Copilot managed-settings.json ist GA: AI-Tools brauchen Policy as Code
Für Entwicklungsteams wird damit aus persönlicher Assistant-Konfiguration ein auditierbarer Betriebsvertrag. Plugins, Marketplaces, Modell-Defaults und Approval-Regeln gehören in PRs, nicht nur in Wikis.
Was sich geändert hat
GitHub Enterprise Cloud kann copilot/managed-settings.json in einem .github-private Repository nutzen, um Copilot-Einstellungen zentral für VS Code und Copilot CLI zu verteilen. Unterstützte Keys haben Vorrang vor lokalen Einstellungen.
Warum es zählt
Für Entwicklungsteams wird damit aus persönlicher Assistant-Konfiguration ein auditierbarer Betriebsvertrag. Plugins, Marketplaces, Modell-Defaults und Approval-Regeln gehören in PRs, nicht nur in Wikis.
Praktische Schritte
Beginnen Sie mit klaren Besitzern, CODEOWNERS, einer deny-by-default Marketplace-Liste, konservativem disableBypassPermissionsMode und einem Pilot, der Login, Refresh und Client-Versionen überprüft.
Risiken
Die Grenzen bleiben wichtig: Nicht alle Copilot-Oberflächen sind automatisch abgedeckt, und eine Policy-Datei ersetzt keine Prüfung von Plugin-Code, MCP-Berechtigungen, Tokens, Netzwerkregeln oder Logs.
Policy-Checkliste
• Review copilot/managed-settings.json through pull requests.
• Limit plugin marketplaces before enabling broad agent workflows.
• Disable approval bypass until risky tools have explicit exceptions.
• Verify enforcement on supported client versions before rollout.
Quellen
- GitHub Changelog: Enterprise managed-settings.json is generally available
- GitHub Docs: Configuring enterprise managed settings
- GitHub Changelog: strictKnownMarketplaces support
- GitHub Changelog: disableBypassPermissionsMode support
- VS Code Docs: Manage AI settings in enterprise environments
- GitHub Docs: About enterprise-managed plugin standards
- GitHub Community: Enterprise-managed settings discussion