Passer au contenu principal

Documentation Index

Fetch the complete documentation index at: https://docs.devinenterprise.com/llms.txt

Use this file to discover all available pages before exploring further.

Vue d’ensemble

Les paramètres au niveau de l’équipe permettent aux administrateurs Enterprise de contrôler l’utilisation de Devin CLI dans leur organisation.
  • Les administrateurs Devin Enterprise peuvent gérer ces paramètres dans le tableau de bord Devin destiné aux clients, sous Settings → Enterprise → Windsurf (app.devin.ai/org/{orgName}/settings/windsurf). Cette gestion est en libre-service pour les administrateurs ayant accès aux paramètres Enterprise.
  • Les administrateurs Windsurf Enterprise peuvent gérer ces paramètres dans le tableau de bord Windsurf à l’adresse https://windsurf.com/team/cli-settings.
Seuls les paramètres propres à Devin CLI sur ces pages s’appliquent à Devin CLI. Les Windsurf Team Settings généraux s’appliquent à Windsurf et ne s’appliquent pas nécessairement à Devin CLI, sauf s’ils figurent aussi sur la page des paramètres de Devin CLI.

Settings disponibles

Modèles

Contrôlez les modèles auxquels vos utilisateurs peuvent accéder via Devin CLI. Vous pouvez :
  • Autoriser des modèles spécifiques — Limiter les utilisateurs à une sélection de modèles approuvés
  • Autoriser tous les modèles — Donner aux utilisateurs accès à tous les modèles disponibles
Cliquez sur Configurer pour gérer l’accès aux modèles pour chaque catégorie.

Modèle par défaut

Vous pouvez également épingler un modèle par défaut pour toute l’équipe que Devin CLI utilisera pour les nouvelles sessions. Il s’agit du même paramètre que Windsurf utilise pour son modèle par défaut. Le configurer une seule fois l’applique donc aux deux interfaces.
  • Si aucun modèle par défaut d’équipe n’est défini, Devin CLI utilise son modèle par défaut intégré.
  • Si le modèle par défaut épinglé ne figure pas dans la liste des modèles autorisés ci-dessus, Devin CLI revient à son modèle par défaut intégré — la liste d’autorisation reste toujours prioritaire.
  • Les utilisateurs peuvent toujours changer de modèle pendant une session ; ce paramètre contrôle uniquement le modèle de départ des nouvelles sessions.
Les administrateurs Enterprise peuvent configurer le modèle par défaut depuis la page Windsurf Team Settings, la page Devin CLI Settings ou la page Settings de Devin Enterprise destinée aux clients à l’adresse app.devin.ai/org/{orgName}/settings/windsurf. Autorisez l’agent CLI Devin à effectuer des recherches sur le Web public. Cela n’affecte pas sa capacité à lire des URL spécifiques, cette opération étant effectuée localement sur la machine de l’utilisateur. Cet outil est désactivé par défaut pour les équipes Enterprise.

Serveurs MCP

Définissez si vos utilisateurs peuvent utiliser des outils MCP (Model Context Protocol).
  • Activer/désactiver — Activez ou désactivez entièrement l’utilisation des serveurs MCP
  • Serveurs MCP autorisés — Indiquez les serveurs MCP auxquels les utilisateurs sont autorisés à se connecter. Si aucun serveur n’est ajouté, tous les serveurs sont autorisés par défaut. Cliquez sur Add Server pour restreindre l’accès à des serveurs spécifiques.

Autorisations du terminal

Configurez les règles d’autorisation imposées par le Team pour l’utilisation de Devin CLI. Ces règles ont la priorité la plus élevée et ne peuvent pas être surchargées par les configurations locales ou de projet des utilisateurs. Cliquez sur Configure pour ouvrir l’éditeur d’autorisations. La configuration nécessite un objet JSON comportant trois champs : 
{
  "deny": [
    "exec"
  ],
  "ask": [],
  "allow": [
    "Read(~/my-repository/**)"
  ]
}
  • deny — Les actions entièrement bloquées (priorité la plus élevée)
  • ask — Les actions qui demandent toujours l’approbation de l’utilisateur
  • allow — Les actions automatiquement approuvées sans demander d’approbation
Les autorisations peuvent être basées sur le périmètre ou basées sur l’outil :
TypeFormatExemple
Lecture de fichierRead(/path)Read(~/sensitive/**)
Écriture de fichierWrite(/path)Write(.env*)
Exécution de commandeExec(cmd)Exec(rm), Exec(sudo)
Requête HTTPFetch(url)Fetch(https://internal.api/*)
Basé sur l’outilNom de l’outilread, edit, exec
Utilisez des règles deny appliquées par la Team pour empêcher certaines actions dans l’ensemble de votre organization, par exemple pour bloquer l’accès à des répertoires sensibles ou à des commandes dangereuses comme rm -rf ou sudo.
Pour plus d’informations sur la syntaxe des autorisations, les motifs glob et des exemples de configuration, consultez la documentation des autorisations.

Application du sandbox

Contrôlez le comportement du sandbox au sein de votre organisation. Ces paramètres imposent une isolation au niveau du système d’exploitation sur toutes les sessions CLI, en limitant l’accès au système de fichiers et le trafic réseau.

