Poradniki
Blokowanie AI na telefonach służbowych
Praktyczny przewodnik dla Intune oraz Knox Manage
Blokowanie AI na telefonach służbowych
Generatywna sztuczna inteligencja weszła na urządzenia mobilne tak szybko, że wielu administratorów IT nawet nie zdążyło dopić porannej kawy, a ich użytkownicy już dyktowali maile przez Gemini, generowali podsumowania spotkań w Galaxy AI i wklejali wrażliwe dane klientów do ChatGPT, „żeby ładniej sformatować tabelkę”. Brzmi znajomo?
Problem w tym, że te wszystkie asystenty — niezależnie od tego, jak bardzo są wygodne — to odkurzacze danych. Czasem mielą je lokalnie (pół biedy), a czasem wysyłają wprost do chmury producenta (już całkiem duża bieda). Jeśli zarządzasz flotą w finansach, medycynie, administracji albo po prostu w firmie, która nie chce, żeby jej strategia sprzedaży szkoliła model językowy konkurencji — musisz przejąć stery.
Dziś pokażę Wam krok po kroku, jak zablokować lub ograniczyć funkcje AI w systemach dwóch gigantów rynku MDM: Microsoft Intune oraz Samsung Knox Manage. Przy okazji „rozprawimy” się z Apple Intelligence, bo iPhone’y w firmach to już standard, a nie egzotyka dla zarządu.
Co tak naprawdę blokujemy?
Zanim zaczniemy, musimy sobie uzmysłowić jedną rzecz: „AI na telefonie” to nie jest jeden magiczny przełącznik. To hydra o wielu głowach. Microsoft w swojej dokumentacji podzielił to na pięć kategorii. I ten podział ma sens:
- Samodzielne aplikacje AI — ChatGPT, Copilot, Claude, Gemini. Użytkownik pobiera je ze sklepu. Najłatwiejsze do wycięcia, ale to dopiero wierzchołek góry lodowej.
- Strony internetowe AI — zablokowałeś aplikację? Sprytny pracownik wejdzie przez przeglądarkę na
chatgpt.com. O tym często zapominamy. - Asystenty ekranowe — Circle to Search na Androidzie czy wizualne wyszukiwanie. Analizują to, co jest wyświetlone na ekranie. Jeśli masz otwarty tajny PDF i odpalisz asystenta — treść może polecieć w świat.
- Usługi AI na urządzeniu — Androidowe Gemini Nano (usługa AICore). Napędza klawiaturę, podpowiedzi w SMS-ach. Działa lokalnie, ale audytorzy kręcą na to nosem.
- AI producenta (systemowe) — Galaxy AI na Samsungach, Apple Intelligence na iOS. Głęboko wbudowane w system, z dostępem do maili, zdjęć i kalendarza.
Dobra wiadomość: każdą z tych głów da się uciąć (lub przynajmniej zakneblować). Zła wiadomość: trzeba to robić warstwami.
Część 1: Microsoft Intune — twierdza Androida
Microsoft odrobił lekcje i daje nam potężny oręż, szczególnie dla urządzeń w trybie Android Enterprise (Fully Managed lub Work Profile).
Krok 1: Blokowanie aplikacji (Sklep Play)
To pierwsza linia obrony. Jeśli nie chcesz, żeby pracownicy instalowali ChatGPT czy Copilota.
Scenariusz A: masz „zamknięty” sklep (Allowlist – zalecane) – jeśli Twoi użytkownicy widzą w Managed Google Play tylko to, co im udostępniłeś — gratulacje, masz spokój. Po prostu nie dodawaj tam aplikacji AI.
Scenariusz B: masz „otwarty” sklep (wszystkie apki dostępne) – musisz jawnie zablokować konkretne tytuły.
- Wchodzimy do: Aplikacje (Apps) -> Android -> Dodaj (Add) -> Aplikacja zarządzanego Sklepu Google Play (Managed Google Play app)
- Wyszukujemy i zatwierdzamy „podejrzanych”: ChatGPT, Microsoft Copilot, Google Gemini, Perplexity, Claude, DeepSeek
- Po synchronizacji, wchodzimy w każdą z nich, wybieramy Właściwości (Properties) -> Przypisania (Assignments)
- Dodajemy grupę użytkowników w sekcji Odinstaluj (Uninstall) lub jeśli masz profil restrykcji — po prostu zablokuj je po
Bundle ID(np.com.openai.chatgpt) w profilu konfiguracji urządzenia (Device Restrictions -> Restricted apps)
Pro Tip
Nie ograniczaj się do „wielkiej piątki”. Sprawdzaj co miesiąc nowe hity w sklepie Play. To wyścig zbrojeń.
