OpenAI
Cette page a été traduite automatiquement. Afficher l’article original en anglais.

Contrôles d’administration, sécurité et conformité pour les plugins et les applications

Découvrez comment les espaces de travail Business, Enterprise et Edu gèrent l’installation des plugins, l’accès aux applications, les actions, la sécurité et la conformité.

Mise à jour : 3 hours ago

Remarque : Depuis le 29 août 2025, nous avons renommé ChatGPT Team en ChatGPT Business. Pour en savoir plus et obtenir des réponses aux questions liées au changement de nom, consultez notre article : FAQ sur le changement de nom de ChatGPT Business

Depuis le 9 juillet 2026, nous avons migré le répertoire des applications vers le répertoire des plugins. Les plugins sont le principal moyen de découvrir les fonctionnalités de flux de travail dans ChatGPT et Codex. Un plugin peut inclure des compétences, des applications et des modèles d’application; les applications demeurent les intégrations qui connectent ChatGPT ou Codex à des données et actions externes, tandis que les plugins facilitent l’activation de flux de travail dans ChatGPT. Les connexions d’applications existantes ne sont pas touchées, et les utilisateurs peuvent ajouter de nouveaux plugins à partir du répertoire des plugins, en connectant et en authentifiant l’application sous-jacente comme avant. Les administrateurs d’espace de travail gèrent l’installation des plugins dans Paramètres de l’espace de travail > Plugins, et peuvent gérer l’accès et les autorisations de chaque application sous-jacente depuis la configuration du plugin, ou depuis Paramètres de l’espace de travail > Applications.

Contrôles d’administration

Un plugin peut inclure des compétences, des applications et des modèles d’application. L’installation des plugins et l’accès aux applications sous-jacentes sont des contrôles distincts.

Comportement par défaut selon le forfait

ChatGPT Enterprise et Edu

Dans les espaces de travail Enterprise et Edu, les plugins et leurs applications sous-jacentes sont désactivés par défaut. Les administrateurs gèrent l’installation des plugins dans Paramètres de l’espace de travail > Plugins et choisissent si un plugin est Disponible ou Installé pour les rôles admissibles. Lorsqu’ils activent un plugin, les administrateurs peuvent activer l’application sous-jacente depuis les paramètres du plugin, ou activer et configurer séparément chaque application sous-jacente dans Paramètres de l’espace de travail > Applications.

La désactivation d’une application sous-jacente bloque la fonctionnalité prise en charge par cette application. Elle ne désinstalle pas nécessairement le plugin ni ne supprime les compétences qui ne dépendent pas de cette application.

Les administrateurs Enterprise et Edu peuvent utiliser le RBAC pour l’installation des plugins et l’accès aux applications. Ces contrôles sont évalués séparément : un membre peut avoir un plugin installé tout en étant incapable d’utiliser une application incluse.

ChatGPT Business

Dans Business, les applications et les plugins sont activés par défaut. Les administrateurs gèrent l’installation des plugins dans Paramètres de l’espace de travail > Plugins et chaque application sous-jacente dans Paramètres de l’espace de travail > Applications. La désactivation d’une application bloque toute fonctionnalité de plugin qui en dépend, mais ne désinstalle pas nécessairement le plugin ni ne supprime ses fonctionnalités fondées uniquement sur des compétences.

RBAC (contrôle d’accès fondé sur les rôles)

Les espaces de travail Enterprise et Edu peuvent attribuer des plugins à un ou plusieurs rôles personnalisés. Par défaut, les utilisateurs peuvent accéder aux plugins qui sont activés et offerts à leur rôle, mais les administrateurs peuvent contrôler les rôles qui y ont accès. Si un utilisateur voit un plugin marqué Désactivé par l’administrateur, ce plugin ou cette application n’est pas disponible pour lui en raison des paramètres de l’espace de travail ou du rôle; un administrateur de l’espace de travail doit activer l’accès avant que l’utilisateur puisse le connecter.

Les plugins qui incluent des applications requises héritent des paramètres de rôle de ces applications. Si le rôle d’un membre ne peut pas accéder à l’application requise, le plugin ne peut pas utiliser la fonctionnalité prise en charge par cette application pour ce membre. Les contrôles de plugin de l’espace de travail peuvent aussi déterminer si un plugin est Disponible ou Installé pour un rôle.

Gérer l’accès aux plugins et aux applications

L’accès aux applications détermine qui peut utiliser une application connectée dans l’espace de travail. Les autorisations d’application déterminent quand ChatGPT demande confirmation avant d’utiliser une application.

