Panoramica

Il blocco delle aree di lavoro è una funzionalità che consente ai clienti ChatGPT Enterprise di limitare l’accesso a specifiche aree di lavoro ChatGPT, assicurando che gli utenti possano accedere e interagire nelle aree di lavoro consentite. Questa funzionalità assicura che gli utenti della tua organizzazione possano accedere solo ad aree di lavoro specifiche e approvate.

Come funziona

• Configurazione dell’header personalizzato: configuri quali aree di lavoro sono consentite aggiungendo alla configurazione di rete un header HTTP personalizzato, ChatGPT-Allowed-Workspace-Id. Questo header contiene uno o più ID di aree di lavoro (UUID) che specificano a quali aree di lavoro possono accedere gli utenti.

• ChatGPT filtra l’accesso:

  • Quando un utente accede a ChatGPT Enterprise, il sistema verifica se l’area di lavoro a cui sta tentando di accedere corrisponde a uno degli UUID delle aree di lavoro elencati nell’header ChatGPT-Allowed-Workspace-Id.

  • Se l’utente tenta di accedere a un’area di lavoro non elencata nell’header, ChatGPT filtra automaticamente la richiesta, bloccando l’accesso a quell’area di lavoro. Finché un utente ha accesso ad almeno un’area di lavoro, il filtraggio avviene in modo silenzioso. Nei casi in cui, dopo il filtraggio, l’utente non abbia più accesso ad alcuna area di lavoro, riceverà un errore 403 Forbidden.

  • Saranno accessibili solo le aree di lavoro elencate nell’header; tutte le altre aree di lavoro, incluse quelle personali, verranno filtrate dal sistema.

• Supporto di più aree di lavoro: se la tua organizzazione deve consentire l’accesso a più di un’area di lavoro, puoi includere nell’header più UUID di aree di lavoro, separati da virgole senza spazi.

Configurazione

Passaggio 1: recupera l’ID dell’area di lavoro

Per consentire l’accesso ad aree di lavoro specifiche, devi trovare l’UUID dell’area di lavoro per ogni area di lavoro consentita. Questo UUID si trova nelle impostazioni di amministrazione di ChatGPT:

• Accedi al tuo account amministratore di ChatGPT Enterprise.

• Vai alla pagina Impostazioni amministratore.

• Trova l’ID dell’area di lavoro (UUID) corrispondente a ogni area di lavoro che vuoi consentire.

Esempio di UUID dell’area di lavoro: 437adf77-4085-4b22-b7b1-de7b6f5ec6c0

Passaggio 2: fornitori SASE

Per implementazioni a livello aziendale, le organizzazioni possono collaborare con i propri partner Secure Access Service Edge (SASE). Questi partner possono applicare la funzionalità di blocco delle aree di lavoro a livello di rete.

Passaggio 3: configurazione

• Consenti più aree di lavoro (se necessario): Per consentire l’accesso a più aree di lavoro, inserisci gli UUID delle aree di lavoro separati da virgole.

• Specifica il targeting degli URL:

  • Assicurati che l’header venga applicato all’URL di ChatGPT. Imposta il filtro URL in modo che si applichi solo alle richieste inviate a https://chatgpt.com/*

Passaggio 4: gestione degli errori

• Errore 403 Forbidden: se un utente tenta di accedere a un’area di lavoro e, dopo il filtraggio, non sono disponibili aree di lavoro, visualizzerà un errore 403 Forbidden e un messaggio indicherà che non è autorizzato ad accedere all’area di lavoro.

• Errore 400 Bad Request: se il valore dell’header non è valido (ad esempio, l’UUID dell’area di lavoro è errato), tutte le richieste con quell’header avranno esito negativo con un errore 400 Bad Request.

Passaggio 5: blocca l’uso anonimo di ChatGPT (senza accesso)

ChatGPT può essere usato anche senza un account o un’area di lavoro: è il nostro prodotto anonimo, o per utenti non connessi. Per bloccare efficacemente questo tipo di utilizzo, collabora con il tuo fornitore SASE per bloccare l’accesso agli URL che iniziano con https://chatgpt.com/backend-anon/, oppure usa la stessa configurazione del browser usata per inserire gli header anche per bloccare gli URL con quel prefisso.

Passaggio 6: considera la compatibilità delle applicazioni desktop e mobili di ChatGPT

Le app desktop e mobili di ChatGPT implementano il pinning dei certificati. Questo limita l’insieme di certificati server che un client accetterà, aggiungendo una protezione supplementare contro attacchi di intercettazione avanzati (MiTM) in cui un certificato valido è stato compromesso. Il controllo di pinning avviene dopo che il certificato server è già stato convalidato rispetto ai certificati root attendibili.

Affinché le applicazioni desktop e mobili di ChatGPT funzionino correttamente quando l’ispezione SSL è abilitata (necessaria per implementare i controlli di rete descritti sopra), dovrai aggiungere i tuoi certificati all’elenco di pinning e distribuirli ai client tramite MDM. Consulta qui le istruzioni dettagliate: https://docsend.com/view/rrk4mx9aashcekp7

Domande frequenti

Il blocco delle aree di lavoro funziona sui dispositivi mobili iOS e sulle applicazioni macOS e Android?

Il blocco delle aree di lavoro tramite inserimento di header di rete può essere applicato alle applicazioni ChatGPT sui dispositivi gestiti in cui sono state distribuite tramite MDM le eccezioni al pinning dei certificati, come descritto sopra.

Se un’organizzazione vuole impedire agli utenti di accedere a ChatGPT (inclusi gli account personali) tramite le app iOS, macOS e Android, può configurare il firewall di rete, il proxy o il servizio SASE per bloccare l’accesso ai seguenti domini:

• App Android: android.chat.openai.com

• App web desktop: desktop.chatgpt.com

• App iOS: ios.chat.openai.com

Tieni presente che bloccare l’accesso ai domini indicati sopra blocca tutto il traffico verso le applicazioni; di conseguenza, nessuno potrà accedere a ChatGPT tramite queste piattaforme, indipendentemente dal fatto che utilizzi un account personale o Enterprise.