Appearance
企业管理员可以通过 GitHub.com 上的 MCP 策略,集中控制团队成员能接入哪些 MCP 服务器——允许全部、只允许注册表中的审批服务器、或完全禁止。这对于需要防止员工接入未经审查的外部工具的合规场景非常有价值。
GitHub Copilot MCP 服务器管理:企业级 AI 工具接入的集中控制
为什么需要 MCP 服务器管理
MCP(Model Context Protocol)服务器允许 Copilot 访问外部数据源和工具——数据库、内部 API、第三方服务。这种开放性在提升开发效率的同时,也带来了治理挑战:
- 员工可能接入未经安全审查的第三方 MCP Server
- 敏感数据可能通过 MCP 工具泄露给未授权的服务
- 难以追踪团队使用了哪些外部工具
GitHub 的 MCP 管理功能提供了集中化解决方案。
MCP 注册表(MCP Registry)
MCP 注册表是企业管理员创建的已审批 MCP 服务器目录,包含每个服务器的元数据(名称、描述、工具列表)。
作用:
- 集中展示经过审批的可用 MCP 服务器
- 让开发者知道哪些服务器是被公司允许使用的
- 管理员可以随时更新注册表,添加或移除服务器
MCP 策略设置
在组织或企业的 Copilot 设置中,可以配置三类 MCP 相关策略:
| 策略 | 说明 |
|---|---|
| MCP 服务器开关 | 管理组织/企业内所有 Copilot 用户的 MCP 服务器使用权限(全局开/关) |
| MCP 注册表 URL | 设置公司内部注册表地址,让开发者发现和接入已审批的服务器 |
| 限制为注册表服务器 | 只允许使用注册表中的服务器,或允许所有 MCP 服务器 |
三种访问控制模式:
- 允许所有:成员可以接入任意 MCP 服务器
- 限制为注册表服务器:只能使用注册表中经审批的服务器
- 完全禁用:禁止所有 MCP 服务器使用
各平台支持情况
目前 MCP 注册表和白名单限制的支持情况:
| 平台 | 注册表展示 | 白名单限制 |
|---|---|---|
| VS Code | ✅ 支持 | ✅ 支持 |
| VS Code Insiders | ✅ 支持 | ✅ 支持 |
| JetBrains IDEs | ✅ 支持(预发布版) | ✅ 支持(预发布版) |
| Visual Studio | ✅ 支持 | ✅ 支持 |
| Eclipse | ✅ 支持(预发布版) | ✅ 支持(预发布版) |
| Xcode | ✅ 支持(预发布版) | ✅ 支持(预发布版) |
| Copilot CLI | ❌ 不支持 | ❌ 不支持 |
| Cloud Agent | ❌ 不支持 | ❌ 不支持 |
注意:Copilot CLI 和 Cloud Agent 目前不支持注册表展示和白名单限制,需要在配置文件层面手动管理 MCP 服务器访问。
管理员配置步骤
- 创建 MCP 注册表:在组织/企业设置中创建注册表并添加已审批的 MCP 服务器
- 设置注册表 URL:配置好后,开发者在 IDE 中可以直接浏览和添加已审批服务器
- 配置访问策略:根据合规要求选择"允许全部"或"仅限注册表服务器"
开发者视角
作为使用 Copilot 的开发者:
- 如果组织启用了注册表,在 IDE 的 MCP 配置界面可以看到公司审批的服务器列表
- 如果启用了"仅限注册表服务器"策略,试图添加未批准的 MCP 服务器时会被拒绝
- Copilot CLI 不受此策略管控(使用 CLI 时需自行遵守公司规定)
常见问题
Q: 如果不设置 MCP 策略,会有什么默认行为?
A: 未配置策略时,成员通常可以自由配置 MCP 服务器。如果公司有数据安全要求,建议尽早配置策略。
Q: MCP 注册表的服务器信息从哪里来?
A: 管理员手动维护注册表,添加每个已审批服务器的配置信息(manifest URL 或内联配置)。可以通过 GitHub API 自动化管理注册表。
Q: 我们在用 Copilot CLI,如何管控 MCP 服务器访问?
A: CLI 目前不支持注册表和白名单限制。可以通过配置文件管理(.github/mcp.json)加上代码审查来控制,或通过安全培训约定哪些服务器是被允许的。