Pour gérer qui peut utiliser une application précise, allez à Paramètres de l’espace de travail > Applications, ouvrez le menu de l’application, puis sélectionnez Accès utilisateur. À partir de là, choisissez les rôles qui peuvent accéder à l’application, puis enregistrez vos modifications. Si vous annulez ou fermez sans enregistrer, les paramètres d’accès actuels de l’application restent inchangés.

Pour gérer les applications qu’un rôle peut utiliser :

  • Allez à Paramètres de l’espace de travail > Autorisations et rôles.

  • Sélectionnez Rôles personnalisés.

  • Sélectionnez le rôle que vous voulez modifier.

  • Faites défiler jusqu’à la section Données connectées.

  • Activez Autoriser les membres à utiliser les plugins et les applications pour permettre l’utilisation des plugins et des applications pour ce rôle.

  • Utilisez Sélectionner pour choisir des applications précises pour ce rôle.

Ajouter de nouvelles applications et de nouveaux plugins

Lorsqu’ils activent une nouvelle application au niveau de l’espace de travail, les administrateurs sont invités à attribuer les rôles qui peuvent y accéder. Si l’application prend en charge les contrôles d’action, les administrateurs peuvent aussi examiner les actions de l’application avant de la rendre disponible.

Les modèles d’application suivent le même modèle de gouvernance administrative après leur publication. Les administrateurs et propriétaires de l’espace de travail examinent l’ébauche d’application générée à partir du modèle, la publient lorsqu’elle est prête, puis gèrent l’accès, les autorisations par rôle, les contrôles d’action et les autorisations d’application depuis Paramètres de l’espace de travail > Applications.

Les espaces de travail admissibles peuvent aussi avoir Paramètres de l’espace de travail > Plugins. Depuis la page de détails d’un plugin, les administrateurs peuvent examiner les compétences incluses, les applications requises, les applications facultatives et la politique d’installation du plugin. Pour chaque rôle, Disponible permet aux membres de ce rôle d’installer le plugin, tandis que Installé installe le plugin par défaut pour ce rôle.

Si un plugin inclut des applications requises, celles-ci doivent être activées pour le rôle concerné. Les applications requises héritent de leur configuration d’application, y compris Accès par rôle, Accès en temps réel, Configurer les actions, Configurer les approbations, Recherche indexée, Autorisation de synchronisation, les restrictions de domaine et les paramètres de synchronisation, lorsqu’ils sont disponibles. Si une application incluse est désactivée, les administrateurs peuvent voir les contrôles Activer, Publier, Modifier la configuration de l’application ou Désactiver, selon l’état de l’application.

Lorsque disponibles, les autorisations d’application remplacent l’ancien contrôle de confirmation des actions. Si le menu Autorisations d’application à l’échelle de l’espace de travail n’affiche pas Ne jamais demander, choisissez un autre paramètre par défaut pour l’espace de travail ou définissez Ne jamais demander pour une application précise dans les paramètres Autorisations d’application de cette application. Pour les détails de configuration, consultezModèles d’application ChatGPT.

Contrôles des actions d’application

Le RBAC contrôle qui peut utiliser une application. Pour les applications qui prennent en charge le Contrôle des actions, celui-ci détermine ce que l’application peut faire. Les autorisations d’application déterminent quand ChatGPT demande aux membres une confirmation avant d’utiliser une application.

Ces autorisations d’application s’appliquent aux conversations ChatGPT. Les agents d’espace de travail utilisent les contrôles propres à chaque agent, définis par le créateur de l’agent, pour déterminer quelles actions d’application sont disponibles et quand les utilisateurs finaux doivent les approuver. Pour le comportement des agents, consultez :Agents d’espace de travail ChatGPT pour Enterprise et Business.

Dans Contrôle des actions, les administrateurs peuvent choisir comment les actions actuelles de l’application sont traitées : autoriser toutes les actions, autoriser seulement les actions de lecture, ou sélectionner un ensemble personnalisé d’actions. Si les administrateurs sélectionnent Personnalisé, ils peuvent aussi choisir comment les actions ajoutées plus tard seront traitées en sélectionnant Activer toutes les nouvelles actions, Activer seulement les nouvelles actions de lecture ou Désactiver les nouvelles actions.

Certaines applications ne prennent pas en charge le contrôle des actions. Pour ces applications, les administrateurs peuvent gérer l’accès à l’application, mais ils ne peuvent pas choisir les actions individuelles ni la façon dont les nouvelles actions ajoutées sont traitées.

Pour les applications qui prennent en charge le contrôle des actions, l’approbation de la portée du fournisseur ne rend pas automatiquement les nouvelles actions disponibles dans ChatGPT.

Pour modifier l’autorisation d’application par défaut de l’espace de travail :

  • Ouvrez Paramètres de l’espace de travail.

