Per-Application Control for AI API
【Current Behavior】
The AI API setting in the Admin Console is currently a tenant-wide
toggle (ON/OFF). Once enabled, all custom applications (both
Server Authentication and OAuth 2.0 apps) under the enterprise
can invoke AI API endpoints. There is no mechanism to permit or
restrict AI API usage on a per-application basis.
【Problem / Business Impact】
Because AI API consumption is billable, administrators cannot
selectively allow AI API access only for specific sanctioned
applications while blocking others. This creates the following
risks:
- Uncontrolled billing exposure: Any application with AI API scope enabled can trigger consumption that the administrator did not sanction, leading to unexpected charges.
- Blocked adoption: To avoid unintended billing, customers are forced to keep AI API disabled at the tenant level, which prevents legitimate, pre-approved applications from leveraging AI API capabilities.
- Lack of governance: Administrators have no way to audit or enforce which applications are permitted to consume AI API resources, conflicting with standard enterprise governance requirements.
As a result, customers who want to pilot AI API with a limited
scope, or who want to separate billable vs. non-billable
application usage, cannot proceed.
【Requested Feature】
Introduce per-application control for AI API access. Specifically:
- In the Admin Console (or Developer Console application management), allow administrators to explicitly allow or deny AI API access for each individual custom application.
- The setting should override the tenant-wide toggle, or at minimum be evaluated in addition to it, so that administrators can maintain a default-deny posture while whitelisting specific applications.
- Provide visibility (e.g., via Admin Console or reporting) into which applications are currently permitted to consume AI API.
【現状の挙動】
管理コンソールのAI API設定は、テナント単位のON/OFFトグルのみ
提供されています。有効化すると、当該エンタープライズ配下の
全てのカスタムアプリケーション(Server Authentication および
OAuth 2.0 アプリケーションの双方)がAI APIエンドポイントを
呼び出し可能となります。アプリケーション単位でAI APIの
利用可否を制御する手段は存在しません。
【課題・ビジネスインパクト】
AI APIは従量課金対象であるため、管理者が承認した特定の
アプリケーションのみにAI API利用を許可し、それ以外を制限する
という運用が現状では不可能です。これにより、以下のリスクが
発生しています。
- 意図しない課金の発生:AI APIスコープが有効な全ての アプリケーションが課金対象の処理を実行可能であり、 管理者が認知しないAI API課金が発生する可能性がある。
- 利用機会の喪失:意図しない課金を回避するため、テナント 単位でAI APIをOFFのまま運用せざるを得ず、本来承認済みの アプリケーションにおいてもAI API機能を活用できない。
- ガバナンスの欠如:どのアプリケーションがAI APIを利用して いるかを管理者が制御・監査する手段がなく、エンタープライズ における標準的なガバナンス要件を満たせない。
結果として、限定的なスコープでAI APIを試行したい、あるいは
課金対象アプリと非対象アプリを分離して管理したい顧客が、
AI APIの採用判断に至れない状況が発生しています。
【要望機能】
AI APIアクセスをアプリケーション単位で制御する機能の実装を
要望します。具体的には以下の通りです。
・管理コンソール(または開発者コンソールのアプリケーション
管理画面)において、個別のカスタムアプリケーションごとに
AI APIの利用可否を明示的に許可/拒否できるようにする。
・当該設定はテナント単位のトグルを上書きする、もしくは
併せて評価される仕様とし、管理者がデフォルト拒否を維持
しつつ特定アプリケーションをホワイトリスト化できる運用を
可能とする。
・現時点でAI API利用が許可されているアプリケーションを
管理コンソールまたはレポート機能から可視化できるように
する。
AdminAnonymous
(Admin, Box)
shared this idea