メインコンテンツへスキップ

概要

チーム全体の設定により、Enterprise 管理者 は組織全体での Devin CLI の使用を制御できます。
  • Devin Enterprise admins は、顧客向けの Devin ダッシュボードの Settings → Enterprise → Windsurf (app.devin.ai/org/{orgName}/settings/windsurf) でこれらの設定を管理できます。Enterprise settings にアクセスできる管理者は、セルフサービスで設定できます。
  • Windsurf Enterprise admins は、Windsurf ダッシュボードの https://windsurf.com/team/cli-settings でこれらの設定を管理できます。
これらのページで Devin CLI に適用されるのは、Devin CLI 専用の設定のみです。一般的な Windsurf チーム設定 は Windsurf に適用されるもので、Devin CLI の設定ページにも記載されていない限り、Devin CLI には適用されません。

Available の設定

モデル

ユーザーがDevin CLI経由でアクセスできるモデルを制御できます。設定できる項目は次のとおりです。
  • 特定のモデルを許可リストに追加 — ユーザーがアクセスできるモデルを、承認済みの厳選された一覧に制限します
  • すべてのモデルを許可 — ユーザーに利用可能なすべてのモデルへのアクセスを許可します
Configure をクリックして、各カテゴリのモデルアクセスを管理します。

デフォルトモデル

Devin CLI が新しいセッションで利用するチーム全体のデフォルトモデルを固定することもできます。これは、Windsurf でデフォルトモデルに使用されるものと同じ設定のため、一度設定すれば両方に適用されます。
  • チームのデフォルトが設定されていない場合、Devin CLI は組み込みのデフォルトモデルを利用します。
  • 固定したデフォルトが上記の許可されたモデルの一覧に含まれていない場合、Devin CLI は組み込みのデフォルトモデルにフォールバックします。常に許可リストが優先されます。
  • 各ユーザーはセッション中に引き続きモデルを切り替えられます。この設定で制御されるのは、新しいセッションの開始時に使われるモデルのみです。
Enterprise 管理者は、Windsurf チーム設定 ページ、Devin CLI Settings ページ、または app.devin.ai/org/{orgName}/settings/windsurf にある顧客向けの Devin Enterprise 設定ページからデフォルトモデルを設定できます。 Devin CLI エージェントが、公開インターネット上で Web 検索を実行できるようにします。なお、特定の URL を読み取るエージェントの機能には影響しません。この処理はユーザーのマシン上でローカルに実行されます。このツールは、Enterprise チームではデフォルトで無効です。

MCP サーバー

ユーザーが MCP (Model Context Protocol) ツールを利用できるかどうかを管理します。
  • オン/オフの切り替え — MCP サーバーの利用を全体として有効または無効にします
  • 許可された MCP サーバー — ユーザーが接続できる MCP サーバーを指定します。サーバーが 1 つも追加されていない場合は、デフォルトですべてのサーバーが許可されます。特定のサーバーのみにアクセスを制限するには、サーバーを追加 をクリックします。
承認済みサーバーを管理する際は、明示的な許可リストではなく、MCP registry を利用することを推奨します。

MCP Registry

公式のMCP Registry、それを基盤とする派生レジストリ、または独自のレジストリを利用できます。 レジストリはチーム設定で設定します。
  • MCP registry URLs — 1 つ以上のレジストリ URL を追加します。複数のレジストリがある場合、サーバーはいずれか 1 つに含まれていれば許可されます (すべてのレジストリの和集合) 。
  • MCP registry enforcement (toggle) — レジストリを厳密に適用するかどうかを選択します。オンの場合、ユーザーはレジストリ内のサーバーにのみ接続できます。オフの場合、カスタムのサーバーを含むその他のサーバーにも接続できます。

ターミナル権限

Devin CLIの利用に関する、チームで強制適用される権限ルールを設定します。これらのルールは最も優先され、個々のユーザーのローカル設定やプロジェクト設定で上書きすることはできません。 設定をクリックして権限エディタを開きます。設定には、3つのフィールドを持つJSONオブジェクトが必要です。
{
  "deny": [
    "exec"
  ],
  "ask": [],
  "allow": [
    "Read(~/my-repository/**)"
  ]
}
  • deny — アクションを完全にブロックします (最優先)
  • ask — アクションごとに常にユーザーに承認を求めます
  • allow — 承認を求めずにアクションを自動的に許可します
権限はスコープベースまたはツールベースで設定できます。
TypeFormatExample
ファイルの読み取りRead(/path)Read(~/sensitive/**)
ファイルの書き込みWrite(/path)Write(.env*)
コマンドの実行Exec(cmd)Exec(rm), Exec(sudo)
HTTP フェッチFetch(url)Fetch(https://internal.api/*)
ツールベースツール名read, edit, exec
機密ディレクトリへのアクセスや rm -rfsudo のような危険なコマンドをブロックするなど、組織全体でアクションを禁止するには、チームで適用する deny ルールを利用してください。
権限の構文、glob パターン、設定の使用例について詳しくは、Permissions ドキュメントを参照してください。

サンドボックス強制

組織におけるサンドボックスの動作を制御します: Enforcement mode (すべての CLI セッションで --sandboxOptional にするか Required にするか) 、Domain allowlistDomain denylist (組織全体のネットワークフィルタリング) 、および Excluded allow / Excluded ask / Excluded deny (サンドボックス外で実行できる、または実行を決して許可しないコマンドのルール) です。サンドボックスの仕組み、これらの設定がユーザーレベルの設定とどのように関係するか、また使用例については、Sandbox ドキュメントを参照してください。

Devin Desktopのコマンドパレットに「Install Devin CLI」を表示する

Devin CLI は Devin Desktop に同梱されていますが、管理者が明示的に有効にする必要があります。この設定をオンにすると、ユーザーは Devin Desktop のコマンドパレットから Devin CLI を直接インストールできるようになります。 有効にすると、ユーザーはコマンドパレット (macOS では Cmd+Shift+P、Windows/Linux では Ctrl+Shift+P) を開き、Install Devin CLI を実行して devin バイナリを PATH に追加できます。
この設定は レガシー Windsurf Enterprise プランと Devin Enterprise プランで利用でき、デフォルトではオフです。

参考資料

Devin CLIの設定についてさらに詳しくは、設定ドキュメントを参照してください。