Claude Code für Ihre Organisation einrichten
Eine Entscheidungskarte für Administratoren, die Claude Code bereitstellen, mit Abdeckung von API-Anbietern, verwalteten Einstellungen, Richtliniendurchsetzung, Nutzungsüberwachung und Datenbehandlung.
Claude Code erzwingt Organisationsrichtlinien durch verwaltete Einstellungen, die Vorrang vor lokalen Entwicklerkonfigurationen haben. Sie stellen diese Einstellungen über die Claude-Administratorkonsole, Ihr Mobile-Device-Management-System (MDM) oder eine Datei auf der Festplatte bereit. Die Einstellungen steuern, auf welche Tools, Befehle, Server und Netzwerkziele Claude zugreifen kann.
Diese Seite führt Sie durch die Bereitstellungsentscheidungen in der richtigen Reihenfolge. Jede Zeile verlinkt auf den Abschnitt unten und auf die Referenzseite für diesen Bereich.
SSO, SCIM-Bereitstellung und Sitzplatzzuweisung werden auf Claude-Kontoebene konfiguriert. Siehe das Claude Enterprise Administrator Guide und Sitzplatzzuweisung für diese Schritte.
| Entscheidung | Was Sie wählen | Referenz |
|---|---|---|
| API-Anbieter wählen | Wo Claude Code sich authentifiziert und wie es abgerechnet wird | Authentifizierung, Bedrock, Vertex AI, Foundry |
| Entscheiden Sie, wie Einstellungen Geräte erreichen | Wie verwaltete Richtlinien Entwicklermaschinen erreichen | Server-verwaltete Einstellungen, Einstellungsdateien |
| Entscheiden Sie, was durchgesetzt werden soll | Welche Tools, Befehle und Integrationen zulässig sind | Berechtigungen, Sandboxing |
| Nutzungssichtbarkeit einrichten | Wie Sie Ausgaben und Akzeptanz verfolgen | Analytik, Überwachung, Kosten |
| Datenbehandlung überprüfen | Datenspeicherung und Compliance-Position | Datennutzung, Sicherheit |
API-Anbieter wählen
Claude Code verbindet sich mit Claude über einen von mehreren API-Anbietern. Ihre Wahl beeinflusst die Abrechnung, die Authentifizierung, welche Compliance-Position Sie erben, und welche Claude Code-Funktionen Ihre Entwickler nutzen können.
| Anbieter | Wählen Sie dies, wenn |
|---|---|
| Claude für Teams / Enterprise | Sie möchten Claude Code und claude.ai unter einem Pro-Sitz-Abonnement ohne Infrastruktur zum Ausführen. Dies ist die Standardempfehlung. |
| Claude Console | Sie sind API-first oder möchten Pay-as-you-go-Abrechnung |
| Amazon Bedrock | Sie möchten vorhandene AWS-Compliance-Kontrollen und Abrechnung erben |
| Google Vertex AI | Sie möchten vorhandene GCP-Compliance-Kontrollen und Abrechnung erben |
| Microsoft Foundry | Sie möchten vorhandene Azure-Compliance-Kontrollen und Abrechnung erben |
Einige Claude Code-Funktionen erfordern ein claude.ai-Konto. Claude Code im Web, Routinen, Code Review, Remote Control und die Chrome-Erweiterung sind nicht über Console API-Schlüssel oder Cloud-Provider-Anmeldedaten allein verfügbar. Wenn Sie über Bedrock, Vertex oder Foundry bereitstellen, planen Sie, ob Entwickler auch Claude für Teams oder Enterprise-Sitze benötigen. Jede Funktionsseite listet ihre Plan-Anforderungen auf.
Für den vollständigen Anbietervergleich mit Authentifizierung, Regionen und Funktionsparität siehe Übersicht zur Enterprise-Bereitstellung. Die Auth-Einrichtung für jeden Anbieter finden Sie unter Authentifizierung.
Proxy- und Firewall-Anforderungen in Netzwerkkonfiguration gelten unabhängig vom Anbieter. Wenn Sie einen einzelnen Endpunkt vor mehreren Anbietern oder zentralisierte Anforderungsprotokollierung möchten, siehe LLM-Gateway.
