OpenAI
此頁面由機器翻譯。查看原文英文文章

外掛程式與應用程式的管理員控制、安全性及合規

了解 Business、Enterprise 和 Edu 工作區如何管理外掛程式安裝、應用程式存取、動作、安全性與合規。

更新日期:10 hours ago

備註:截至 2025 年 8 月 29 日,我們已將 ChatGPT Team 更名為 ChatGPT Business。如需更多資訊及有關名稱變更的問題,請參閱我們的文章:ChatGPT Business 更名常見問題

截至 2026 年 7 月 9 日,我們已將應用程式目錄遷移至外掛程式目錄。外掛程式是探索 ChatGPT 和 Codex 工作流程功能的主要方式。外掛程式可包含技能、應用程式和應用程式範本;應用程式仍是將 ChatGPT 或 Codex 連接至外部資料和動作的整合,而外掛程式則讓在 ChatGPT 中啟用工作流程更容易。現有應用程式連線不受影響,使用者可從外掛程式目錄新增新的外掛程式,並如以往連接及驗證其底層應用程式。工作區管理員可在「工作區設定 > 外掛程式」管理外掛程式安裝,並可在外掛程式配置內,或於「工作區設定 > 應用程式」管理各底層應用程式的存取權限和許可。

管理員控制

外掛程式可包含技能、應用程式和應用程式範本。外掛程式安裝和底層應用程式存取是兩項獨立控制。

各方案的預設行為

ChatGPT Enterprise & Edu

在 Enterprise 和 Edu 工作區中,外掛程式及其底層應用程式預設為停用。管理員可在「工作區設定 > 外掛程式」管理外掛程式安裝,並為合資格角色選擇外掛程式為「可用」或「已安裝」。啟用外掛程式時,管理員可在外掛程式設定內啟用底層應用程式,也可在「工作區設定 > 應用程式」分別啟用及配置各底層應用程式。

停用底層應用程式會封鎖由該應用程式支援的功能。這不一定會解除安裝外掛程式,亦不會移除不依賴該應用程式的技能。

Enterprise 和 Edu 管理員可使用 RBAC 管理外掛程式安裝和應用程式存取。這些控制會分別評估:成員可能已安裝某個外掛程式,但仍無法使用其中包含的應用程式。

ChatGPT Business

在 Business 中,應用程式和外掛程式預設為啟用。管理員可在「工作區設定 > 外掛程式」管理外掛程式安裝,並在「工作區設定 > 應用程式」管理各底層應用程式。停用應用程式會封鎖任何依賴該應用程式的外掛程式功能,但不一定會解除安裝外掛程式或移除其僅限技能的功能。

RBAC(角色型存取控制)

Enterprise 和 Edu 工作區可將外掛程式指派給一個或多個自訂角色。預設情況下,使用者可存取已啟用且其角色可用的外掛程式,但管理員可控制哪些角色擁有存取權。如果使用者看到外掛程式標示為管理員已停用,表示該外掛程式或應用程式因工作區或角色設定而不對其可用;工作區管理員必須先啟用存取權,使用者才能連接它。

包含必要應用程式的外掛程式會繼承這些應用程式的角色設定。如果成員的角色無法存取必要應用程式,該外掛程式便無法為該成員使用由該應用程式支援的功能。工作區的外掛程式控制亦可決定某個外掛程式對角色是可用還是已安裝

管理外掛程式和應用程式存取

應用程式存取控制誰可以在工作區中使用已連接的應用程式。應用程式許可控制 ChatGPT 在使用應用程式前何時需要詢問。

如要管理誰可以使用特定應用程式,請前往工作區設定 > 應用程式,開啟該應用程式的選單,然後選擇使用者存取。在該處選擇哪些角色可存取該應用程式,然後儲存變更。如果你取消或關閉而未儲存,應用程式目前的存取設定將維持不變。

如要管理某個角色可使用哪些應用程式:

  • 前往工作區設定 > 許可和角色

  • 選擇自訂角色

  • 選擇你要編輯的角色。

  • 捲動至已連接資料部分。

  • 開啟允許成員使用外掛程式和應用程式,以允許該角色使用外掛程式和應用程式。

  • 使用選擇為該角色選取特定應用程式。

新增應用程式和外掛程式

在工作區層級啟用新應用程式時,系統會提示管理員指派可存取該應用程式的角色。如果應用程式支援動作控制,管理員亦可在開放應用程式前審視其動作。

應用程式範本發佈後會遵循相同的管理治理模式。工作區管理員和擁有者會審視由範本產生的應用程式草稿,準備好後將其發佈,然後從工作區設定 > 應用程式管理存取、按角色範圍設定的許可、動作控制和應用程式許可。

