Omówienie

Blokowanie przestrzeni roboczych to funkcja, która pozwala klientom ChatGPT Enterprise ograniczać dostęp do określonych przestrzeni roboczych ChatGPT, zapewniając użytkownikom możliwość logowania się i pracy w dozwolonych przestrzeniach roboczych. Ta funkcja ogranicza użytkownikom w organizacji dostęp do określonych, zatwierdzonych przestrzeni roboczych.

Jak to działa

• Konfiguracja niestandardowego nagłówka: Konfigurujesz dozwolone przestrzenie robocze, dodając niestandardowy nagłówek HTTP ChatGPT-Allowed-Workspace-Id do konfiguracji sieci. Ten nagłówek zawiera jeden lub więcej identyfikatorów przestrzeni roboczych (UUID), które określają, do których przestrzeni roboczych użytkownicy mają dostęp.

• ChatGPT filtruje dostęp:

  • Gdy użytkownik loguje się do ChatGPT Enterprise, system sprawdza, czy przestrzeń robocza, do której próbuje uzyskać dostęp, odpowiada któremukolwiek z UUID przestrzeni roboczych wymienionych w nagłówku ChatGPT-Allowed-Workspace-Id.

  • Jeśli użytkownik próbuje uzyskać dostęp do przestrzeni roboczej niewymienionej w nagłówku, ChatGPT automatycznie filtruje to żądanie, blokując dostęp do tej przestrzeni roboczej. Dopóki użytkownik ma dostęp do co najmniej jednej przestrzeni roboczej, filtrowanie odbywa się bez powiadomień. Jeśli po filtrowaniu użytkownik nie ma dostępu do żadnej przestrzeni roboczej, otrzyma błąd 403 Forbidden.

  • Dostępne będą tylko przestrzenie robocze wymienione w nagłówku, a wszystkie pozostałe przestrzenie robocze (w tym osobiste) zostaną odfiltrowane przez system.

• Obsługa wielu przestrzeni roboczych: Jeśli organizacja musi zezwolić na dostęp do więcej niż jednej przestrzeni roboczej, możesz umieścić w nagłówku wiele UUID przestrzeni roboczych, rozdzielając je przecinkami bez spacji.

Konfiguracja

Krok 1: Pobierz identyfikator przestrzeni roboczej

Aby zezwolić na dostęp do określonych przestrzeni roboczych, musisz znaleźć UUID przestrzeni roboczej dla każdej dozwolonej przestrzeni roboczej. Ten UUID można znaleźć w ustawieniach administratora ChatGPT:

• Zaloguj się na konto administratora ChatGPT Enterprise.

• Przejdź do strony Ustawienia administratora.

• Znajdź identyfikator przestrzeni roboczej (UUID) odpowiadający każdej przestrzeni roboczej, na którą chcesz zezwolić.

Przykładowy UUID przestrzeni roboczej: 437adf77-4085-4b22-b7b1-de7b6f5ec6c0

Krok 2: Dostawcy SASE

W przypadku wdrożeń w całym przedsiębiorstwie organizacje mogą współpracować ze swoimi partnerami Secure Access Service Edge (SASE). Partnerzy ci mogą egzekwować funkcję blokowania przestrzeni roboczych na poziomie sieci.

Krok 3: Konfiguracja

• Zezwól na wiele przestrzeni roboczych (w razie potrzeby): Aby zezwolić na dostęp do wielu przestrzeni roboczych, wprowadź identyfikatory UUID przestrzeni roboczych rozdzielone przecinkami.

• Określ kierowanie na adres URL:

  • Upewnij się, że nagłówek jest stosowany do adresu URL ChatGPT. Ustaw filtr URL tak, aby obejmował tylko żądania kierowane do https://chatgpt.com/*

Krok 4: Obsługa błędów

• Błąd 403 Forbidden: Jeśli użytkownik spróbuje uzyskać dostęp do przestrzeni roboczej, a po filtrowaniu nie będzie dostępna żadna przestrzeń robocza, zobaczy błąd 403 Forbidden, a komunikat poinformuje go, że nie ma uprawnień dostępu do tej przestrzeni roboczej.

• Błąd 400 Bad Request: Jeśli wartość nagłówka jest nieprawidłowo sformatowana (np. UUID przestrzeni roboczej jest niepoprawny), wszystkie żądania z tym nagłówkiem zakończą się błędem 400 Bad Request.

Krok 5: Zablokuj anonimowe korzystanie z ChatGPT (bez logowania)

Z ChatGPT można też korzystać bez konta ani przestrzeni roboczej; nazywamy to produktem anonimowym lub dostępnym bez logowania. Aby skutecznie zablokować taki sposób użycia, współpracuj z dostawcą SASE w celu zablokowania dostępu do adresów URL zaczynających się od https://chatgpt.com/backend-anon/ albo użyj tej samej konfiguracji przeglądarki, której użyto do wstawiania nagłówków, aby blokować także adresy URL z tym prefiksem.

Krok 6: Uwzględnij zgodność aplikacji desktopowej i mobilnej ChatGPT

Aplikacje desktopowe i mobilne ChatGPT stosują przypinanie certyfikatów. Ogranicza to zestaw certyfikatów serwera akceptowanych przez klienta, dodając dodatkowe zabezpieczenie przed zaawansowanymi atakami przechwytywania (MiTM), w których doszło do naruszenia ważnego certyfikatu. Sprawdzenie przypięcia odbywa się po zweryfikowaniu certyfikatu serwera względem zaufanych certyfikatów głównych.

Aby aplikacje desktopowe i mobilne ChatGPT działały prawidłowo przy włączonej inspekcji SSL (wymaganej do wdrożenia powyższych mechanizmów kontroli sieci), musisz dodać własne certyfikaty do listy przypiętych certyfikatów i rozdystrybuować je do klientów za pomocą MDM. Szczegółowe instrukcje znajdziesz tutaj: https://docsend.com/view/rrk4mx9aashcekp7

FAQ

Czy blokowanie przestrzeni roboczych będzie działać na urządzeniach mobilnych z iOS oraz w aplikacjach na macOS i Androida?

Blokowanie przestrzeni roboczych przez wstrzykiwanie nagłówka sieciowego można egzekwować w aplikacjach ChatGPT na zarządzanych urządzeniach, na których wdrożono wyjątki od przypinania certyfikatów za pomocą MDM, zgodnie z opisem powyżej.

Jeśli organizacja chce uniemożliwić użytkownikom dostęp do ChatGPT (w tym do kont osobistych) przez aplikacje na iOS, macOS i Androida, może skonfigurować zaporę sieciową, serwer proxy lub usługę SASE tak, aby blokowały dostęp do następujących domen:

• Aplikacja na Androida: android.chat.openai.com

• Desktopowa aplikacja internetowa: desktop.chatgpt.com

• Aplikacja na iOS: ios.chat.openai.com

Pamiętaj, że zablokowanie dostępu do powyższych domen blokuje cały ruch do aplikacji, co oznacza, że nikt nie będzie mógł uzyskać dostępu do ChatGPT za pośrednictwem tych platform, niezależnie od tego, czy korzysta z konta osobistego, czy Enterprise.