English
主导航

推荐
API 仪表板

管理员设置

为您的 ChatGPT Enterprise 工作区设置 Codex

Codex enterprise admin toggle

本指南适用于希望为其工作区设置 Codex 的 ChatGPT Enterprise 管理员。

请将本页作为逐步推出指南。如需了解详细的策略、配置、自动化和监控信息,请访问链接页面: 身份验证, 智能体审批与安全, 访问令牌, 托管配置,且 治理.

企业级安全与隐私

Codex 支持 ChatGPT Enterprise 安全功能,包括:

  • 不使用企业数据进行训练
  • App、CLI 和 IDE 的零数据保留(代码保留在开发者环境中)
  • 遵循 ChatGPT Enterprise 策略的数据驻留与保留
  • 精细的用户访问控制
  • 静态数据加密 (AES-256) 和传输中数据加密 (TLS 1.2+)
  • 通过 ChatGPT Compliance API 进行审计日志记录

如需了解安全控制和运行时保护,请参阅 智能体审批与安全。请参阅 零数据保留 (ZDR) 以获取更多详细信息。如需更广泛的企业安全概览,请参阅 Codex 安全白皮书.

先决条件:确定负责人和推出策略

在推出期间,团队成员可能会在将 Codex 集成到您组织的各个方面提供支持。请确保您指定了以下负责人:

  • ChatGPT Enterprise 工作区负责人: 需要在您的工作区中配置 Codex 设置。
  • 安全负责人: 决定 Codex 的代理权限设置。
  • 分析负责人: 将分析和合规 API 集成到您的数据管道中。

决定您将使用哪些 Codex 使用界面:

  • Codex 本地: 包括 Codex App、CLI 和 IDE 扩展。代理在开发者计算机上的沙盒中运行。
  • Codex 云端: 包括托管的 Codex 功能(包括 Codex 云端、iOS、Code Review 以及由 Slack 集成 or Linear 集成创建的任务)。代理在托管容器中与您的代码库一起远程运行。
  • Both: 同时使用本地和云端。

您可以启用本地、云端或两者,并通过工作区设置和基于角色的访问控制 (RBAC) 来管理访问权限。

步骤 1:在工作区中启用 Codex

您可以在 ChatGPT Enterprise 工作区设置中配置对 Codex 的访问权限。

Go to 工作区设置 > 设置与权限.

Codex 本地

新的 ChatGPT Enterprise 工作区默认启用 Codex 本地。如果您不是 ChatGPT 工作区所有者,可以通过以下方式测试您是否具有访问权限: 安装 Codex 并使用您的工作邮箱登录。

开启 允许成员使用 Codex Local.

这将允许已获授权的用户使用 Codex 应用、CLI 和 IDE 扩展。

如果成员需要以编程方式使用 Codex 本地工作流,还需开启 如果所有允许的成员都应能够创建访问令牌,请开启 或通过自定义角色授予访问令牌权限。有关设置和权限的详细信息,请参阅 访问令牌.

如果“Codex 本地”开关处于关闭状态,尝试使用 Codex 应用、CLI 或 IDE 的用户将看到以下错误:“403 - Unauthorized. Contact your ChatGPT administrator for access.”

为 Codex CLI 启用设备代码身份验证

允许开发者在非交互式环境(例如,远程开发机)中使用 Codex CLI 时通过设备代码登录。更多详情请参阅 身份验证.

Codex local toggle

Codex 云端

前提条件

Codex 云端要求 GitHub(云端托管)仓库。如果您的代码库位于本地或不在 GitHub 上,您可以使用 Codex SDK 在您自己的基础设施上构建类似的工作流。

要以管理员身份设置 Codex,您必须对组织中常用的仓库拥有 GitHub 访问权限。如果您没有必要的访问权限,请与您工程团队中具有相应权限的人员合作。

在工作区设置中启用 Codex 云端

首先,在以下位置的 Codex 部分开启 ChatGPT GitHub 连接器: 工作区设置 > 设置与权限.

要为您的工作区启用 Codex 云端,请开启 允许成员使用 Codex 云端。启用后,用户可以直接从 ChatGPT 左侧的导航面板访问 Codex。

请注意,Codex 可能需要最多 10 分钟才能在 ChatGPT 中显示。

启用 Codex Slack 应用以在任务完成时发布答案

任务完成时,Codex 会将其完整答案发布回 Slack。否则,Codex 将仅发布指向该任务的链接。

To learn more, see Slack 中的 Codex.

