概览
ChatGPT for Intune 是一款独立的 iOS 应用,面向通过 Microsoft Intune 和 Microsoft Entra 进行移动应用管理 (MAM) 的 ChatGPT Enterprise 组织。它让 IT 团队可以将 Microsoft 应用保护策略和条件访问策略应用于 ChatGPT 移动端体验。
适用地区
ChatGPT for Intune 适用于 iOS 和 iPadOS,且仅限 Enterprise 账户使用。
登录仅支持企业 Microsoft 身份验证;ChatGPT for Intune 不支持个人账户。
需要完成管理员设置,并与 OpenAI 完成组织接入流程。
开始之前
ChatGPT for Intune 需要完成 OpenAI 组织接入流程。如需开始接入流程,请联系你的 OpenAI 客户总监,或联系 OpenAI 销售团队。
此外,请检查以下事项:
你拥有 Microsoft Intune 和 Microsoft Entra 的管理员访问权限。
目标用户具备相应的 Intune 和 Microsoft Entra 许可。
目标用户可以访问相关的 ChatGPT Enterprise 工作空间。
如果你的租户使用代理式 Microsoft 身份验证或条件访问,请确保测试设备上已安装 Microsoft Authenticator。
你已将 Microsoft Entra 租户 ID 提供给 OpenAI。
查看应用详情
在查看 Microsoft Entra 企业应用和配置 Intune 时,请参考以下详细信息:
| 应用名称 | ChatGPT iOS Intune |
| 应用 ID/客户端 ID | 9e8e8f66-e7c1-4682-a6dc-1b0d1534a132 |
| iOS Bundle ID | com.openai.chat.intune |
注意:ChatGPT iOS Intune 企业应用程序与标准 ChatGPT iOS 应用相互独立。如果你的组织使用其他企业应用程序为浏览器版或桌面版 ChatGPT Enterprise 提供单点登录,请勿认为相同的移动设备权限也适用于 ChatGPT for Intune。
所需 API 权限
ChatGPT iOS Intune 企业应用使用以下委托权限:
User.Read— 允许 Microsoft 登录流程读取已登录用户的基本个人资料。DeviceManagementManagedApps.ReadWrite— 允许应用向 MAM 注册,并接收或强制执行为已登录的受管理用户分配的应用保护策略。
管理员同意
客户的 Entra 管理员可能需要查看企业应用,并授予管理员同意。
如果 ChatGPT for Intune 未出现在 Microsoft 搜索结果中,请在 Entra 或 Intune 中检查最近的登录或批准尝试,批准该应用,然后基于 iOS Bundle ID com.openai.chat.intune 创建 Intune 策略,或将现有 Intune 策略定向到该应用。
设置 ChatGPT for Intune
通过你组织的常规应用部署流程,将 ChatGPT for Intune 提供给目标 iOS 用户使用。
如果你的租户使用代理式 Microsoft 身份验证或条件访问,请确保 iOS 测试设备上已安装最新版 Microsoft Authenticator。
在 Microsoft Entra 中查看 ChatGPT iOS Intune 企业应用程序,并在出现提示时授予管理员同意。
创建适用于 iOS 和 iPadOS 的 Intune 应用保护策略。
指定目标用户或组。
在策略中包含 ChatGPT for Intune iOS 应用。
如果 ChatGPT for Intune 未出现在 Microsoft 搜索结果中,请使用 Bundle ID
com.openai.chat.intune将其添加为自定义 iOS 应用。
确认目标用户位于 Intune 应用保护策略的适用范围内。
分配任何必需的条件访问策略,或确认现有条件访问规则允许预期的测试设备、身份验证代理和合规状态。
让测试用户登录并验证 Microsoft 身份验证、MFA、策略注册、进入工作空间,以及你组织所需的数据丢失防护场景。
应用配置策略
目前,基础 iOS 设置不需要应用配置策略。只有当你的组织有特定的 Intune 应用配置要求时,才使用此策略。
目前,对于基础 iOS 设置,你无需提供工作空间 ID 托管应用配置键。
最终用户应执行的操作
安装 ChatGPT for Intune。
如有需要,请安装 Microsoft Authenticator。
