管理企业环境中的AI设置

VS Code 通过 GitHub Copilot 提供 AI 驱动的开发功能,包括代理模式、MCP 服务器和聊天工具。组织可以集中管理这些功能,以控制AI行为,执行安全策略,并维护开发团队的合规性。

本文介绍了IT管理员可以通过企业策略管理的AI相关设置。

用户可以通过 VS Code 设置来控制 AI 功能的功能和行为。组织可以通过设备管理解决方案部署企业策略来强制执行特定配置。这些策略覆盖了托管设备上用户配置的设置。

了解如何将VS Code策略部署到贵组织的设备中。

启用或禁用代理的使用。

Agent使人工智能能够自主执行诸如编辑文件、运行终端命令和使用工具等任务。代理使开发者能够提供高层次需求,并由AI助手分析、规划并执行实现该目标所需的步骤。

要完全禁用代理,请设置聊天代理模式政策错误.这配置为

chat.agent.enabled
  • 在VS代码中打开
  • 在VS Code Insiders中开放
VS Code 中的 ORG 设置。

当应用此政策时,代理选项将不会出现在聊天视图的代理下拉菜单中。开发者仍可使用“询问”或“编辑”来获取代码解释和文件编辑,但无法实现自主代码生成和任务执行。

启用或禁用钩子

子使你能够在代理会话的关键生命周期点执行自定义壳命令,比如工具调用前后、会话开始时,或代理停止时。钩子可以自动化工作流程,执行安全策略,并控制代理行为。

要完全禁用 hooks,请设置聊天钩政策错误.这配置为

chat.useHooks
  • 在VS代码中打开
  • 在VS Code Insiders中开放
VS Code 中的 ORG 设置。

当该策略应用时,挂钩配置会被忽略,代理会话中不会执行挂钩命令。

启用或禁用扩展语言工具

聊天中的工具通过专门功能扩展了 AI 助手的能力。这些工具可以来自内置功能、模型上下文协议(MCP)服务器或第三方扩展。

第三方扩展可以通过使用语言模型工具API贡献与聊天集成的工具。

为了防止开发者使用扩展贡献的工具,同时仍允许内置工具和MCP工具,设置ChatAgentExtensionTools政策错误.这配置为

chat.extensionTools.enabled
  • 在VS代码中打开
  • 在VS Code Insiders中开放
VS Code 中的 ORG 设置。

配置MCP服务器访问

模型上下文协议(MCP)服务器通过外部工具和服务扩展聊天。组织可以通过GitHub的组织设置和VS Code策略来控制开发者可以使用哪些MCP服务器。

限制MCP服务器源

ChatMCP策略控制MCP服务器可以安装的来源。这配置为

Chat.mcp.access
  • 在VS代码中打开
  • 在VS Code Insiders中开放
VS Code 中的 ORG 设置。

支持以下数值:

价值 描述
允许 开发者可以从任何来源运行MCP服务器
仅限注册 开发者只能从配置好的注册表中运行MCP服务器
不对劲 MCP 服务器支持已被禁用

配置自定义MCP注册表

你可以为你的组织托管一个私有MCP服务器注册表,并通过以下方式配置VS Code来使用它McpGalleryServiceUrl政策。这使你能够:

  • 提供经过筛选的经批准MCP服务器列表
  • 为您的组织托管内部MCP服务器
  • 阻止访问公共的GitHub MCP注册表

配置后,开发者在扩展视图中看到自定义注册表中的 MCP 服务器@mcp在搜索栏中。

使用 GitHub Copilot、企业或商务的组织也可以通过 GitHub 组织设置配置 MCP 服务器访问。

配置代理工具审批

代理工具可以执行修改文件、运行命令或访问外部服务的作。VS Code 包含潜在风险作的审批提示。组织可以执行更严格的审批要求,或完全禁用自动审批。

了解更多关于VS Code中工具审批的信息。

关闭全局自动审批

ChatToolsAutoApprove政策控制全局自动审批设置,也称为“YOLO模式”。启用后,AI助手可以无需人工批准即可执行所有工具。出于安全原因,不建议这样做。

