跳转到主要内容

概览

团队级设置允许企业管理员控制其 组织 内 Devin CLI 的用量。
  • Devin Enterprise Admin 可以在面向客户的 Devin 控制台中,通过 Settings → Enterprise → Windsurf 管理这些设置 (app.devin.ai/org/{orgName}/settings/windsurf) 。对于有权访问企业设置的管理员,这些设置支持自助管理。
  • Windsurf Enterprise Admin 可以在 Windsurf 控制台的 https://windsurf.com/team/cli-settings 中管理这些设置。
只有这些页面中的 Devin CLI 专用设置才适用于 Devin CLI。通用的 Windsurf Team Settings 适用于 Windsurf,不一定适用于 Devin CLI,除非这些设置也列在 Devin CLI 设置页面中。

可用设置

模型

控制你的用户可通过 Devin CLI 访问哪些模型。你可以:
  • 将特定模型加入白名单 — 将用户可用的模型限制为经过筛选和批准的列表
  • 允许所有模型 — 让用户可以访问所有可用模型
点击 配置,管理各个类别的模型访问权限。

默认模型

你还可以固定一个团队范围的默认模型,供 Devin CLI 在新会话中使用。Windsurf 的默认模型也使用这一设置,因此配置一次即可同时应用到两个界面。
  • 如果未设置团队默认模型,Devin CLI 会使用其内置默认模型。
  • 如果固定的默认模型不在上方的允许使用的模型列表中,Devin CLI 会回退到内置默认模型——allowlist 始终优先。
  • 单个用户仍然可以在会话期间切换模型;此设置仅控制新会话启动时使用的模型。
Enterprise Admin 可以在 Windsurf Team Settings 页面、Devin CLI Settings 页面,或面向客户的 Devin Enterprise 企业设置页面 app.devin.ai/org/{orgName}/settings/windsurf 中配置默认模型。 允许 Devin CLI Agent 在公开互联网上进行网络搜索。这不会影响 Agent 读取特定 URL 的能力,该操作是在用户的本地机器上执行的。对于企业团队,此工具默认处于禁用状态

MCP 服务器

控制你的用户是否可以使用 MCP (Model Context Protocol) 工具。
  • 切换开启/关闭 — 完全启用或禁用 MCP 服务器用量
  • MCP 服务器白名单 — 指定用户可连接的 MCP 服务器。如果未添加任何服务器,则默认所有服务器都在白名单中。点击 Add Server 可将访问限制为特定服务器。
管理已批准服务器的推荐方式是通过 MCP 注册表,而不是使用显式白名单。

MCP 注册表

你可以使用官方 MCP 注册表、基于它构建的下游注册表,或你自己的注册表。 在团队设置中配置注册表:
  • MCP 注册表 URL — 添加一个或多个注册表 URL。配置多个注册表时,只要某个服务器出现在其中任意一个注册表中 (即所有注册表的并集) ,就允许使用该服务器。
  • MCP 注册表强制执行 (切换) — 选择是否严格执行你配置的注册表。开启后,用户只能连接来自你的注册表的服务器;关闭后,还可以连接其他服务器,包括自定义服务器。

终端权限

为 Devin CLI 的用量配置由团队强制执行的权限规则。这些规则具有最高优先级,不能被单个用户的本地或项目配置覆盖。 点击 配置 以打开权限编辑器。该配置需要一个包含三个字段的 JSON 对象:
{
  "deny": [
    "exec"
  ],
  "ask": [],
  "allow": [
    "Read(~/my-repository/**)"
  ]
}
  • deny — 被完全阻止的操作 (优先级最高)
  • ask — 始终提示用户批准的操作
  • allow — 无需提示、自动批准的操作
权限可以按作用域或按工具设置:
类型格式示例
文件读取Read(/path)Read(~/sensitive/**)
文件写入Write(/path)Write(.env*)
命令执行Exec(cmd)Exec(rm), Exec(sudo)
HTTP 获取Fetch(url)Fetch(https://internal.api/*)
基于工具工具名称read, edit, exec
使用团队强制执行的 deny 规则,在整个组织范围内阻止某些操作,例如禁止访问敏感目录,或屏蔽 rm -rfsudo 等危险命令。
有关权限语法、glob 模式和配置示例的详细信息,请参阅权限文档

沙盒强制执行

控制你的组织的沙盒行为:强制执行模式 (即对所有 CLI 会话,--sandbox可选 还是 必需) 、域名允许名单域名拒绝列表 (组织级网络过滤) ,以及 排除的 allow / 排除的 ask / 排除的 deny (规定哪些命令可以——或绝不能——在沙盒外运行的规则) 。有关沙盒的工作原理、这些设置如何与用户级配置交互,以及相关示例,请参阅沙盒文档

在 Devin Desktop 命令面板中显示“Install Devin CLI”

Devin CLI 已随 Devin Desktop 捆绑提供,但需要由 Admin 显式启用。将此设置切换为开启后,你的用户就可以直接从 Devin Desktop 命令面板安装 Devin CLI。 启用后,用户可以打开命令面板 (macOS 上为 Cmd+Shift+P,Windows/Linux 上为 Ctrl+Shift+P) ,然后运行 Install Devin CLI,将 devin 可执行文件添加到其 PATH 中。
此设置仅适用于 Legacy Windsurf EnterpriseDevin Enterprise 套餐,且默认关闭

延伸阅读

如需进一步了解如何配置 Devin CLI,请参阅配置文档