Enterprise config

企業配置的重點不是“裝上 CLI”，而是統一身份、專案、許可權、模型、日誌和成本邊界。

官方企業文件的核心是兩層配置：系統級 settings 提供集中預設值和覆蓋值，Admin Controls 提供本地不可覆蓋的組織策略。系統級 settings 能防誤用，但不能防擁有本機管理員許可權的人刻意繞過。

企業使用者要先確認

• 賬號型別：Workspace / organization / personal。
• Gemini Code Assist license。
• Google Cloud Project。
• Vertex AI 是否啟用。
• IAM 角色。
• 計費和配額。
• telemetry 和合規要求。

系統級配置層級

Gemini CLI 企業配置會合並四類 settings。單值欄位按優先順序覆蓋：

1. System Defaults：system-defaults.json
2. User Settings：~/.gemini/settings.json
3. Workspace Settings：<project>/.gemini/settings.json
4. System Overrides：settings.json

System Overrides 擁有最終決定權。陣列和物件欄位會合並，例如 includeDirectories 可能拼接，mcpServers 可能按 key 合併。

Firecrawl 抓到的官方企業頁也強調：allowlist 比 blocklist 更穩，tools.core 適合明確允許哪些內建工具，tools.exclude 更適合少量補充限制。企業預設策略不要只靠 exclude。

系統級 settings 路徑：

• Linux：/etc/gemini-cli/settings.json
• macOS：/Library/Application Support/GeminiCli/settings.json
• Windows：C:\ProgramData\gemini-cli\settings.json

也可以用 GEMINI_CLI_SYSTEM_SETTINGS_PATH 指定路徑。企業落地時通常會用 wrapper script 固定這個環境變數，避免使用者隨意改到另一份 settings。

共享環境隔離

在 CI、共享構建機或實驗平臺上，不要複用預設 ~/.gemini 狀態。官方支援用 GEMINI_CLI_HOME 把 Gemini CLI 的配置和歷史隔離到指定目錄：

export GEMINI_CLI_HOME="/tmp/gemini-job-123"
gemini

這樣能減少不同使用者、不同 job 之間的配置汙染。

配置建議

個人偏好不要覆蓋組織策略。團隊預設配置應透過專案級 settings 和企業系統級 settings 統一管理。高風險工具不要只靠口頭約定，應該結合 tools.core allowlist 和 policy engine 控制。

Rollout 順序

企業落地不要一次性全員強推。更穩的順序是：

1. 在測試機器上驗證系統級 settings。
2. 給一組試點使用者啟用預設配置。
3. 驗證 policy、MCP、telemetry、模型選擇和成本歸屬。
4. 再推廣到團隊或組織。
5. 保留回復路徑和配置版本記錄。

這樣可以把“配置語法正確”和“組織實際可用”分開驗收。

驗收方式

企業配置驗收要看“最終合併結果”，不能只看某一份檔案。至少驗證三件事：系統覆蓋是否高於使用者配置，MCP server 是否按企業配置生效，GEMINI_CLI_HOME 或系統 settings 路徑是否沒有洩露到普通使用者可寫目錄。

還要驗證使用者是否能透過環境變數改到另一份系統 settings。若使用 GEMINI_CLI_SYSTEM_SETTINGS_PATH，wrapper script 和終端入口都要統一，不要只改一臺測試機。

接下來去哪

官方來源

• Gemini CLI for the enterprise
• Gemini CLI settings