Entscheiden Sie, wie Einstellungen Geräte erreichen
Verwaltete Einstellungen definieren Richtlinien, die Vorrang vor lokalen Entwicklerkonfigurationen haben. Claude Code sucht an vier Stellen in der folgenden Prioritätsreihenfolge danach und wendet die erste an, die eine nicht leere Konfiguration zurückgibt. Es gibt eine Ausnahme: Ein kleiner Satz von Sperrtasten über Quellen hinweg, wie die Sandbox-Allowlist-Sperren, wird berücksichtigt, wenn eine von einem Administrator kontrollierte Quelle diese setzt.
| Mechanismus | Lieferung | Priorität | Plattformen |
|---|---|---|---|
| Server-verwaltet | claude.ai-Administratorkonsole oder ein selbst gehostetes Claude-Apps-Gateway für Gateway-Anmeldungen | Höchste | Alle |
| plist / Registry-Richtlinie | macOS: com.anthropic.claudecode plistWindows: HKLM\SOFTWARE\Policies\ClaudeCode |
Hoch | macOS, Windows |
| Dateibasiert verwaltet | macOS: /Library/Application Support/ClaudeCode/managed-settings.jsonLinux und WSL: /etc/claude-code/managed-settings.jsonWindows: C:\Program Files\ClaudeCode\managed-settings.json |
Mittel | Alle |
| Windows-Benutzer-Registry | HKCU\SOFTWARE\Policies\ClaudeCode |
Niedrigste | Nur Windows |
Ein konfigurierter policyHelper setzt sich vor alle vier Quellen durch: Seine Ausgabe wird die einzige verwaltete Konfiguration für den Durchlauf. Siehe Einstellungspriorität.
Server-verwaltete Einstellungen erreichen Geräte zum Authentifizierungszeitpunkt und werden während aktiver Sitzungen stündlich aktualisiert, ohne dass eine Endpunkt-Infrastruktur erforderlich ist. Die Lieferung über die claude.ai-Administratorkonsole erfordert einen Claude for Teams oder Enterprise-Plan. Bereitstellungen auf Bedrock, Vertex AI oder Foundry können die gleiche Remote-Lieferung durch Ausführung eines Claude-Apps-Gateways erhalten oder stattdessen einen der dateibasierten oder Betriebssystem-Mechanismen verwenden.
Wenn Ihre Organisation mehrere Anbieter mischt, konfigurieren Sie server-verwaltete Einstellungen für claude.ai-Benutzer plus ein dateibasiertes oder plist/Registry-Fallback, damit andere Benutzer immer noch verwaltete Richtlinien erhalten.
Die plist- und HKLM-Registry-Speicherorte funktionieren mit jedem Anbieter und widerstehen Manipulationen, da sie Administratorrechte zum Schreiben erfordern. Die Windows-Benutzer-Registry unter HKCU ist ohne Erhöhung beschreibbar, daher sollten Sie sie eher als praktischen Standard als als Durchsetzungskanal behandeln.
Standardmäßig liest WSL nur den Linux-Dateipfad unter /etc/claude-code. Um Ihre Windows-Registry und C:\Program Files\ClaudeCode-Richtlinie auf WSL auf demselben Computer zu erweitern, setzen Sie wslInheritsWindowsSettings: true in einer dieser nur für Administratoren zugänglichen Windows-Quellen.
Welcher Mechanismus Sie auch wählen, verwaltete Werte haben Vorrang vor Benutzer- und Projekteinstellungen. Array-Einstellungen wie permissions.allow und permissions.deny führen Einträge aus allen Quellen zusammen, sodass Entwickler verwaltete Listen erweitern, aber nicht daraus entfernen können. Bei zwei Ausnahmen, fallbackModel und availableModels, ersetzt der verwaltete Wert die unteren Ebenen, anstatt sie zusammenzuführen.
Siehe Server-verwaltete Einstellungen und Einstellungsdateien und Priorität.
Entscheiden Sie, was durchgesetzt werden soll
Verwaltete Einstellungen können Tools sperren, Sandbox-Ausführung, MCP-Server und Plugin-Quellen einschränken und steuern, welche Hooks ausgeführt werden. Jede Zeile ist eine Kontrollfläche mit den Einstellungsschlüsseln, die sie antreiben.
