Configurer l’accès au serveur MCP pour votre organisation ou entreprise

Vous pouvez configurer une URL de registre MCP et une stratégie de contrôle d'accès afin de déterminer quels serveurs MCP les développeurs peuvent découvrir et utiliser dans les IDE pris en charge avec GitHub Copilot.

Qui peut utiliser cette fonctionnalité ?

Enterprise owners and organization owners

Copilot Enterprise or Copilot Business

Dans cet article

Remarque

  • L’affichage des serveurs MCP disponibles basé sur un registre MCP configuré est pris en charge dans VS Code Stable et Insiders.
  • L’application de la stratégie pour le paramètre « Registre uniquement » est actuellement disponible uniquement dans VS Code Insiders, avec une prise en charge pour VS Code Stable prévue en octobre 2025. La prise en charge du registre MCP et des listes d’autorisation sera disponible dans tous les autres IDE Copilot au cours des prochains mois.

Vue d’ensemble

Un registre MCP est un répertoire de serveurs MCP (Model Context Protocol) qui agit comme un catalogue pour les IDE et Copilot (ainsi que d’autres applications hôtes). Chaque entrée du registre pointe vers le manifeste d’un serveur, qui décrit les outils, les ressources et les prompts que le serveur expose.

En tant que propriétaire d’une entreprise ou d’une organisation, vous pouvez configurer une URL de registre MCP ainsi qu’une stratégie de contrôle d’accès afin de déterminer quels serveurs MCP vos développeurs peuvent voir et exécuter dans les IDE pris en charge avec GitHub Copilot.

En configurant un registre MCP, vous pouvez :

  • Fournir un catalogue sélectionné de serveurs MCP que vos développeurs peuvent découvrir et utiliser
  • Restreindre l’accès aux serveurs non approuvés pour un contrôle d’accès plus précis
  • Apporter de la clarté aux développeurs lorsqu’un serveur est bloqué par la stratégie

Si vous n’avez pas encore configuré de registre MCP, consultez Configurer un registre MCP plus loin dans cet article.

À propos des paramètres de stratégie MCP

Les paramètres suivants vous permettent de contrôler la manière dont les serveurs MCP sont détectés et accessibles dans votre organisation ou votre entreprise.

Stratégie des serveurs MCP

Tout d’abord, vous devez définir la stratégie globale Serveurs MCP dans Copilot :

  • Activée : les serveurs MCP sont autorisés (le comportement par défaut dépend de la configuration du registre)
  • Désactivée : aucun serveur MCP ne peut être utilisé par les utilisateurs disposant de licences Copilot de cette entreprise ou organisation
  • Aucune stratégie (entreprise uniquement) : les organisations enfants peuvent définir leurs propres stratégies MCP

URL du registre MCP

Le champ URL du registre MCP est facultatif. Il vous permet de spécifier le point de terminaison de votre registre MCP interne détectable ou restreint.

Une fois configuré :

  • Les serveurs répertoriés dans le registre s’affichent dans les IDE qui prennent en charge MCP
  • Active l’option « Restreindre l’accès MCP aux serveurs de registre »

Paramètre « Restreindre l’accès MCP aux serveurs de registre »

Sous le paramètre Restreindre l’accès MCP aux serveurs de registre, vous choisissez le niveau d’application strict de l’accès basé sur le registre :

  • Autoriser tout (par défaut) : les développeurs peuvent exécuter tous les serveurs MCP locaux et distants. Les serveurs de registre sont toujours affichés dans le catalogue IDE sous forme de liste organisée pour faciliter leur découverte.
  • Registre uniquement : les développeurs peuvent uniquement exécuter les serveurs MCP explicitement répertoriés dans le registre MCP téléchargé. Tous les autres serveurs, qu’ils soient distants (hébergés) ou locaux (exécutés côté client sur la machine de l’utilisateur), seront bloqués au moment de l’exécution. Dans les interfaces utilisateur de l’IDE, les serveurs bloqués apparaissent en gris avec un message d’avertissement. Dans le fichier de configuration mcp.json, ils peuvent également afficher "run": "blocked".

