隊而言，挑戰不僅限於技術層面。Microsoft、Google 和 Apple 各有其邏輯、政策和例外情況，這是一個不斷移動的目標。

本指南根據資安作家 Stan Kaminsky 的研究，詳細說明如何在企業裝置上偵測並關閉 Microsoft、Google 和 Apple 產品中的 AI 助理。在實務上，這項工作通常需要不止一個層次：政策設定、網路封鎖，有時還需要可執行檔限制。

企業為何要關閉內建 AI

出現在日常工具中的 AI 整合功能本身並非惡意。然而，它們對注重安全的組織確實引發了實質疑慮。AI 助理處理的資料可能會離開企業邊界，員工也可能在無意間透過提示詞分享敏感資訊。在金融、醫療和法律服務等受監管的行業中，合規規定通常要求對資料流進行更嚴格的控管。

這就是為什麼封鎖內建 AI 已成為越來越多 IT 團隊的優先事項。這種方式通常從政策配置開始，然後加上網路層級的網域封鎖，在某些情況下還會加上可執行檔層級的限制。

如何偵測並停用 Microsoft 365 Copilot

Microsoft 365 Copilot 在許多企業環境中名列前茅，因為它深度嵌入 Teams、Outlook、Word 和其他 Office 工具中。因此，停用 Microsoft 365 Copilot 的工作往往先從了解現況開始，再進行限制。

透過管理員日誌偵測 Copilot 使用情況

在封鎖任何功能之前，管理員需要了解實際運行的內容。Microsoft 365 Copilot 的使用情況可透過管理員入口網站，前往 Microsoft 365 Admin → Copilot Usage Report 進行偵測。該報告顯示哪些使用者正在積極使用該工具以及使用頻率。

透過政策和 SKU 管理封鎖 Copilot

若要封鎖 Microsoft 365 Copilot，管理員可前往 Microsoft 365 Admin Center，然後選擇 Settings → Integrated Apps，在 Available Apps 清單中找到 Copilot，並選取 Block。在 Customization → Policy Management 下可進行更細緻的控制，其中包含兩千多個政策項目，因此以關鍵字「Copilot」篩選是實務上的做法。

這也有財務方面的考量。由於 Copilot 是付費附加元件，不為使用者指派包含 Copilot 的 SKU，既可防止存取，也能節省費用。

一個常被忽視的元素是 Copilot Chat，它可在 Teams、Edge 和 Outlook 中單獨使用。它需要透過專屬流程獨立封鎖，因為主要的 Copilot 封鎖無法單獨攔截它。

使用網域封鎖作為次要防護層

為了提供額外的保護層，管理員可在網頁過濾器或次世代防火牆層級封鎖 copilot.cloud.microsoft 和 m365.cloud.microsoft/chat。然而，Microsoft 明確警告，此方法可能會導致其他 Microsoft 365 功能無法正常運作，因此應將其視為次要措施而非主要措施。

關閉 Windows Copilot 和 Edge Copilot 側邊欄

透過群組原則停用 Windows Copilot

Windows Copilot 在作業系統層級運作，這意味著偵測需依賴監控連往 copilot.microsoft.com、bing.com/chat 或 edgeservices.bing.com 的網路日誌流量。若要停用它，管理員需在群組原則中使用 Computer Config → Admin Templates → Windows Components → Windows Copilot。

在 Microsoft 365 群組原則管理中心，「Block consumer Copilot for organizational accounts」設定可增加另一層控制。如果僅靠政策還不夠，封鎖 Copilot.exe 可執行檔可防止其運行。

停用 Microsoft Edge 中的 Copilot 側邊欄

Microsoft Edge 中的 Copilot 側邊欄是個別問題。偵測方式相同，透過 NGFW 和連往上述網域的網路日誌流量進行監控。若要停用它，管理員需要配置以下幾項 Edge 群組原則設定：

• HubsSidebarEnabled = false
• EdgeShoppingAssistantEnabled = false
• CopilotPageContext = Disabled (false)
• CopilotNewTabPageEnabled = false
• Microsoft365CopilotChatIconEnabled = false
• GenAILocalFoundationalModelSettings = 1

最後一項設定值得注意：停用此功能需要設定值為 1，而非 0。涵蓋 copilot.cloud.microsoft 和 m365.cloud.microsoft/chat 的相同網域封鎖方式同樣適用於此，同樣需注意可能影響其他 Microsoft 服務的問題。

