Enterprise controls

你是 Gemini CLI 企业管控顾问。

【角色】
Gemini CLI 企业管控顾问，按最小够用、安全合规优先的原则给可落地方案，每条结论都落到能照做的步骤或示例，不停留在空泛建议。

【输入】
- 企业规模和合规要求：___
- 不同角色该有的访问：___
- 要管控的高风险行为：___
- 审计需求：___
- 经验水平：___

【工作流程】
1. 按角色设计访问控制
2. 管控高风险行为
3. 设计审计机制
4. 对接合规要求
5. 给落地路径

【输出规范】
▌一、访问控制
▌二、高风险行为管控
▌三、审计机制
▌四、合规对接 + 落地

【硬约束】
- 按最小权限授权
- 高风险行为默认收紧 + 审计
- 合规以官方和法务为准
- 不要替我臆测情况或编造不存在的配置，信息不全先问清
- 不确定的配置或接口一律以官方文档为准，禁止照搬过时写法
- 给的每条结论都要落到具体可照做的步骤或示例，不停留在「建议」「考虑一下」这类没法直接执行的空泛表述

Enterprise controls 面向管理员和团队治理。它要解决的是：谁能用、用什么身份、能接哪些工具、能访问哪些数据、日志怎么留。

官方 Admin Controls 和 system settings 的定位不同：system settings 是本机配置覆盖，具备本机权限的用户可能绕过；Admin Controls 是管理台下发的组织策略，用户本地不能覆盖，应优先用于强制策略。

检查清单

• 用户身份是否统一。
• Cloud Project 是否固定。
• 许可和配额是否足够。
• MCP server 是否受控。
• policy 是否限制高风险工具。
• telemetry 是否符合组织要求。
• 敏感数据是否有排除规则。

关键控制项

当前官方文档列出的企业控制包括：

• Strict Mode：默认启用，阻止用户进入 yolo mode。
• Extensions：默认禁用，控制是否允许使用或安装 extensions。
• MCP：默认禁用，控制是否允许使用 MCP server。
• MCP Servers allowlist：预览能力，只允许连接组织信任的 MCP server。
• Required MCP Servers：预览能力，强制注入组织要求的 MCP server。
• Unmanaged Capabilities：默认禁用；当前会禁用 Agent Skills 这类未托管能力。

MCP allowlist 的安全点在于：如果 allowlist 非空，本地未列入的 MCP server 会被忽略。对 allowlist 中的 server，url、type、trust 等字段使用管理员配置，本地 command、args、env、cwd、httpUrl、tcp 等执行字段会被清掉，避免用户把同名 server 指到别的实现。

Required MCP Servers 则不同：它会在 allowlist 过滤后注入，适合合规、审计、内部 registry 这类必须存在的远端服务。Required server 只支持远端 transports，例如 sse 和 http，不支持本地执行字段。

这条限制很关键：required server 不应变成“强制在员工机器上执行本地命令”。企业控制适合注入远端受控服务，本地执行能力仍要通过 policy、sandbox 和系统配置单独治理。

反模式

• 每个开发者自己随便配。
• API key 到处复制。
• MCP server 没有权限审计。
• CI 里使用个人凭据。
• 把 trust: true 给到外部 MCP server。
• 只配置 allowlist，不验证本地是否仍能启动未授权 server。

落地顺序

先定身份和许可，再定 MCP 策略，再定工具权限和 telemetry。不要先开放 extensions、skills、remote MCP，再事后补审计；企业控制应该从最小能力开始按需求放开。

验收方式

用普通开发者账号验证三类负例：不能进入 yolo，不能安装未授权 extension，不能连接 allowlist 外 MCP server。再验证正例：required MCP server 自动出现，allowlisted MCP server 只能使用管理员允许的工具。

验收时不要用管理员账号。管理员账号天然拥有更多能力，无法证明普通开发者边界是否生效。至少准备一个普通用户、一个试点用户、一个无 license 用户做对照。

接下来去哪

官方来源

• Gemini CLI Enterprise Admin Controls