管理企業環境中的 AI 設定

VS Code 透過 GitHub Copilot 提供 AI 驅動的開發功能，包括代理程式模式、MCP 伺服器和聊天工具。組織可以集中管理這些功能，以控管 AI 行為、強制執行安全策略，並在整個開發團隊中維持合規性。

本文涵蓋 IT 管理員可透過企業原則管理的 AI 相關設定。

使用者可透過 VS Code 設定來控制 AI 功能的運作方式與行為。組織可以透過部署裝置管理解決方案中的企業原則，強制執行特定的設定。這些原則會覆寫受管理裝置上使用者所設定的參數。

了解如何為貴組織的裝置部署 VS Code 原則。

啟用或停用代理程式 (Agents) 的使用

代理程式 (Agents) 使 AI 能夠自主執行任務，例如編輯檔案、執行終端指令及使用工具。代理程式讓開發人員能夠提供高階的需求，並由 AI 助理分析、規劃並執行達成該目標所需的步驟。

若要完全停用代理程式，請將 ChatAgentMode 原則設為 false。這會設定 VS Code 中的 chat.agent.enabled 在 VS Code 中開啟在 VS Code Insiders 中開啟此設定由組織層級管理。請聯絡您的管理員進行更改。設定。

套用此原則後，聊天檢視中的代理程式下拉式選單將無法使用「代理程式」選項。開發人員仍可使用詢問或編輯功能進行程式碼說明與檔案編輯，但自主程式碼生成與任務執行功能將無法使用。

啟用或停用勾點 (Hooks)

勾點 (Hooks) 讓您能在代理程式工作階段的關鍵生命週期點執行自訂的 Shell 指令，例如在工具呼叫前後、工作階段開始時，或代理程式停止時。勾點可以自動化工作流程、強制執行安全原則以及控管代理程式行為。

若要完全停用勾點，請將 ChatHooks 原則設為 false。這會設定 VS Code 中的 chat.useHooks 在 VS Code 中開啟在 VS Code Insiders 中開啟此設定由組織層級管理。請聯絡您的管理員進行更改。設定。

當套用此原則時，勾點設定將被忽略，且在代理程式工作階段期間不會執行任何勾點指令。

啟用或停用擴充功能語言工具

聊天中的工具透過專門的功能擴充了 AI 助理的能力。這些工具可來自內建功能、模型內容協定 (MCP) 伺服器或第三方擴充功能。

第三方擴充功能可以使用語言模型工具 API 提供與聊天整合的工具。

若要防止開發人員使用由擴充功能提供的工具，同時仍允許使用內建工具與 MCP 工具，請將 ChatAgentExtensionTools 原則設為 false。這會設定 VS Code 中的 chat.extensionTools.enabled 在 VS Code 中開啟在 VS Code Insiders 中開啟此設定由組織層級管理。請聯絡您的管理員進行更改。設定。

設定 MCP 伺服器存取權

模型內容協定 (MCP) 伺服器透過外部工具與服務擴充了聊天功能。組織可以透過 GitHub 組織設定和 VS Code 原則，控管開發人員可以使用哪些 MCP 伺服器。

限制 MCP 伺服器來源

ChatMCP 原則可控制 MCP 伺服器可從哪些來源進行安裝。這會設定 VS Code 中的 chat.mcp.access 在 VS Code 中開啟在 VS Code Insiders 中開啟此設定由組織層級管理。請聯絡您的管理員進行更改。設定。

支援下列值：

值	說明
`allowed`	開發人員可以執行來自任何來源的 MCP 伺服器
`registryOnly`	開發人員只能執行來自已設定註冊表的 MCP 伺服器
`關閉`	MCP 伺服器支援功能已停用

設定自訂 MCP 註冊表

您可以為組織託管私有的 MCP 伺服器註冊表，並透過 McpGalleryServiceUrl 原則設定 VS Code 來使用它。這使您能夠：

提供一份經核准的 MCP 伺服器清單
為您的組織託管內部 MCP 伺服器
封鎖對公開 GitHub MCP 註冊表的存取

完成設定後，當開發人員在搜尋欄中輸入 @mcp 時，會在擴充功能檢視中看到來自您自訂註冊表的 MCP 伺服器。

擁有 GitHub Copilot Enterprise 或 Business 的組織，也可以透過 GitHub 組織設定來設定 MCP 伺服器存取權。

設定代理程式工具核准權限

代理程式工具可以執行修改檔案、執行指令或存取外部服務的操作。VS Code 針對潛在危險的操作包含了核准提示。組織可以強制執行更嚴格的核准要求，或完全停用自動核准。

深入了解 VS Code 中的工具核准。

停用全域自動核准

ChatToolsAutoApprove 原則可控制全域自動核准設定。啟用時，AI 助理無需手動核准即可執行所有工具。基於安全考量，不建議這樣做。

若要防止開發人員啟用全域自動核准，請將 ChatToolsAutoApprove 原則設為 false。這會設定 VS Code 中的 chat.tools.global.autoApprove 在 VS Code 中開啟在 VS Code Insiders 中開啟此設定由組織層級管理。請聯絡您的管理員進行更改。設定，並從聊天檢視的權限選擇器中隱藏「略過核准」與「自動駕駛」選項。

