OpenAI为EKM工作区开放同步应用,技术团队要补哪些治理字段
核心要点摘要
- OpenAI 2026 年 7 月 15 日确认,启用 Enterprise Key Management(EKM)的 Enterprise 与 Edu 工作区现在可以使用所有支持同步的应用。
- EKM 管的是 OpenAI 侧存储客户内容所使用的密钥,不替代来源权限、同步状态、记忆、对话留存和删除验证。
- 技术团队至少要记录连接身份、来源权限版本、同步状态、最后成功时间、断开状态和对话处置结果。
- 外部多模型测试应使用审批后的脱敏样本,不要直接复用同步知识库原文。
这次更新最值得技术团队关注的,不是“又多了一个连接器”,而是原本分开的两套控制开始同时工作:企业用外部 KMS 管理 OpenAI 侧存储内容的加密密钥,同时让 ChatGPT 索引第三方知识源。接入可以放开,治理字段不能只停留在“已连接”。
EKM与同步应用分别解决什么
OpenAI 的 EKM 说明写得很明确:客户内容存储在 OpenAI 时,使用企业在外部密钥管理系统中控制的密钥加密。目前列出的提供方包括 AWS KMS、Google Cloud KMS 和 Azure Key Vault。
同步应用处理的是另一层问题。它连接外部服务、索引可访问数据,按照来源系统中的权限向用户提供搜索和问答。两者相加并不自动形成完整的数据治理闭环,因为密钥状态无法回答“某位员工为什么能看到这份文件”,来源权限也无法回答“断开后旧对话是否还在”。
建议补齐的最小状态表
| 字段 | 用途 |
|---|---|
| workspace_id | 区分具体 Enterprise 或 Edu 工作区 |
| app_id | 标识连接的第三方应用 |
| connector_identity | 记录授权账号或服务身份 |
| source_scope | 记录站点、库、目录或群组范围 |
| permission_snapshot | 保存接入审核时的权限版本或摘要 |
| sync_status | 未开始、部分同步、完成、失败、暂停 |
| last_success_at | 判断索引新鲜度,避免只看“已连接” |
| last_permission_check | 跟踪来源权限是否已刷新 |
| memory_policy | 记录工作区是否启用记忆及适用范围 |
| disconnected_at | 标记停止后续同步和访问的时间 |
| conversation_review | 记录既有对话是否需要保留、限制或处置 |
官方说明首次同步可能需要数天,部分同步初期可能主要覆盖过去约 30 天,但实际范围会变化。因此,connected=true不能当成“知识已完整可用”。应用界面、内部资产清单和监控告警最好都区分部分同步与完成状态。
断开连接要单独设计处置流程
OpenAI 明确指出,断开应用会停止未来的同步和访问,但不会删除此前使用这些数据生成的对话。工程流程至少应拆成三步:撤销连接、确认索引不再更新、检查历史对话及其分享范围。只完成第一步,不能在工单里写“数据已删除”。
离职、群组变更和来源文件降权也要测试。官方产品会频繁更新文件与权限,但企业仍需要用测试账号验证权限传播是否符合预期,并给高敏感来源设置人工复核或更严格的接入范围。
把复杂分析留在合适的层级
同步应用主要面向搜索和问答。OpenAI 也提醒,跨大量来源做复杂聚合时可能受限。像“汇总多个系统的财务口径并给出最终数字”这类任务,不应因为搜索结果看起来完整就直接进入报表。更稳妥的做法是先定位来源,再由经过验证的数据管道计算。
需要比较 GPT、Claude、Gemini 等模型时,可以在知识同步链路之外准备一批经审批、去标识化的任务。147AI 可作为第一轮接入候选之一,但任务集、答案标准、日志和评测结论应保存在企业自己的评测系统中,不能把这一层与 EKM 或 ChatGPT 权限体系混为一谈。
上线验收可以怎样跑
接入验收不要只准备一组“应该搜得到”的问题,还要加入反向用例。正向用例用于确认员工能找到自己有权限访问的制度、项目资料和操作文档;反向用例则验证无权限账号、已退出项目的成员、外部协作者是否会命中不该出现的内容。两类结果都记录来源链接、查询账号、查询时间和同步状态,后续权限变化时才能复跑。
还可以安排一次权限变更演练:先让测试用户获得某个目录的访问权,确认索引更新后可以检索;随后撤销权限,观察结果何时不再出现。这里不宜预设一个官方没有承诺的固定时限,重点是测出企业当前配置下的实际传播时间,并为超时设置内部告警。
监控侧至少可以关注四类异常:同步任务长时间停留在部分状态、权限刷新时间落后、来源文件持续失败、应用已经断开但内部资产清单仍显示启用。告警触发后应带上workspace_id、app_id、来源范围和最近一次成功时间,避免值班人员只能看到一条没有上下文的报错。
最后要做退出演练。选择一个低风险测试知识源,走完断开连接、撤销第三方授权、确认同步停止、盘点历史对话的全过程。只有接入与退出都能留下证据,这套状态表才算真正进入生产,而不是一份只在上线评审时使用的文档。
结论
技术团队可以先把connected拆成连接、同步、权限刷新和退出四类状态,再把历史对话处置作为独立流程。EKM 提供密钥控制,完整治理仍要靠来源权限、索引可观测性和可验证的退出记录共同完成。
FAQ
Q1:启用 EKM 后,来源权限还需要检查吗?
A:需要。EKM 控制 OpenAI 侧存储内容的加密密钥,来源权限决定用户能通过同步应用看到哪些内容,两者不是同一个控制点。
Q2:应用显示已连接,是否代表同步完成?
A:不代表。首次同步可能持续数天,团队应读取同步状态和最后成功时间。
Q3:断开同步应用能删除过去的对话吗?
A:不能据此推断。官方说明断开会停止后续同步和访问,但不会删除已经使用这些数据的对话。
内容更新时间:2026-07-16
官方来源:Enterprise & Edu Release Notes|ChatGPT apps with sync|EKM Overview
证据边界:开放日期、适用工作区、同步机制和 EKM 定义来自 OpenAI 官方页面;状态字段、处置流程和外部评测方案为工程治理建议。