Avertissement

  • Vous ne pouvez pas configurer l’option « Registre uniquement » sans fournir une URL de registre MCP avec un format valide et cliquer sur « Enregistrer ».
  • L’application « Registre uniquement » est actuellement active uniquement dans VS Code Insiders. La prise en charge d’autres environnements Copilot sera ajoutée au cours des prochains mois.

Configuration de la stratégie de liste d’autorisation MCP pour une entreprise

  1. Dans le coin supérieur droit de GitHub, cliquez sur votre photo de profil.
  2. En fonction de votre environnement, cliquez sur Votre entreprise ou sur Vos entreprises, puis cliquez sur l'entreprise que vous souhaitez consulter.
  3. En haut de la page, cliquez sur Stratégies.
  4. Dans la section « Stratégies », cliquez sur Copilot.
  5. Si vous ne voyez pas encore de politiques répertoriées sur la page, cliquez sur l’onglet Politiques.
  6. Sous « Fonctionnalités », vérifiez que Serveurs MCP dans Copilot est défini sur activé.
  7. Dans le champ URL du registre MCP (facultatif), entrez l’URL de votre registre MCP conforme aux spécifications.
  8. Cliquez sur Enregistrer.
  9. À côté de Restreindre l’accès MCP aux serveurs de registre, sélectionnez l’une des options suivantes dans la liste déroulante :

    • Tout autoriser : aucune restriction. Tous les serveurs MCP peuvent être utilisés.

    • Registre uniquement : seuls les serveurs du registre peuvent s’exécuter.

    Remarque

    Si aucune URL de registre n’est définie, l’option « Registre uniquement » bloque tous les serveurs MCP.

La stratégie que vous avez choisie s’appliquera immédiatement aux développeurs de votre entreprise.

Configuration de la stratégie de liste d’autorisation MCP pour une organisation

  1. Dans le coin supérieur droit de GitHub, cliquez sur votre photo de profil, puis sur Vos organisations.
  2. En regard de l’organisation, cliquez sur Paramètres.
  3. Dans la barre latérale « Code, planification et automatisation », cliquez sur Copilot, puis cliquez sur Stratégies.
  4. Sous « Fonctionnalités », vérifiez que Serveurs MCP dans Copilot est défini sur activé.
  5. Dans le champ URL du registre MCP (facultatif), entrez l’URL de votre registre MCP conforme aux spécifications.
  6. Cliquez sur Enregistrer.
  7. À côté de Restreindre l’accès MCP aux serveurs de registre, sélectionnez l’une des options suivantes dans la liste déroulante :

    • Tout autoriser : aucune restriction. Tous les serveurs MCP peuvent être utilisés.

    • Registre uniquement : seuls les serveurs du registre peuvent s’exécuter.

    Remarque

    Si aucune URL de registre n’est définie, l’option « Registre uniquement » bloque tous les serveurs MCP.

La stratégie que vous avez choisie s’appliquera immédiatement aux développeurs de votre organisation.

Comment les listes d’autorisation MCP sont-elles appliquées ?

GitHub utilise les stratégies suivantes pour l’application des listes d’autorisation MCP.

Serveurs locaux

L’application de la liste d’autorisation MCP s’applique également aux serveurs MCP locaux. Lorsque l’option « Registre uniquement » est configurée, les serveurs locaux doivent être inclus dans le registre pour être autorisés.

Inclure les serveurs locaux dans votre registre :

  • Les serveurs locaux doivent être répertoriés dans votre registre avec leur ID de serveur correct
  • L’ID du serveur doit correspondre exactement entre l’entrée du registre et le serveur installé
  • Consultez la documentation ou le manifeste du serveur pour connaître son ID canonique
  • Pour un déploiement cohérent dans toute votre organisation, fournissez des instructions d’installation qui garantissent que les utilisateurs installent le serveur avec l’ID attendu

Résolution des stratégies pour les utilisateurs disposant de plusieurs sièges

L’application de la liste d’autorisation MCP est toujours liée à l’organisation ou à l’entreprise qui attribue le siège GitHub Copilot. Si un utilisateur dispose de plusieurs sièges (par exemple, provenant de plusieurs organisations ou à la fois d’une entreprise et de ses organisations enfants), GitHub résout automatiquement les conflits et applique une seule stratégie active.