合資格工作區亦可能設有工作區設定 > 外掛程式。在外掛程式詳細資料頁面,管理員可審視所包含的技能、必要應用程式、選用應用程式,以及外掛程式的安裝政策。對每個角色而言,可用允許該角色的成員安裝外掛程式,而已安裝則會預設為該角色安裝外掛程式。

如果外掛程式包含必要應用程式,受影響角色必須已啟用這些應用程式。必要應用程式會繼承其應用程式配置,包括角色存取即時存取配置動作配置批准索引搜尋同步授權、網域限制,以及可用時的同步設定。如果所包含的應用程式已停用,管理員可能會根據應用程式狀態看到啟用發佈編輯應用程式配置停用控制。

在可用的情況下,應用程式許可會取代先前的動作確認控制。如果全工作區的應用程式許可選單沒有顯示永不詢問,請選擇另一個工作區預設值,或在該應用程式的應用程式許可設定中,為特定應用程式設定永不詢問。如需設定詳情,請參閱ChatGPT 應用程式範本

應用程式動作控制

RBAC 控制誰可以使用應用程式。對支援動作控制的應用程式而言,動作控制決定該應用程式可以執行哪些操作。應用程式許可決定 ChatGPT 在使用應用程式前何時詢問成員。

這些應用程式許可適用於 ChatGPT 對話。工作區智能代理會使用由智能代理建立者設定的個別智能代理控制,以決定哪些應用程式動作可用,以及何時要求終端使用者批准。如需智能代理行為,請參閱:適用於 Enterprise 和 Business 的 ChatGPT 工作區智能代理

動作控制中,管理員可選擇如何處理應用程式目前的動作:允許所有動作、僅允許讀取動作,或選取自訂動作集。如果管理員選擇自訂,亦可選擇如何處理日後新增的動作:選擇啟用所有新動作僅啟用新的讀取動作停用新動作

部分應用程式不支援動作控制。對於這些應用程式,管理員可管理應用程式存取,但不能選擇個別動作或決定如何處理新加入的動作。

對支援動作控制的應用程式而言,供應商範圍批准不會自動令新動作可在 ChatGPT 中使用。

如要變更工作區預設應用程式許可:

  • 開啟工作區設定

  • 前往許可和角色 > 已連接資料

  • 找出應用程式許可,並選擇工作區預設值。

如要為應用程式設定不同許可:

  • 開啟工作區的應用程式管理頁面。

  • 開啟已發佈應用程式的選單,並選擇應用程式許可

  • 選擇使用工作區預設值,或選擇不同許可。

  • 選擇儲存

視乎工作區和應用程式,選項可能包括一律詢問任何變更重要動作永不詢問。對於可能在 ChatGPT 以外產生重大影響、披露敏感資訊,或難以復原的應用程式動作,重要動作會先作詢問。部分風險特別高的動作可能會被封鎖,而不是提交以供批准。

精細 Google Drive(已同步)控制

備註:Google Docs、Sheets 和 Slides 動作現已作為 Google Drive 動作提供。這會將這些動作統一到 Google Drive 應用程式中,並簡化 Google 應用程式使用方式。獨立的 Google Docs、Sheets 和 Slides 應用程式不再分別列出。使用者應連接 Google Drive,以存取 Docs、Sheets 和 Slides。

對於 ChatGPT Enterprise/Edu,這些新的統一 Google Drive 動作在工作區管理員啟用前預設為關閉。對於 ChatGPT Business,它們預設為開啟。啟用後,Google Workspace 管理員可能需要重新授權更新後的 Google Drive 範圍,使用者才能使用這些動作,或新使用者才能連接。如果你的使用者投訴無法連接 Google Drive,請檢查 Google 工作區對 Google Drive、Docs、Sheets 和 Slides 的範圍授權,並確認應用程式中的所有動作均具備已獲授權的範圍,或關閉你不想授權的動作。

請注意,同步功能不受此變更影響。*

檔案限制和設定

Enterprise、Edu 和 Business 工作區可以:

  • 將具同步功能的應用程式限制為特定 Shared Drives 或資料夾。

  • 從索引中排除特定檔案類型。

  • 在快速設定(每位使用者驗證自己的帳戶)與管理員控制存取(集中設定以進行精細控制)之間作出選擇。

如需有關啟用具同步功能的 Google Drive 應用程式的其他資訊,請參閱我們的說明文章:具同步功能的 Google Drive 應用程式 - 自助設定

Enterprise 和 Edu 的 Google Drive(已同步)RBAC

啟用具同步功能的 Google Drive 應用程式後,所有可存取非同步版本的使用者亦會取得同步版本的存取權。目前無法在同步版本與非同步版本之間設定不同許可。

如果你先前在推出應用程式 RBAC之前,已為具同步功能的 Google Drive 應用程式設定允許清單,你的允許清單已對應至名為 Google Drive Connector UsersGoogle Drive Connector Role 的新 RBAC 群組和角色。