| Kontrolle | Was es tut | Wichtige Einstellungen |
|---|---|---|
| Berechtigungsregeln | Bestimmte Tools und Befehle zulassen, fragen oder ablehnen | permissions.allow, permissions.deny |
| Berechtigungssperre | Nur verwaltete Berechtigungsregeln gelten; deaktivieren Sie --dangerously-skip-permissions |
allowManagedPermissionRulesOnly, permissions.disableBypassPermissionsMode |
| Sandboxing | Isolierung auf Betriebssystemebene des Dateisystems und Netzwerks mit Domain-Allowlists | sandbox.enabled, sandbox.network.allowedDomains |
| Verwaltete Richtlinie CLAUDE.md | Organisationsweite Anweisungen, die in jeder Sitzung geladen werden, können nicht ausgeschlossen werden | Datei im verwalteten Richtlinienpfad |
| MCP-Server-Kontrolle | Einschränken, welche MCP-Server Benutzer hinzufügen oder verbinden können, oder einen festen Satz bereitstellen | allowedMcpServers, deniedMcpServers, allowManagedMcpServersOnly oder eine bereitgestellte managed-mcp.json-Datei |
| Plugin-Marketplace-Kontrolle | Einschränken, von welchen Marketplace-Quellen Benutzer hinzufügen und installieren können, und die CLI-Flags ablehnen, die Plugins, Agents und MCP-Server für einen einzelnen Lauf sideloaden | strictKnownMarketplaces, blockedMarketplaces, disableSideloadFlags |
| Anpassungssperre | Blockieren Sie Skills, Agents, Hooks und MCP-Server aus Benutzer- und Projektquellen, damit sie nur aus Plugins oder verwalteten Einstellungen stammen können | strictPluginOnlyCustomization |
| Hook-Einschränkungen | Nur verwaltete Hooks werden geladen; HTTP-Hook-URLs einschränken | allowManagedHooksOnly, allowedHttpHookUrls |
| Agent-Ansicht deaktivieren | Schalten Sie claude agents, --bg, /background und den On-Demand-Supervisor aus |
disableAgentView |
| Modelleinschränkungen | availableModels filtert, welche Modelle in der Auswahl angezeigt werden. Das Hinzufügen von enforceAvailableModels beschränkt auch das automatisch ausgewählte Standardmodell. Siehe Oberflächenabdeckung für die Erreichbarkeit dieser Einstellung in CLI, Web und IDE |
availableModels, enforceAvailableModels |
| Versionsuntergrenze | Verhindern Sie, dass Auto-Update unter ein organisationsweites Minimum installiert wird | minimumVersion |
| Erforderlicher Versionsbereich | Weigern Sie sich, überhaupt zu starten, wenn die laufende Version außerhalb eines von der Organisation genehmigten Bereichs liegt. Stärker als minimumVersion, das nur Downgrades blockiert |
requiredMinimumVersion, requiredMaximumVersion |
Organisationen, deren Mitglieder sich über claude.ai oder die Anthropic API authentifizieren, können Modelle auch ohne Bereitstellung von Einstellungen steuern: Organisationsmodelleinschränkungen deaktivieren einzelne Modelle, ein Organisationsstandardmodell legt fest, mit welchem Modell neue Sitzungen beginnen, und Organisationsaufwandsgrenzen begrenzen Aufwandsstufen pro Rolle. Alle drei Kontrollen erfordern einen Claude Enterprise-Plan. Modelleinschränkungen und Aufwandsgrenzen werden serverseitig durchgesetzt; das Standardmodell ist ein Ausgangspunkt, den Benutzer ändern können, es sei denn, die Organisation erzwingt es. Die Durchsetzung ist für eine begrenzte Anzahl von Organisationen verfügbar; fragen Sie Ihr Anthropic-Kontoteam nach der Verfügbarkeit. Keine dieser Kontrollen erreichen Sitzungen auf Amazon Bedrock, Google Cloud's Agent Platform, Microsoft Foundry oder Claude Platform on AWS; verwenden Sie auf diesen Anbietern availableModels oben für Einschränkungen und den model-Schlüssel in verwalteten Einstellungen für einen Standard.
Berechtigungsregeln und Sandboxing decken verschiedene Ebenen ab. Das Ablehnen von WebFetch blockiert Claudes Fetch-Tool, aber wenn Bash zulässig ist, können curl und wget immer noch jede URL erreichen. Sandboxing schließt diese Lücke mit einer auf Betriebssystemebene durchgesetzten Netzwerk-Domain-Allowlist.
Für das Bedrohungsmodell, das diese Kontrollen verteidigen, siehe Sicherheit.
