Appearance
企业管理员可以在 GitHub 企业设置的 AI Controls → Copilot 中集中管理 Copilot CLI 的访问权限:开启/关闭 CLI、控制可用模型、管理企业级自定义代理。注意:/delegate 命令需要 CLI 策略和 Cloud Agent 策略同时开启。
GitHub Copilot CLI 企业管理:控制员工的 CLI 访问权限
进入管理面板
- 进入企业设置页面
- 选择 AI controls
- 在侧边栏点击 Copilot
- 找到 Copilot Clients 下的 Copilot CLI 策略
策略配置选项
| 策略 | 含义 |
|---|---|
| Enabled everywhere | 所有用户都可以使用 Copilot CLI |
| Let organizations decide | 由各组织自行决定是否开启 |
| Disabled everywhere | 全企业禁用 Copilot CLI |
建议设置为 Enabled everywhere 以确保访问一致性。
模型访问控制
可用的 AI 模型在企业层级统一配置。员工在 CLI 中通过 /model 命令只能看到和使用企业策略允许的模型。
企业级自定义代理
企业可以在 .github-private 仓库的 /agents/ 目录中定义企业级自定义代理,这些代理对所有员工可用,优先级低于仓库级代理。
/delegate 命令的前提
/delegate 命令(委托任务给 Cloud Agent)需要同时满足:
- Copilot CLI 策略已启用
- Copilot Cloud Agent 策略也已启用
两者缺一不可,任何一个禁用都会导致 /delegate 失效。
不受企业策略影响的功能
以下内容不通过企业 AI Controls 管理:
- MCP 服务器策略(MCP 有独立的配置入口)
- IDE/编辑器相关策略
- 文件路径内容排除(content exclusion)
- 用户自行配置的 BYOK 模型提供商(企业无法控制)
权限审计
企业策略的每次变更都会记录在企业审计日志中,可以追溯谁在什么时候修改了哪条策略。
排查访问问题
如果员工反映无法使用 Copilot CLI,按以下顺序检查:
- 员工是否有 Copilot 席位:必须在企业内某个组织下分配了 GitHub Copilot 席位
- 企业策略是否开启:检查 CLI 策略是否设置为"Disabled everywhere"
- "Let organizations decide" 的情况:至少要有一个含该员工席位的组织开启了 Copilot CLI 策略
常见问题
Q: MCP 服务器策略在哪里管理?
A: MCP 服务器有独立的企业管理入口,不在 AI Controls 的 Copilot CLI 策略下。详见 MCP 服务器管理(企业级)。
Q: 员工能不能自己绕过企业策略用 BYOK 模型?
A: 理论上用户可以自己配置 BYOK 环境变量,企业策略无法控制这一点。如果有合规要求,需要通过其他手段(网络策略、设备管理等)配合控制。
Q: 策略修改多久生效?
A: 一般在下次用户启动 CLI 时生效。已在运行中的 CLI 会话可能需要重启后才能感知策略变化。