Konfigurieren des Zugriffs auf MCP-Server für deine Organisation oder dein Unternehmen

Du kannst eine URL für die MCP-Registrierung und eine Richtlinie für die Zugriffssteuerung konfigurieren, um zu bestimmen, welche MCP-Server Entwickelnde in unterstützten IDEs mit GitHub Copilot ermitteln und verwenden können.

Wer kann dieses Feature verwenden?

Enterprise owners and organization owners

Copilot Enterprise or Copilot Business

In diesem Artikel

Hinweis

  • Die Anzeige verfügbarer MCP-Server basierend auf einer konfigurierten MCP-Registrierung wird in VS Code Stable und Insiders unterstützt.
  • Die Richtlinienerzwingung für die Einstellung „Registry only“ ist derzeit lediglich in VS Code Insiders verfügbar. Unterstützung für VS Code Stable ist ab Oktober 2025 verfügbar. Die Unterstützung für die MCP-Registrierung und die Positivliste wird in den kommenden Monaten für alle weiteren Copilot-IDEs verfügbar sein.

Übersicht

Eine MCP-Registrierung ist ein Verzeichnis von MCP-Servern (Model Context Protocol, Modellkontextprotokoll), das wie ein Katalog für IDEs und Copilot (sowie weitere Hostanwendungen) fungiert. Jeder Registrierungseintrag verweist auf das Manifest eines Servers, das die Tools, Ressourcen und Prompts beschreibt, die der Server verfügbar macht.

Als Unternehmens- oder Organisationsbesitzer kannst du eine URL für die MCP-Registrierung zusammen mit einer Richtlinie für die Zugriffssteuerung konfigurieren, um zu bestimmen, welche MCP-Server deine Entwickelnden in unterstützten IDEs mit GitHub Copilot anzeigen und ausführen können.

Durch das Konfigurieren einer MCP-Registrierung hast du folgende Möglichkeiten:

  • Bereitstellen eines kuratierten Katalogs von MCP-Servern, die deine Entwickelnden ermitteln und verwenden können
  • Einschränken des Zugriffs auf nicht genehmigte Server für eine präzisere Zugriffssteuerung
  • Vermitteln Klarheit für Entwickelnde, wenn ein Server durch eine Richtlinie blockiert wird

Wenn du noch keine MCP-Registrierung eingerichtet hast, findest du weitere Informationen im Abschnitt Einrichten einer MCP-Registrierung weiter unten in diesem Artikel.

Info zu MCP-Richtlinieneinstellungen

Mit den folgenden Einstellungen kannst du steuern, wie MCP-Server in deiner Organisation oder deinem Unternehmen ermittelt werden und wie auf sie zugegriffen wird.

Richtlinie für MCP-Server

Zunächst musst du die gesamte Richtlinie MCP servers in Copilot festlegen:

  • Aktiviert: MCP-Server sind zulässig (Standardverhalten hängt von der Registrierungskonfiguration ab).
  • Deaktiviert: Von Benutzern mit Copilot-Arbeitsplätzen aus diesem Unternehmen oder dieser Organisation können keine MCP-Server verwendet werden.
  • Keine Richtlinie (nur Enterprise): Untergeordnete Organisationen können eigene MCP-Richtlinien festlegen.

URL für die MCP-Registrierung

Die URL für die MCP-Registrierung ist ein optionales Feld, in dem du den Endpunkt deiner sichtbaren oder eingeschränkten internen MCP-Registrierung angibst.

Bei Konfiguration:

  • Die in der Registrierung aufgeführten Server werden in IDEs angezeigt, die MCP unterstützen.
  • Aktiviert die Option „Restrict MCP access to registry servers“

Einstellung „Restrict MCP access to registry servers“

Unter der Einstellung Restrict MCP access to registry servers wählst du aus, wie streng der registrierungsbasierte Zugriff erzwungen werden soll:

  • Allow all (Standard): Entwickelnde können alle lokalen und MCP-Remoteserver ausführen. Registrierungsserver werden im IDE-Katalog weiterhin als kuratierte Liste angezeigt, um die Auffindbarkeit zu erleichtern.
  • Registry only: Entwickelnde können nur MCP-Server ausführen, die explizit in der hochgeladenen MCP-Registrierung aufgeführt sind. Alle weiteren Server werden remote (gehostet) oder lokal (clientseitig auf dem Computer des Benutzers ausgeführt) zur Laufzeit blockiert. Auf IDE-Benutzeroberflächen werden blockierte Server abgeblendet und mit einer Warnmeldung angezeigt. In der mcp.json-Konfigurationsdatei wird möglicherweise außerdem "run": "blocked" angezeigt.