  • 如果你的工作區曾在工作區層級啟用 Google Drive 應用程式,現在只有具同步功能應用程式允許清單上的使用者保留存取權。

  • 不在允許清單上的使用者不再有權存取非同步 Google Drive 應用程式,且必須重新加入。

  • 可存取具同步功能 Google Drive 應用程式的使用者,現在亦可存取標準 Google Drive 應用程式。

所有其他工作區角色和許可維持不變。

Microsoft Outlook(日曆和電郵)、Teams 和 Sharepoint 所需許可

如要啟用 ChatGPT 與 Microsoft Outlook、Teams 和 Sharepoint 之間的整合,必須在 Microsoft Entra ID(前稱 Azure AD)內為各項服務授予許可。請查看我們的說明中心頁面,了解所需許可:

各應用程式頁面會說明該應用程式所需的範圍。如要查看目前範圍,請在「工作區設定 > 應用程式」中開啟該應用程式。

自訂應用程式

在 Business、Enterprise 和 Edu 工作區中,只有工作區擁有者,以及已啟用相應設定的使用者(Enterprise/Edu)可以啟用開發者模式,以發佈和測試自訂應用程式。具有成員角色的使用者無法自行新增自訂應用程式。

與其他應用程式一樣,終端使用者首次使用前必須自行向各應用程式驗證。

如需 ChatGPT 中開發者模式、自訂應用程式和 MCP 連接器的一般概覽,請參閱我們的文章:ChatGPT 中的開發者模式和自訂應用程式

如需建立自訂 MCP 連接器的技術逐步說明,請參閱我們的文件:建立自訂 MCP 應用程式


備註:* 請注意,自訂應用程式未經 OpenAI 驗證,僅供開發者使用。只有在你認識並信任底層應用程式時,才應將自訂應用程式加入工作區。了解更多。*

  • 應用程式可能允許終端使用者與第三方分享資料,其中可能包括受保護健康資訊 (PHI)。你應確保應用程式的使用符合你在 HIPAA 下的義務。*

---

安全性與合規

安全性

我們以傳輸中和靜態資料的業界標準加密保護你的資料。OAuth Token 會使用強大且經審計的金鑰管理做法儲存。應用程式啟用後,每位使用者會授權自己的帳戶,而 ChatGPT 只會存取該使用者現有許可範圍內的內容,例如唯讀範圍。

OpenAI 持續進行測試、監控並採用分層緩解技術,以降低提示詞注入風險。為加強保護,使用應用程式的對話會採用受限制的網絡存取,確保資料只在 OpenAI 與你連接的特定工具之間傳送。嚴格的存取控制確保 ChatGPT 只看到每位使用者獲准存取的內容,所有資料在傳輸中和靜態狀態下均保持加密。

OpenAI 會否使用應用程式中的資訊訓練其模型?

對於 ChatGPT Business、Enterprise 和 Edu 客戶,我們不會使用從應用程式存取的資訊來訓練我們的模型。請參閱我們的Enterprise 私隱頁面,了解我們如何使用商業資料。

對話和深度研究資料會暫時處理,且不會建立索引。具同步功能的應用程式資料會建立索引以加快回答速度,同時遵守你的訓練設定。

資料儲存與資料駐留

所有具同步功能的應用程式均支援在美國、歐洲(EEA + 瑞士)和日本設有資料駐留的工作區。具同步功能的 Google Drive 和 GitHub 應用程式亦支援所有目前支援的資料駐留地區

對於你所在地區不支援資料駐留的具同步功能應用程式,同步搜尋索引會儲存在 OpenAI 位於美國的 Azure 資料中心。


非同步應用程式:應用程式與資料駐留相容,但請注意,已連接的應用程式屬第三方服務,傳送至已連接應用程式的資料受該應用程式本身的資料駐留政策約束。

換言之,如果你的組織在歐洲設有資料駐留,OpenAI 會將客戶內容的儲存限制在歐洲,直至查詢和提示詞傳送至已連接應用程式為止。請確保你的已連接應用程式亦遵守你可能須符合的任何資料駐留要求。

合規

使用者對話,包括使用任何應用程式的對話,已可在 Compliance API 中取得。

此外,所有應用程式呼叫都會作為OpenAI Compliance Logs 平台的一部分記錄。

閱讀更多:Enterprise 客戶適用的 Compliance API。

精細 Google Drive(已同步)安全性

除 OAuth 驗證外,Business、Enterprise 和 Edu 工作區的擁有者亦可使用全網域委派 (DWD)。

這篇文章對你有幫助嗎?