Copilot managed-settings.json GA:AI 編程工具也需要 Policy as Code

Tech

這讓 Copilot 設定從個人偏好變成可 review 的政策程式碼。Marketplace、plugin、預設模型與 approval bypass 都應有 owner、PR 與 rollback。

GitHub Copilot managed-settings.json이 .github-private 저장소에서 VS Code와 Copilot CLI로 배포되고, 모델 기본값, 플러그인 marketplace, tool approval, audit review로 이어지는 구조 다이어그램
managed-settings.json은 Copilot 클라이언트 설정을 개인 취향 파일에서 엔터프라이즈 정책 파일로 끌어올린다.

發生了什麼

GitHub Enterprise Cloud 可以在 .github-private repo 放置 copilot/managed-settings.json,把設定套用到 VS Code 與 Copilot CLI。支援的 key 會優先於使用者本機設定。

為什麼重要

這讓 Copilot 設定從個人偏好變成可 review 的政策程式碼。Marketplace、plugin、預設模型與 approval bypass 都應有 owner、PR 與 rollback。

現在該做什麼

先設定 owner、CODEOWNERS、允許的 marketplace、保守的 disableBypassPermissionsMode,並用 pilot group 驗證登入、refresh 與 client version。

風險

policy file 不會自動審查 plugin code、MCP 權限、token、network 或 log。其他 Copilot client 的覆蓋範圍也要逐一確認。

AI 工具政策清單

Review copilot/managed-settings.json through pull requests.

Limit plugin marketplaces before enabling broad agent workflows.

Disable approval bypass until risky tools have explicit exceptions.

Verify enforcement on supported client versions before rollout.

來源