Présentation
Le blocage des espaces de travail est une fonctionnalité qui permet aux clients ChatGPT Enterprise de restreindre l’accès à certains espaces de travail ChatGPT, afin que les utilisateurs puissent se connecter et interagir uniquement dans les espaces de travail autorisés. Cette fonctionnalité garantit que les utilisateurs de votre organisation ne peuvent accéder qu’à des espaces de travail spécifiques et approuvés.
Fonctionnement
Configuration d’un en-tête personnalisé : vous définissez les espaces de travail autorisés en ajoutant un en-tête HTTP personnalisé,
ChatGPT-Allowed-Workspace-Id, à votre configuration réseau. Cet en-tête contient un ou plusieurs ID d’espace de travail (UUID) qui indiquent les espaces de travail auxquels les utilisateurs peuvent accéder.ChatGPT filtre l’accès :
Lorsqu’un utilisateur se connecte à ChatGPT Enterprise, le système vérifie si l’espace de travail auquel il tente d’accéder correspond à l’un des UUID d’espace de travail indiqués dans l’en-tête
ChatGPT-Allowed-Workspace-Id.Si l’utilisateur tente d’accéder à un espace de travail qui ne figure pas dans l’en-tête, ChatGPT filtre automatiquement cette requête et bloque l’accès à cet espace de travail. Tant qu’un utilisateur a accès à au moins un espace de travail, le filtrage s’effectue silencieusement. Si, après le filtrage, l’utilisateur n’a plus accès à aucun espace de travail, il recevra une erreur
403 Forbidden.Seuls les espaces de travail répertoriés dans l’en-tête seront accessibles ; tous les autres espaces de travail, y compris les espaces de travail personnels, seront filtrés par le système.
Prise en charge de plusieurs espaces de travail : si votre organisation doit autoriser l’accès à plusieurs espaces de travail, vous pouvez inclure plusieurs UUID d’espace de travail dans l’en-tête, séparés par des virgules sans espace entre eux.
Configuration
Étape 1 : obtenir l’ID de l’espace de travail
Pour autoriser l’accès à des espaces de travail spécifiques, vous devez trouver l’UUID de chaque espace de travail autorisé. Cet UUID se trouve dans les paramètres d’administration de ChatGPT :
Connectez-vous à votre compte d’administration ChatGPT Enterprise.
Accédez à la page des paramètres d’administration.
Trouvez l’ID d’espace de travail (UUID) correspondant à chaque espace de travail que vous souhaitez autoriser.
Exemple d’UUID d’espace de travail : 437adf77-4085-4b22-b7b1-de7b6f5ec6c0
Étape 2 : fournisseurs SASE
Pour les déploiements à l’échelle de l’entreprise, les organisations peuvent collaborer avec leurs partenaires Secure Access Service Edge (SASE). Ces partenaires peuvent appliquer la fonctionnalité de blocage des espaces de travail au niveau du réseau.
Étape 3 : configuration
Autoriser plusieurs espaces de travail (si nécessaire) : pour autoriser l’accès à plusieurs espaces de travail, saisissez les UUID des espaces de travail séparés par des virgules.
Spécifier le ciblage des URL :
Assurez-vous que l’en-tête est appliqué à l’URL de ChatGPT. Définissez le filtre d’URL pour qu’il s’applique uniquement aux requêtes envoyées à
https://chatgpt.com/*
Étape 4 : gestion des erreurs
Erreur 403 Forbidden : si un utilisateur tente d’accéder à un espace de travail et qu’aucun espace de travail n’est disponible après le filtrage, il verra une erreur
403 Forbidden, et un message indiquera qu’il n’est pas autorisé à accéder à l’espace de travail.Erreur 400 Bad Request : si la valeur de l’en-tête est mal formée (par exemple, si l’UUID de l’espace de travail est incorrect), toutes les requêtes contenant cet en-tête échoueront avec une erreur
400 Bad Request.
Étape 5 : bloquer l’utilisation anonyme (déconnectée) de ChatGPT
ChatGPT peut également être utilisé sans compte ni espace de travail ; c’est ce que nous appelons notre produit anonyme ou déconnecté. Pour bloquer efficacement ce type d’utilisation, demandez à votre fournisseur SASE de bloquer l’accès aux URL commençant par https://chatgpt.com/backend-anon/, ou utilisez la même configuration de navigateur que celle utilisée pour insérer les en-têtes afin de bloquer également les URL ayant ce préfixe.
Étape 6 : tenir compte de la compatibilité avec les applications de bureau et mobiles ChatGPT
Les applications de bureau et mobiles ChatGPT utilisent l’épinglage de certificats. Cela limite l’ensemble des certificats serveur qu’un client acceptera, ce qui ajoute une protection supplémentaire contre les attaques d’interception avancées (MiTM) lorsqu’un certificat valide a été compromis. La vérification de l’épinglage a lieu après que le certificat serveur a déjà été validé par rapport aux certificats racines de confiance.
Pour que les applications de bureau et mobiles ChatGPT fonctionnent correctement lorsque l’inspection SSL est activée (nécessaire pour mettre en œuvre les contrôles réseau ci-dessus), vous devez ajouter vos propres certificats à la liste d’épinglage et les distribuer aux clients via MDM. Consultez les instructions détaillées ici : https://docsend.com/view/rrk4mx9aashcekp7
FAQ
Le blocage des espaces de travail fonctionne-t-il sur les appareils mobiles iOS, macOS et les applications Android ?
Le blocage des espaces de travail par injection d’en-tête réseau peut être appliqué aux applications ChatGPT sur les appareils gérés où des exceptions à l’épinglage de certificats ont été déployées via MDM, comme décrit ci-dessus.
Si une organisation souhaite empêcher les utilisateurs d’accéder à ChatGPT (y compris avec des comptes personnels) via les applications iOS, macOS et Android, elle peut configurer son pare-feu réseau, son proxy ou son service SASE pour bloquer l’accès aux domaines suivants :
Application Android :
android.chat.openai.comApplication web de bureau :
desktop.chatgpt.comApplication iOS :
ios.chat.openai.com
Veuillez noter que le blocage de l’accès aux domaines ci-dessus bloque tout le trafic vers les applications, ce qui signifie que personne ne pourra accéder à ChatGPT via ces plateformes, qu’il utilise un compte personnel ou Enterprise.
