OpenAI
Deze pagina is automatisch vertaald. Bekijk het oorspronkelijke Engelstalige artikel.

Bedrijfsnetwerkcontroles in ChatGPT Enterprise

Werkruimteblokkering is een functie waarmee ChatGPT Enterprise-klanten de toegang tot specifieke ChatGPT-werkruimten kunnen beperken, zodat gebruikers kunnen inloggen en binnen de toegestane werkruimten kunnen werken.

Bijgewerkt: 13 hours ago

Overzicht

Werkruimteblokkering is een functie waarmee ChatGPT Enterprise-klanten de toegang tot specifieke ChatGPT-werkruimten kunnen beperken, zodat gebruikers kunnen inloggen en binnen de toegestane werkruimten kunnen werken. Deze functie zorgt ervoor dat gebruikers binnen uw organisatie alleen toegang hebben tot specifieke, goedgekeurde werkruimten.

Hoe het werkt

  • Aangepaste header instellen: U configureert welke werkruimten zijn toegestaan door een aangepaste HTTP-header, ChatGPT-Allowed-Workspace-Id, toe te voegen aan uw netwerkconfiguratie. Deze header bevat een of meer werkruimte-ID's (UUID's) waarmee wordt aangegeven tot welke werkruimten gebruikers toegang hebben.

  • ChatGPT filtert de toegang:

    • Wanneer een gebruiker inlogt bij ChatGPT Enterprise, controleert het systeem of de werkruimte waartoe de gebruiker toegang probeert te krijgen, overeenkomt met een van de werkruimte-UUID's in de header ChatGPT-Allowed-Workspace-Id.

    • Als de gebruiker toegang probeert te krijgen tot een werkruimte die niet in de header staat, filtert ChatGPT deze aanvraag automatisch en blokkeert het de toegang tot die werkruimte. Zolang een gebruiker toegang heeft tot ten minste één werkruimte, gebeurt het filteren ongemerkt. Als de gebruiker na het filteren uiteindelijk tot geen enkele werkruimte toegang heeft, ontvangt de gebruiker een 403 Forbidden-fout.

    • Alleen de werkruimten die in de header staan, zijn toegankelijk; alle andere werkruimten (inclusief persoonlijke werkruimten) worden door het systeem weggefilterd.

  • Ondersteuning voor meerdere werkruimten: Als uw organisatie toegang tot meer dan één werkruimte moet toestaan, kunt u meerdere werkruimte-UUID's in de header opnemen, gescheiden door komma's zonder spatie ertussen.

Configuratie

Stap 1: Het werkruimte-ID ophalen

Als u toegang tot specifieke werkruimten wilt toestaan, moet u voor elke toegestane werkruimte de werkruimte-UUID vinden. Deze UUID is te vinden in de ChatGPT-beheerdersinstellingen:

  • Log in op uw ChatGPT Enterprise-beheerdersaccount.

  • Ga naar de pagina Beheerdersinstellingen.

  • Zoek het werkruimte-ID (UUID) dat overeenkomt met elke werkruimte die u wilt toestaan.

Voorbeeld van een werkruimte-UUID: 437adf77-4085-4b22-b7b1-de7b6f5ec6c0

Stap 2: SASE-leveranciers

Voor bedrijfsbrede implementaties kunnen organisaties samenwerken met hun Secure Access Service Edge-partners (SASE). Deze partners kunnen de functie Werkruimteblokkering op netwerkniveau afdwingen.

Stap 3: Configuratie

  • Meerdere werkruimten toestaan (indien nodig): Voer de werkruimte-UUID's in, gescheiden door komma's, om toegang tot meerdere werkruimten toe te staan.

  • URL-targeting opgeven:

    • Zorg ervoor dat de header wordt toegepast op de ChatGPT-URL. Stel het URL-filter zo in dat het alleen wordt toegepast op aanvragen naar https://chatgpt.com/*

Stap 4: Foutafhandeling

  • 403 Forbidden-fout: Als een gebruiker toegang probeert te krijgen tot een werkruimte en er na het filteren geen werkruimten beschikbaar zijn, krijgt die gebruiker een 403 Forbidden-fout te zien en wordt in een bericht aangegeven dat de gebruiker geen toegang tot de werkruimte heeft.

  • 400 Bad Request-fout: Als de headerwaarde onjuist is opgemaakt (bijvoorbeeld omdat de werkruimte-UUID onjuist is), mislukken alle aanvragen met die header met een 400 Bad Request-fout.

Stap 5: Anoniem gebruik van ChatGPT (zonder login) blokkeren

ChatGPT kan ook zonder account of werkruimte worden gebruikt; dit noemen we ons anonieme product of product zonder login. Werk samen met uw SASE-leverancier om dit type gebruik effectief te blokkeren door toegang te blokkeren tot URL's die beginnen met https://chatgpt.com/backend-anon/, of gebruik dezelfde browserconfiguratie waarmee u headers invoegde om ook URL's met dat voorvoegsel te blokkeren.

Stap 6: Houd rekening met compatibiliteit van de ChatGPT-desktop- en mobiele applicaties

De desktop- en mobiele apps van ChatGPT gebruiken certificate pinning. Dit beperkt de set servercertificaten die een client accepteert en biedt zo extra bescherming tegen geavanceerde onderscheppingsaanvallen (MiTM) waarbij een geldig certificaat is gecompromitteerd. De pinningcontrole vindt plaats nadat het servercertificaat al is gevalideerd aan de hand van vertrouwde rootcertificaten.

Om ervoor te zorgen dat de desktop- en mobiele applicaties van ChatGPT goed werken wanneer SSL-inspectie is ingeschakeld (vereist om de bovenstaande netwerkcontroles te implementeren), moet u uw eigen certificaten toevoegen aan de pinlijst en deze via MDM naar clients distribueren. Zie hier voor gedetailleerde instructies: https://docsend.com/view/rrk4mx9aashcekp7

Veelgestelde vragen

Werkt werkruimteblokkering op mobiele iOS-apparaten en in macOS- en Android-applicaties?

Werkruimteblokkering via injectie van netwerkheaders kan worden afgedwongen in ChatGPT-applicaties op beheerde apparaten waarop uitzonderingen voor certificate pinning via MDM zijn geïmplementeerd, zoals hierboven beschreven.

Als een organisatie wil voorkomen dat gebruikers via de iOS-, macOS- en Android-apps toegang krijgen tot ChatGPT (inclusief persoonlijke accounts), kan zij de netwerkfirewall, proxy of SASE-service configureren om toegang tot de volgende domeinen te blokkeren:

  • Android-app: android.chat.openai.com

  • Desktop-webapp: desktop.chatgpt.com

  • iOS-app: ios.chat.openai.com

Houd er rekening mee dat het blokkeren van toegang tot de bovenstaande domeinen al het verkeer naar de applicaties blokkeert. Dit betekent dat niemand via deze platforms toegang heeft tot ChatGPT, ongeacht of diegene een persoonlijk of Enterprise-account gebruikt.

Was dit artikel nuttig?