Krok 2: Blokada w przeglądarce Edge i Chrome
Zablokowanie apki to za mało. Musimy uszczelnić przeglądarkę. Intune pozwala to zrobić elegancko przez Zasady konfiguracji aplikacji (App Configuration Policies).
Dla Microsoft Edge (i Chrome analogicznie):
- Przejdź do: Aplikacje -> Zasady konfiguracji aplikacji -> Dodaj -> Zarządzane urządzenia
- Wybierz Android Enterprise i wskaż Microsoft Edge
- W ustawieniach konfiguracji wybierz Użyj projektanta konfiguracji (Use configuration designer) lub wklej JSON. Szukamy klucza:
URLBlocklist. - W wartości wpisujemy adresy:
["https://chatgpt.com", "https://copilot.microsoft.com", "https://gemini.google.com", "https://claude.ai"]
Bonus: wycięcie Copilota z paska Edge – Copilot „mieszka” w przeglądarce Edge jako przycisk. Żeby go usunąć, dodaj w tej samej polityce klucz:
- Klucz:
com.microsoft.intune.mam.managedbrowser.Chat - Typ wartości:
Boolean - Wartość:
False
Krok 3: Circle to Search i analiza ekranu
Funkcja „Zakreśl, by wyszukać” jest super wygodna, ale w firmie to koszmar DLP (Data Loss Prevention). Blokujemy to w Katalogu Ustawień.
- Urządzenia -> Android -> Konfiguracja -> Nowe zasady
- Wybierz Android Enterprise -> Wykaz ustawień (Settings Catalog)
- Wpisz w wyszukiwarkę „Assist” i znajdź kategorię General
- Zaznacz Block assist content sharing with privileged apps
- Ustaw na True (lub Block)
To sprawi, że Asystent Google nie będzie mógł „czytać” tego, co jest na ekranie w profilu służbowym.
Część 2: Microsoft Intune — Apple Intelligence (iOS)
Tu sprawa jest prosta: Urządzenia Nadzorowane (Supervised) albo nic. Jeśli masz BYOD bez nadzoru, Twoje możliwości kończą się na blokowaniu aplikacji. Jeśli masz Apple Business Manager — czytaj dalej.
Apple Intelligence weszło z iOS 18.1. W Intune znajdziesz to w profilach ograniczeń.
- Urządzenia -> iOS/iPadOS -> Konfiguracja -> Nowe zasady
- Wybierz Katalog ustawień (najszybciej aktualizowany) lub Szablony -> Ograniczenia urządzeń
- Szukaj frazy „Intelligence” lub „Math Notes”
- Kluczowe opcje do zablokowania:
- Genmoji (serio, nie potrzebujemy generowania emoji w raportach)
- Image Playground (generowanie obrazków)
- Writing Tools (Narzędzia do pisania) — to najważniejsze! Blokuje przepisywanie i poprawianie maili przez AI
- Image Wand
Ważne:
Pamiętaj, że te funkcje działają tylko na iPhone 15 Pro i nowszych. Na starszych modelach te polisy po prostu nic nie zmienią, bo AI tam nie ma.
Część 3: Samsung Knox Manage — Koreański porządek (Galaxy AI)
Samsung w ekosystemie Knox daje nam narzędzia, o których inni mogą pomarzyć. Mowa o Knox Service Plugin (KSP). To aplikacja OEMConfig, która pozwala sterować funkcjami zaszytymi głęboko w systemie Samsunga.
Wymagania:
- Urządzenie Samsung z One UI 6.1+
- Profil KSP w Knox Manage
Trzy poziomy kontroli Galaxy AI w Knox Manage
Wchodzimy w edycję profilu Android, sekcja Aplikacje -> Knox Service Plugin -> Konfiguracja OEM (Managed Configurations). Szukamy sekcji Advanced Restriction policies (Premium) (nazwy mogą się różnić w zależności od wersji wtyczki, szukajcie „Artificial Intelligence”).
Opcja 1: „Paranoik” (Kill Switch) – ustawiamy Block all Galaxy AI na True. Efekt: wszystkie funkcje AI znikają z ustawień telefonu. Czysto, bezpiecznie, brutalnie.
Opcja 2: „Kompromis” (Local Processing Only) – moja ulubiona opcja. Szukamy ustawienia Allow process data only on device i dajemy True. Efekt: Galaxy AI działa (tłumaczenie live, notatki), ale żaden bajt danych nie opuszcza telefonu. Samsung nie wysyła tego do chmury w celu analizy. To idealny balans między nowoczesnością a bezpieczeństwem.
