概覽
工作區封鎖功能讓 ChatGPT Enterprise 客戶可限制特定 ChatGPT 工作區的存取權,確保使用者只能登入並在獲准的工作區內互動。此功能可確保你機構內的使用者只能存取特定且已核准的工作區。
運作方式
自訂標頭設定:你可以在網絡配置中加入自訂 HTTP 標頭
ChatGPT-Allowed-Workspace-Id,以設定允許哪些工作區。此標頭包含一個或多個工作區 ID (UUID),用來指定使用者可存取哪些工作區。ChatGPT 篩選存取:
當使用者登入 ChatGPT Enterprise 時,系統會檢查他們嘗試存取的工作區,是否符合
ChatGPT-Allowed-Workspace-Id標頭中列出的任何工作區 UUID。如果使用者嘗試存取未列於標頭中的工作區,ChatGPT 會自動篩選此要求,阻止存取該工作區。只要使用者仍可存取至少一個工作區,篩選過程便會在背景中靜默進行。如果使用者在篩選後無法存取任何工作區,便會收到
403 Forbidden錯誤。只有標頭中列出的工作區可以存取,其他任何工作區(包括個人工作區)都會被系統篩除。
支援多個工作區:如果你的機構需要允許存取多於一個工作區,可在標頭中加入多個工作區 UUID,並以逗號分隔,中間不留空格。
設定
步驟 1:取得工作區 ID
如要允許存取特定工作區,你需要找出每個獲准工作區的工作區 UUID。你可在 ChatGPT 管理員設定中找到此 UUID:
登入你的 ChatGPT Enterprise 管理員帳戶。
前往「管理員設定」頁面。
找出與你要允許的每個工作區相對應的工作區 ID (UUID)。
工作區 UUID 範例:437adf77-4085-4b22-b7b1-de7b6f5ec6c0
步驟 2:SASE 供應商
對於全企業實施,機構可與其安全存取服務邊緣 (SASE) 合作夥伴合作。這些合作夥伴可在網絡層級強制執行工作區封鎖功能。
步驟 3:配置
允許多個工作區(如有需要):如要允許存取多個工作區,請輸入以逗號分隔的工作區 UUID。
指定 URL 目標:
確保標頭已套用至 ChatGPT URL。將 URL 篩選器設定為只套用於發送至
https://chatgpt.com/*的要求
步驟 4:錯誤處理
403 Forbidden 錯誤:如果使用者嘗試存取某個工作區,而篩選後沒有任何可用工作區,他們會看到
403 Forbidden錯誤,並有訊息顯示他們未獲授權存取該工作區。400 Bad Request 錯誤:如果標頭值格式錯誤(例如工作區 UUID 不正確),所有帶有該標頭的要求都會因
400 Bad Request錯誤而失敗。
步驟 5:封鎖匿名(已登出)ChatGPT 使用方式
ChatGPT 亦可在完全沒有帳戶或工作區的情況下使用;我們稱之為匿名或已登出產品。如要有效封鎖這類使用方式,請與你的 SASE 供應商合作,封鎖以 https://chatgpt.com/backend-anon/ 開頭的 URL;或使用你用來插入標頭的同一瀏覽器配置,一併封鎖帶有該前綴的 URL。
步驟 6:考慮 ChatGPT 桌面和流動應用程式的相容性
ChatGPT 桌面和流動應用程式會實作憑證釘選。這會限制用戶端可接受的伺服器憑證範圍,當有效憑證遭入侵時,可為進階攔截(MiTM)攻擊提供額外防護。釘選檢查會在伺服器憑證已根據受信任的根憑證完成驗證後進行。
為了讓 ChatGPT 桌面和流動應用程式在啟用 SSL 檢查時(實作上述網絡控制所需)正常運作,你需要將自己的憑證加入釘選清單,並透過 MDM 分發至用戶端。詳細說明請參閱:https://docsend.com/view/rrk4mx9aashcekp7
常見問題
工作區封鎖是否適用於 iOS 流動裝置、macOS 和 Android 應用程式?
透過網絡標頭注入實現的工作區封鎖,可在已透過 MDM 部署憑證釘選例外的受管理裝置上,於 ChatGPT 應用程式中強制執行,如上文所述。
如果機構想防止使用者透過 iOS、macOS 和 Android 應用程式存取 ChatGPT(包括個人帳戶),可配置網絡防火牆、代理伺服器或 SASE 服務,以封鎖對以下網域的存取:
Android 應用程式:
android.chat.openai.com桌面網頁應用程式:
desktop.chatgpt.comiOS 應用程式:
ios.chat.openai.com
請注意,封鎖對上述網域的存取會封鎖應用程式的所有流量,亦即無論使用者使用個人帳戶或 Enterprise 帳戶,都無法透過這些平台存取 ChatGPT。