Warnung

  • Du kannst die Option „Registry only“ nicht konfigurieren, ohne eine URL für die MCP-Registrierung in einem gültigen Format anzugeben und auf „Save“ zu klicken.
  • Die Erzwingung von „Registry only“ ist derzeit nur in VS Code Insiders aktiv. Unterstützung für weitere Copilot-Umgebungen wird in den kommenden Monaten hinzugefügt.

Konfigurieren der Richtlinie für die MCP-Positivliste für ein Unternehmen

  1. Klicke auf GitHub in der oberen rechten Ecke auf dein Profilbild.
  2. Klicke je nach deiner Umgebung auf Dein Unternehmenoder auf Deine Unternehmen, und klicke dann auf das Unternehmen, das du anzeigen möchtest.
  3. Klicke oben auf der Seite auf Policies.
  4. Klicke im Abschnitt „Policies“ auf Copilot.
  5. Wenn auf der Seite noch keine Richtlinien aufgeführt sind, klicke auf die Registerkarte Policies.
  6. Stelle unter „Features“ sicher, dass MCP servers in Copilot auf Enabled festgelegt ist.
  7. Gib im Feld MCP Registry URL (optional) die URL deiner spezifikationskonformen MCP-Registrierung ein.
  8. Klicken Sie auf Speichern.
  9. Wähle neben Restrict MCP access to registry servers eine der Optionen aus dem Dropdownmenü aus:

    • Allow all: Keine Einschränkungen. Alle MCP-Server können verwendet werden.

    • Registry only: Nur Server aus der Registrierung können ausgeführt werden.

    Hinweis

    Wenn keine Registrierungs-URL festgelegt ist, werden alle MCP-Server durch die Option „Registry only“ blockiert.

Die gewählte Richtlinie gilt sofort für Entwickelnde in deinem Unternehmen.

Konfigurieren der Richtlinie für die MCP-Positivliste für eine Organisation

  1. Klicke in der rechten oberen Ecke von GitHub auf dein Profilbild und dann auf Your organizations.
  2. Klicke neben der Organisation auf Einstellungen.
  3. Klicke auf der Randleiste unter „Code, planning, and automation“ auf Copilot und anschließend auf Policies.
  4. Stelle unter „Features“ sicher, dass MCP servers in Copilot auf Enabled festgelegt ist.
  5. Gib im Feld MCP Registry URL (optional) die URL deiner spezifikationskonformen MCP-Registrierung ein.
  6. Klicken Sie auf Speichern.
  7. Wähle neben Restrict MCP access to registry servers eine der Optionen aus dem Dropdownmenü aus:

    • Allow all: Keine Einschränkungen. Alle MCP-Server können verwendet werden.

    • Registry only: Nur Server aus der Registrierung können ausgeführt werden.

    Hinweis

    Wenn keine Registrierungs-URL festgelegt ist, werden alle MCP-Server durch die Option „Registry only“ blockiert.

Die gewählte Richtlinie gilt sofort für Entwickelnde in deiner Organisation.

Wie werden MCP-Positivlisten erzwungen?

GitHub verwendet die folgenden Strategien zum Erzwingen von MCP-Positivlisten.

Lokale Server

Das Erzwingen der MCP-Positivliste gilt ebenfalls für lokale MCP-Server. Wenn „Registry only“ konfiguriert ist, müssen lokale Server in die Registrierung eingeschlossen werden, damit sie zugelassen werden.

Einschließen lokaler Server in deine Registrierung:

  • Lokale Server müssen in deiner Registrierung mit der richtigen Server-ID aufgeführt werden.
  • Die Server-ID muss genau zwischen dem Registrierungseintrag und dem installierten Server übereinstimmen.
  • Informationen zur kanonischen ID findest du in der Dokumentation oder im Manifest des Servers.
  • Stelle für eine konsistente Bereitstellung in deiner Organisation Installationsanweisungen bereit, damit Benutzer den Server mit der erwarteten ID installieren.

Richtlinienauflösung für Benutzer mit mehreren Arbeitsplätzen

Das Erzwingen der MCP-Positivliste ist immer an die Organisation oder das Unternehmen gebunden, das den GitHub Copilot-Arbeitsplatz zuweist. Wenn ein Benutzer über mehrere Arbeitsplätze verfügt (z. B. aus mehreren Organisationen oder aus einem Unternehmen und seinen untergeordneten Organisationen), löst GitHub automatisch Konflikte und wendet eine einzelne aktive Richtlinie an.

