当前执行限制
MCP 允许名单强制执行目前有以下限制
- 强制执行仅基于服务器名称/ID 匹配,可能通过编辑配置文件进行绕过
- 尚未提供阻止安装非注册服务器的严格强制执行
为获得最高安全级别,您可以在严格强制执行可用之前 在 Copilot 中禁用 MCP 服务器。
本地服务器的强制执行
MCP 允许名单强制执行适用于远程和本地 MCP 服务器。当配置为 “仅注册表” 时,本地服务器必须在您的注册表中包含正确的服务器 ID,且该 ID 必须与已安装的服务器 ID 完全匹配。服务器的规范 ID 通常在其文档或清单中定义。
拥有多个席位的用户的策略解析
MCP 允许名单强制执行始终与分配 GitHub Copilot 席位的组织或企业关联。如果用户拥有多个席位,GitHub 会自动解决冲突,并应用单一的活动策略和注册表。
解析逻辑如下
- 范围:上级企业设置的策略会覆盖组织设置的策略。企业策略会向该企业内的所有组织和成员下沉。
- 强制执行严格程度:由于
仅注册表比全部允许更为严格,它将始终优先。 - 注册表上传的最新性:如果两个策略的范围和严格程度相同,将应用最近上传的注册表。