Appearance
管理员按本页决策地图逐步配置 Claude Code 的组织策略:先选择 API provider(Claude 企业版、Console、Bedrock、Vertex、Foundry),再决定设置下发方式(服务器管理、plist/注册表、文件),然后锁定工具权限、沙箱、MCP 服务器、钩子等,最后通过 /status 命令确认设置生效。企业版用户可启用零数据保留。常见登录问题可通过 /logout + /login、claude update、重启终端修复。
Claude Code 管理员部署配置:API provider、策略与权限管理
管理员部署 Claude Code 的决策地图,涵盖 API provider、托管设置、策略强制、使用监控与数据处理。
Claude Code 通过托管设置(managed settings) 强制执行组织策略,这些设置优先级高于开发者本地配置。你可以从 Claude 管理控制台、移动设备管理(MDM)系统或本地文件下发这些设置。设置控制 Claude Code 可以访问的工具、命令、服务器和网络目标。
本页按部署决策顺序讲解。每行链接到下文对应章节及该领域的参考页面。
SSO、SCIM 用户预配置和席位分配在 Claude 账户层级配置。请参考 Claude Enterprise 管理员指南和席位分配文档。
| 决策 | 你选择的内容 | 参考文档 |
|---|---|---|
| 选择 API provider | Claude Code 在哪里认证以及如何计费 | 认证,Bedrock,Vertex AI,Foundry |
| 决定设置如何到达设备 | 托管策略如何到达开发者机器 | 服务器管理设置,设置文件 |
| 决定强制什么策略 | 允许哪些工具、命令和集成 | 权限,沙箱 |
| 设置使用可见性 | 如何跟踪支出和采用率 | 分析,监控,成本 |
| 审查数据处理 | 数据保留和合规姿态 | 数据使用,安全 |
选择 API provider
Claude Code 通过多个 API provider 之一连接到 Claude。你的选择影响计费、认证方式、继承的合规姿态以及你的开发者可使用的 Claude Code 功能。
| Provider | 选择此方案的条件 |
|---|---|
| Claude for Teams / Enterprise | 你希望 Claude Code 和 claude.ai 在一个按席位订阅下统一管理,无需维护基础设施。这是默认推荐。 |
| Claude Console | 你倾向于 API-first 或按需计费 |
| Amazon Bedrock | 你希望继承现有的 AWS 合规控制和计费 |
| Google Vertex AI | 你希望继承现有的 GCP 合规控制和计费 |
| Microsoft Foundry | 你希望继承现有的 Azure 合规控制和计费 |
某些 Claude Code 功能需要 Claude.ai 账户。Claude Code on the web、Routines、Code Review、Remote Control 和 Chrome 扩展 仅靠 Console API 密钥或云 provider 凭据无法使用。如果你通过 Bedrock、Vertex 或 Foundry 部署,需要规划开发者是否还需要 Claude for Teams 或 Enterprise 席位。每个功能页面列出了其计划要求。
完整的 provider 对比(涵盖认证、区域和功能对等)请参见企业部署概览。每个 provider 的认证设置在认证中。
代理和防火墙要求见网络配置,适用于所有 provider。如果你希望在多个 provider 前设置单一端点或集中请求日志,请参见LLM 网关。
决定设置如何到达设备
托管设置定义组织策略,优先级高于开发者本地配置。Claude Code 在四个位置查找设置,使用在给定设备上首先找到的机制。
| 机制 | 下发方式 | 优先级 | 支持平台 |
|---|---|---|---|
| 服务器管理 | Claude.ai 管理控制台 | 最高 | 所有 |
| plist / 注册表策略 | macOS: com.anthropic.claudecode plistWindows: HKLM\SOFTWARE\Policies\ClaudeCode | 高 | macOS, Windows |
| 基于文件的管理 | macOS: /Library/Application Support/ClaudeCode/managed-settings.jsonLinux 和 WSL: /etc/claude-code/managed-settings.jsonWindows: C:\Program Files\ClaudeCode\managed-settings.json | 中 | 所有 |
| Windows 用户注册表 | HKCU\SOFTWARE\Policies\ClaudeCode | 最低 | 仅 Windows |
服务器管理设置在认证时到达设备,并在活动会话期间每小时刷新一次,无需端点基础设施。这需要 Claude for Teams 或 Enterprise 计划,因此使用其他 provider 的部署需要采用基于文件或 OS 级别的机制。
如果你的组织混合使用 provider,建议为 Claude.ai 用户配置服务器管理设置,同时设置基于文件或 plist/注册表回退,以便其他用户仍能收到托管策略。
plist 和 HKLM 注册表位置适用于任何 provider,并且因为需要管理员权限才能写入,所以能抵抗篡改。Windows 用户注册表 HKCU 可在无提权情况下写入,因此应将其视为便利默认设置,而非强制渠道。
默认情况下,WSL 仅读取 /etc/claude-code 中的 Linux 路径。要将 Windows 注册表和 C:\Program Files\ClaudeCode 中的策略扩展到同一台机器上的 WSL,在这两个仅限管理员的 Windows 源中设置 wslInheritsWindowsSettings: true(参见可用设置)。
无论选择哪种机制,托管值的优先级都高于用户和项目设置。数组设置(如 permissions.allow 和 permissions.deny)会合并所有来源的条目,因此开发者可以扩展托管列表,但不能从中删除。
决定强制什么策略
托管设置可以锁定工具、沙箱执行、限制 MCP 服务器和插件源、控制哪些钩子可以运行。每行是一个控制面,附有驱动它的设置键。
| 控制 | 作用 | 关键设置 |
|---|---|---|
