安全、治理與計費

Copilot 上線不是“給團隊開賬號”。真正要交付的是一套可解釋的治理面：誰能用、哪些內容不能看、哪些模型可用、哪些功能會產生費用、指標如何覆盤——管理員要能在任何時刻對這五個問題給出答案，否則上線就只是把風險推遲。

這組頁面按 GitHub 官方文件整理 4 個核心主題：內容排除、訪問和策略、用量和計費、指標和採用情況。

1. 治理閉環

flowchart TD
    Rollout["準備上線 Copilot"] --> Access["訪問與策略"]
    Access --> Exclusion["內容排除"]
    Exclusion --> Billing["用量與計費"]
    Billing --> Metrics["指標與採用情況"]
    Metrics --> Review["月度覆盤"]
    Review --> Access

    Access --> Feature["feature / privacy / model policies"]
    Exclusion --> Sensitive["secrets / customer data / internal docs"]
    Billing --> Premium["premium requests / budgets / allowances"]
    Metrics --> Adoption["adoption / engagement / acceptance / PR lifecycle"]

    style Access fill:#dbeafe,stroke:#2563eb,stroke-width:2px
    style Exclusion fill:#fef3c7,stroke:#d97706,stroke-width:2px
    style Metrics fill:#dcfce7,stroke:#16a34a,stroke-width:2px

2. 本組頁面

3. 推薦上線順序

1. 先確定 seat、組織、企業和管理員職責。
2. 配置 feature、privacy、model policies。
3. 配置內容排除，先保護金鑰、客戶資料、專有演算法和內部策略。
4. 確認 premium requests、預算、超額策略和計費歸屬。
5. 建 metrics 看板，不只看開通人數。
6. 每月覆盤採用率、成本、異常用量、內容排除變更和高風險功能。

上線順序不能反過來。沒有策略和內容排除就直接推廣，會把安全和成本問題推遲到事故之後。

4. 月度覆盤清單

• 有多少 licensed users 真正在用 Copilot。
• Chat、CLI、code review、cloud agent 等入口分別消耗多少。
• 哪些團隊接受率高，哪些團隊只開通不使用。
• premium requests 是否被少數人或少數功能集中消耗。
• 內容排除有沒有變更，是否能在 audit log 裡追蹤。
• 新模型或新功能是否改變了成本和許可權邊界。

深讀：治理不是阻止團隊使用 Copilot

治理的目標不是讓 Copilot 更難用，而是讓組織能解釋風險、成本和效果。沒有治理，團隊很快會進入“有人用得很好、有人亂用、管理員說不清”的狀態。

商業級 rollout 要讓開發者能用，管理員能控，財務能看，安全能審。

本組自檢

1. 是否知道每個使用者透過哪個組織或企業獲得 Copilot 許可？
2. 是否有內容排除策略和變更審計？
3. 是否知道哪些模型和功能會消耗 premium requests？
4. 是否能用 metrics 解釋採用情況，而不是隻看開通人數？

透過標準：團隊能說清許可權、內容、成本、指標四條邊界。

官方來源

• GitHub Copilot policies —— GitHub 官方 feature、privacy、model policies 概念頁。
• Content exclusion for GitHub Copilot —— GitHub 官方內容排除概念、支援範圍和限制。
• Requests in GitHub Copilot —— GitHub 官方 requests 和 premium requests 說明。
• GitHub Copilot usage metrics —— GitHub 官方指標口徑說明。

接下來去哪