Opcja 3: „Chirurg” (Granularna kontrola) – możesz wybrać Block individual Galaxy AI operations i wyklikać np. tylko blokadę „Tłumacza” albo tylko „Asystenta Notatek”, zostawiając resztę
Podsumujmy
| Funkcja | Microsoft Intune | Samsung Knox Manage |
|---|---|---|
| Blokada Aplikacji AI (Android) | Tak (Sklep Play / Compliance) | Tak (Blacklist / Sklep Play) |
| Blokada Stron AI (Przeglądarka) | Tak (Edge/Chrome App Config) | Tak (Samsung Internet Policy) |
| Circle to Search (Analiza ekranu) | Tak (Settings Catalog) | Tak (Przez KSP) |
| Galaxy AI — całkowita blokada | Tak (przez OEMConfig*) | Tak (Natywnie w KSP) |
| Galaxy AI — tylko lokalne | Tak (przez OEMConfig*) | Tak (Natywnie w KSP) |
| Apple Intelligence (iOS 18.1+) | Tak (Urządzenia nadzorowane) | Tak (Profil MDM restrykcji) |
| Wyłączenie Copilot w Edge | Tak (App Config) | Tak (App Config) |
Moja rada na koniec
Nie walczcie z wiatrakami. Jeśli zablokujecie wszystko „na twardo”, ludzie zaczną przynosić prywatne laptopy i telefony, żeby „zrobić robotę szybciej”. Najlepsza strategia to Local Processing na Samsungach i Managed App Protection na pozostałych, połączone z jasną polityką firmy: „Słuchajcie, mamy Copilota firmowego z licencją Enterprise — używajcie tego, bo tam dane są chronione. Nie wrzucajcie plików do darmowego ChatGPT”. Technologia to jedno, edukacja to drugie. Ale kill-switch w Knoxie warto mieć pod ręką 😎
Źródła
Microsoft Learn: Manage AI on Android Enterprise
Samsung Knox: Data processing for Galaxy AI
Microsoft Tech Community: Intune support for Apple Intelligence
Doczytałeś / doczytałaś do końca – jest mi niezmiernie miło – będzie nagroda 😉
Poniżej znajdziesz gotowy wsad „blokujący”. Przekopałem Sklep Play, fora i raporty bezpieczeństwa. Temat jest o tyle podchwytliwy, że część z „aplikacji” to wciąż rozwiązania Web-first (działające w przeglądarce), a nie natywne aplikacje mobilne. Administratorzy często o tym zapominają – szukają paczki do zablokowania, nie znajdują jej i myślą „uff, czysto”. A użytkownik wchodzi sobie przez Chrome.
Dlatego tę listę podzieliłem na dwie sekcje: paczki .apk do zablokowania (Android) oraz domeny do wycięcia (Web) – dla tych usług, które nie mają jeszcze oficjalnej aplikacji, ale są „groźne”.
📦 Sekcja 1: aplikacje mobilne (Android Package Names) – to gotowa lista do wrzucenia w profil Application Blacklist (Knox) / Restricted Apps (Intune).
🚨 Kategoria: Wielkie modele & oficjalni gracze
To podstawa. Jeśli tego nie zablokujesz, to tak jakbyś zostawił otwarte drzwi do serwerowni.
| Nazwa aplikacji | Package Name (ID pakietu) | Uwagi |
|---|---|---|
| ChatGPT (OpenAI) | com.openai.chatgpt | Absolutny nr 1 wśród pracowników corpo |
| Microsoft Copilot | com.microsoft.copilot | Samo zło 😈 |
| Google Gemini | com.google.android.apps.bard | Stare ID „bard” wciąż obowiązuje |
| Claude (Anthropic) | com.anthropic.claude | Bardzo popularny w IT/Dev |
| Perplexity | ai.perplexity.app.android | Wyszukiwarka AI |
| DeepSeek | com.deepseek.chat | Chiński hit, tanie API, ogromna popularność |
| Microsoft Bing | com.microsoft.bing | Ma wbudowany czat AI |
| Microsoft Edge | com.microsoft.emmx | Ma wbudowany pasek boczny Copilot |
| Poe (Quora) | com.quora.poe | Agregator (dostęp do wielu modeli w jednym) |
| Pi (Inflection) | ai.inflection.pi | Osobisty asystent |
| HuggingChat | co.huggingface.chat | Modele open-source |
| DuckDuckGo | com.duckduckgo.mobile.android | Ich „AI Chat” jest wbudowany w przeglądarkę |
🦠 Kategoria: „Wrappery”
To jest plaga. Tysiące aplikacji o nazwie „AI Chat”, które korzystają z API OpenAI. Użytkownicy instalują je masowo, gdy oficjalna apka jest zablokowana. Wybrałem te najpopularniejsze (miliony pobrań).
