Copilot managed-settings.json が GA: AI コーディングツールにも Policy as Code が必要になる

Tech

これは Copilot 設定を個人の好みではなく、レビュー可能な運用ポリシーに変える。plugin marketplace、既定モデル、approval bypass は PR と履歴で管理すべき対象になる。

GitHub Copilot managed-settings.json이 .github-private 저장소에서 VS Code와 Copilot CLI로 배포되고, 모델 기본값, 플러그인 marketplace, tool approval, audit review로 이어지는 구조 다이어그램
managed-settings.json은 Copilot 클라이언트 설정을 개인 취향 파일에서 엔터프라이즈 정책 파일로 끌어올린다.

何が変わったか

GitHub Enterprise Cloud では .github-private リポジトリの copilot/managed-settings.json から VS Code と Copilot CLI の設定を配布できる。サポートされたキーはユーザーのローカル設定より優先される。

なぜ重要か

これは Copilot 設定を個人の好みではなく、レビュー可能な運用ポリシーに変える。plugin marketplace、既定モデル、approval bypass は PR と履歴で管理すべき対象になる。

今やること

まず owner、CODEOWNERS、許可 marketplace、保守的な disableBypassPermissionsMode、小さな pilot 検証を用意する。ログイン、更新、client version も確認する。

リスク

policy file だけで plugin code、MCP 権限、token、network、log が安全になるわけではない。対象 client の範囲も必ず検証する必要がある。

AI ツールポリシーチェック

Review copilot/managed-settings.json through pull requests.

Limit plugin marketplaces before enabling broad agent workflows.

Disable approval bypass until risky tools have explicit exceptions.

Verify enforcement on supported client versions before rollout.

Sources