启用 Codex 智能体以访问互联网

默认情况下,Codex 云端智能体在运行期间没有互联网访问权限,以帮助防范提示注入等安全风险。

此设置允许用户为常用软件依赖项域使用允许名单、添加域和受信任站点,以及指定允许的 HTTP 方法。

有关互联网访问和运行时控制的安全隐患,请参阅 智能体审批与安全.

Codex cloud toggle

第 2 步:设置自定义角色 (RBAC)

使用 RBAC 来控制访问 Codex local 和 Codex cloud 的细粒度权限。

Codex cloud toggle

RBAC 的功能

工作区所有者可以在 ChatGPT 管理设置中使用 RBAC 来:

  • 为未分配任何自定义角色的用户设置默认角色
  • 创建具有细粒度权限的自定义角色
  • 将一个或多个自定义角色分配给群组
  • 通过 SCIM 将用户自动同步到群组
  • 从“自定义角色”选项卡集中管理角色

用户可以继承多个角色,并且权限将解析为这些角色中最宽松(限制最少)的访问级别。

创建 Codex Admin 群组

建立一个专门的“Codex Admin”群组,而不是向广泛的人群授予 Codex 管理权限。

The 允许成员管理 Codex 开关可授予 Codex Admin 角色。Codex Admin 可以:

  • 查看 Codex 工作区分析数据
  • 打开 Codex 策略页面 to manage cloud-managed requirements.toml 策略
  • 将这些托管策略分配给用户组,或配置默认的回退策略
  • 管理 Codex cloud 环境,包括编辑和删除环境

将此角色用于负责 Codex 推广、策略管理和治理的少数管理员。一般的 Codex 用户不需要此角色。启用此开关不需要 Codex cloud。

推荐的推广模式:

  • 为需要使用 Codex 的人员创建一个“Codex Users”群组
  • 为少数负责管理 Codex 设置和策略的人员单独创建一个“Codex Admin”群组
  • 将仅启用了 允许成员管理 Codex 的自定义角色分配给“Codex Admin”群组
  • 将“Codex Admin”群组的成员限制在工作区所有者或指定的平台、IT 和治理运维人员
  • 如果您使用 SCIM,请通过您的身份提供商来支持“Codex Admin”群组,以便成员变更是可审计且集中管理的

这种分离使推出 Codex 变得更容易,同时将分析、环境管理和策略部署限制在受信任的管理员范围内。有关 RBAC 设置的详细信息和完整的权限模型,请参阅 OpenAI RBAC 帮助中心文章.

第 3 步:配置 Codex local 要求

Codex Admin 可以从 Codex 部署管理员强制执行的 requirements.toml 策略。当您想将不同的 Codex local 约束应用于不同的组,而无需先分发设备级文件时,请使用此页面。托管策略使用与 策略页面.

中描述的相同格式 requirements.toml 固定特性标志 托管配置, 因此您可以定义允许的审批策略、沙盒模式、网页搜索行为、网络访问要求、MCP 服务器允许列表、功能固定以及限制性命令规则。要禁用浏览器使用、应用内浏览器或计算机使用,请参阅 推荐设置:.

Codex policies and configurations page

为大多数用户创建基线策略,然后仅在需要的地方创建更严格或更宽松的变体。

  1. 将每个托管策略分配给特定的用户组,并为其他所有人配置默认的回退策略。
  2. 谨慎排序组规则。如果用户匹配多个特定于组的规则,则应用第一个匹配的规则。
  3. 将每个策略视为该组的完整配置文件。Codex 不会用后续匹配的组规则来填充缺失的字段。
  4. 当用户使用 ChatGPT 登录时,这些云端管理的策略将应用于所有 Codex local 界面,包括 Codex 应用、CLI 和 IDE 扩展。

示例 requirements.toml 策略

使用云端管理的

策略来为每个群组实施您想要的防护措施。以下代码片段是您可以调整的示例,而非必需的设置。 requirements.toml 示例:限制标准的本地部署的 Web 搜索、沙箱模式和审批:

Example managed requirements policy

示例:禁用 Browser Use(浏览器使用)、应用内浏览器和 Computer Use(计算机使用):

allowed_web_search_modes = ["disabled", "cached"]
allowed_sandbox_modes = ["workspace-write"]
allowed_approval_policies = ["on-request"]

示例:定义管理员拥有的网络要求:

[features]
browser_use = false
in_app_browser = false
computer_use = false

示例:在您希望管理员阻止或门控特定命令时添加限制性命令规则:

experimental_network.enabled = true
experimental_network.dangerously_allow_all_unix_sockets = true
experimental_network.allow_local_binding = true
experimental_network.allowed_domains = [
  "api.openai.com",
  "*.example.com",
]
experimental_network.denied_domains = [
  "blocked.example.com",
  "*.exfil.example.com",
]

您可以单独使用任何示例,也可以将它们组合在针对某个组的单个托管策略中。有关确切的键、优先级和更多示例,请参阅

[rules]
prefix_rules = [
  { pattern = [{ token = "git" }, { any_of = ["push", "commit"] }], decision = "prompt", justification = "Require review before mutating remote history." },
]

检查用户策略 托管配置 and 智能体审批与安全.

