概要
ワークスペース ブロックは、ChatGPT Enterprise のお客様が特定の ChatGPT ワークスペースへのアクセスを制限し、許可されたワークスペース内でユーザーがログインして操作できるようにする機能です。この機能により、組織内のユーザーは特定の承認済みワークスペースにのみアクセスできます。
仕組み
カスタムヘッダーの設定:ネットワーク構成にカスタム HTTP ヘッダー
ChatGPT-Allowed-Workspace-Idを追加し、許可するワークスペースを設定します。このヘッダーには、ユーザーがアクセスできるワークスペースを指定する 1 つ以上のワークスペース ID(UUID)が含まれます。ChatGPT によるアクセスのフィルタリング:
ユーザーが ChatGPT Enterprise にログインすると、システムはアクセスしようとしているワークスペースが
ChatGPT-Allowed-Workspace-Idヘッダーに記載されたワークスペース UUID のいずれかと一致するかを確認します。ユーザーがヘッダーに記載されていないワークスペースにアクセスしようとすると、ChatGPT はそのリクエストを自動的にフィルタリングし、そのワークスペースへのアクセスをブロックします。ユーザーが少なくとも 1 つのワークスペースにアクセスできる限り、フィルタリングは通知なしで行われます。フィルタリング後にユーザーがアクセスできるワークスペースが 1 つもなくなった場合、
403 Forbiddenエラーが表示されます。ヘッダーに記載されたワークスペースのみアクセス可能となり、その他のワークスペース(個人用ワークスペースを含む)はシステムによって除外されます。
複数のワークスペースのサポート:組織で複数のワークスペースへのアクセスを許可する必要がある場合は、複数のワークスペース UUID をスペースなしのカンマ区切りでヘッダーに含めることができます。
セットアップ
ステップ 1:ワークスペース ID の取得
特定のワークスペースへのアクセスを許可するには、許可対象の各ワークスペースのワークスペース UUID を確認する必要があります。この UUID は ChatGPT の管理者設定で確認できます:
ChatGPT Enterprise の管理者アカウントにログインします。
管理者設定ページに移動します。
許可したい各ワークスペースに対応するワークスペース ID(UUID)を確認します。
ワークスペース UUID の例:437adf77-4085-4b22-b7b1-de7b6f5ec6c0
ステップ 2:SASE ベンダー
企業全体で実装する場合、組織は Secure Access Service Edge(SASE)パートナーと連携できます。これらのパートナーは、ワークスペース ブロック機能をネットワークレベルで適用できます。
ステップ 3:構成
複数のワークスペースを許可(必要な場合):複数のワークスペースへのアクセスを許可するには、ワークスペース UUID をカンマ区切りで入力します。
URL ターゲティングの指定:
ヘッダーが ChatGPT の URL に適用されていることを確認します。URL フィルターを設定し、
https://chatgpt.com/*へのリクエストにのみ適用します
ステップ 4:エラー処理
403 Forbidden エラー:ユーザーがワークスペースにアクセスしようとした際、フィルタリング後に利用可能なワークスペースがない場合は、
403 Forbiddenエラーが表示され、そのワークスペースへのアクセス権がないことを示すメッセージが表示されます。400 Bad Request エラー:ヘッダー値の形式が正しくない場合(例:ワークスペース UUID が誤っている場合)、そのヘッダーを含むすべてのリクエストは
400 Bad Requestエラーで失敗します。
ステップ 5:匿名(ログアウト状態)の ChatGPT 利用のブロック
ChatGPT はアカウントやワークスペースなしでも利用できます。これを匿名またはログアウト状態のプロダクトと呼びます。この種の利用を効果的にブロックするには、SASE ベンダーと連携して https://chatgpt.com/backend-anon/ で始まる URL へのアクセスをブロックするか、ヘッダーの挿入に使用したものと同じブラウザー構成で、そのプレフィックスを持つ URL もブロックします。
ステップ 6:ChatGPT デスクトップおよびモバイルアプリケーションの互換性の考慮
ChatGPT のデスクトップアプリとモバイルアプリは証明書ピンニングを実装しています。これにより、クライアントが受け入れるサーバー証明書の範囲が制限され、有効な証明書が侵害された高度な傍受(MiTM)攻撃に対する追加の保護策となります。ピンニングチェックは、サーバー証明書が信頼されたルート証明書に対して検証された後に実行されます。
SSL インスペクションが有効な場合(上記のネットワーク制御を実装するために必要)、ChatGPT のデスクトップおよびモバイルアプリケーションを正常に動作させるには、独自の証明書をピンリストに追加し、MDM 経由でクライアントに配布する必要があります。詳細な手順はこちらを参照してください:https://docsend.com/view/rrk4mx9aashcekp7
FAQ
ワークスペース ブロックは iOS モバイルデバイス、macOS、Android アプリケーションで機能しますか?
ネットワークヘッダー挿入によるワークスペース ブロックは、上記のとおり MDM 経由で証明書ピンニングの例外が展開された管理対象デバイス上の ChatGPT アプリケーションで適用できます。
組織が iOS、macOS、Android アプリを通じた ChatGPT(個人アカウントを含む)へのユーザーアクセスを防止したい場合は、ネットワークファイアウォール、プロキシ、または SASE サービスで次のドメインへのアクセスをブロックするよう設定できます:
Android アプリ:
android.chat.openai.comデスクトップ Web アプリ:
desktop.chatgpt.comiOS アプリ:
ios.chat.openai.com
上記のドメインへのアクセスをブロックすると、アプリケーションへのトラフィックがすべてブロックされます。つまり、個人アカウントと Enterprise アカウントのどちらを使用しているかにかかわらず、誰もこれらのプラットフォーム経由で ChatGPT にアクセスできなくなります。