Nutzungssichtbarkeit einrichten
Wählen Sie die Überwachung basierend auf dem, was Sie melden müssen.
| Fähigkeit | Was Sie erhalten | Verfügbarkeit | Wo Sie anfangen |
|---|---|---|---|
| Nutzungsüberwachung | OpenTelemetry-Export von Sitzungen, Tools und Tokens | Alle Anbieter | Nutzungsüberwachung |
| Analytik-Dashboard | Pro-Benutzer-Metriken, Beitragsverfolgung, Leaderboard | Nur Anthropic | Analytik |
| Kostenverfolgung | Ausgabenlimits, Ratenlimits und Nutzungszuordnung | Anthropic; auf Cloud-Plattformen von Drittanbietern bietet ein Claude-Apps-Gateway Zuordnung pro Benutzer und Ausgabenlimits | Kosten |
Cloud-Anbieter stellen Ausgaben über AWS Cost Explorer, GCP Billing oder Azure Cost Management bereit. Claude für Teams und Enterprise-Pläne enthalten ein Nutzungs-Dashboard unter claude.ai/analytics/claude-code.
Datenbehandlung überprüfen
Bei Team-, Enterprise-, Claude API- und Cloud-Provider-Plänen trainiert Anthropic keine Modelle auf Ihrem Code oder Ihren Prompts. Ihr API-Anbieter bestimmt die Aufbewahrung und Compliance-Position.
| Thema | Was Sie wissen sollten | Wo Sie anfangen |
|---|---|---|
| Datennutzungsrichtlinie | Was Anthropic erfasst, wie lange es aufbewahrt wird, was niemals zum Training verwendet wird | Datennutzung |
| Zero Data Retention (ZDR) | Nichts wird nach Abschluss der Anfrage gespeichert. Verfügbar für qualifizierte Konten auf Claude für Enterprise | Zero Data Retention |
| Sicherheitsarchitektur | Netzwerkmodell, Verschlüsselung, Authentifizierung, Audit-Trail | Sicherheit |
Wenn Sie Anfrage-Level-Audit-Protokollierung benötigen oder Datenverkehr nach Datensensibilität weiterleiten möchten, platzieren Sie ein Gateway zwischen Entwicklern und Ihrem Anbieter: Ein selbstgehostetes Claude Apps Gateway protokolliert ein Pro-Anfrage-Audit-Protokoll mit IdP-Identität, oder verwenden Sie ein anderes LLM-Gateway. Für behördliche Anforderungen und Zertifizierungen siehe Rechtliche Angelegenheiten und Compliance.
Überprüfen und Onboarding
Nach der Konfiguration verwalteter Einstellungen lassen Sie einen Entwickler /status in Claude Code ausführen. Auf der Registerkarte Status zeigt die Zeile Setting sources Enterprise managed settings gefolgt von der Quelle in Klammern, eine von (remote), (plist), (HKLM), (HKCU) oder (file). Siehe Aktive Einstellungen überprüfen.
Teilen Sie diese Ressourcen, um Entwicklern den Einstieg zu erleichtern:
- Schnellstart: Walkthrough der ersten Sitzung von der Installation bis zur Arbeit mit einem Projekt
- Häufige Workflows: Muster für alltägliche Aufgaben wie Code-Review, Refactoring und Debugging
- Claude 101 und Claude Code in Action: Selbstgesteuerte Anthropic Academy-Kurse
Bei Anmeldeproblemen verweisen Sie Entwickler auf Authentifizierungs-Fehlerbehebung. Die häufigsten Lösungen sind:
- Führen Sie
/logoutund dann/loginaus, um Konten zu wechseln - Führen Sie
claude updateaus, wenn die Enterprise-Auth-Option fehlt - Starten Sie das Terminal nach dem Update neu
Wenn ein Entwickler „You haven't been added to your organization yet" sieht, ist sein Sitzplatz nicht für Claude Code-Zugriff enthalten und muss in der Administratorkonsole aktualisiert werden.
Nächste Schritte
Mit ausgewähltem Anbieter und Liefermechanismus fahren Sie mit der detaillierten Konfiguration fort:
- Server-verwaltete Einstellungen: Liefern Sie verwaltete Richtlinien über die Claude-Administratorkonsole
- Einstellungsreferenz: Jeder Einstellungsschlüssel, Dateispeicherort und Prioritätsregel
- Monorepos und große Repositorys: Pro-Verzeichnis-Konfigurationsmuster für Organisationen, die in einem Monorepo bereitstellen
- Amazon Bedrock, Google Vertex AI, Microsoft Foundry: Anbieter-spezifische Bereitstellung
- Claude Enterprise Administrator Guide: SSO, SCIM, Sitzplatzverwaltung und Rollout-Playbook