Enterprise controls

Enterprise controls 面向管理员和团队治理。它要解决的是：谁能用、用什么身份、能接哪些工具、能访问哪些数据、日志怎么留。

官方 Admin Controls 和 system settings 的定位不同：system settings 是本机配置覆盖，具备本机权限的用户可能绕过；Admin Controls 是管理台下发的组织策略，用户本地不能覆盖，应优先用于强制策略。

检查清单

• 用户身份是否统一。
• Cloud Project 是否固定。
• 许可和配额是否足够。
• MCP server 是否受控。
• policy 是否限制高风险工具。
• telemetry 是否符合组织要求。
• 敏感数据是否有排除规则。

关键控制项

当前官方文档列出的企业控制包括：

• Strict Mode：默认启用，阻止用户进入 yolo mode。
• Extensions：默认禁用，控制是否允许使用或安装 extensions。
• MCP：默认禁用，控制是否允许使用 MCP server。
• MCP Servers allowlist：预览能力，只允许连接组织信任的 MCP server。
• Required MCP Servers：预览能力，强制注入组织要求的 MCP server。
• Unmanaged Capabilities：默认禁用；当前会禁用 Agent Skills 这类未托管能力。

MCP allowlist 的安全点在于：如果 allowlist 非空，本地未列入的 MCP server 会被忽略。对 allowlist 中的 server，url、type、trust 等字段使用管理员配置，本地 command、args、env、cwd、httpUrl、tcp 等执行字段会被清掉，避免用户把同名 server 指到别的实现。

Required MCP Servers 则不同：它会在 allowlist 过滤后注入，适合合规、审计、内部 registry 这类必须存在的远端服务。Required server 只支持远端 transports，例如 sse 和 http，不支持本地执行字段。

这条限制很关键：required server 不应变成“强制在员工机器上执行本地命令”。企业控制适合注入远端受控服务，本地执行能力仍要通过 policy、sandbox 和系统配置单独治理。

反模式

• 每个开发者自己随便配。
• API key 到处复制。
• MCP server 没有权限审计。
• CI 里使用个人凭据。
• 把 trust: true 给到外部 MCP server。
• 只配置 allowlist，不验证本地是否仍能启动未授权 server。

落地顺序

先定身份和许可，再定 MCP 策略，再定工具权限和 telemetry。不要先开放 extensions、skills、remote MCP，再事后补审计；企业控制应该从最小能力开始按需求放开。

验收方式

用普通开发者账号验证三类负例：不能进入 yolo，不能安装未授权 extension，不能连接 allowlist 外 MCP server。再验证正例：required MCP server 自动出现，allowlisted MCP server 只能使用管理员允许的工具。

验收时不要用管理员账号。管理员账号天然拥有更多能力，无法证明普通开发者边界是否生效。至少准备一个普通用户、一个试点用户、一个无 license 用户做对照。

接下来去哪

官方来源

• Gemini CLI Enterprise Admin Controls