本附录专为企业用户编写,基于微软 Azure OpenAI 中国区(世纪互联运营)企业级服务设计。所有方案均经过大型企业实际验证,满足数据安全、合规审计、权限管控、成本优化四大企业核心需求。截至 2026 年 5 月,Azure OpenAI 是国内唯一提供完整企业级 AI 编程能力的合规平台。
H.1 企业自建部署的必要性
个人版 Codex 虽然功能强大,但无法满足企业级需求:
- 数据安全风险:个人版会将代码片段发送到 OpenAI 服务器进行处理,存在核心代码泄露风险
- 合规性问题:国内企业数据出境受《数据安全法》和《个人信息保护法》严格监管
- 缺乏统一管理:无法统一管理团队成员的 API 密钥、使用权限和消费额度
- 成本不可控:个人版按次计费,无法进行团队级预算管理和成本分摊
- 没有 SLA 保障:个人版不提供服务等级协议,无法满足企业生产环境需求
H.2 Azure OpenAI 企业级部署架构
H.2.1 推荐部署架构(中型企业)
plaintext
企业内网 │ ├─ 开发人员工作站(VS Code/JetBrains IDE) │ │ ├─ Azure私有端点(Private Endpoint) │ │ └─ Azure OpenAI服务 ├─ gpt-5.5-codex部署(生产环境) ├─ gpt-5.5-codex部署(测试环境) ├─ gpt-5.1-codex-mini部署(日常开发) └─ 日志与监控(Azure Monitor)H.2.2 多环境部署策略
表格
| 环境 | 部署模型 | 用途 | 配额设置 |
|---|---|---|---|
| 开发环境 | gpt-5.1-codex-mini | 日常代码补全、简单功能生成 | 100K tokens / 人 / 天 |
| 测试环境 | gpt-5.5-codex | 复杂功能开发、代码调试 | 500K tokens / 人 / 天 |
| 生产环境 | gpt-5.5-codex | 项目级代码生成、架构设计 | 按需申请 |
最佳实践:为不同环境创建独立的 Azure OpenAI 资源,实现环境隔离和权限分离。
H.3 网络安全与隔离
企业级部署的核心是网络隔离,确保所有 API 调用都在企业内网进行,不暴露到公网。
H.3.1 配置私有端点(Private Endpoint)
- 登录 Azure 门户,进入你的 Azure OpenAI 资源
- 在左侧导航栏中,点击 "网络"
- 选择 "专用访问"
- 点击 "添加专用端点"
- 填写基本信息:
- 名称:
codex-private-endpoint - 虚拟网络:选择你的企业虚拟网络
- 子网:选择一个专用子网
- 名称:
- 点击 "下一步: DNS",保持默认设置
- 点击 "下一步:标记",可选择性添加标记
- 点击 "查看 + 创建",完成创建
H.3.2 禁用公网访问
- 在 "网络" 页面,将 "公用网络访问" 设置为 "禁用"
- 点击 "保存"
效果:现在只有来自企业虚拟网络内的请求才能访问 Azure OpenAI 服务,公网无法访问。
H.3.3 配置 VNet 服务端点(可选)
如果你的开发人员分布在多个办公地点,可以配置 VNet 服务端点,允许特定 IP 地址段访问:
- 在 "网络" 页面,选择 "选定的网络"
- 在 "防火墙" 部分,添加企业办公区的公网 IP 地址段
- 点击 "保存"
H.4 身份认证与权限管理
Azure OpenAI 与 Azure Active Directory(Azure AD)深度集成,支持企业级身份认证和基于角色的访问控制(RBAC)。
H.4.1 配置 Azure AD 集成
- 进入 Azure OpenAI 资源页面
- 在左侧导航栏中,点击 "访问控制 (IAM)"
- 点击 "添加角色分配"
- 选择合适的角色:
- 认知服务 OpenAI 贡献者:拥有所有权限,包括创建部署、管理密钥等
- 认知服务 OpenAI 用户:只能调用已部署的模型,不能修改配置
- 认知服务 OpenAI 读取者:只能查看配置,不能调用模型
- 选择需要分配权限的用户或组
- 点击 "下一步",然后点击 "完成"
H.4.2 团队权限管理最佳实践
- 按角色分配权限:
- 管理员:分配 "认知服务 OpenAI 贡献者" 角色
- 开发人员:分配 "认知服务 OpenAI 用户" 角色
- 项目经理:分配 "认知服务 OpenAI 读取者" 角色
- 使用 Azure AD 组进行批量管理:不要直接给单个用户分配权限,而是创建开发组、测试组等,给组分配权限
- 启用多因素认证 (MFA):要求所有用户使用 MFA 登录,提高账户安全性
- 定期审计权限:每季度审查一次权限分配,移除不再需要的权限
H.5 数据安全与合规
H.5.1 数据加密
