SpyBara
Go Premium

admin-setup.md 2026-07-02 23:59 UTC to 2026-07-03 23:00 UTC

2 added, 0 removed.

2026
Sat 4 03:01 Fri 3 23:00 Thu 2 23:59 Wed 1 21:01

Claude Code für Ihre Organisation einrichten

Eine Entscheidungskarte für Administratoren, die Claude Code bereitstellen, mit Abdeckung von API-Anbietern, verwalteten Einstellungen, Richtliniendurchsetzung, Nutzungsüberwachung und Datenbehandlung.

Claude Code erzwingt Organisationsrichtlinien durch verwaltete Einstellungen, die Vorrang vor lokalen Entwicklerkonfigurationen haben. Sie stellen diese Einstellungen über die Claude-Administratorkonsole, Ihr Mobile-Device-Management-System (MDM) oder eine Datei auf der Festplatte bereit. Die Einstellungen steuern, auf welche Tools, Befehle, Server und Netzwerkziele Claude zugreifen kann.

Diese Seite führt Sie durch die Bereitstellungsentscheidungen in der richtigen Reihenfolge. Jede Zeile verlinkt auf den Abschnitt unten und auf die Referenzseite für diesen Bereich.

Entscheidung Was Sie wählen Referenz
API-Anbieter wählen Wo Claude Code sich authentifiziert und wie es abgerechnet wird Authentifizierung, Bedrock, Vertex AI, Foundry
Entscheiden Sie, wie Einstellungen Geräte erreichen Wie verwaltete Richtlinien Entwicklermaschinen erreichen Server-verwaltete Einstellungen, Einstellungsdateien
Entscheiden Sie, was durchgesetzt werden soll Welche Tools, Befehle und Integrationen zulässig sind Berechtigungen, Sandboxing
Nutzungssichtbarkeit einrichten Wie Sie Ausgaben und Akzeptanz verfolgen Analytik, Überwachung, Kosten
Datenbehandlung überprüfen Datenspeicherung und Compliance-Position Datennutzung, Sicherheit

API-Anbieter wählen

Claude Code verbindet sich mit Claude über einen von mehreren API-Anbietern. Ihre Wahl beeinflusst die Abrechnung, die Authentifizierung, welche Compliance-Position Sie erben, und welche Claude Code-Funktionen Ihre Entwickler nutzen können.

Anbieter Wählen Sie dies, wenn
Claude für Teams / Enterprise Sie möchten Claude Code und claude.ai unter einem Pro-Sitz-Abonnement ohne Infrastruktur zum Ausführen. Dies ist die Standardempfehlung.
Claude Console Sie sind API-first oder möchten Pay-as-you-go-Abrechnung
Amazon Bedrock Sie möchten vorhandene AWS-Compliance-Kontrollen und Abrechnung erben
Google Vertex AI Sie möchten vorhandene GCP-Compliance-Kontrollen und Abrechnung erben
Microsoft Foundry Sie möchten vorhandene Azure-Compliance-Kontrollen und Abrechnung erben

Einige Claude Code-Funktionen erfordern ein claude.ai-Konto. Claude Code im Web, Routinen, Code Review, Remote Control und die Chrome-Erweiterung sind nicht über Console API-Schlüssel oder Cloud-Provider-Anmeldedaten allein verfügbar. Wenn Sie über Bedrock, Vertex oder Foundry bereitstellen, planen Sie, ob Entwickler auch Claude für Teams oder Enterprise-Sitze benötigen. Jede Funktionsseite listet ihre Plan-Anforderungen auf.

Für den vollständigen Anbietervergleich mit Authentifizierung, Regionen und Funktionsparität siehe Übersicht zur Enterprise-Bereitstellung. Die Auth-Einrichtung für jeden Anbieter finden Sie unter Authentifizierung.

Proxy- und Firewall-Anforderungen in Netzwerkkonfiguration gelten unabhängig vom Anbieter. Wenn Sie einen einzelnen Endpunkt vor mehreren Anbietern oder zentralisierte Anforderungsprotokollierung möchten, siehe LLM-Gateway.

