Copilot managed-settings.json が GA: AI コーディングツールにも Policy as Code が必要になる
これは Copilot 設定を個人の好みではなく、レビュー可能な運用ポリシーに変える。plugin marketplace、既定モデル、approval bypass は PR と履歴で管理すべき対象になる。
何が変わったか
GitHub Enterprise Cloud では .github-private リポジトリの copilot/managed-settings.json から VS Code と Copilot CLI の設定を配布できる。サポートされたキーはユーザーのローカル設定より優先される。
なぜ重要か
これは Copilot 設定を個人の好みではなく、レビュー可能な運用ポリシーに変える。plugin marketplace、既定モデル、approval bypass は PR と履歴で管理すべき対象になる。
今やること
まず owner、CODEOWNERS、許可 marketplace、保守的な disableBypassPermissionsMode、小さな pilot 検証を用意する。ログイン、更新、client version も確認する。
リスク
policy file だけで plugin code、MCP 権限、token、network、log が安全になるわけではない。対象 client の範囲も必ず検証する必要がある。
AI ツールポリシーチェック
• Review copilot/managed-settings.json through pull requests.
• Limit plugin marketplaces before enabling broad agent workflows.
• Disable approval bypass until risky tools have explicit exceptions.
• Verify enforcement on supported client versions before rollout.
Sources
- GitHub Changelog: Enterprise managed-settings.json is generally available
- GitHub Docs: Configuring enterprise managed settings
- GitHub Changelog: strictKnownMarketplaces support
- GitHub Changelog: disableBypassPermissionsMode support
- VS Code Docs: Manage AI settings in enterprise environments
- GitHub Docs: About enterprise-managed plugin standards
- GitHub Community: Enterprise-managed settings discussion