在企业环境中管理 AI 设置
VS Code 通过 GitHub Copilot 提供 AI 驱动的开发能力,包括代理模式、MCP 服务器和聊天工具。组织可以集中管理这些功能,以控制 AI 行为、执行安全策略并在开发团队中保持合规性。
本文档涵盖了 IT 管理员可以通过 企业策略 管理的与 AI 相关的设置。
用户可以通过 VS Code 设置控制 AI 功能和行为。组织可以通过设备管理解决方案部署企业策略来强制执行特定配置。这些策略会覆盖在受管理设备上用户配置的设置。
了解如何 将策略部署到组织的 VS Code 设备。
启用或禁用代理的使用
代理 使 AI 能够自主执行任务,例如编辑文件、运行终端命令和使用工具。代理使开发人员能够提供高级需求,并让 AI 助手分析、计划和执行必要的步骤来实现该目标。
要完全禁用代理,请将 ChatAgentMode 策略设置为 false。这将配置
应用此策略后,代理选项将不会在聊天视图中的代理下拉菜单中可用。开发人员仍然可以使用 提问或编辑 来获取代码说明和文件编辑,但自主代码生成和任务执行不可用。
启用或禁用挂钩
挂钩 使您能够在代理会话期间的关键生命周期点执行自定义 shell 命令,例如在工具调用之前或之后、会话开始时或代理停止时。挂钩可以自动化工作流程、执行安全策略和控制代理行为。
要完全禁用挂钩,请将 ChatHooks 策略设置为 false。这将配置
应用此策略后,将忽略挂钩配置,并且在代理会话期间不会执行任何挂钩命令。
启用或禁用扩展语言工具
聊天中的工具 通过专用功能扩展 AI 助手的能力。这些工具可以来自内置功能、模型上下文协议 (MCP) 服务器或第三方扩展。
第三方扩展可以通过使用 语言模型工具 API 为聊天贡献工具。
要防止开发人员使用扩展贡献的工具,同时仍然允许使用内置工具和 MCP 工具,请将 ChatAgentExtensionTools 策略设置为 false。这将配置
配置 MCP 服务器访问权限
模型上下文协议 (MCP) 服务器 通过外部工具和服务扩展聊天。组织可以通过 GitHub 组织设置和 VS Code 策略来控制开发人员可以使用哪些 MCP 服务器。
限制 MCP 服务器源
ChatMCP 策略控制可以从中安装 MCP 服务器的源。这将配置
支持以下值
| 值 | 描述 |
|---|---|
allowed |
开发人员可以从任何源运行 MCP 服务器 |
registryOnly |
开发人员只能从配置的注册表中运行 MCP 服务器 |
off |
禁用 MCP 服务器支持 |
配置自定义 MCP 注册表
您可以为组织托管一个私有 MCP 服务器注册表,并通过 McpGalleryServiceUrl 策略配置 VS Code 以使用它。这使您可以
- 提供批准的 MCP 服务器精选列表
- 托管组织内部的 MCP 服务器
- 阻止访问公共 GitHub MCP 注册表
配置后,开发人员在搜索字段中输入 @mcp 时,将在扩展视图中看到来自您的自定义注册表的 MCP 服务器。
拥有 GitHub Copilot Enterprise 或 Business 的组织还可以通过 GitHub 组织设置 配置 MCP 服务器访问权限。
配置代理工具审批
代理工具可以执行修改文件、运行命令或访问外部服务的操作。VS Code 包含对潜在风险操作的批准提示。组织可以强制执行更严格的批准要求或完全禁用自动批准。
了解更多关于 VS Code 中的 工具审批。
禁用全局自动批准
ChatToolsAutoApprove 策略控制全局自动批准设置,也称为“YOLO 模式”。启用后,AI 助手可以在无需手动批准的情况下执行所有工具。出于安全原因,不建议这样做。
要防止开发人员启用全局自动批准,请将 ChatToolsAutoApprove 策略设置为 false。这将配置
全局自动批准绕过所有工具调用的安全提示。强烈建议在企业环境中禁用此功能。
需要对特定工具进行手动批准
ChatToolsEligibleForAutoApproval 策略控制哪些工具可以自动批准。设置为 false 的工具始终需要手动批准,并且不能被用户自动批准。
使用 JSON 对象配置此策略,该对象列出了工具名称及其批准资格。这将配置
以下 JSON 片段显示了一个示例配置,需要对任务执行、URL 获取和终端命令进行手动批准
{
"runTask": false,
"fetch": false,
"runInTerminal": false
}
配置终端自动批准
ChatToolsTerminalEnableAutoApprove 策略专门控制终端命令的基于规则的自动批准系统。启用后,VS Code 会应用一组规则来自动批准安全命令,同时提示执行潜在危险的命令。
要完全禁用终端自动批准,请将策略设置为 false。这将配置
配置 Copilot 代码审查
Copilot 代码审查支持 AI 驱动的代码更改审查。组织可以控制对这些功能的访问权限。
CopilotReviewSelection 策略控制开发人员是否可以请求对编辑器中选定代码进行代码审查。这将配置
CopilotReviewAgent 策略控制对 Copilot 代码审查代理访问权限,用于审查拉取请求和更改的文件。这将配置
配置组织级 AI 自定义
GitHub Copilot 支持在 GitHub 组织级别定义自定义指令和自定义代理。当组织成员在 VS Code 中处理属于该组织的仓库时,这些自定义会自动可用。
组织级自定义指令
组织管理员可以定义适用于组织中所有仓库的自定义指令。这些指令可确保跨团队的 AI 行为一致,例如执行编码标准、安全指南或文档要求。
当开发人员拥有
true 时,VS Code 会自动检测并应用组织级别的指令到所有聊天请求。这些指令会出现在聊天指令菜单的“聊天指令”旁边,与个人和工作区指令一起显示。
了解如何在 GitHub 文档中 为您的组织添加自定义指令。
组织级自定义代理
组织还可以定义在所有仓库中共享的自定义代理。这些代理提供具有针对组织工作流程量身定制的特定工具和指令的专用 AI 人格。
当开发人员拥有
true 时,组织级别的代理会出现在代理下拉菜单中,与内置代理和个人代理一起显示。
了解如何在 GitHub 文档中 为您的组织创建自定义代理。
组织级自定义通过 GitHub 组织设置进行管理,而不是 VS Code 企业策略。各个开发人员通过他们的 VS Code 设置控制是否使用这些自定义。
安全注意事项
AI 驱动的开发功能可以自主执行具有用户级别权限的操作。请参阅 安全文档,以全面了解 AI 安全注意事项和最佳实践。