Entscheiden Sie, wie Einstellungen Geräte erreichen

Verwaltete Einstellungen definieren Richtlinien, die Vorrang vor lokalen Entwicklerkonfigurationen haben. Claude Code sucht an vier Stellen in der folgenden Prioritätsreihenfolge danach und wendet die erste an, die eine nicht leere Konfiguration zurückgibt. Es gibt eine Ausnahme: Ein kleiner Satz von Sperrtasten über Quellen hinweg, wie die Sandbox-Allowlist-Sperren, wird berücksichtigt, wenn eine von einem Administrator kontrollierte Quelle diese setzt.

Mechanismus Lieferung Priorität Plattformen
Server-verwaltet claude.ai-Administratorkonsole oder ein selbst gehostetes Claude-Apps-Gateway für Gateway-Anmeldungen Höchste Alle
plist / Registry-Richtlinie macOS: com.anthropic.claudecode plist
Windows: HKLM\SOFTWARE\Policies\ClaudeCode
Hoch macOS, Windows
Dateibasiert verwaltet macOS: /Library/Application Support/ClaudeCode/managed-settings.json
Linux und WSL: /etc/claude-code/managed-settings.json
Windows: C:\Program Files\ClaudeCode\managed-settings.json
Mittel Alle
Windows-Benutzer-Registry HKCU\SOFTWARE\Policies\ClaudeCode Niedrigste Nur Windows

Ein konfigurierter policyHelper setzt sich vor alle vier Quellen durch: Seine Ausgabe wird die einzige verwaltete Konfiguration für den Durchlauf. Siehe Einstellungspriorität.

Server-verwaltete Einstellungen erreichen Geräte zum Authentifizierungszeitpunkt und werden während aktiver Sitzungen stündlich aktualisiert, ohne dass eine Endpunkt-Infrastruktur erforderlich ist. Die Lieferung über die claude.ai-Administratorkonsole erfordert einen Claude for Teams oder Enterprise-Plan. Bereitstellungen auf Bedrock, Vertex AI oder Foundry können die gleiche Remote-Lieferung durch Ausführung eines Claude-Apps-Gateways erhalten oder stattdessen einen der dateibasierten oder Betriebssystem-Mechanismen verwenden.

Wenn Ihre Organisation mehrere Anbieter mischt, konfigurieren Sie server-verwaltete Einstellungen für claude.ai-Benutzer plus ein dateibasiertes oder plist/Registry-Fallback, damit andere Benutzer immer noch verwaltete Richtlinien erhalten.

Die plist- und HKLM-Registry-Speicherorte funktionieren mit jedem Anbieter und widerstehen Manipulationen, da sie Administratorrechte zum Schreiben erfordern. Die Windows-Benutzer-Registry unter HKCU ist ohne Erhöhung beschreibbar, daher sollten Sie sie eher als praktischen Standard als als Durchsetzungskanal behandeln.

Standardmäßig liest WSL nur den Linux-Dateipfad unter /etc/claude-code. Um Ihre Windows-Registry und C:\Program Files\ClaudeCode-Richtlinie auf WSL auf demselben Computer zu erweitern, setzen Sie wslInheritsWindowsSettings: true in einer dieser nur für Administratoren zugänglichen Windows-Quellen.

Welcher Mechanismus Sie auch wählen, verwaltete Werte haben Vorrang vor Benutzer- und Projekteinstellungen. Array-Einstellungen wie permissions.allow und permissions.deny führen Einträge aus allen Quellen zusammen, sodass Entwickler verwaltete Listen erweitern, aber nicht daraus entfernen können. Bei zwei Ausnahmen, fallbackModel und availableModels, ersetzt der verwaltete Wert die unteren Ebenen, anstatt sie zusammenzuführen.

Siehe Server-verwaltete Einstellungen und Einstellungsdateien und Priorität.

Entscheiden Sie, was durchgesetzt werden soll

Verwaltete Einstellungen können Tools sperren, Sandbox-Ausführung, MCP-Server und Plugin-Quellen einschränken und steuern, welche Hooks ausgeführt werden. Jede Zeile ist eine Kontrollfläche mit den Einstellungsschlüsseln, die sie antreiben.

