概觀
「工作區封鎖」功能可讓 ChatGPT Enterprise 客戶限制特定 ChatGPT 工作區的存取權,確保使用者只能登入並在允許的工作區內互動。此功能可確保您組織內的使用者只能存取特定且已核准的工作區。
運作方式
自訂標頭設定:您可以在網路設定中加入自訂 HTTP 標頭
ChatGPT-Allowed-Workspace-Id,以設定允許哪些工作區。此標頭包含一或多個工作區 ID (UUID),用來指定使用者可存取哪些工作區。ChatGPT 篩選存取權:
當使用者登入 ChatGPT Enterprise 時,系統會檢查他們嘗試存取的工作區是否符合
ChatGPT-Allowed-Workspace-Id標頭中列出的任何工作區 UUID。如果使用者嘗試存取標頭中未列出的工作區,ChatGPT 會自動篩選此要求,封鎖對該工作區的存取。只要使用者至少可存取一個工作區,篩選就會在背景中靜默進行。如果使用者在篩選後無法存取任何工作區,將會收到
403 Forbidden錯誤。只有標頭中列出的工作區可以存取,其他任何工作區(包括個人工作區)都會由系統篩除。
支援多個工作區:如果您的組織需要允許存取多個工作區,可以在標頭中加入多個工作區 UUID,並以逗號分隔,逗號之間不加空格。
設定
步驟 1:取得工作區 ID
若要允許存取特定工作區,您需要找出每個允許工作區的工作區 UUID。您可以在 ChatGPT 管理員設定中找到此 UUID:
登入您的 ChatGPT Enterprise 管理員帳戶。
前往「管理員設定」頁面。
找出與您要允許的每個工作區相對應的工作區 ID (UUID)。
工作區 UUID 範例:437adf77-4085-4b22-b7b1-de7b6f5ec6c0
步驟 2:SASE 供應商
若要在整個企業範圍內實作,組織可以與其安全存取服務邊緣 (SASE) 合作夥伴合作。這些合作夥伴可以在網路層級強制執行「工作區封鎖」功能。
步驟 3:設定
允許多個工作區(如有需要):若要允許存取多個工作區,請輸入工作區 UUID,並以逗號分隔。
指定 URL 目標設定:
確認標頭已套用至 ChatGPT URL。設定 URL 篩選器,使其僅套用至傳送到
https://chatgpt.com/*的要求。
步驟 4:錯誤處理
403 Forbidden 錯誤:如果使用者嘗試存取某個工作區,而篩選後沒有任何可用的工作區,使用者會看到
403 Forbidden錯誤,並顯示訊息指出他們未獲授權存取該工作區。400 Bad Request 錯誤:如果標頭值格式錯誤(例如工作區 UUID 不正確),所有包含該標頭的要求都會因
400 Bad Request錯誤而失敗。
步驟 5:封鎖匿名(登出狀態)ChatGPT 使用方式
ChatGPT 也可以在完全沒有帳戶或工作區的情況下使用,我們稱之為匿名或登出狀態產品。若要有效封鎖此類使用方式,請與您的 SASE 供應商合作,封鎖以 https://chatgpt.com/backend-anon/ 開頭的 URL;或使用您用來插入標頭的同一瀏覽器設定,也封鎖具有該前綴的 URL。
步驟 6:考量 ChatGPT 桌面版與行動應用程式的相容性
ChatGPT 桌面版與行動應用程式會實作憑證釘選。這會限制用戶端可接受的伺服器憑證範圍,為有效憑證遭入侵時的進階攔截(MiTM)攻擊提供額外防護。釘選檢查會在伺服器憑證已通過受信任根憑證驗證後執行。
若要在啟用 SSL 檢查時讓 ChatGPT 桌面版與行動應用程式正常運作(這是實作上述網路控制所必需),您需要將自己的憑證新增至釘選清單,並透過 MDM 分發給用戶端。如需詳細說明,請參閱:https://docsend.com/view/rrk4mx9aashcekp7
常見問題
工作區封鎖是否適用於 iOS 行動裝置、macOS 和 Android 應用程式?
透過網路標頭注入實作的工作區封鎖,可在受管理裝置上的 ChatGPT 應用程式中強制執行;前提是已依照上述方式透過 MDM 部署憑證釘選例外。
如果組織想防止使用者透過 iOS、macOS 和 Android 應用程式存取 ChatGPT(包括個人帳戶),可以設定網路防火牆、Proxy 或 SASE 服務,以封鎖下列網域的存取:
Android 應用程式:
android.chat.openai.com桌面版網頁應用程式:
desktop.chatgpt.comiOS 應用程式:
ios.chat.openai.com
請注意,封鎖上述網域的存取會封鎖傳往這些應用程式的所有流量;也就是說,無論使用者使用個人帳戶或 Enterprise 帳戶,都無法透過這些平台存取 ChatGPT。