注意

全域自動核准會略過所有工具呼叫的安全提示。強烈建議在企業環境中停用此功能。

要求對特定工具進行手動核准

ChatToolsEligibleForAutoApproval 原則可控制哪些工具可以進行自動核准。設為 false 的工具一律需要手動核准，且使用者無法將其設定為自動核准。

請使用 JSON 物件設定此原則，列出工具名稱及其核准資格。這會設定 VS Code 中的 chat.tools.eligibleForAutoApproval 在 VS Code 中開啟在 VS Code Insiders 中開啟此設定由組織層級管理。請聯絡您的管理員進行更改。設定。

下列 JSON 片段顯示了一個設定範例，要求對任務執行、URL 擷取與終端指令進行手動核准：

{
  "runTask": false,
  "fetch": false,
  "runInTerminal": false
}

設定終端自動核准

ChatToolsTerminalEnableAutoApprove 原則專門控管終端指令的基於規則的自動核准系統。啟用時，VS Code 會應用一系列規則來自動核准安全指令，同時對潛在危險的指令進行提示。

若要完全停用終端自動核准，請將原則設為 false。這會設定 VS Code 中的 chat.tools.terminal.enableAutoApprove 在 VS Code 中開啟在 VS Code Insiders 中開啟此設定由組織層級管理。請聯絡您的管理員進行更改。設定。

建議採用代理程式沙盒 (Sandboxing)

組織應建議開發人員啟用代理程式沙盒，特別是在使用自動核准或「自動駕駛」模式的環境中。代理程式沙盒使用作業系統層級的隔離來限制代理程式執行指令的檔案系統與網路存取權，這能提供比單純核准規則更強大的保護。

開發人員可以透過將 chat.tools.terminal.sandbox.enabled 在 VS Code 中開啟在 VS Code Insiders 中開啟設為 true 來啟用沙盒（支援 macOS、Linux 以及 Windows 上的 WSL2）。

設定 Copilot 程式碼審查

Copilot 程式碼審查實現了 AI 驅動的程式碼變更審查。組織可以控制這些功能的存取權。

CopilotReviewSelection 原則可控制開發人員是否可以針對編輯器中選取的程式碼請求程式碼審查。這會設定 VS Code 中的 github.copilot.chat.reviewSelection.enabled 在 VS Code 中開啟在 VS Code Insiders 中開啟設定。

CopilotReviewAgent 原則可控制對 Copilot 程式碼審查代理程式的存取權，以用於審查提取要求 (Pull Requests) 與變更後的檔案。這會設定 VS Code 中的 github.copilot.chat.reviewAgent.enabled 在 VS Code 中開啟在 VS Code Insiders 中開啟設定。

設定組織層級的 AI 自訂項目

GitHub Copilot 支援在 GitHub 組織層級定義自訂指示與自訂代理程式。當組織成員在 VS Code 中處理該組織所屬的儲存庫時，這些自訂內容將會自動提供給所有組織成員使用。

組織層級的自訂指示

組織管理員可以定義適用於該組織內所有儲存庫的自訂指示。這些指示能確保各個團隊間 AI 行為的一致性，例如強制執行編碼標準、安全指南或文件要求。

當開發人員將 github.copilot.chat.organizationInstructions.enabled 在 VS Code 中開啟在 VS Code Insiders 中開啟設為 true 時，VS Code 會自動偵測並將組織層級的指示套用到所有聊天請求。這些指示會與個人及工作區指示一起出現在「聊天指示」選單中。

在 GitHub 文件中了解如何為您的組織新增自訂指示。

組織層級的自訂代理程式

組織也可以定義跨所有儲存庫共享的自訂代理程式。這些代理程式提供了專門的 AI 個性，並具備針對您組織工作流程所設計的特定工具與指示。

當開發人員將 github.copilot.chat.customAgents.showOrganizationAndEnterpriseAgents 在 VS Code 中開啟在 VS Code Insiders 中開啟設為 true 時，組織層級的代理程式會與內建及個人代理程式一起出現在「代理程式」下拉式選單中。

在 GitHub 文件中了解如何為您的組織建立自訂代理程式。

注意

組織層級的自訂項目是透過 GitHub 組織設定來管理的，而非 VS Code 企業原則。個別開發人員可透過其 VS Code 設定來控制是否使用這些自訂項目。

安全性考量

AI 驅動的開發功能可以依據使用者層級的權限自主執行操作。請參閱安全性文件以全面了解 AI 安全性考量與最佳實務。

對於代理程式以提升的自主權（自動核准或「自動駕駛」模式）運作的環境，建議開發人員啟用代理程式沙盒，或在開發容器 (dev container) 內工作，以限制非預期或惡意操作的影響。

代理程式部署選項與資料落地

代理程式可以根據其類型在不同的基礎架構上執行，每個選項具有不同的資料落地與存取控管特性：

本機代理程式與 Copilot CLI 在開發人員的機器上執行，並在本機處理資料。
雲端代理程式 在 GitHub 的基礎架構上執行。程式碼與對話資料受 GitHub Copilot 資料處理原則規範。

有關 GitHub Copilot 的安全性、隱私權、合規性與透明度資訊，請參閱 GitHub Copilot 信任中心常見問題集。