コンテンツにスキップ

ロールとワークスペースの権限

管理は 6 つの制御境界にまたがります。ある境界でアクセスを付与しても、 別の境界へのアクセスは付与されません。このページを正式な全体マップとして使用し、 現在の設定と手順についてはリンク先のソースを参照してください。

ワークスペース設定では、Codex Local は特定のローカルアクセスと アクセストークンの制御をまとめるラベルであり、独立した製品やクライアントでは ありません。このグループ内の個々の制御は、異なるスコープを持つ場合があります。現在の Allow members to use Codex Local ワークスペース権限は、ChatGPT デスクトップ アプリ、Codex CLI、IDE 拡張機能でのローカル利用を対象とします。管理対象構成は別のレイヤーであり、 対象となる機能について、これらのクライアントでサポートされるランタイム動作を制約します。機能 と実際に適用される要件は、クライアントとバージョンによって異なる場合があります。

制御境界を理解する

境界 制御対象 制御対象外 現在のソース
ChatGPT ワークスペース メンバーシップ、シート、組み込みの管理ロール、サポートされるワークスペース機能へのロールベースのアクセス ローカルエージェントの権限、Platform API 組織へのアクセス、接続されたサービスでの権限 ChatGPT ワークスペースへのアクセス および RBAC
ローカルクライアント ChatGPT デスクトップアプリ、Codex CLI、IDE 拡張機能における、対象機能のランタイム動作。承認、ファイルシステムとネットワークへのアクセス、権限プロファイル、許可されたインテグレーションなど ChatGPT のシート、機能またはモデルの利用資格、外部データへのアクセス 管理対象構成 および 権限
Codex クラウド ホスト型 Codex ワークフローと、ユーザーに提供されるクラウド環境を利用する資格 ローカルランタイムポリシー、またはソースシステムによって付与されたリポジトリの権限 クラウド環境
Platform API API 認証で行う作業における、組織とプロジェクトのメンバーシップ、API キー、モデルへのアクセス、利用状況、請求 ChatGPT ワークスペースのメンバーシップ、ローカルクライアントへのアクセス、Codex クラウドへのアクセス OpenAI API Platform
プラグイン プラグインの利用可否とインストール、同梱スキル、コネクターへのアクセス、サポートされるコネクター操作 接続されたサービスでの認可、またはより広範なローカルおよびクラウドのランタイム権限 プラグインの制御
接続されたシステム 認証済みアカウントがソースシステムでアクセスできるリポジトリ、ファイル、メッセージ、操作 ChatGPT ワークスペース、プラグイン、Codex クラウド、Platform API の利用資格 接続されたサービスの管理およびアクセス制御

リクエストは、該当するすべての境界を通過する必要があります。たとえば、ワークスペースへの アクセスによってプラグインを利用可能にすることはできますが、ログイン中のアカウントが どのデータを読み取れるかは、接続されたサービスが引き続き決定します。ローカル権限プロファイルで サポートされるローカルクライアントでの実行を制限することはできますが、ワークスペースの機能や モデルへのアクセスを付与することはできません。

ワークスペースへのアクセスを割り当てる

ChatGPT ワークスペースの管理では、製品へのアクセスと管理権限を分離しています。ワークスペースの プランとメンバーのシートによって、利用可能な製品の画面や機能が決まります。組み込みのワークスペース ロールによって、ワークスペースを管理できるユーザーが決まります。ロールベースアクセス制御(RBAC) によって、メンバーが利用できるサポート対象機能が決まります。

管理者はグループを通じてカスタムロールを割り当てることができ、メンバーは複数のグループから アクセス権を受け取る場合があります。利用可能なシート、ロール、権限は製品やプランの更新に伴って 変更されるため、現在の権限一覧と設定手順については Help Center を参照してください。

ローカルランタイムポリシーを適用する

ローカルランタイムポリシーは、ChatGPT デスクトップアプリ、Codex CLI、IDE 拡張機能における 対象機能のランタイム動作を制約します。クラウドで管理される要件には、サポートされる ChatGPT サインインとプランの利用資格も追加で影響します。権限プロファイルと管理対象要件によって、 コマンド、ファイルシステムへのアクセス、ネットワークアクセス、承認、その他のローカルランタイム 動作を制約できます。これらは、ユーザーのシート、ワークスペースのロール、モデルの利用資格、 外部システムでの権限を変更するものではありません。

ローカルポリシーで許可されている場合、ユーザーは組み込みまたはカスタムの権限プロファイルを 選択できます。管理者は、サポートされる管理対象構成チャネルを通じて、デフォルトと要件を配布できます。 プロファイルの動作については 権限 を、要件、配信、優先順位については 管理対象構成 を参照してください。

関連ドキュメント