- 静态数据加密:Azure OpenAI 默认使用 256 位 AES 加密所有静态数据
- 传输中数据加密:所有 API 调用都使用 TLS 1.3 加密
- 客户管理密钥 (CMK):企业可以使用自己的密钥加密数据,进一步提高安全性
H.5.2 数据保留策略
- 进入 Azure OpenAI 资源页面
- 在左侧导航栏中,点击 "内容筛选和数据管理"
- 在 "数据保留" 部分,设置数据保留时间:
- 对于高度敏感的项目,设置为 "0 天"(不保留任何数据)
- 对于一般项目,设置为 "30 天"
- 点击 "保存"
重要提示:设置为 0 天数据保留后,Azure 不会存储任何用户输入和模型输出,完全符合最严格的数据安全要求。
H.5.3 日志与审计
- 进入 Azure OpenAI 资源页面
- 在左侧导航栏中,点击 "诊断设置"
- 点击 "添加诊断设置"
- 选择要收集的日志:
- Audit
- Request
- Response
- 选择日志目标:
- 发送到 Log Analytics 工作区
- 存档到存储账户
- 流式传输到事件中心
- 点击 "保存"
效果:所有 API 调用都会被记录下来,包括调用时间、用户身份、调用的模型、使用的 tokens 数量等,满足合规审计要求。
H.6 成本管理与优化
H.6.1 设置预算与告警
- 进入 Azure 门户,点击 "成本管理 + 计费"
- 在左侧导航栏中,点击 "预算"
- 点击 "添加"
- 填写预算信息:
- 名称:
codex-monthly-budget - 重置周期:每月
- 金额:设置你的月度预算
- 名称:
- 在 "告警" 部分,添加告警条件:
- 当实际成本达到预算的 80% 时,发送邮件通知
- 当实际成本达到预算的 100% 时,发送邮件和短信通知
- 点击 "创建"
H.6.2 成本优化策略
- 模型分级使用:
- 简单代码补全:使用
gpt-5.1-codex-mini(价格是 gpt-5.5-codex 的 1/10) - 复杂功能开发:使用
gpt-5.5-codex - 只有在必要时才使用最高级别的模型
- 简单代码补全:使用
- 设置配额限制:为每个用户或每个团队设置每日 tokens 使用上限
- 启用缓存:对于重复的请求,启用 Azure OpenAI 的缓存功能,可以降低成本 30% 以上
- 批量调用:将多个小请求合并为一个批量请求,减少 API 调用次数
- 定期清理未使用的部署:删除不再使用的模型部署,避免不必要的费用
H.6.3 成本分摊
使用 Azure 的标签功能,为每个团队或项目创建标签,然后按标签进行成本分摊:
- 在创建 Azure OpenAI 资源时,添加标签:
团队=后端开发组、项目=电商平台 - 在成本管理中,按标签筛选和查看成本
- 生成月度成本报告,分摊到各个团队和项目
H.7 团队协作最佳实践
H.7.1 建立内部使用规范
企业应该制定明确的 Codex 使用规范,包括:
- 禁止上传敏感信息:严禁将密码、密钥、客户数据等敏感信息输入到 Codex 中
- 代码审查要求:所有 AI 生成的代码必须经过人工审查才能提交到代码库
- 知识产权声明:明确 AI 生成代码的知识产权归属
- 使用场景限制:规定哪些场景可以使用 Codex,哪些场景禁止使用
H.7.2 统一团队配置
- 创建团队共享的
config.toml文件,包含统一的模型参数、代理设置等 - 将配置文件托管在企业内部 Git 仓库中
- 要求所有团队成员使用统一的配置文件
H.7.3 共享提示词库
建立企业内部提示词库,收集和分享最佳实践提示词:
- 在企业内部 Wiki 上创建提示词库页面
- 按编程语言、场景分类整理提示词
- 鼓励团队成员贡献自己的优质提示词
- 定期更新和优化提示词库
H.7.4 培训与知识分享
- 组织 Codex 使用培训,帮助团队成员快速上手
- 定期举办分享会,交流使用经验和技巧
- 建立内部问答社区,解答使用过程中遇到的问题
H.8 企业级常见问题与解决方案
问题 1:如何防止开发人员泄露核心代码?
解决方案:
- 配置私有端点,禁用公网访问
- 设置数据保留时间为 0 天
- 启用完整的日志审计,监控所有 API 调用
- 建立代码审查制度,所有 AI 生成的代码必须经过审查
- 与员工签订保密协议,明确法律责任
问题 2:如何处理多团队共享 Azure OpenAI 资源的问题?
解决方案:
- 为每个团队创建独立的 Azure OpenAI 资源
- 使用 Azure AD 组进行权限隔离
- 为每个资源设置独立的预算和配额
- 使用标签进行成本分摊
问题 3:如何保证服务的高可用性?
解决方案:
- 在多个区域部署 Azure OpenAI 资源
- 配置负载均衡,自动切换到备用区域
- 设置服务健康告警,及时发现和处理故障
- 与微软签订企业支持协议,获得优先技术支持
