การตั้งค่า Admin
คู่มือนี้สำหรับ ChatGPT Enterprise admins ที่ต้องการตั้งค่า Codex สำหรับ workspace ของตน
ความปลอดภัยและความเป็นส่วนตัวระดับ Enterprise
Codex รองรับ ChatGPT Enterprise security features รวมถึง:
- ไม่มีการ training บนข้อมูล enterprise
- Residency และ retention ตาม ChatGPT Enterprise policies
- การควบคุมสิทธิ์เข้าถึงผู้ใช้แบบละเอียด
- การเข้ารหัสข้อมูลขณะพัก (AES-256) และระหว่างส่ง (TLS 1.2+)
- Audit logging ผ่าน ChatGPT Compliance API
ข้อกำหนดเบื้องต้น: กำหนดเจ้าของและกลยุทธ์การ rollout
ระหว่างการ rollout ควรมีเจ้าของดูแลด้านต่างๆ:
- ChatGPT Enterprise workspace owner: จำเป็นต้องกำหนดค่า Codex ใน workspace
- Security owner: กำหนด agent permissions settings สำหรับ Codex
- Analytics owner: เชื่อมต่อ analytics และ compliance APIs เข้ากับ data pipelines
ตัดสินใจว่าจะใช้ Codex surfaces ใด:
- Codex local: รวม Codex app, CLI, และ IDE extension — agent รันบนเครื่องของนักพัฒนาใน sandbox
- Codex cloud: รวม hosted Codex features — agent รันใน hosted container ระยะไกล
- ทั้งคู่: ใช้ local + cloud ร่วมกัน
ขั้นตอนที่ 1: เปิดใช้งาน Codex ใน Workspace
ไปที่ Workspace Settings > Settings and Permissions
Codex Local
เปิด Allow members to use Codex Local — ให้สิทธิ์ใช้ Codex app, CLI, และ IDE extension แก่ผู้ใช้ที่อนุญาต
หากสมาชิกต้องการ Codex local workflows แบบ programmatic ให้มอบสิทธิ์ Allow users to create access tokens ใน Access tokens section
หาก Codex Local toggle ปิดอยู่ ผู้ใช้ที่พยายามใช้ Codex app, CLI, หรือ IDE จะเห็นข้อผิดพลาด: "403 - Unauthorized"
เปิดใช้งาน device code authentication สำหรับ Codex CLI
อนุญาตให้นักพัฒนา sign in ด้วย device code เมื่อใช้ Codex CLI ในสภาพแวดล้อม non-interactive
Codex Cloud
ข้อกำหนด: Codex cloud ต้องการ GitHub (cloud-hosted) repositories
เปิด ChatGPT GitHub Connector ในส่วน Codex ของ Workspace Settings จากนั้นเปิด Allow members to use Codex cloud ผู้ใช้สามารถเข้าถึง Codex จาก left-hand navigation panel ใน ChatGPT (อาจใช้เวลาถึง 10 นาที)
ขั้นตอนที่ 2: ตั้งค่า Custom Roles (RBAC)
ใช้ RBAC เพื่อควบคุม permissions แบบละเอียดสำหรับ Codex local และ Codex cloud
Workspace Owners สามารถใช้ RBAC เพื่อ:
- กำหนด default role สำหรับผู้ใช้ที่ไม่มี custom role
- สร้าง custom roles พร้อม granular permissions
- มอบหมาย custom roles ให้กับ Groups
- sync ผู้ใช้เข้า Groups อัตโนมัติผ่าน SCIM
สร้างกลุ่ม Codex Admin
ตั้งกลุ่ม "Codex Admin" เฉพาะแทนที่จะมอบสิทธิ์ administration ให้กับคนจำนวนมาก
Codex Admins สามารถ:
- ดู Codex workspace analytics
- เปิดหน้า Codex Policies เพื่อจัดการ cloud-managed requirements.toml policies
- มอบหมาย managed policies ให้กับ user groups
- จัดการ Codex cloud environments
รูปแบบ rollout ที่แนะนำ:
- สร้างกลุ่ม "Codex Users" สำหรับผู้ที่ควรใช้ Codex
- สร้างกลุ่ม "Codex Admin" แยกสำหรับคนที่จัดการ settings และ policies
- มอบ custom role ที่มี Allow members to administer Codex เฉพาะกลุ่ม "Codex Admin"
ขั้นตอนที่ 3: กำหนดค่า Codex Local Requirements
Codex Admins สามารถ deploy admin-enforced requirements.toml policies จากหน้า Codex Policies
ตัวอย่าง requirements.toml policies
จำกัด web search, sandbox mode, และ approvals สำหรับ standard local rollout:
allowed_web_search_modes = ["disabled", "cached"]
allowed_sandbox_modes = ["workspace-write"]
allowed_approval_policies = ["on-request"]
อนุญาต standard permission profiles:
default_permissions = ":workspace"
[allowed_permission_profiles]
":read-only" = true
":workspace" = true
จำกัด Browser Use และ Computer Use:
[features]
browser_use = false
browser_use_full_cdp_access = false
in_app_browser = false
computer_use = false
เพิ่ม restrictive command rule:
[rules]
prefix_rules = [
{ pattern = [{ token = "git" }, { any_of = ["push", "commit"] }], decision = "prompt", justification = "Require review before mutating remote history." },
]
ขั้นตอนที่ 4: มาตรฐาน Local Configuration ด้วย Team Config
Teams ที่ต้องการมาตรฐาน Codex ทั่วองค์กรสามารถใช้ Team Config เพื่อแบ่งปัน defaults, rules, และ skills
| ประเภท | ตำแหน่ง | คำอธิบาย |
|---|---|---|
| Config basics | config.toml | กำหนด defaults สำหรับ sandbox mode, approvals, model, และอื่นๆ |
| Rules | rules/ | ควบคุมคำสั่งที่ Codex รันนอก sandbox |
| Skills | skills/ | ทำ shared skills พร้อมใช้สำหรับทีม |
ขั้นตอนที่ 5: กำหนดค่าการใช้งาน Codex Cloud
เชื่อมต่อ Codex Cloud กับ Repositories
- ไปที่ Codex และเลือก Get started
- เลือก Connect to GitHub เพื่อติดตั้ง ChatGPT GitHub Connector
- เลือก installation target (โดยปกติคือ organization หลัก)
- อนุญาต repositories ที่ต้องการเชื่อมต่อกับ Codex
กำหนดค่า IP Addresses
หาก GitHub organization ควบคุม IP addresses ของ apps ให้รวม Codex cloud egress IP ranges ไว้ด้วย
เปิดใช้งาน Code Review
ไปที่ Settings > Code review เพื่ออนุญาต Codex ทำ code reviews บน GitHub กำหนดค่าได้ที่ระดับ repository
ขั้นตอนที่ 6: ตั้งค่า Governance และ Observability
เครื่องมือ Governance ของ Codex
- Analytics Dashboard: visibility แบบ self-serve สำหรับ adoption
- Analytics API: programmatic reporting และ business intelligence integration
- Compliance API: สำหรับ audit และ investigation workflows
ตั้งค่า Analytics API
- Sign in ที่ OpenAI API Platform Portal ในฐานะ owner หรือ admin
- ไปที่หน้า API keys
- สร้าง secret key ใหม่ชื่อ "Codex Analytics API" กำหนด permissions เป็น Read only
- ส่งอีเมลถึง [email protected] เพื่อขอให้ scope key ไปยัง
codex.enterprise.analytics.read
curl -H "Authorization: Bearer YOUR_PLATFORM_API_KEY" \
"https://api.chatgpt.com/v1/analytics/codex/workspaces/WORKSPACE_ID/usage"
ตั้งค่า Compliance API
- สร้าง secret key ใหม่สำหรับ Compliance API พร้อม All permissions
- ส่งอีเมลถึง [email protected] พร้อมรายละเอียด key และ scope ที่ต้องการ
curl -L -H "Authorization: Bearer YOUR_COMPLIANCE_API_KEY" \
"https://api.chatgpt.com/v1/compliance/workspaces/WORKSPACE_ID/logs?event_type=CODEX_LOG&after=2026-03-01T00:00:00Z"
ขั้นตอนที่ 7: ยืนยันและตรวจสอบการตั้งค่า
สิ่งที่ต้องตรวจสอบ:
- ผู้ใช้สามารถ sign in ไปยัง Codex local ได้
- (หากเปิดใช้งาน) ผู้ใช้สามารถ sign in ไปยัง Codex cloud ได้
- ข้อกำหนด MFA และ SSO ตรงกับ enterprise security policy
- RBAC และ workspace toggles ให้ access behavior ที่คาดหวัง
- Managed configuration ใช้งานกับผู้ใช้ได้
- Governance data มองเห็นได้สำหรับ admins