Copilot managed-settings.json ist GA: AI-Tools brauchen Policy as Code

Tech

Für Entwicklungsteams wird damit aus persönlicher Assistant-Konfiguration ein auditierbarer Betriebsvertrag. Plugins, Marketplaces, Modell-Defaults und Approval-Regeln gehören in PRs, nicht nur in Wikis.

GitHub Copilot managed-settings.json이 .github-private 저장소에서 VS Code와 Copilot CLI로 배포되고, 모델 기본값, 플러그인 marketplace, tool approval, audit review로 이어지는 구조 다이어그램
managed-settings.json은 Copilot 클라이언트 설정을 개인 취향 파일에서 엔터프라이즈 정책 파일로 끌어올린다.

Was sich geändert hat

GitHub Enterprise Cloud kann copilot/managed-settings.json in einem .github-private Repository nutzen, um Copilot-Einstellungen zentral für VS Code und Copilot CLI zu verteilen. Unterstützte Keys haben Vorrang vor lokalen Einstellungen.

Warum es zählt

Für Entwicklungsteams wird damit aus persönlicher Assistant-Konfiguration ein auditierbarer Betriebsvertrag. Plugins, Marketplaces, Modell-Defaults und Approval-Regeln gehören in PRs, nicht nur in Wikis.

Praktische Schritte

Beginnen Sie mit klaren Besitzern, CODEOWNERS, einer deny-by-default Marketplace-Liste, konservativem disableBypassPermissionsMode und einem Pilot, der Login, Refresh und Client-Versionen überprüft.

Risiken

Die Grenzen bleiben wichtig: Nicht alle Copilot-Oberflächen sind automatisch abgedeckt, und eine Policy-Datei ersetzt keine Prüfung von Plugin-Code, MCP-Berechtigungen, Tokens, Netzwerkregeln oder Logs.

Policy-Checkliste

Review copilot/managed-settings.json through pull requests.

Limit plugin marketplaces before enabling broad agent workflows.

Disable approval bypass until risky tools have explicit exceptions.

Verify enforcement on supported client versions before rollout.

Quellen