GitHub Copilot クラウド エージェント用のガードレールの構築

          Copilotクラウドエージェントを有効にする前に、セキュリティで保護された予測可能なガードレール内でCopilotが確実に動作するように企業をセットアップすることをお勧めします。

組み込みの保護について説明します

          Copilotクラウドエージェント には、AI エージェントの一般的なリスク ポイントから保護するように設計された組み込みのセキュリティ保護の強力な基盤があります。 「[AUTOTITLE](/copilot/concepts/agents/coding-agent/risks-and-mitigations)」を参照してください。

ポリシー設定を計画する

          Copilotクラウドエージェントのポリシーを事前に計画します。 ポリシーを使用すると、エンタープライズ レベルで制限のベースラインを設定できます。組織の所有者は、必要に応じてさらに制限できます。

次のような質問があります。

• どの組織とリポジトリ Copilotクラウドエージェント 有効になりますか? 「GitHub Copilot クラウド エージェントへのアクセスの管理」を参照してください。
• 外部ツールに Copilotクラウドエージェント アクセスできるように、どの MCP サーバーを構成しますか? 「GitHub Copilotのクラウドエージェントをモデルコンテキストプロトコル (MCP) で拡張する」を参照してください。

適用されないポリシーはどれですか?

次の Copilot ポリシーは、 Copilotクラウドエージェントには適用されません。

• コンテンツの除外
• カスタム モデル (独自の LLM API キーを提供)
• プライベート MCP レジストリ

ルールセットを調整する

          Copilotクラウドエージェント は、既定のブランチへのプッシュやプル要求のマージなどのアクションから既に制限されています。 これらの既定の保護は、ブランチ ルールセットに基づいて構築できます。 
          Copilotクラウドエージェント は、人間の開発者と同様にルールセットの対象となります。

ルールセットを Copilotクラウドエージェントに適応するには:

•         **
          **またはcode scanningの結果を要求するなど、エージェントが動作するリポジトリにCode Qualityします。 
          Copilotクラウドエージェントが有効になる組織またはリポジトリを特定した場合は、カスタム プロパティを適用して、ルール セットを簡単に対象にすることができます。
  

•         Copilotクラウドエージェントが既存のルールセットによって**ブロックされるかどうかを検討**します。 
          Copilot
          _は_ コミットに署名できますが、コミット メタデータを制限する他の規則に従うことができない場合があります。
  

•         `CODEOWNERS`し、[コード所有者からのレビューを要求する] ルールを有効にして、これらのファイルの編集を特定のチームが承認する必要があります。 ターゲットにするファイルパスについては、 [AUTOTITLE](/copilot/reference/customization-cheat-sheet) を参照してください。
  

          GitHub Actions環境を設定する

          Copilotクラウドエージェント は GitHub Actions ランナー上で動作します。 
          Copilotが安全に動作するようにランナーとポリシーを設定します。

データとシークレットを格納する

          _
          _がCopilotGitHub Actionsとしてアクセス**したくない**データとトークンを保存し続けます。 
          Copilot では、セッションまたは環境のセットアップ手順でこれらにアクセスできなくなります。

必要なデータとシークレットCopilotクラウドエージェント提供_する必要がある_場合は、特定のcopilot環境でこれを行うことができます。

ランナーを構成する

          Copilotクラウドエージェントに使用するランナーを決定します。 各GitHubが新しい仮想マシン上で実行されるように、****Copilotクラウドエージェントを使用することをお勧めします。 セルフホステッド ランナーを使用する場合は、エフェメラル ランナーを使用することをお勧めします。

組織の所有者は、すべてのリポジトリで自動的に使用されるように、 Copilotクラウドエージェントのランナーを特定のランナー ラベルに制限できます。 「GitHub Copilotクラウドエージェント用ランナーを組織に構成する方法」を参照してください。

ワークフロー ポリシーを構成する

          **
          GitHub Actionsワークフローをブロックするかどうか、Copilotクラウドエージェントが作成したプルリクエストで決定します。** 「[AUTOTITLE](/copilot/how-tos/use-copilot-agents/coding-agent/configuring-agent-settings#allowing-github-actions-workflows-to-run-automatically-when-copilot-pushes)」を参照してください。

既定では、書き込みアクセス権を持つユーザーが承認するまで、ワークフローの実行はブロックされます。 リポジトリ管理者はこの機能を無効にできるため、希望する設定について事前に連絡してください。

既定のアクセス許可を確認する

エンタープライズ内の GITHUB_TOKEN の既定のアクセス許可を確認します。 「企業でGitHub Actionsのポリシーを適用する」を参照してください。

このポリシーは、セッションに対して**** が受け取るトークンには影響Copilotが、GITHUB_TOKENは、copilot-setup-steps.ymlワークフロー ファイルで定義された環境セットアップ手順で使用されます。

開発者はこれらのワークフロー ファイルで独自の permissions を設定できることに注意してください。また、すべてのワークフローで最低限必要なアクセス許可を使用するよう推奨する必要があります。

次のステップ

          Copilotクラウドエージェントを有効にする準備ができたら、[AUTOTITLE](/copilot/how-tos/administer-copilot/manage-for-enterprise/manage-agents/manage-copilot-coding-agent) を参照してください。