官方教學中文版安全、治理與計費
安全、治理與計費
把 Copilot 內容排除、訪問策略、模型控制、premium requests、用量指標和 rollout 覆盤連成治理閉環。
📖 本篇術語速查表
| 英文 / 縮寫 | 中文 | 一句話解釋 |
|---|---|---|
| Security & governance | 安全治理 | 團隊上線 Copilot 的管控面。 |
| rollout 清單 | checklist | 上線前要定的策略項。 |
| 分層管控 | layers | 個人 / 組織 / 企業策略。 |
不想讀完?把下面這段提示詞丟給 AI 幫你跑完——幫你梳理 Copilot 團隊上線的安全治理清單。
你是 Copilot 安全治理導航顧問。
【角色】
Copilot 安全治理導航顧問,按最小夠用、安全優先的原則給可落地方案,每條結論都落到能照做的步驟或示例,不停留在空泛建議。
【輸入】
- 團隊規模和角色:___
- 合規要求:___
- 最擔心的風險(洩露 / 越權 / 成本):___
- 現有 GitHub 治理:___
- 經驗水平:___
【工作流程】
1. 列出 rollout 治理清單
2. 按風險排優先順序
3. 把策略放到合適層
4. 標出必須先定的項
5. 給落地順序
【輸出規範】
▌一、治理清單
▌二、風險優先順序
▌三、策略分層
▌四、必做項 + 落地順序
【硬約束】
- 按真實風險定策略,不過度管控
- 敏感資料和越權優先
- 策略變更可追溯
- 不要替我臆測情況或編造不存在的功能,資訊不全先問清
- 不確定的設定或許可權一律以官方文件為準,禁止照搬過時寫法Copilot 上線不是“給團隊開賬號”。真正要交付的是一套可解釋的治理面:誰能用、哪些內容不能看、哪些模型可用、哪些功能會產生費用、指標如何覆盤——管理員要能在任何時刻對這五個問題給出答案,否則上線就只是把風險推遲。
這組頁面按 GitHub 官方文件整理 4 個核心主題:內容排除、訪問和策略、用量和計費、指標和採用情況。
閱讀目標:讀完本組後,你應該能給一個團隊設計 Copilot rollout 的安全邊界、成本邊界和指標覆盤方式。
1. 治理閉環
flowchart TD
Rollout["準備上線 Copilot"] --> Access["訪問與策略"]
Access --> Exclusion["內容排除"]
Exclusion --> Billing["用量與計費"]
Billing --> Metrics["指標與採用情況"]
Metrics --> Review["月度覆盤"]
Review --> Access
Access --> Feature["feature / privacy / model policies"]
Exclusion --> Sensitive["secrets / customer data / internal docs"]
Billing --> Premium["premium requests / budgets / allowances"]
Metrics --> Adoption["adoption / engagement / acceptance / PR lifecycle"]
style Access fill:#dbeafe,stroke:#2563eb,stroke-width:2px
style Exclusion fill:#fef3c7,stroke:#d97706,stroke-width:2px
style Metrics fill:#dcfce7,stroke:#16a34a,stroke-width:2px2. 本組頁面
內容排除
設定哪些檔案不讓 Copilot 用,並理解 CLI、coding agent、Agent mode 的限制。
訪問和策略
用 feature、privacy、model policies 控制功能、模型和組織/企業邊界。
用量和計費
理解 request、premium request、allowance、budget 和 usage-based billing 遷移。
指標和採用情況
用 adoption、engagement、acceptance、LoC、PR lifecycle 指標評估 rollout。
3. 推薦上線順序
- 先確定 seat、組織、企業和管理員職責。
- 設定 feature、privacy、model policies。
- 設定內容排除,先保護金鑰、客戶資料、專有演算法和內部策略。
- 確認 premium requests、預算、超額策略和計費歸屬。
- 建 metrics 看板,不只看開通人數。
- 每月覆盤採用率、成本、異常用量、內容排除變更和高風險功能。
上線順序不能反過來。沒有策略和內容排除就直接推廣,會把安全和成本問題推遲到事故之後。
4. 月度覆盤清單
- 有多少 licensed users 真正在用 Copilot。
- Chat、CLI、code review、cloud agent 等入口分別消耗多少。
- 哪些團隊接受率高,哪些團隊只開通不使用。
- premium requests 是否被少數人或少數功能集中消耗。
- 內容排除有沒有變更,是否能在 audit log 裡追蹤。
- 新模型或新功能是否改變了成本和許可權邊界。
深讀:治理不是阻止團隊使用 Copilot
治理的目標不是讓 Copilot 更難用,而是讓組織能解釋風險、成本和效果。沒有治理,團隊很快會進入“有人用得很好、有人亂用、管理員說不清”的狀態。
商業級 rollout 要讓開發者能用,管理員能控,財務能看,安全能審。
本組自檢
- 是否知道每個使用者透過哪個組織或企業獲得 Copilot 許可?
- 是否有內容排除策略和變更審計?
- 是否知道哪些模型和功能會消耗 premium requests?
- 是否能用 metrics 解釋採用情況,而不是隻看開通人數?
透過標準:團隊能說清許可權、內容、成本、指標四條邊界。
官方來源
- GitHub Copilot policies —— GitHub 官方 feature、privacy、model policies 概念頁。
- Content exclusion for GitHub Copilot —— GitHub 官方內容排除概念、支援範圍和限制。
- Requests in GitHub Copilot —— GitHub 官方 requests 和 premium requests 說明。
- GitHub Copilot usage metrics —— GitHub 官方指標口徑說明。