  • Allez à Autorisations et rôles > Données connectées.

  • Trouvez Autorisations d’application et sélectionnez la valeur par défaut de l’espace de travail.

Pour définir une autorisation différente pour une application :

  • Ouvrez la page d’administration Applications de l’espace de travail.

  • Ouvrez le menu d’une application publiée et sélectionnez Autorisations d’application.

  • Choisissez Utiliser la valeur par défaut de l’espace de travail ou sélectionnez une autre autorisation.

  • Sélectionnez Enregistrer.

Les options peuvent inclure Toujours demander, Toute modification, Actions importantes et Ne jamais demander, selon l’espace de travail et l’application. Actions importantes demande une confirmation avant les actions d’application qui pourraient avoir un effet significatif en dehors de ChatGPT, exposer des renseignements sensibles ou être difficiles à annuler. Certaines actions particulièrement risquées peuvent être bloquées plutôt que présentées pour approbation.

Contrôles granulaires de Google Drive (synchronisé)

Remarque : Les actions Google Docs, Sheets et Slides sont maintenant disponibles en tant qu’actions Google Drive. Cela regroupe ces actions dans l’application Google Drive et simplifie l’utilisation des applications Google. Les applications autonomes Google Docs, Sheets et Slides ne sont plus répertoriées séparément. Les utilisateurs doivent connecter Google Drive pour accéder à Docs, Sheets et Slides.

Pour ChatGPT Enterprise/Edu, ces nouvelles actions Google Drive unifiées sont désactivées par défaut jusqu’à ce qu’un administrateur de l’espace de travail les active. Pour ChatGPT Business, elles sont activées par défaut. Après l’activation, les administrateurs Google Workspace pourraient devoir réautoriser les portées Google Drive mises à jour avant que les utilisateurs puissent utiliser ces actions ou que de nouveaux utilisateurs puissent se connecter. Si des utilisateurs vous signalent qu’ils ne peuvent pas se connecter à Google Drive, vérifiez les autorisations de portée Google Workspace pour Google Drive, Docs, Sheets et Slides, et confirmez que toutes les actions de l’application ont des portées autorisées, ou désactivez les actions que vous ne voulez pas autoriser.

Notez que la fonctionnalité de synchronisation n’est pas touchée par ce changement. *

Restriction et configuration des fichiers

Les espaces de travail Enterprise, Edu et Business peuvent :

  • Limiter l’application avec synchronisation à des Shared Drives ou dossiers précis.

  • Exclure certains types de fichiers de l’indexation.

  • Choisir entre Configuration rapide (chaque utilisateur authentifie son compte) et Accès contrôlé par l’administrateur (configuration centralisée pour des contrôles granulaires).

Pour en savoir plus sur l’activation de l’application Google Drive avec synchronisation, consultez notre article d’aide :Application Google Drive avec synchronisation – configuration libre-service

RBAC pour Google Drive (synchronisé) pour Enterprise et Edu

Une fois l’application Google Drive avec synchronisation activée, tous les utilisateurs qui avaient accès à la version non synchronisée auront aussi accès à la version synchronisée. Il n’est pas possible actuellement de définir des autorisations différentes entre les versions synchronisée et non synchronisée.

Si vous aviez déjà configuré une liste d’autorisation pour l’application Google Drive avec synchronisation avantl’introduction du RBAC pour les applications, votre liste d’autorisation a été associée à de nouveaux groupes et rôles RBAC appelés Google Drive Connector Users et Google Drive Connector Role.

  • Si Google Drive était activée au niveau de votre espace de travail, seuls les utilisateurs figurant sur la liste d’autorisation de l’application avec synchronisation conservent maintenant l’accès.

  • Les utilisateurs qui ne figuraient pas sur la liste d’autorisation n’ont plus accès à l’application Google Drive non synchronisée et doivent être ajoutés de nouveau.

  • Les utilisateurs ayant accès à l’application Google Drive avec synchronisation ont maintenant aussi accès à l’application Google Drive standard.

Tous les autres rôles et autorisations de l’espace de travail demeurent inchangés.

Autorisations requises pour Microsoft Outlook (calendrier et courriel), Teams et SharePoint

Pour activer l’intégration entre ChatGPT et Microsoft Outlook, Teams et SharePoint, les autorisations doivent être accordées dans Microsoft Entra ID (anciennement Azure AD) pour chaque service. Consultez les pages de notre centre d’assistance pour connaître les autorisations requises :

Chaque page d’application décrit la portée requise par cette application. Pour connaître les portées actuelles, ouvrez l’application dans Paramètres de l’espace de travail > Applications.

