注意:自 2025 年 8 月 29 日起,我们已将 ChatGPT 团队重命名为 ChatGPT Business。更多关于名称变更的信息,请参阅我们的文章:ChatGPT Business 重命名常见问题。
自 2025 年 12 月 17 日起,我们将 connectors 更名为 apps,以提供更统一的体验。该术语现在同时包括具有交互式 UI 的应用,以及帮助您在 ChatGPT 中搜索和引用信息的连接器。我们不会移除任何现有功能;此前已启用的连接器和公司知识将继续照常工作。
管理员控制权
按套餐分类的默认行为
ChatGPT Enterprise 和 Edu
默认情况下,所有应用均已禁用。工作空间所有者可以在“工作空间设置 → 应用”中控制已启用的应用,并通过 RBAC(见下文)为应用分配特定的角色。
ChatGPT Business
在 ChatGPT Business 中,工作空间管理员可以管控工作空间启用的应用,并管理基于角色的应用权限。
RBAC(基于角色的访问控制)
Enterprise 和 Edu 工作空间可以为应用分配一个或多个自定义角色。默认情况下,用户可以访问所有可用的应用,但管理员可以控制拥有访问权限的角色范围。
管理应用和应用权限
要管理角色可使用的应用范围:
前往“工作空间设置” > “权限与角色”。
选择“自定义角色”。
选择要编辑的角色。
滚动至“连接数据”部分。
开启“允许成员使用应用”,即可为该角色开启应用使用权限。
使用“选择”选项,为该角色选择特定的应用。
添加新应用
在工作空间层级启用新的应用时,管理员将提示你应为哪些角色分配访问该应用的权限。如果应用支持操作控制,管理员还可在开放应用使用权限前,审核该应用的各项操作。
应用程序操作控制
RBAC 可控制应用的使用人员范围。“操作控制”用于限定应用可执行的操作范围。
在“操作控制”页面,管理员可设置应用现有操作的放行规则:允许全部操作、仅开放读取操作,或自定义操作权限。如果管理员选择自定义,还可预设后续新增操作的处理规则:启用所有新操作、仅启用新增读取操作、禁用全部新操作。
提供方权限范围通过审批后,不会自动在 ChatGPT 中开放新增操作。
使用 MCP 的自定义应用
管理员还可以授权角色访问开发人员模式,允许其使用 MCP 创建和测试自定义应用。角色获得开发人员模式访问权限后,不会自动解锁新增的 MCP 操作。自定义 MCP 应用发布后,管理员可在操作控制中审核其操作,并点击刷新,同步查看 MCP 服务器新增或变更的操作。
精细化的 Google 云端硬盘 (已同步)控制
注意:Google Docs、Sheets 和 Slides 的操作现已整合至 Google 云端硬盘 中。这意味着所有操作均已集成至 Google 云端硬盘应用,以简化 Google 应用的使用流程。ChatGPT 应用目录中不再提供独立的 Google Docs、Sheets 和 Slides 应用;用户如需访问 Docs、Sheets 和 Slides,应连接到 Google Drive 应用。新用户可以直接连接到 Google 云端硬盘应用,而无需分别连接每个独立的应用,以获得统一的操作体验。
对于 ChatGPT Enterprise/Edu,集成后的全新 Google 云端硬盘操作在工作空间管理员启用之前,将处于默认关闭状态。对于 ChatGPT Business,则处于默认开启状态。启用后,Google Workspace 管理员可能需要重新授权更新后的 Google 云端硬盘权限范围,用户才能使用这些操作,而新用户也才能进行连接。如果你收到用户反馈称其无法连接 Google 云端硬盘,请检查 Google Workspace 中针对 Google 云端硬盘、Docs、Sheets 和 Slides 的权限范围授权状态,并确认应用中的所有操作都已获得相应权限范围的授权;或者关闭你不想授权的操作。
请注意,此更改不会影响同步功能。
文件限制和设置
Enterprise、Edu 和 Business 工作空间可以:
限制应用同步到特定的共享驱动器或文件夹。
从索引中排除特定文件类型。
选择快速设置(每位用户对其帐户进行身份验证)或管理员控制访问(集中设置以进行精细化控制)
如需了解更多关于如何启用 Google 云端硬盘应用同步功能的信息,请参阅我们的帮助文章:具备同步功能的 Google 云端硬盘 - 自助设置
适用于 Enterprise 和 Edu 的 Google 云端硬盘(已同步) RBAC