Die Auflösungslogik lautet folgendermaßen:

  1. Umfang: Richtlinien, die von einem übergeordneten Unternehmen festgelegt wurden, überschreiben die Richtlinien, die von einer Organisation festgelegt wurden. Unternehmensrichtlinien gelten für alle Organisationen und Mitglieder in diesem Unternehmen.
  2. Strenge der Erzwingung: Registry only hat Vorrang vor Allow all.
  3. Aktualität des Registrierunguploads: Wenn zwei Richtlinien denselben Umfang und die gleiche Strenge aufweisen, gewinnt die zuletzt hochgeladene (gespeicherte) Registrierung.
  4. Entscheidungshilfe: Wenn alles weitere gleich ist, gewinnt die niedrigste interne ID (seltener Grenzfall).

Wichtig

Derzeit kann lediglich eine Registrierungs-URL auf einen Benutzer angewendet werden. Selbst wenn mehrere Organisationen oder Unternehmen unterschiedliche Registrierungen bereitstellen, wird lediglich die Registrierung verwendet, die gewinnt (durch die oben genannten Regeln bestimmt).

Empfehlung: Um Konsistenz sicherzustellen und Konflikte zwischen mehreren Organisationen zu vermeiden, lege die URL für deine MCP-Registrierung und Richtlinie für die Positivliste nach Möglichkeit auf Unternehmensebene fest, und verwalten sie auf dieser Ebene.

Einrichten einer MCP-Registrierung

Wenn du noch keine MCP-Registrierung konfiguriert hast, gibt es je nach Anforderungen verschiedene Möglichkeiten, eine zu erstellen.

Einfache bzw. statische Registrierung

Im Kern stellt eine Registrierung lediglich ein HTTPS-Endpunkt dar, der eine Liste von MCP-Servermanifesten bereitstellt. Du kannst das als statische JSON-Datei auf GitHub Pages, einem S3-Bucket oder einem beliebigen Webserver veröffentlichen. Das ist die schnellste und einfachste Option.

Beispielregistrierungsformat

Deine Registrierung muss eine JSON-Antwort mit der folgenden Struktur zurückgeben:

{ "servers": [ { "id": "github", "name": "GitHub MCP Server", "description": "Tools and resources for GitHub repos, issues, PRs, and Actions.", "manifest_url": "https://registry.yourcompany.com/servers/github/manifest.json", "categories": ["code", "devops", "github"], "version": "1.0.0", "release_date": "2025-09-01T00:00:00Z", "latest": true }, { "id": "local-linter", "name": "Local Linter", "description": "Runs lint checks against local files", "manifest_url": "file:///path/to/local/manifest.json", "categories": ["linting", "local", "devtools"], "version": "1.0.0", "release_date": "2025-09-01T00:00:00Z", "latest": true } ], "total_count": 2, "updated_at": "2025-09-09T12:00:00Z" }

Pflichtfelder:

  • id: Eindeutiger Bezeichner für den Server
  • name: Anzeigename für den Server
  • description: Kurze Beschreibung der Funktionalität des Servers
  • manifest_url: URL, die auf das MCP-Manifest des Servers verweist

Optionale Felder, die zusätzliche Metadaten bereitstellen:

  • categories: Array von Kategorietags
  • version: Versionsbezeichner
  • release_date: Veröffentlichungsdatum im ISO-Format
  • latest: Boolescher Wert, der angibt, ob es sich um die neueste Version handelt
  • Zusätzliche Felder wie total_count und updated_at auf Stammebene

Azure API Center

Unternehmen, die eine dynamische und vollständig verwaltete Option wünschen, können Azure API Center (Teil von Azure API Management) als MCP-Registrierung verwenden. Es bietet Governancefeatures, eine Ermittlungsoberfläche und die Integration mit vorhandenen API-Kataloge.

Schritte zum Einrichten mit Azure API Center:

  1. Navigiere zum Azure API Center-Portal.
  2. Erstelle eine neue API Center-Instanz (oder verwende eine vorhandene Instanz wieder).
  3. Füge deine MCP-Server als APIs hinzu, einschließlich ihrer Manifeste und Metadaten.
  4. Veröffentliche deine API Center-Instanz.
  5. Kopiere die API Center-Endpunkt-URL. Daraus wird die URL für deine MCP-Registrierung gebildet.
  6. Füge diese URL in das Feld MCP Registry URL (optional) Feld in GitHub Enterprise oder in den Organisationseinstellungen ein.

Hinweis

Azure API Center umfasst einen Free-Tarif für die grundlegende API-Katalogisierung und -Ermittlung. Größere Organisationen können kostenpflichtige Azure API Management-Pläne für eine höhere Skalierung und erweiterte Governance verwenden.

Weitere Informationen findest du in der Azure API Center-Dokumentation und im Azure API Center-Schnellstart.