Applications personnalisées

Dans les espaces de travail Business, Enterprise et Edu, seuls les propriétaires de l’espace de travail, ainsi que les utilisateurs pour lesquels le paramètre correspondant est activé (pour Enterprise/Edu), peuvent activer le mode développeur afin de publier et de tester des applications personnalisées. Les utilisateurs ayant le rôle de membre n’ont pas la capacité d’ajouter eux-mêmes des applications personnalisées.

Comme pour les autres applications, les utilisateurs finaux doivent s’authentifier auprès de chaque application eux-mêmes avant la première utilisation.

Pour un aperçu général du mode développeur, des applications personnalisées et des connecteurs MCP dans ChatGPT, consultez notre article :Mode développeur et applications personnalisées dans ChatGPT

Pour un guide technique sur la création d’un connecteur MCP personnalisé, consultez notre documentation :Créer des MCP personnalisés applications


Remarque :* Veuillez noter que les applications personnalisées ne sont pas vérifiées par OpenAI et sont destinées uniquement à un usage par les développeurs. Vous ne devriez ajouter des applications personnalisées à votre espace de travail que si vous connaissez l’application sous-jacente et lui faites confiance.En savoir plus.*

  • Les applications peuvent permettre aux utilisateurs finaux de partager des données, qui pourraient inclure des renseignements médicaux protégés (PHI), avec des tiers. Vous devez vous assurer que votre utilisation des applications respecte vos obligations en vertu de la HIPAA.*

---

Sécurité et conformité

Sécurité

Nous protégeons vos données au moyen d’une encryption conforme aux normes du secteur en transit et au repos. Les tokens OAuth sont stockés selon des pratiques robustes et auditées de gestion des clés. Une fois une application activée, chaque utilisateur autorise son propre compte, et ChatGPT n’accède qu’au contenu compris dans les autorisations existantes de cet utilisateur, comme les portées en lecture seule.

OpenAI applique des techniques continues de test, de surveillance et d’atténuation à plusieurs niveaux afin de réduire le risque d’injection d’invite. Pour une protection accrue, les conversations qui utilisent des applications ont un accès réseau verrouillé afin de garder les données entre OpenAI et les outils précis que vous connectez. Des contrôles d’accès stricts garantissent que ChatGPT ne voit que ce à quoi chaque utilisateur est autorisé à accéder, et toutes les données demeurent chiffrées en transit et au repos.

OpenAI utilise-t-elle les renseignements provenant des applications pour entraîner ses modèles?

Pour les clients ChatGPT Business, Enterprise et Edu, nous n’utilisons pas les renseignements consultés à partir des applications pour entraîner nos modèles. Veuillez consulter notrepage Confidentialité en entreprise pour savoir comment nous utilisons les données professionnelles.

Les données de Clavardage et de recherche approfondie sont traitées de façon transitoire et ne sont pas indexées. Les données des applications avec synchronisation sont indexées pour accélérer les réponses, tout en respectant vos paramètres d’entraînement.

Stockage et résidence des données

Toutes les applications avec synchronisation sont prises en charge pour les espaces de travail ayant une résidence des données aux États-Unis, en Europe (EEE + Suisse) et au Japon. Les applications Google Drive et GitHub avec synchronisation sont aussi prises en charge dans toutes lesrégions de résidence des données actuellement prises en charge.

Pour les applications avec synchronisation qui ne sont pas prises en charge pour la résidence des données dans votre région, l’index de recherche synchronisé est stocké dans les centres de données Azure d’OpenAI aux États-Unis.


Applications non synchronisées : Les applications sont compatibles avec la résidence des données, mais il est important de noter que les applications connectées sont des services tiers, et que les données envoyées à une application connectée sont assujetties aux politiques de résidence des données propres à cette application.

Autrement dit, si votre organisation applique la résidence des données en Europe, OpenAI limitera le stockage du contenu client à l’Europe jusqu’au moment où les requêtes et les invites sont envoyées à une application connectée. Veuillez vous assurer que vos applications connectées respectent également toute exigence de résidence des données que vous pourriez avoir.

Conformité

Les conversations des utilisateurs, y compris celles qui utilisent une application, sont déjà disponibles dans l’API de conformité.

De plus, tous les appels d’application sont consignés dans le cadre de laplateforme OpenAI Compliance Logs.

En savoir plus :API de conformité pour les clients Enterprise.

Sécurité granulaire de Google Drive (synchronisé)

En plus de l’authentification OAuth, les propriétaires d’espaces de travail Business, Enterprise et Edu peuvent utiliser la délégation à l’échelle du domaine (DWD).

Cet article vous a-t-il été utile?