一旦启用 Google 云端硬盘应用同步功能,所有曾访问未同步版本的用户也将获得已同步版本的访问权限。目前,无法在已同步和未同步版本间设置不同的权限。
如果你曾为 Google 云端硬盘应用设置了允许列表,并在引入应用 RBAC 之前进行同步,那么你的允许列表就会映射到名为“Google 云端硬盘连接器用户”和“Google 云端硬盘连接器角色”的新 RBAC 群组和角色。
如果你的工作空间在工作空间层级启用了 Google 云端硬盘应用,那么只有应用同步允许列表中的用户才能保留访问权限。
不在允许列表中的用户无法继续访问未同步的 Google 云端硬盘应用,且需要重新添加。
拥有 Google 云端硬盘应用同步功能访问权限的用户也可以访问标准 Google 云端硬盘应用。
所有其他工作空间角色和权限保持不变。
需要 Microsoft Outlook(日历和邮件)、Teams 和 SharePoint 权限
要在 ChatGPT 与 Microsoft Outlook、Teams 和 SharePoint 之间实现集成,必须在 Microsoft Entra ID(曾用名“Azure AD”)中为每项服务授予权限。请查看我们的帮助中心页面以了解所需权限:
每个应用页面都描述了该应用所需的范围。要查看每个应用的完整范围列表,请查阅 ChatGPT 应用目录。
自定义应用
在 Business、Enterprise 和 Edu 工作空间中,只有工作空间所有者和已启用相应设置(适用于 Enterprise/Edu)的用户可以启用开发人员模式以发布和测试自定义应用。拥有成员角色的用户无法自行添加自定义应用。
与其他应用一样,最终用户在首次使用前必须自行对每个应用进行身份验证。
如需获取 ChatGPT 中开发人员模式、自定义应用和 MCP 连接器的常规概述,请参阅我们的文章:ChatGPT 中的开发人员模式和自定义应用
如需了解如何创建自定义 MCP 连接器的技术说明,请查看我们的文档:创建自定义 MCP 应用
备注:请注意,自定义应用未经过 OpenAI 验证,仅供开发人员使用。只有在你了解并信任相关应用程序的情况下,才可将自定义应用添加至工作空间。了解更多。
应用可能允许最终用户与第三方共享数据,其中可能包括受保护的健康信息 (PHI)。你应确保应用的使用符合 HIPAA 规定的相关义务。
安全与合规
安全防护
我们使用行业标准的加密技术,在传输和静态存储时保护你的数据。OAuth token 使用功能强大且经过审计的密钥托管实践进行存储。启用应用后,每个用户应授权其帐户,ChatGPT 仅可访问该用户现有权限范围(如只读范围)内的内容。
OpenAI 采用持续测试、监控和分层缓解技术来降低提示注入风险。为增强防护体系,使用应用的对话已锁定网络访问,以确保 OpenAI 与你连接的特定工具间的数据安全。严格的访问控制可确保 ChatGPT 仅能查看每个用户有权访问的内容,所有数据在传输和静态存储时均经过加密处理。
OpenAI 会使用应用中的信息来训练模型吗?
对于 ChatGPT Business、Enterprise 和 Edu 客户,我们不会使用通过应用访问的信息来训练模型。有关我们如何使用业务数据,请参阅我们的企业隐私页面。
聊天和深入研究数据仅进行临时处理,且不会编入索引。包含同步数据的应用会编入索引,以加快回答速度,同时遵循你的训练设置。
数据存储与驻留
所有带同步功能的应用,均支持数据驻留区域为美国和欧洲(欧洲经济区 + 瑞士)的工作空间。具有同步功能的 Google Drive 和 GitHub 应用,同样适用于所有当前已支持的数据驻留区域。
对于你所在区域不支持数据驻留的带同步功能应用,同步后的搜索索引将存储在 OpenAI 位于美国的 Azure 数据中心。
未同步应用:这些应用与数据驻留兼容,但请注意,已连接的应用是第三方服务,而发送到连接应用程序的数据将遵循该应用程序自身的数据驻留政策。
换句话说,如果你是一家数据驻留地位于欧洲的组织,OpenAI 会将客户内容的存储空间限制在欧洲,直到查询和提示被发送到已连接的应用程序为止。请确保已连接的应用程序也遵循你可能需要履行的任何数据驻留要求。
合规管理
用户对话(包括使用任何应用的对话)已在合规 API 中提供。
此外,所有应用调用都会记录为 OpenAI 合规日志平台的一部分。
精细化的 Google 云端硬盘 (已同步)控制
除了 OAuth 身份验证之外,Business、Enterprise 和 Edu 工作空间的所有者还可以使用全域委派 (DWD) 功能。