Kontrolle Was es tut Wichtige Einstellungen
Berechtigungsregeln Bestimmte Tools und Befehle zulassen, fragen oder ablehnen permissions.allow, permissions.deny
Berechtigungssperre Nur verwaltete Berechtigungsregeln gelten; deaktivieren Sie --dangerously-skip-permissions allowManagedPermissionRulesOnly, permissions.disableBypassPermissionsMode
Sandboxing Isolierung auf Betriebssystemebene des Dateisystems und Netzwerks mit Domain-Allowlists sandbox.enabled, sandbox.network.allowedDomains
Verwaltete Richtlinie CLAUDE.md Organisationsweite Anweisungen, die in jeder Sitzung geladen werden, können nicht ausgeschlossen werden Datei im verwalteten Richtlinienpfad
MCP-Server-Kontrolle Einschränken, welche MCP-Server Benutzer hinzufügen oder verbinden können, oder einen festen Satz bereitstellen allowedMcpServers, deniedMcpServers, allowManagedMcpServersOnly oder eine bereitgestellte managed-mcp.json-Datei
Plugin-Marketplace-Kontrolle Einschränken, von welchen Marketplace-Quellen Benutzer hinzufügen und installieren können, und die CLI-Flags ablehnen, die Plugins, Agents und MCP-Server für einen einzelnen Lauf sideloaden strictKnownMarketplaces, blockedMarketplaces, disableSideloadFlags
Anpassungssperre Blockieren Sie Skills, Agents, Hooks und MCP-Server aus Benutzer- und Projektquellen, damit sie nur aus Plugins oder verwalteten Einstellungen stammen können strictPluginOnlyCustomization
Hook-Einschränkungen Nur verwaltete Hooks werden geladen; HTTP-Hook-URLs einschränken allowManagedHooksOnly, allowedHttpHookUrls
Agent-Ansicht deaktivieren Schalten Sie claude agents, --bg, /background und den On-Demand-Supervisor aus disableAgentView
Modelleinschränkungen availableModels filtert, welche Modelle in der Auswahl angezeigt werden. Das Hinzufügen von enforceAvailableModels beschränkt auch das automatisch ausgewählte Standardmodell. Siehe Oberflächenabdeckung für die Erreichbarkeit dieser Einstellung in CLI, Web und IDE availableModels, enforceAvailableModels
Versionsuntergrenze Verhindern Sie, dass Auto-Update unter ein organisationsweites Minimum installiert wird minimumVersion
Erforderlicher Versionsbereich Weigern Sie sich, überhaupt zu starten, wenn die laufende Version außerhalb eines von der Organisation genehmigten Bereichs liegt. Stärker als minimumVersion, das nur Downgrades blockiert requiredMinimumVersion, requiredMaximumVersion

Organisationen, deren Mitglieder sich über claude.ai oder die Anthropic API authentifizieren, können Modelle auch ohne Bereitstellung von Einstellungen steuern: Organisationsmodelleinschränkungen deaktivieren einzelne Modelle, ein Organisationsstandardmodell legt fest, mit welchem Modell neue Sitzungen beginnen, und Organisationsaufwandsgrenzen begrenzen Aufwandsstufen pro Rolle. Alle drei Kontrollen erfordern einen Claude Enterprise-Plan. Modelleinschränkungen und Aufwandsgrenzen werden serverseitig durchgesetzt; das Standardmodell ist ein Ausgangspunkt, den Benutzer ändern können, es sei denn, die Organisation erzwingt es. Die Durchsetzung ist für eine begrenzte Anzahl von Organisationen verfügbar; fragen Sie Ihr Anthropic-Kontoteam nach der Verfügbarkeit. Keine dieser Kontrollen erreichen Sitzungen auf Amazon Bedrock, Google Cloud's Agent Platform, Microsoft Foundry oder Claude Platform on AWS; verwenden Sie auf diesen Anbietern availableModels oben für Einschränkungen und den model-Schlüssel in verwalteten Einstellungen für einen Standard.