选择“使用 Microsoft 登录”。
完成 Microsoft 身份验证和 MFA。
确认你已进入预期的企业环境。
验证你的 IT 团队重点关注的特定策略场景。
测试设置
请让测试用户验证以下事项:
能够安装并打开 ChatGPT for Intune。
能够选择“使用 Microsoft 登录”,完成 Microsoft 身份验证,并满足 MFA 和条件访问要求。
已被包含
com.openai.chat.intune的 Intune 应用保护策略覆盖。能够进入预期的 ChatGPT Enterprise 账户和工作空间。
已分配的应用保护策略按预期生效。
当前的数据保护行为由 Microsoft Intune SDK 默认设置以及你的组织分配的策略共同决定。
请让用户报告崩溃、身份验证循环、反复出现的 Microsoft 代理提示、进入错误账户或策略注册失败等情况,并附上屏幕截图和时间戳。
你所需的数据丢失防护场景均按预期运行,例如复制和粘贴限制、文件传输控制、“另存为”行为、屏幕截图或屏幕捕获控制、链接打开,以及在 Microsoft Intune 和该应用支持的情况下执行的远程擦除行为。
常见设置问题
同意或批准错误
在 Microsoft Entra 中查看 ChatGPT iOS Intune 企业应用,并根据需要授予管理员同意。
检查受影响用户和应用程序 ID
9e8e8f66-e7c1-4682-a6dc-1b0d1534a132最近的登录或同意尝试。
用户已获得 Intune 许可,但无法登录
确认受影响用户已被分配到包含
com.openai.chat.intune的 Intune 应用保护策略。请等待一段时间,以便 Microsoft 策略同步生效,然后让用户彻底退出并重新打开应用,再重试。
能够登录,但应用保护未生效
如果需要代理式 Microsoft 身份验证,请确认已安装最新版 Microsoft Authenticator。
确认受影响用户已纳入正确的 Intune 应用保护策略适用范围。
确认该策略包含 ChatGPT for Intune 的 iOS Bundle ID
com.openai.chat.intune。确认用户测试的是 ChatGPT for Intune,而不是标准的 ChatGPT iOS 应用。
在非托管或不合规设备上被拦截
请咨询你的 Microsoft 管理员,了解所分配的条件访问或 Intune 策略是否允许使用非托管 iOS 设备。
如果你的策略要求设备注册或托管设备合规,则在个人非托管设备上进行测试可能会失败,即使 ChatGPT for Intune 已正确配置。
反复出现 Microsoft 代理提示或 MFA/条件访问循环
安装或更新 Microsoft Authenticator。
确认用户在 ChatGPT for Intune 之外也能满足组织的 MFA 和条件访问要求。
请让你的 Microsoft 管理员检查受影响用户和 ChatGPT iOS Intune 应用的 Entra 登录日志。
进入错误的工作空间或账户
如果用户登录后进入了错误的工作空间或账户,请联系 OpenAI 支持团队,并提供受影响用户的电子邮件地址、Microsoft Entra 租户 ID、预期的工作空间以及包含时区的大致时间戳。
其他管理员说明
ChatGPT for Intune 是一款独立的 iOS 应用,不同于 Apple iOS App Store 中提供的标准 ChatGPT 应用。完成本文列出的管理员设置指南后,最终用户必须下载并使用 ChatGPT for Intune 应用,而不是标准的 ChatGPT 应用。
仅凭 Intune 许可是不够的。用户还必须纳入相关 Intune 应用保护策略的适用范围。
ChatGPT for Intune 仅支持企业 Microsoft 身份验证,不支持个人账户。
应用保护行为取决于你的组织分配的策略,以及 Microsoft Intune 和该应用支持的控制措施。全面推广前,请先验证你的组织所需的特定场景。
需要更多帮助?
如有疑问,请联系你的 OpenAI 客户总监,或联系 OpenAI 销售团队。你也可以联系支持团队。请尽量提供问题的详细描述,以及可能有助于排查问题的重要数据,包括以下任何相关信息:
受影响用户的电子邮件地址
ChatGPT 工作空间
Microsoft Entra 租户 ID
包含时区的大致时间戳
iOS 版本
ChatGPT for Intune 的构建版本或版本号
错误屏幕截图
是否已安装 Microsoft Authenticator
设备状态是已注册、托管还是非托管
以及用户是否已分配到预期的 Intune 应用保护策略。