| Nazwa aplikacji | Package Name (ID pakietu) |
|---|---|
| ChatOn | com.fitech.chat |
| Ask AI | com.codeway.chataskai |
| Nova | com.scaleup.chataihub |
| Genie | com.appnation.genie |
| AI Chat Open Assistant | com.aichat.app |
| ChatBox | com.aichat.chatbox |
| ChatAI | com.sea.chat |
| Smart AI Chat | com.talk.al.chat |
| Monica | com.monica.im |
| Sider | com.sider.ai |
🎙️ Kategoria: Nagrywanie spotkań i notatki (ryzyko wycieku audio)
Te aplikacje „słuchają” i robią transkrypcję w chmurze.
| Nazwa aplikacji | Package Name (ID pakietu) |
|---|---|
| Otter.ai | com.aisense.otter |
| Fireflies.ai | com.fireflies.app |
| Notta | com.langogo.transcribe |
| Krisp | ai.krisp.app |
| Tl;dv | com.tldv.app |
🎨 Kategoria: Grafika i wideo (prawa autorskie / deepfake)
| Nazwa aplikacji | Package Name (ID pakietu) |
|---|---|
| Leonardo.ai | ai.leonardo.app |
| Lensa | com.lensa.app |
| Wonder | com.codeway.aware |
| Imagine | com.vyro.ai.art |
| Photomath | com.microblink.photomath |
💔 Kategoria: „Towarzysze” i NSFW (ryzyko wizerunkowe)
| Nazwa aplikacji | Package Name (ID pakietu) |
|---|---|
| Character.AI | ai.character.app |
| Replika | ai.replika.app |
| Chai | com.beauchamp.chai |
| Talkie | com.talkie.ai |
| Poly.AI | com.marupa.chat |
📥 Gotowiec do skopiowania (CSV)
App Name,Package Name,Category
ChatGPT,com.openai.chatgpt,Global AI
Microsoft Copilot,com.microsoft.copilot,Global AI
Google Gemini,com.google.android.apps.bard,Global AI
Claude,com.anthropic.claude,Global AI
Perplexity,ai.perplexity.app.android,Search AI
DeepSeek,com.deepseek.chat,Global AI
Poe,com.quora.poe,Aggregator
Microsoft Bing,com.microsoft.bing,Search AI
ChatOn,com.fitech.chat,Wrapper
Ask AI,com.codeway.chataskai,Wrapper
Nova,com.scaleup.chataihub,Wrapper
Genie,com.appnation.genie,Wrapper
Monica,com.monica.im,Productivity
Sider,com.sider.ai,Productivity
Otter.ai,com.aisense.otter,Meeting Recorder
Fireflies,com.fireflies.app,Meeting Recorder
Notta,com.langogo.transcribe,Meeting Recorder
Leonardo.ai,ai.leonardo.app,Image Gen
Lensa,com.lensa.app,Image Gen
Character.AI,ai.character.app,Entertainment
Replika,ai.replika.app,Entertainment
Chai,com.beauchamp.chai,Entertainment
DuckDuckGo,com.duckduckgo.mobile.android,Search AI
Pi,ai.inflection.pi,Personal AI
HuggingChat,co.huggingface.chat,Dev AI🌐 Sekcja 2: „Widma” (usługi web-first)
Aplikacje, które nie mają one oficjalnych, natywnych aplikacji w Sklepie Play (lub są w fazie beta/niedostępne publicznie). Użytkownicy korzystają z nich przez przeglądarkę. Żeby je zablokować, musisz użyć Web Content Filter (Intune/Knox). Blokowanie paczki nic nie da, bo paczka nie istnieje.
| Usługa | Adres URL do zablokowania | Status aplikacji (Android) |
|---|---|---|
| Mistral Le Chat | chat.mistral.ai | Brak oficjalnej apki (tylko wrappery) |
| Manus | manus.ai | Brak apki (w sklepie jest apka „Manus”, ale to sterownik do rękawic VR!) |
| Abacus.AI | abacus.ai | Platforma Enterprise, głównie web |
| Midjourney | discord.com / midjourney.com | Działa tylko przez Discorda lub Web |
| Suno AI | suno.com | Generator muzyki, brak apki |
| Groq | groq.com | Nie mylić z Grok od X – platforma web |
| Grok (xAI) | x.com (część Twittera/X) | Dostępny tylko wewnątrz aplikacji X (Twitter) |
Do następnego!
