概述
工作空间屏蔽是一项功能,可让 ChatGPT Enterprise 客户限制对特定 ChatGPT 工作空间的访问,确保用户只能在获准的工作空间中登录和互动。此功能可确保你组织内的用户只能访问特定且已获批准的工作空间。
工作原理
自定义标头设置:你可以在网络配置中添加自定义 HTTP 标头
ChatGPT-Allowed-Workspace-Id,以配置允许访问哪些工作空间。此标头包含一个或多个工作空间 ID (UUID),用于指定用户可以访问哪些工作空间。ChatGPT 过滤访问:
当用户登录 ChatGPT Enterprise 时,系统会检查其尝试访问的工作空间是否与
ChatGPT-Allowed-Workspace-Id标头中列出的任一工作空间 UUID 匹配。如果用户尝试访问未在标头中列出的工作空间,ChatGPT 会自动过滤此请求,阻止其访问该工作空间。只要用户至少可以访问一个工作空间,过滤就会静默进行。如果过滤后用户无法访问任何工作空间,用户将收到
403 Forbidden错误。只有标头中列出的工作空间可以访问,其他任何工作空间(包括个人工作空间)都会被系统过滤掉。
支持多个工作空间:如果你的组织需要允许访问多个工作空间,可以在标头中包含多个工作空间 UUID,并用英文逗号分隔,逗号之间不加空格。
设置
步骤 1:获取工作空间 ID
若要允许访问特定工作空间,你需要找到每个获准工作空间的 Workspace UUID。可在 ChatGPT 管理员设置中找到此 UUID:
登录你的 ChatGPT Enterprise 管理员账户。
转到“管理员设置”页面。
找到与你想允许访问的每个工作空间对应的 Workspace ID (UUID)。
Workspace UUID 示例:437adf77-4085-4b22-b7b1-de7b6f5ec6c0
步骤 2:SASE 供应商
对于企业范围的实施,组织可以与其安全访问服务边缘 (SASE) 合作伙伴合作。这些合作伙伴可以在网络层面强制执行工作空间屏蔽功能。
步骤 3:配置
允许多个工作空间(如需):若要允许访问多个工作空间,请输入 Workspace UUID,并用英文逗号分隔。
指定 URL 定向:
确保该标头应用于 ChatGPT URL。将 URL 过滤器设置为仅应用于发往
https://chatgpt.com/*的请求
步骤 4:错误处理
403 Forbidden 错误:如果用户尝试访问某个工作空间,但经过过滤后没有任何可用工作空间,他们会看到
403 Forbidden错误,并收到一条消息,提示其无权访问该工作空间。400 Bad Request 错误:如果标头值格式不正确(例如工作空间 UUID 错误),所有带有该标头的请求都会因
400 Bad Request错误而失败。
步骤 5:阻止匿名(未登录)使用 ChatGPT
ChatGPT 也可以在完全没有账户或工作空间的情况下使用,我们称之为匿名产品或未登录产品。若要有效阻止此类使用,请与你的 SASE 供应商合作,阻止访问以 https://chatgpt.com/backend-anon/ 开头的 URL;也可以使用此前用于插入标头的同一浏览器配置,同时阻止带有该前缀的 URL。
步骤 6:考虑 ChatGPT 桌面和移动应用兼容性
ChatGPT 桌面和移动应用实现了证书固定。这会限制客户端可接受的服务器证书集合,在有效证书已遭入侵的高级拦截(MiTM)攻击场景中提供额外防护。固定检查会在服务器证书已根据受信任的根证书完成验证之后进行。
为了让 ChatGPT 桌面和移动应用在启用 SSL 检查(实施上述网络控制所必需)时正常工作,你需要将自己的证书添加到固定列表,并通过 MDM 分发给客户端。详细说明请参见:https://docsend.com/view/rrk4mx9aashcekp7
常见问题
工作空间屏蔽是否适用于 iOS 移动设备、macOS 和 Android 应用?
如上所述,在已通过 MDM 部署证书固定例外的受管设备上,可以对 ChatGPT 应用强制执行通过网络标头注入实现的工作空间屏蔽。
如果组织希望阻止用户通过 iOS、macOS 和 Android 应用访问 ChatGPT(包括个人账户),可以配置网络防火墙、代理或 SASE 服务,阻止访问以下域名:
Android 应用:
android.chat.openai.com桌面 Web 应用:
desktop.chatgpt.comiOS 应用:
ios.chat.openai.com
请注意,阻止访问上述域名会阻止应用的所有流量,这意味着无论使用个人账户还是 Enterprise 账户,任何人都无法通过这些平台访问 ChatGPT。