为了防止开发者启用全局自动审批,请设置ChatToolsAutoApprove政策错误.这配置为

chat.tools.global.autoApprove
  • 在VS代码中打开
  • 在VS Code Insiders中开放
VS Code 中的 ORG 设置。

注意

全局自动批准绕过所有工具调用的安全提示。强烈建议在企业环境中禁用此功能。

特定工具要求人工审批

ChatTools有资格进行自动批准政策控制哪些工具可以被自动批准。工具设置为错误始终需要手动批准,用户无法自动批准。

用一个JSON对象配置该策略,列出工具名称及其批准资格。这配置为

chat.tools.eligible自动批准
  • 在VS代码中打开
  • 在VS Code Insiders中开放
VS Code 中的 ORG 设置。

以下 JSON 摘要展示了一个示例配置,需要手动批准任务执行、URL 获取和终端命令:

{
  "runTask": false,
  "fetch": false,
  "runInTerminal": false
}

配置终端自动审批

ChatToolsTerminalEnableAutoApprove策略专门控制基于规则的终端命令自动批准系统。启用后,VS Code 应用一套规则,自动批准安全命令,同时提示潜在危险命令。

要完全禁用终端自动审批,请将策略设置为错误.这配置为

chat.tools.terminal.enableAutoApprove
  • 在VS代码中打开
  • 在VS Code Insiders中开放
VS Code 中的 ORG 设置。

配置 Copilot 代码审查

Copilot代码审查使AI驱动的代码变更能够进行审查。组织可以控制对这些功能的访问。

副驾驶评审选择策略控制开发者是否可以在编辑器中请求对所选代码进行代码审查。这配置为

github.copilot.chat.reviewSelection.enabled
  • 在VS代码中打开
  • 在VS Code Insiders中开放
VS Code 中的设置。

副驾驶审查代理策略控制对 Copilot 代码审查代理的访问,用于审查拉取请求和更改文件。这配置为

github.copilot.chat.reviewAgent.enabled
  • 在VS代码中打开
  • 在VS Code Insiders中开放
VS Code 中的设置。

配置组织层面的人工智能定制

GitHub Copilot 支持在 GitHub 组织层面定义自定义指令和自定义代理。当组织成员在组织拥有的仓库中使用 VS Code 时,这些自定义功能会自动向所有组织成员开放。

组织层级自定义指令

组织管理员可以定义适用于组织内所有仓库的自定义指令。这些指令确保团队间AI行为一致,如执行编码标准、安全指南或文档要求。

当开发者拥有

github.copilot.chat.organizationInstructions.enabled
  • 在VS代码中打开
  • 在VS Code Insiders中开放
设置为确实如此VS Code 自动检测并对所有聊天请求应用组织级指令。这些说明会在聊天指令菜单中,与个人和工作区的说明并列。

了解如何在 GitHub 文档中为你的组织添加自定义指令

组织级定制代理

组织还可以定义在所有仓库之间共享的定制代理。这些代理提供专门的AI角色,配备针对贵组织工作流程量身定制的工具和指令。

当开发者拥有

github.copilot.chat.customAgents.showOrganizationAndEnterpriseAgents
  • 在VS代码中打开
  • 在VS Code Insiders中开放
设置为确实如此组织级代理会与内置和个人代理一起出现在代理下拉菜单中。

在GitHub文档中了解如何为你的组织创建自定义代理

注释

组织层面的自定义通过GitHub的组织设置管理,而非VS Code企业策略。每个开发者通过他们的 VS Code 设置来控制是否使用这些自定义。

安全考量

AI驱动的开发功能可以自主执行作,拥有用户级权限。请参阅安全文档,全面了解人工智能安全考虑因素和最佳实践。

相关资源