OpenAI
Cette page a été traduite automatiquement. Afficher l’article original en anglais.

Contrôles de réseau d’entreprise dans ChatGPT Enterprise

Le blocage des espaces de travail permet aux clients de ChatGPT Enterprise de restreindre l’accès à certains espaces de travail ChatGPT, afin que les utilisateurs puissent se connecter et interagir dans les espaces autorisés.

Mise à jour : 7 days ago

Aperçu

Le blocage des espaces de travail permet aux clients de ChatGPT Enterprise de restreindre l’accès à certains espaces de travail ChatGPT, afin que les utilisateurs puissent se connecter et interagir dans les espaces de travail autorisés. Cette fonctionnalité garantit que les utilisateurs de votre organisation peuvent accéder seulement à certains espaces de travail approuvés.

Fonctionnement

  • Configuration d’un en-tête personnalisé : Vous configurez les espaces de travail autorisés en ajoutant un en-tête HTTP personnalisé, ChatGPT-Allowed-Workspace-Id, à votre configuration réseau. Cet en-tête contient un ou plusieurs identifiants d’espace de travail (UUID) qui précisent les espaces de travail auxquels les utilisateurs peuvent accéder.

  • ChatGPT filtre l’accès :

    • Lorsqu’un utilisateur se connecte à ChatGPT Enterprise, le système vérifie si l’espace de travail auquel il tente d’accéder correspond à l’un des UUID d’espace de travail indiqués dans l’en-tête ChatGPT-Allowed-Workspace-Id.

    • Si l’utilisateur tente d’accéder à un espace de travail qui n’est pas indiqué dans l’en-tête, ChatGPT filtre automatiquement cette requête et bloque l’accès à cet espace de travail. Tant qu’un utilisateur a accès à au moins un espace de travail, le filtrage se fait discrètement. Si, après le filtrage, l’utilisateur n’a plus accès à aucun espace de travail, il recevra une erreur 403 Forbidden.

    • Seuls les espaces de travail indiqués dans l’en-tête seront accessibles; tous les autres espaces de travail (y compris les espaces de travail personnels) seront filtrés par le système.

  • Prise en charge de plusieurs espaces de travail : Si votre organisation doit autoriser l’accès à plus d’un espace de travail, vous pouvez inclure plusieurs UUID d’espace de travail dans l’en-tête, séparés par des virgules sans espace entre eux.

Configuration

Étape 1 : Obtenir l’identifiant de l’espace de travail

Pour permettre l’accès à des espaces de travail précis, vous devrez trouver l’UUID de chaque espace de travail autorisé. Cet UUID se trouve dans les paramètres d’administration de ChatGPT :

  • Connectez-vous à votre compte d’administration ChatGPT Enterprise.

  • Accédez à la page des paramètres d’administration.

  • Trouvez l’identifiant d’espace de travail (UUID) correspondant à chaque espace de travail que vous voulez autoriser.

Exemple d’UUID d’espace de travail : 437adf77-4085-4b22-b7b1-de7b6f5ec6c0

Étape 2 : Fournisseurs SASE

Pour les déploiements à l’échelle de l’entreprise, les organisations peuvent collaborer avec leurs partenaires Secure Access Service Edge (SASE). Ces partenaires peuvent appliquer la fonctionnalité de blocage des espaces de travail au niveau du réseau.

Étape 3 : Configuration

  • Autoriser plusieurs espaces de travail (au besoin) : Pour permettre l’accès à plusieurs espaces de travail, entrez les UUID des espaces de travail, séparés par des virgules.

  • Préciser le ciblage d’URL :

    • Assurez-vous que l’en-tête est appliqué à l’URL de ChatGPT. Définissez le filtre d’URL pour qu’il s’applique uniquement aux requêtes envoyées à https://chatgpt.com/*

Étape 4 : Gestion des erreurs

  • Erreur 403 Forbidden : Si un utilisateur tente d’accéder à un espace de travail et qu’aucun espace de travail n’est disponible après le filtrage, il verra une erreur 403 Forbidden, et un message indiquera qu’il n’est pas autorisé à accéder à l’espace de travail.

  • Erreur 400 Bad Request : Si la valeur de l’en-tête est mal formée (p. ex., si l’UUID de l’espace de travail est incorrect), toutes les requêtes comportant cet en-tête échoueront avec une erreur 400 Bad Request.

Étape 5 : Bloquer l’utilisation anonyme (sans connexion) de ChatGPT

ChatGPT peut aussi être utilisé sans compte ni espace de travail; c’est ce que nous appelons notre produit anonyme ou sans connexion. Pour bloquer efficacement ce type d’utilisation, collaborez avec votre fournisseur SASE afin de bloquer l’accès aux URL qui commencent par https://chatgpt.com/backend-anon/, ou utilisez la même configuration de navigateur que celle utilisée pour insérer des en-têtes afin de bloquer aussi les URL portant ce préfixe.

Étape 6 : Tenir compte de la compatibilité des applications ChatGPT pour ordinateur et mobile

Les applications ChatGPT pour ordinateur et mobile utilisent l’épinglage de certificats. Cela limite l’ensemble des certificats de serveur qu’un client acceptera, ce qui ajoute une protection supplémentaire contre les attaques d’interception avancées (MiTM) lorsqu’un certificat valide a été compromis. La vérification de l’épinglage a lieu une fois que le certificat du serveur a déjà été validé par rapport aux certificats racines de confiance.

Pour que les applications ChatGPT pour ordinateur et mobile fonctionnent correctement lorsque l’inspection SSL est activée (nécessaire pour mettre en œuvre les contrôles réseau ci-dessus), vous devrez ajouter vos propres certificats à la liste d’épinglage et les distribuer aux clients au moyen d’une solution MDM. Consultez les instructions détaillées ici : https://docsend.com/view/rrk4mx9aashcekp7

FAQ

Le blocage des espaces de travail fonctionnera-t-il sur les appareils mobiles iOS ainsi que dans les applications macOS et Android?

Le blocage des espaces de travail par injection d’en-têtes réseau peut être appliqué aux applications ChatGPT sur les appareils gérés où des exceptions d’épinglage de certificats ont été déployées au moyen d’une solution MDM, comme décrit ci-dessus.

Si une organisation veut empêcher les utilisateurs d’accéder à ChatGPT (y compris aux comptes personnels) au moyen des applications iOS, macOS et Android, elle peut configurer son pare-feu réseau, son proxy ou son service SASE pour bloquer l’accès aux domaines suivants :

  • Application Android : android.chat.openai.com

  • Application Web de bureau : desktop.chatgpt.com

  • Application iOS : ios.chat.openai.com

Veuillez noter que le blocage de l’accès aux domaines ci-dessus bloque tout le trafic vers les applications, ce qui signifie que personne ne pourra accéder à ChatGPT par l’intermédiaire de ces plateformes, qu’il s’agisse d’un compte personnel ou d’un compte Enterprise.

Cet article vous a-t-il été utile?