| 权限规则 | 允许、询问或禁止特定工具和命令 | permissions.allow,permissions.deny |
| 权限锁定 | 仅应用托管权限规则;禁用 --dangerously-skip-permissions | allowManagedPermissionRulesOnly,permissions.disableBypassPermissionsMode |
| 沙箱 | OS 级别的文件系统和网络隔离,配合域名白名单 | sandbox.enabled,sandbox.network.allowedDomains |
| 托管策略 CLAUDE.md | 每次会话加载组织范围指令,不能被排除 | 文件位于托管策略路径下 |
| MCP 服务器控制 | 限制用户可以添加或连接的 MCP 服务器,或部署固定集合 | allowedMcpServers,deniedMcpServers,allowManagedMcpServersOnly,或部署的 managed-mcp.json 文件 |
| 插件市场控制 | 限制用户可以添加和安装的插件市场来源 | strictKnownMarketplaces,blockedMarketplaces |
| 自定义锁定 | 阻止从用户和项目来源加载技能、代理、钩子和 MCP 服务器,仅允许来自插件或托管设置 | strictPluginOnlyCustomization |
| 钩子限制 | 仅加载托管钩子;限制 HTTP 钩子 URL | allowManagedHooksOnly,allowedHttpHookUrls |
| 禁用代理视图 | 关闭 claude agents、--bg、/background 和按需 supervisor | disableAgentView |
| 版本底线 | 阻止自动更新到低于组织最低版本的版本 | minimumVersion |
权限规则和沙箱覆盖不同层面。 禁止 WebFetch 会阻止 Claude 的内置抓取工具,但如果允许 Bash,curl 和 wget 仍然可以访问任何 URL。沙箱通过 OS 级别强制的网络域白名单来填补这个缺口。
关于这些控制防御的威胁模型,请参见安全。
设置使用可见性
根据你需要报告的内容选择监控方式。
| 能力 | 你得到什么 | 可用性 | 开始位置 |
|---|---|---|---|
| 使用监控 | 导出会话、工具和令牌的 OpenTelemetry | 所有 provider | 监控使用 |
| 分析仪表盘 | 每用户指标、贡献跟踪、排行榜 | Anthropic 仅 | 分析 |
| 成本跟踪 | 支出限制、速率限制和使用归属 | Anthropic 仅 | 成本 |
云 provider 通过 AWS Cost Explorer、GCP Billing 或 Azure Cost Management 暴露支出。Claude for Teams 和 Enterprise 计划在 claude.ai/analytics/claude-code 提供了使用仪表盘。
审查数据处理
在 Team、Enterprise、Claude API 和云 provider 计划中,Anthropic 不会使用你的代码或提示训练模型。你的 API provider 决定了数据保留和合规姿态。
| 主题 | 需要了解的内容 | 开始位置 |
|---|---|---|
| 数据使用政策 | Anthropic 收集什么、保留多久、哪些数据绝不会用于训练 | 数据使用 |
| 零数据保留 (ZDR) | 请求完成后不存储任何内容。仅适用于 Claude for Enterprise | 零数据保留 |
| 安全架构 | 网络模型、加密、认证、审计跟踪 | 安全 |
如果你需要请求级别的审计日志或按数据敏感性路由流量,可以在开发者和 provider 之间放置 LLM 网关。关于法规要求和认证,参见法律与合规。
验证与上手
配置托管设置后,让开发者在 Claude Code 中运行 /status。输出中包含以 Enterprise managed settings 开头的一行,后面跟着来源(括号内),可能是 (remote)、(plist)、(HKLM)、(HKCU) 或 (file)。参见验证活动设置。
分享以下资源帮助开发者快速上手:
- 快速入门:从安装到处理项目的首次会话指南
- 常见工作流:日常任务模式,如代码审查、重构和调试
- Claude 101 和 Claude Code in Action:自定进度的 Anthropic Academy 课程
对于登录问题,请让开发者参考认证故障排查。最常见的修复方法:
- 运行
/logout然后/login切换账户 - 如果企业认证选项缺失,运行
claude update - 更新后重启终端
如果开发者看到 "You haven't been added to your organization yet",说明他们的席位不包含 Claude Code 访问权限,需要在管理控制台中更新。
下一步
选定 provider 和下发机制后,继续详细配置:
- 服务器管理设置:从 Claude 管理控制台下发托管策略
- 设置参考:每个设置键、文件位置和优先级规则
- Amazon Bedrock、Google Vertex AI、Microsoft Foundry:特定 provider 的部署
- Claude Enterprise 管理员指南:SSO、SCIM、席位管理和推广手册
常见问题
如何验证托管设置是否已在开发者设备上生效?
在 Claude Code 中运行 /status。如果托管设置已生效,输出中会出现 Enterprise managed settings 行,后面跟着来源(如 (remote)、(plist) 等)。如果看不到这一行,说明当前设备没有接收到任何托管设置。
开发者无法登录 Claude Code 或看不到企业认证选项怎么办?
先让开发者运行 /logout 再运行 /login 切换账户。如果企业认证选项仍然缺失,运行 claude update 升级客户端,然后重启终端。如果仍不成功,确认该开发者的 Claude 席位已分配 Claude Code 访问权限(在管理控制台中检查)。
如何防止开发者绕过权限规则(如 --dangerously-skip-permissions)?
在托管设置中启用 allowManagedPermissionRulesOnly 和 permissions.disableBypassPermissionsMode。这两个设置要求权限规则必须通过托管配置下发,并且禁止使用 --dangerously-skip-permissions 参数跳过权限检查。