Mode d’application du sandbox

Définissez le niveau d’application de l’indicateur --sandbox dans toute votre organisation :
  • Facultatif (par défaut) — Les utilisateurs choisissent s’ils souhaitent passer --sandbox. Aucune contrainte.
  • Obligatoire — L’indicateur --sandbox est imposé pour tous les utilisateurs, même s’ils ne le passent pas en ligne de commande. Toutes les sessions CLI s’exécutent avec un sandbox du système de fichiers au niveau de l’OS, qui applique les périmètres d’autorisation en lecture/écriture.
Un futur mode Strict pourrait verrouiller entièrement la configuration du sandbox, empêchant les utilisateurs de modifier les paramètres du sandbox. Lorsque le sandbox est actif :
  • Les chemins accessibles en écriture sont dérivés des périmètres d’autorisation Write(...) accordés, ainsi que du répertoire de workspace
  • Les chemins accessibles en lecture sont dérivés des périmètres Read(...) accordés (les chemins par défaut de la plateforme, comme /usr/bin, sont toujours lisibles)
  • Les périmètres accordés en cours de session étendent dynamiquement le sandbox pour les commandes suivantes
Si la résolution du sandbox échoue (p. ex. si les outils de mise en sandbox ne sont pas disponibles sur la plateforme de l’utilisateur), le CLI refusera de démarrer plutôt que de s’exécuter sans sandbox. Ce comportement de refus par défaut s’applique aussi bien lorsque le sandbox est activé via ce paramètre Team que lorsque l’utilisateur passe directement --sandbox, afin que l’intention de sécurité ne soit jamais contournée silencieusement.Lorsqu’il est imposé au niveau Enterprise, les utilisateurs verront une erreur leur indiquant de contacter l’administrateur de leur Team. Lorsqu’il est activé par l’utilisateur, l’erreur suggère d’exécuter la commande sans --sandbox pour continuer sans isolation au niveau de l’OS.Causes courantes d’échec de résolution du sandbox :
  • Windows : la mise en sandbox au niveau de l’OS n’est actuellement pas prise en charge sous Windows. Les sessions échoueront systématiquement sous Windows lorsque --sandbox est passé ou lorsque l’application du sandbox est Obligatoire, y compris lorsque le CLI s’exécute en tant que serveur ACP dans un IDE (p. ex. Windsurf).
  • Linux : la mise en sandbox nécessite que bubblewrap (bwrap) et socat soient installés. Les sessions échouent systématiquement avec des instructions d’installation lorsqu’ils sont absents.
  • Erreurs de périmètre d’autorisation : chemins non valides dans les périmètres d’autorisation qui ne peuvent pas être résolus.
Assurez-vous que toutes les machines cibles sont provisionnées avant de définir le mode d’application du sandbox sur Obligatoire dans toute votre organisation. Si certains utilisateurs sont sous Windows, ils ne pourront pas exécuter le CLI tant que la mise en sandbox au niveau de l’OS ne sera pas prise en charge sous Windows ou que la politique ne sera pas assouplie en Facultatif.

Filtrage des domaines

Configurez des listes d’autorisation et de blocage de domaines à l’échelle de l’organisation pour le filtrage réseau du sandbox.
  • Liste d’autorisation de domaines — Lorsqu’elle est définie, seuls les domaines de cette liste sont accessibles via le proxy réseau du sandbox. Cette liste fait foi : elle remplace entièrement tous les allowed_domains configurés par l’utilisateur dans sa configuration du sandbox. Les utilisateurs ne peuvent pas ajouter d’autres domaines pour contourner les restrictions de l’administrateur.
  • Liste de blocage de domaines — Domaines toujours bloqués. Les domaines bloqués au niveau Enterprise sont additifs : ils sont fusionnés avec les denied_domains locaux de l’utilisateur, ce qui rend la liste combinée plus restrictive.
Consultez la référence de configuration du sandbox pour la syntaxe des motifs de domaine (p. ex., *.example.com, **.example.com). Interaction entre les listes de domaines Enterprise et utilisateur :
ScénarioConfiguration EnterpriseConfiguration utilisateurRésultat effectif
L’administrateur définit une liste d’autorisationallowed_domains: ["github.com"]allowed_domains: ["npmjs.org"]Seul github.com est autorisé (la configuration Enterprise remplace la liste de l’utilisateur)
L’administrateur définit une liste de blocagedenied_domains: ["evil.com"]denied_domains: ["risky.io"]evil.com et risky.io sont tous deux bloqués (fusion)
Aucune liste d’autorisation administrateurallowed_domains: []allowed_domains: ["github.com"]La liste d’autorisation de l’utilisateur est utilisée
Comme les denied_domains locaux de l’utilisateur sont conservés et fusionnés de manière additive, un utilisateur peut bloquer un domaine figurant dans la liste d’autorisation Enterprise. C’est intentionnel : l’effet combiné est toujours plus restrictif, jamais moins. Si cela provoque des problèmes d’accès, l’utilisateur doit supprimer l’entrée en conflit de sa configuration locale.
Combinez l’application des règles du sandbox avec des règles de refus d’autorisation de la Team (p. ex., Write(/etc)) pour empêcher les agents de modifier des répertoires sensibles, à la fois au niveau des autorisations et du système d’exploitation. Les règles de refus d’autorisation empêchent l’agent de simplement tenter l’action, tandis que le sandbox fournit une deuxième couche de protection au niveau du système d’exploitation.

Afficher « Install Devin CLI » dans la palette de commandes de Windsurf

Devin CLI est inclus avec Windsurf (à partir de la version 1.9577.24), mais nécessite une activation explicite par un administrateur. Activez ce paramètre pour permettre à vos utilisateurs d’installer Devin CLI directement depuis la palette de commandes de Windsurf. Une fois cette option activée, les utilisateurs peuvent ouvrir la palette de commandes (Cmd+Shift+P sur macOS ou Ctrl+Shift+P sur Windows/Linux) et lancer Install Devin CLI pour ajouter le binaire devin à leur PATH.
Ce paramètre est disponible avec les forfaits Windsurf Enterprise et Devin Enterprise et est désactivé par défaut.

Pour en savoir plus

Pour en savoir plus sur la configuration de Devin CLI, consultez la documentation de configuration.