使用工作流末尾的策略查询工具来确认哪个托管策略适用于某用户。您可以通过组或输入用户电子邮件来检查策略分配。

如果您计划限制本地客户端的登录方式或工作区,请参阅

Policy lookup by group or user email

中的管理员管理的身份验证限制 身份验证.

第 4 步:使用 Team Config 标准化本地配置

希望在整个组织内标准化 Codex 的团队可以使用 Team Config 来共享默认设置、规则和技能,而无需在每个本地配置上重复设置。

您可以将 Team Config 设置签入到仓库中的 .codex 目录下。当用户打开该仓库时,Codex 会自动识别并应用 Team Config 设置。

从流量最高的仓库开始使用 Team Config,以便团队在最常使用 Codex 的地方获得一致的体验。

类型路径使用它来
配置基础config.toml设置沙盒模式、审批、模型、推理强度等默认配置。
规则rules/控制 Codex 可以在沙盒外运行哪些命令。
技能skills/让共享技能对您的团队可用。

有关位置和优先级的信息,请参见 配置基础.

第 5 步:配置 Codex 云端使用(如果已启用)

本步骤介绍在启用 Codex 云端工作区开关后的仓库和环境设置。

将 Codex 云端连接到仓库

  1. 前往 Codex and select 入门
  2. 选择 连接到 GitHub 安装 ChatGPT GitHub Connector(如果您尚未将 GitHub 连接到 ChatGPT)
  3. 安装或连接 ChatGPT GitHub Connector
  4. 为 ChatGPT Connector 选择安装目标(通常是您的主组织)
  5. 允许您想要连接到 Codex 的仓库

对于 GitHub Enterprise Managed Users (EMU),组织所有者必须先为组织安装 Codex GitHub App,用户才能在 Codex 云端连接仓库。

For more, see 云环境.

Codex 为每次操作使用短期有效的最小权限 GitHub App 安装令牌,并遵循用户现有的 GitHub 仓库权限和分支保护规则。

配置 IP 地址

如果您的 GitHub 组织控制了应用用于连接的 IP 地址,请确保包含这些 出站 IP 范围.

这些 IP 范围可能会发生变化。建议自动检查并根据最新值更新您的允许列表。

使用 Codex 云端启用代码审查

要允许 Codex 在 GitHub 上执行代码审查,请转到 设置 → 代码审查.

您可以在仓库级别配置代码审查。用户还可以为其 PR 启用自动审查,并选择 Codex 何时自动触发审查。更多详情请见 GitHub 集成页面.

使用概览页面确认您的工作区已开启代码审查,并查看可用的审查控制项。

Code review settings overview

使用自动审查设置来决定 Codex 是否应自动审查已连接仓库的拉取请求。

Automatic code review settings

使用审查触发器来控制哪些拉取请求事件应启动 Codex 审查。

Code review trigger settings

配置 Codex 安全性

Codex Security 可帮助工程和安全团队在已连接的 GitHub 仓库中发现、确认和修复潜在漏洞。

概括来说,Codex Security 会:

  • 逐次提交地扫描已连接的仓库
  • 对可能的发现进行排序,并在可能的情况下予以确认
  • 展示包含证据、严重性和建议修复措施的结构化发现
  • 让团队优化仓库威胁模型,以改善优先级排序和审查质量

有关设置、创建扫描、审查发现和威胁模型指南,请参见 Codex Security 设置。有关产品概述,请参阅 Codex 安全.

以下产品也提供了集成文档: Slack, GitHub,且 Linear.

第 6 步:设置治理与可观测性

Codex 为企业团队提供了查看采用情况和影响力的选项。请尽早设置治理,以便您的团队能够跟踪采用情况、调查问题并支持合规性工作流。

Codex 治理通常使用

  • 分析仪表板,用于快速、自助式的可见性
  • Analytics API,用于程序化报告和商业智能集成
  • Compliance API,用于审计和调查工作流

建议的基准设置

  • 为采用情况报告指定负责人
  • 为审计和合规审查指定负责人
  • 确定审查周期
  • 定义成功的标准

Analytics API 设置步骤

要设置 Analytics API 密钥:

  1. 以所有者或管理员身份登录 OpenAI API 平台门户 ,并选择正确的组织。
  2. 前往 API 密钥页面.
  3. 创建一个专用于 Codex Analytics 的新密钥,并为其指定一个描述性名称,例如 Codex Analytics API。
  4. 为您的组织选择相应的项目。如果您只有一个项目,则使用默认项目即可。
  5. 将密钥权限设置为只读,因为此 API 仅检索分析数据。
  6. 复制密钥值并将其安全存储,因为您只能查看一次。
  7. 电子邮件 [email protected] 以将该密钥的作用域限定为 codex.enterprise.analytics.read 仅限。等待 OpenAI 确认您的 API 密钥已拥有 Codex Analytics API 访问权限。
Codex analytics key creation

要使用 Analytics API 密钥:

  1. 找到您的 workspace_id in the ChatGPT 管理控制台 在 Workspace 详情下。
  2. 在以下地址调用 Analytics API https://api.chatgpt.com/v1/analytics/codex 使用您的 Platform API 密钥,并包含您的 workspace_id in the path.
  3. 选择您要查询的端点:
  • /workspaces/{workspace_id}/usage
  • /workspaces/{workspace_id}/code_reviews
  • /workspaces/{workspace_id}/code_review_responses
  1. 使用以下参数设置报告日期范围 start_time and end_time (如需要)。
  2. 使用以下参数检索下一页结果 next_page 如果响应跨越多页。

用于检索工作区使用情况的 curl 命令示例:

curl -H "Authorization: Bearer YOUR_PLATFORM_API_KEY" \
  "https://api.chatgpt.com/v1/analytics/codex/workspaces/WORKSPACE_ID/usage"

有关 Analytics API 的更多详细信息,请参阅 Analytics API.

Compliance API 设置步骤

要设置 Compliance API 密钥:

  1. 以所有者或管理员身份登录 OpenAI API 平台门户 ,并选择正确的组织。
  2. 前往 API 密钥页面.
  3. 创建一个专用于 Compliance API 的新密钥,并为您的组织选择合适的项目。如果您只有一个项目,使用默认项目即可。
  4. 选择 All permissions。
  5. 复制密钥值并将其安全存储,因为您只能查看一次。
  6. 发送电子邮件至 [email protected] with:
  • API 密钥的最后 4 位数字
  • the key name
  • the created-by name
  • the scope needed: read, delete,或两者
  1. 等待 OpenAI 确认您的 API 密钥已拥有 Compliance API 访问权限。

要使用 Compliance API 密钥:

  1. 找到您的 workspace_id in the ChatGPT 管理控制台 在 Workspace 详情下。
  2. 在以下地址使用 Compliance API https://api.chatgpt.com/v1/
  3. 在 Authorization 标头中将您的 Compliance API 密钥作为 Bearer token 传入。
  4. 对于 Codex 相关的合规性数据,请使用以下端点:
  • /compliance/workspaces/{workspace_id}/logs
  • /compliance/workspaces/{workspace_id}/logs/{log_file_id}
  • /compliance/workspaces/{workspace_id}/codex_tasks
  • /compliance/workspaces/{workspace_id}/codex_environments
  1. 对于大多数 Codex 合规性集成,请从日志端点开始,并请求 Codex 事件类型,例如 CODEX_LOG 或 CODEX_SECURITY_LOG。
  2. 使用 /logs 列出可用的 Codex 合规日志文件,然后使用 /logs/{log_file_id} 下载特定文件。

用于列出合规日志文件的 curl 命令示例:

curl -L -H "Authorization: Bearer YOUR_COMPLIANCE_API_KEY" \
  "https://api.chatgpt.com/v1/compliance/workspaces/WORKSPACE_ID/logs?event_type=CODEX_LOG&after=2026-03-01T00:00:00Z"

用于列出 Codex 任务的 curl 命令示例:

curl -H "Authorization: Bearer YOUR_COMPLIANCE_API_KEY" \
  "https://api.chatgpt.com/v1/compliance/workspaces/WORKSPACE_ID/codex_tasks"

有关 Compliance API 的更多详细信息,请参阅 Compliance API.

步骤 7:确认并验证设置

验证内容

  • 用户可以登录 Codex 本地版(ChatGPT 或 API 密钥)
  • (如已启用)用户可以登录 Codex 云端版(需要 ChatGPT 登录)
  • MFA 和 SSO 要求符合您的企业安全策略
  • RBAC 和工作区开关产生预期的访问行为
  • 托管配置应用于用户
  • 治理数据对管理员可见

有关身份验证选项和企业登录限制,请参阅 身份验证.

一旦您的团队对设置充满信心,您就可以将 Codex 推广到更多的团队和组织。