Berechtigungsregeln und Sandboxing decken verschiedene Ebenen ab. Das Ablehnen von WebFetch blockiert Claudes Fetch-Tool, aber wenn Bash zulässig ist, können curl und wget immer noch jede URL erreichen. Sandboxing schließt diese Lücke mit einer auf Betriebssystemebene durchgesetzten Netzwerk-Domain-Allowlist.

Für das Bedrohungsmodell, das diese Kontrollen verteidigen, siehe Sicherheit.

Nutzungssichtbarkeit einrichten

Wählen Sie die Überwachung basierend auf dem, was Sie melden müssen.

Fähigkeit Was Sie erhalten Verfügbarkeit Wo Sie anfangen
Nutzungsüberwachung OpenTelemetry-Export von Sitzungen, Tools und Tokens Alle Anbieter Nutzungsüberwachung
Analytik-Dashboard Pro-Benutzer-Metriken, Beitragsverfolgung, Leaderboard Nur Anthropic Analytik
Kostenverfolgung Ausgabenlimits, Ratenlimits und Nutzungszuordnung Anthropic; auf Cloud-Plattformen von Drittanbietern bietet ein Claude-Apps-Gateway Zuordnung pro Benutzer und Ausgabenlimits Kosten

Cloud-Anbieter stellen Ausgaben über AWS Cost Explorer, GCP Billing oder Azure Cost Management bereit. Claude für Teams und Enterprise-Pläne enthalten ein Nutzungs-Dashboard unter claude.ai/analytics/claude-code.

Datenbehandlung überprüfen

Bei Team-, Enterprise-, Claude API- und Cloud-Provider-Plänen trainiert Anthropic keine Modelle auf Ihrem Code oder Ihren Prompts. Ihr API-Anbieter bestimmt die Aufbewahrung und Compliance-Position.

Thema Was Sie wissen sollten Wo Sie anfangen
Datennutzungsrichtlinie Was Anthropic erfasst, wie lange es aufbewahrt wird, was niemals zum Training verwendet wird Datennutzung
Zero Data Retention (ZDR) Nichts wird nach Abschluss der Anfrage gespeichert. Verfügbar für qualifizierte Konten auf Claude für Enterprise Zero Data Retention
Sicherheitsarchitektur Netzwerkmodell, Verschlüsselung, Authentifizierung, Audit-Trail Sicherheit

Wenn Sie Anfrage-Level-Audit-Protokollierung benötigen oder Datenverkehr nach Datensensibilität weiterleiten möchten, platzieren Sie ein Gateway zwischen Entwicklern und Ihrem Anbieter: Ein selbstgehostetes Claude Apps Gateway protokolliert ein Pro-Anfrage-Audit-Protokoll mit IdP-Identität, oder verwenden Sie ein anderes LLM-Gateway. Für behördliche Anforderungen und Zertifizierungen siehe Rechtliche Angelegenheiten und Compliance.

Überprüfen und Onboarding

Nach der Konfiguration verwalteter Einstellungen lassen Sie einen Entwickler /status in Claude Code ausführen. Auf der Registerkarte Status zeigt die Zeile Setting sources Enterprise managed settings gefolgt von der Quelle in Klammern, eine von (remote), (plist), (HKLM), (HKCU) oder (file). Siehe Aktive Einstellungen überprüfen.

Teilen Sie diese Ressourcen, um Entwicklern den Einstieg zu erleichtern:

Bei Anmeldeproblemen verweisen Sie Entwickler auf Authentifizierungs-Fehlerbehebung. Die häufigsten Lösungen sind:

  • Führen Sie /logout und dann /login aus, um Konten zu wechseln
  • Führen Sie claude update aus, wenn die Enterprise-Auth-Option fehlt
  • Starten Sie das Terminal nach dem Update neu

Wenn ein Entwickler „You haven't been added to your organization yet" sieht, ist sein Sitzplatz nicht für Claude Code-Zugriff enthalten und muss in der Administratorkonsole aktualisiert werden.

Nächste Schritte

Mit ausgewähltem Anbieter und Liefermechanismus fahren Sie mit der detaillierten Konfiguration fort: