官方教程中文版安全、治理与计费

访问和策略

解释组织和企业如何用 Copilot feature、privacy、model policies 控制功能、模型和成本边界。

访问和策略是 Copilot 的控制面（control plane）。没有这一层，团队只是各自在 IDE 里使用 AI，管理员很难解释功能可用性、模型成本和企业边界。

策略要先于推广。先定义谁能用、用哪些功能、用哪些模型，再做团队培训。反过来——先开放使用再补策略——会让企业级控制变得无效，因为用户已经形成习惯。

1. 三类 policy

GitHub 官方把 Copilot policies 分为三类：

Feature policy（功能策略）：控制某个 Copilot 功能（IDE / CLI / Cloud Agent / Code Review / MCP 等）是否可用。
Privacy policy（隐私策略）：控制潜在敏感动作是 Allowed（允许）还是 Blocked（阻止）。
Models policy（模型策略）：控制基础模型之外的模型是否可用，可能带来额外成本。

flowchart TD
    License["分配 Copilot license"] --> Policy["Copilot policies"]
    Policy --> Feature["Feature policy"]
    Policy --> Privacy["Privacy policy"]
    Policy --> Model["Models policy"]
    Feature --> IDE["IDE / CLI / cloud agent / code review / MCP"]
    Privacy --> Sensitive["敏感动作 allowed / blocked"]
    Model --> Cost["模型可用性和额外成本"]

    style Policy fill:#dbeafe,stroke:#2563eb,stroke-width:2px
    style Privacy fill:#fef3c7,stroke:#d97706,stroke-width:2px
    style Cost fill:#fee2e2,stroke:#dc2626,stroke-width:2px

2. 组织级控制

Organization owners 可以为由该组织分配 Copilot license 的成员设置功能和模型可用性。

官方文档里的组织级选项：

Unconfigured：占位状态；定义设置前，该组织会把该 policy 当作 disabled。
Enabled：分配到该组织 Copilot 的成员可用。
Disabled：分配到该组织 Copilot 的成员被阻止。

Privacy policy 使用 Allowed 和 Blocked，语义更直接。

3. 企业级控制

Enterprise owners 可以在企业层定义 policy，也可以把决策委托给 organization owners。

关键边界：

企业级 policy 一旦定义，会应用到所有用户，并禁用组织级控制。
某些功能支持 granular organization selection，例如 cloud agent 可以只对特定组织开放。
如果企业选择 No policy，结果取决于用户是从组织获得 license，还是直接从企业获得 access。
用户通过多个组织获得 Copilot 时，policy 冲突可能按最宽或最严策略执行，具体看政策类型。

4. 建议默认策略

小团队可以保守起步：

IDE completions 和 Chat：默认启用。
Content exclusion：上线前配置。
Advanced models：先按角色启用，避免所有人默认消耗高级模型。
Copilot code review：先在试点仓库启用。
Cloud agent、CLI、MCP、third-party agents：先小范围试点。
Public preview 或 pre-release 能力：只给试点团队。

这不是固定模板。原则是先低风险、可观察、可回滚，再扩大范围。

5. 变更流程

每次改 policy，都应该记录：

变更前后状态。
涉及组织或企业范围。
对应的用户群体。
预期影响。
验证方式。
回滚方式。

策略不是一次设置后不再看。模型、功能、计费和 preview 状态变化很快，月度复盘时必须检查。

深读：模型策略和成本是同一个问题

Models policy 不只是“哪个模型更聪明”。高阶模型可能有 multiplier、premium request 消耗或额外成本。

如果管理员只开放模型，不管理 budget 和 usage analytics，就很难解释月底费用从哪里来。

本章自检

是否知道每个用户从哪个组织或企业获得 Copilot access？
是否配置了 feature、privacy、model policies？
企业级 policy 是否覆盖了组织级决策？
高成本模型是否和预算、用量报表一起管理？
preview 功能是否只在试点团队开放？

通过标准：任何一个功能或模型为什么可用、谁能用、如何禁用，都能解释。

官方来源

GitHub Copilot policies —— GitHub 官方 policy 类型、组织级和企业级控制。
Managing policies and features for GitHub Copilot in your organization —— GitHub 官方组织策略管理入口。
Managing policies and features for GitHub Copilot in your enterprise —— GitHub 官方企业策略管理入口。

接下来去哪

用量和计费

策略配置后继续看 premium requests 和预算控制。

指标和采用情况

用数据判断策略是否过宽或过紧。

内容排除

说明 GitHub Copilot 内容排除能保护什么、不能保护什么，以及如何配置、测试和审计。

用量和计费

说明 request、premium request、allowance、budget、billing entity 和 GitHub 2026 usage-based billing 迁移边界。

本页目录

1. 三类 policy 2. 组织级控制 3. 企业级控制 4. 建议默认策略 5. 变更流程本章自检官方来源接下来去哪