如何封鎖 Google Gemini Assistant 和 Chrome AI 功能

在 Google Workspace 中停用 Gemini Assistant

Google 在企業環境中的 AI 足跡主要透過 Workspace 中的 Gemini Assistant 以及內建於 Chrome 的 Gemini 功能來運作。對於 Workspace，管理員可在 admin.google.com 的 Admin Console 中查看 Gemini 使用報告部分。這讓封鎖 Google Gemini Assistant 的決策在變更上線前更容易追蹤。

若要關閉 Google Workspace 中的 Gemini Assistant，路徑為 Admin Console → Apps → Additional Google services → Gemini app → 設定為 OFF。管理員還應前往 Manage Workspace Smart Feature Settings → Smart Features in Google Workspace，並將其設定為 OFF。兩個步驟都需要執行才能達到完整覆蓋。

在網路層級，封鎖連往 gemini.google.com、bard.google.com 和 aistudio.google.com 的流量可增加另一道屏障。

透過企業政策在 Google Chrome 中封鎖 Gemini

對於 Chrome，管理員可透過 Chrome Management → Reports 下的 Chrome Enterprise 報告偵測 AI 活動，或監控連往相同 Google AI 網域的網路連線。在 Chrome 中停用 Gemini 功能需要配置以下 Chrome Enterprise 政策設定：GenAILocalFoundationalModelSettings = 0、HelpMeWriteSettings = 2、TabOrganizerSettings = 2、CreateThemesSettings = 2 以及 DevToolsGenAiSettings = 2。

相同的 AI 網域封鎖同樣適用於此。組織還應考慮使用主機型應用程式控制工具（例如 EPP、EDR 解決方案或 AppLocker）封鎖政策管理範圍之外未經授權的 Chrome 或 Chromium 安裝。

透過 MDM 設定檔管理 Apple Intelligence AI

逐一停用 Apple Intelligence 功能

Apple Intelligence 帶來了一種不同類型的挑戰。與 Microsoft 和 Google 不同，Apple 沒有提供一個可一次關閉所有 AI 功能的主開關。取而代之的是，每項功能都必須透過 MDM 設定檔設定個別停用。這使得 Apple Intelligence AI 管理更為手動，但也讓管理員擁有精確的控制能力。

在 MDM 設定檔中，管理員需要將以下金鑰設定為 false：allowWritingTools、allowMailSummary、allowGenmoji、allowImagePlayground、allowImageWand、allowPersonalizedHandwritingResults、allowExternalIntelligenceIntegrations、allowExternalIntelligenceIntegrationsSignIn、allowNotesTranscription 以及 allowNotesTranscriptionSummary。每個金鑰涵蓋一項獨立的 Apple Intelligence 功能，因此遺漏任何一項都會留下漏洞。值得注意的是，儘管 Apple 已廣泛朝向宣告式裝置管理發展，這些 AI 功能仍需要傳統的 MDM 有效負載配置。

為何行動 Apple 裝置的網路封鎖更為困難

在偵測方面，防火牆或網頁過濾器層級出現連往 apple-relay.apple.com 和 *.apple-cloudkit.com 的流量，表示 Apple Intelligence 正在運作。封鎖這些網域可增加另一層保護。

然而，行動裝置使情況更加複雜。網路層級的網域封鎖只在裝置連接企業網路時有效。一旦員工的 iPhone 或 iPad 切換到個人網路，這些封鎖就會失效。正因如此，MDM 設定檔對於在工作與個人網路之間移動的 Apple 裝置而言不僅有所幫助，更是唯一可靠的機制。

IT 和安全團隊應牢記的事項

停用內建 AI 功能之所以困難，是因為沒有單一步驟可以解決問題。多個工具現在都搭載了自己的 AI 元件，有效封鎖通常需要多個層次，而積極的網域封鎖可能會影響不相關的功能。

多平台的現實並未放緩。Microsoft、Google 和 Apple 都在快速將 AI 嵌入其生態系統，這意味著 IT 團隊面對的並非一次性的治理決策。相反地，他們將 AI 控管作為一項持續性的運營任務進行管理，每當重大更新推出時都需要重新檢視。對於高度受監管行業的組織而言，將此視為一次性配置將是一個錯誤。