Appearance
服务器管理设置(公开测试版)
服务器管理设置允许管理员通过 Claude.ai 的 Web 界面集中配置 Claude Code。Claude Code 客户端在用户使用组织凭据认证时自动接收这些设置。
TIP
服务器管理设置处于公开测试版,适用于 Claude for Teams 和 Claude for Enterprise 客户。
前提条件
- Claude for Teams 或 Claude for Enterprise 计划
- Teams 版需要 Claude Code v2.1.38+,Enterprise 版需要 v2.1.30+
- 能访问
api.anthropic.com
选择:服务器管理 vs 端点管理
| 方式 | 最适合 | 安全模型 |
|---|---|---|
| 服务器管理设置 | 没有 MDM 的组织,或非托管设备上的用户 | 认证时从 Anthropic 服务器下发 |
| 端点管理设置 | 有 MDM 或端点管理的组织 | 通过 MDM 配置文件、注册表策略或托管设置文件部署到设备 |
如果设备已注册 MDM,端点管理设置提供更强的安全保证,因为设置文件可在操作系统级别防止用户修改。
配置服务器管理设置
步骤 1:在 Claude.ai 中导航到 Admin Settings > Claude Code > Managed settings。
步骤 2:以 JSON 定义配置。支持 settings.json 中所有可用设置,包括钩子、环境变量和仅管理员设置。
强制执行权限拒绝列表示例:
json
{
"permissions": {
"deny": [
"Bash(curl *)",
"Read(./.env)",
"Read(./.env.*)",
"Read(./secrets/**)"
],
"disableBypassPermissionsMode": "disable"
}
}全组织运行审计脚本的钩子示例:
json
{
"hooks": {
"PostToolUse": [
{
"matcher": "Edit|Write",
"hooks": [
{ "type": "command", "command": "/usr/local/bin/audit-edit.sh" }
]
}
]
}
}步骤 3:保存更改。Claude Code 客户端在下次启动或每小时轮询时收到更新的设置。
访问控制
可管理服务器管理设置的角色:
- Primary Owner
- Owner
将访问权限限制为受信任人员,因为设置变更会应用于组织内所有用户。
当前限制
测试版期间的限制:
- 设置统一应用于组织内所有用户,尚不支持按组配置
- MCP 服务器配置无法通过服务器管理设置分发
设置下发机制
优先级
服务器管理设置和端点管理设置都位于 Claude Code 设置层级的最高层,其他任何设置级别(包括命令行参数)都无法覆盖。当两者都存在时,服务器管理设置优先。
获取和缓存行为
Claude Code 在启动时从 Anthropic 服务器获取设置,并在活跃会话期间每小时轮询更新。
首次启动(无缓存设置):
- 异步获取设置
- 如果获取失败,Claude Code 在没有管理设置的情况下继续运行
- 设置加载前有短暂的未强制执行窗口
后续启动(有缓存设置):
- 启动时立即应用缓存设置
- 在后台获取最新设置
- 缓存设置在网络故障中持续有效
安全审批对话框
某些可能存在安全风险的设置在应用前需要用户明确批准:
- Shell 命令设置:执行 Shell 命令的设置
- 自定义环境变量:不在已知安全允许列表中的变量
- 钩子配置:任何钩子定义
用户必须批准才能继续。如果用户拒绝,Claude Code 退出。
使用
-p标志的非交互模式下,Claude Code 跳过安全对话框,直接应用设置。
平台可用性
服务器管理设置需要直接连接到 api.anthropic.com,使用以下第三方模型提供商时不可用:
- Amazon Bedrock
- Google Vertex AI
- Microsoft Foundry
- 通过
ANTHROPIC_BASE_URL或 LLM 网关配置的自定义 API 端点
安全注意事项
服务器管理设置提供集中式策略执行,但作为客户端控制运行。在非托管设备上,具有管理员或 sudo 访问权限的用户可以修改 Claude Code 二进制文件、文件系统或网络配置。
| 场景 | 行为 |
|---|---|
| 用户编辑缓存的设置文件 | 篡改的文件在启动时应用,但下次服务器获取时正确设置会恢复 |
| 用户删除缓存的设置文件 | 发生首次启动行为:异步获取设置,有短暂未强制执行窗口 |
| API 不可用 | 如有缓存则应用缓存设置,否则直到下次成功获取前不强制执行 |
要检测运行时配置变更,使用 ConfigChange 钩子记录修改或阻止未授权变更。