La logique de résolution est la suivante :

  1. Étendue : les stratégies définies par une entreprise parente remplacent celles définies par une organisation. Les stratégies d’entreprise s’appliquent à toutes les organisations et à tous les membres de cette entreprise.
  2. Niveau de rigueur de l’application : Registry only a priorité sur Allow all.
  3. Date de téléchargement du registre : si deux stratégies ont la même étendue et la même rigueur, le registre le plus récemment téléchargé (enregistré) l’emporte.
  4. Décision finale : si tout le reste est égal, l’ID interne le plus bas l’emporte (cas rare).

Important

À l’heure actuelle, une seule URL de registre peut être appliquée à un utilisateur. Même si plusieurs organisations ou entreprises fournissent des registres différents, seul le registre gagnant (déterminé par les règles ci-dessus) est utilisé.

Recommandation : afin de garantir la cohérence et d’éviter les conflits entre plusieurs organisations, définissez et maintenez votre URL de registre MCP et votre stratégie de liste d’autorisation au niveau de l’entreprise chaque fois que cela est possible.

Configuration d’un registre MCP

Si vous n’avez pas encore configuré de registre MCP, il existe plusieurs façons de créer un registre selon vos besoins.

Registre simple/statique

À la base, un registre n’est qu’un point de terminaison HTTPS qui fournit une liste de manifestes de serveurs MCP. Vous pouvez le publier sous forme de fichier JSON statique sur GitHub Pages, un compartiment S3 ou n’importe quel serveur web. Il s’agit de l’option la plus rapide et la plus légère.

Exemple de format de registre

Votre registre doit renvoyer une réponse JSON avec la structure suivante :

{
  "servers": [
    {
      "id": "github",
      "name": "GitHub MCP Server",
      "description": "Tools and resources for GitHub repos, issues, PRs, and Actions.",
      "manifest_url": "https://registry.yourcompany.com/servers/github/manifest.json",
      "categories": ["code", "devops", "github"],
      "version": "1.0.0",
      "release_date": "2025-09-01T00:00:00Z",
      "latest": true
    },
    {
      "id": "local-linter",
      "name": "Local Linter",
      "description": "Runs lint checks against local files",
      "manifest_url": "file:///path/to/local/manifest.json",
      "categories": ["linting", "local", "devtools"],
      "version": "1.0.0",
      "release_date": "2025-09-01T00:00:00Z",
      "latest": true
    }
  ],
  "total_count": 2,
  "updated_at": "2025-09-09T12:00:00Z"
}

Champs obligatoires :

  • id : identificateur unique du serveur
  • name : nom d’affichage du serveur
  • description : brève description des fonctionnalités du serveur
  • manifest_url : URL pointant vers le manifeste MCP du serveur

Champs facultatifs fournissant des métadonnées supplémentaires :

  • categories : tableau de balises de catégorie
  • version : identificateur de version
  • release_date : date de publication au format ISO
  • latest : booléen indiquant s'il s'agit de la dernière version
  • Champs supplémentaires tels que total_count et updated_at au niveau racine

Centre API Azure

Pour les entreprises qui souhaitent une option dynamique et entièrement gérée, Azure API Center (qui fait partie d’Azure API Management) peut être utilisé comme registre MCP. Il fournit des fonctionnalités de gouvernance, une interface utilisateur de découverte et une intégration avec les catalogues d’API existants.

Étapes pour configurer avec Azure API Center :

  1. Accédez au portail Azure API Center.
  2. Créez une nouvelle instance API Center (ou réutilisez-en une existante).
  3. Ajoutez vos serveurs MCP en tant qu’API, y compris leurs manifestes et métadonnées.
  4. Publiez votre instance API Center.
  5. Copiez l’URL du point de terminaison API Center ; elle devient votre URL de registre MCP.
  6. Collez cette URL dans le champ URL de registre MCP (facultatif) de vos paramètres GitHub Enterprise ou d’organisation.

Remarque

Azure API Center comprend un niveau gratuit pour le catalogage et la découverte d’API de base. Les grandes organisations peuvent choisir d’utiliser des plans Azure API Management payants pour une plus grande échelle et une gouvernance avancée.

Pour plus d’informations, consultez Documentation Azure API Center et Démarrage rapide Azure API Center.