Configurar la configuración administrada por servidor
Configure Claude Code centralmente para su organización a través de configuración entregada por servidor, sin requerir infraestructura de administración de dispositivos.
La configuración administrada por servidor permite a los administradores configurar Claude Code centralmente a través de una interfaz basada en web en Claude.ai. Los clientes de Claude Code reciben automáticamente estas configuraciones cuando los usuarios se autentican con sus credenciales organizacionales.
Este enfoque está diseñado para organizaciones que no tienen infraestructura de administración de dispositivos implementada, o que necesitan administrar configuraciones para usuarios en dispositivos no administrados.
Requisitos
Para usar la configuración administrada por servidor, necesita:
- Plan Claude for Teams o Claude for Enterprise
- Claude Code versión 2.1.38 o posterior para Claude for Teams, o versión 2.1.30 o posterior para Claude for Enterprise
- Acceso de red a
api.anthropic.com
Elegir entre configuración administrada por servidor y administrada por endpoint
Claude Code admite dos enfoques para la configuración centralizada. La configuración administrada por servidor entrega la configuración desde los servidores de Anthropic. La configuración administrada por endpoint se implementa directamente en dispositivos a través de políticas nativas del sistema operativo (preferencias administradas de macOS, registro de Windows) o archivos de configuración administrados.
| Enfoque | Mejor para | Modelo de seguridad |
|---|---|---|
| Configuración administrada por servidor | Organizaciones sin MDM, o usuarios en dispositivos no administrados | Configuración entregada desde los servidores de Anthropic en el momento de la autenticación |
| Configuración administrada por endpoint | Organizaciones con MDM o administración de endpoint | Configuración implementada en dispositivos a través de perfiles de configuración MDM, políticas de registro o archivos de configuración administrados |
Si sus dispositivos están inscritos en una solución MDM o de administración de endpoint, la configuración administrada por endpoint proporciona garantías de seguridad más sólidas porque el archivo de configuración puede protegerse de la modificación del usuario a nivel del sistema operativo.
Configurar la configuración administrada por servidor
Abrir la consola de administración
En Claude.ai, navegue a Admin Settings > Claude Code > Managed settings.
Definir su configuración
Agregue su configuración como JSON. Todas las configuraciones disponibles en settings.json son compatibles excepto las restringidas a la entrega de políticas a nivel del sistema operativo; consulte Limitaciones actuales para esa lista breve. Esto incluye hooks, variables de entorno y configuraciones solo administradas como allowManagedPermissionRulesOnly.
Este ejemplo aplica una lista de denegación de permisos, impide que los usuarios omitan permisos y restringe las reglas de permisos a las definidas en la configuración administrada:
{
"permissions": {
"deny": [
"Bash(curl *)",
"Read(./.env)",
"Read(./.env.*)",
"Read(./secrets/**)"
],
"disableBypassPermissionsMode": "disable"
},
"allowManagedPermissionRulesOnly": true
}
Los hooks utilizan el mismo formato que en settings.json.
Este ejemplo ejecuta un script de auditoría después de cada edición de archivo en toda la organización:
{
"hooks": {
"PostToolUse": [
{
"matcher": "Edit|Write",
"hooks": [
{ "type": "command", "command": "/usr/local/bin/audit-edit.sh" }
]
}
]
}
}
Para configurar el clasificador del modo automático para que sepa qué repositorios, buckets y dominios confía su organización:
{
"autoMode": {
"environment": [
"Source control: github.example.com/acme-corp and all repos under it",
"Trusted cloud buckets: s3://acme-build-artifacts, gs://acme-ml-datasets",
"Trusted internal domains: *.corp.example.com"
]
}
}
Debido a que los hooks ejecutan comandos de shell, los usuarios ven un diálogo de aprobación de seguridad antes de que se apliquen. Consulte Configurar el modo automático para ver cómo las entradas de autoMode afectan lo que el clasificador bloquea y advertencias importantes sobre los campos environment, allow, soft_deny y hard_deny.
Guardar e implementar
Guarde sus cambios. Los clientes de Claude Code reciben la configuración actualizada en su próximo inicio o ciclo de sondeo por hora.
Verificar la entrega de configuración
Para confirmar que la configuración se está aplicando, pida a un usuario que reinicie Claude Code. Si la configuración incluye configuraciones que activan el diálogo de aprobación de seguridad, el usuario ve un mensaje que describe la configuración administrada al inicio. También puede verificar que las reglas de permisos administrados estén activas haciendo que un usuario ejecute /permissions para ver sus reglas de permisos efectivas.
Control de acceso
Los siguientes roles pueden administrar la configuración administrada por servidor:
- Propietario principal
- Propietario
Restrinja el acceso al personal de confianza, ya que los cambios de configuración se aplican a todos los usuarios de la organización.
Configuraciones solo administradas
La mayoría de las claves de configuración funcionan en cualquier ámbito. Un puñado de claves solo se leen de la configuración administrada y no tienen efecto cuando se colocan en archivos de configuración de usuario o proyecto. Consulte configuraciones solo administradas para obtener la lista completa. Cualquier configuración que no esté en esa lista aún puede colocarse en la configuración administrada y tiene la precedencia más alta.
Limitaciones actuales
La configuración administrada por servidor tiene las siguientes limitaciones:
- La configuración se aplica uniformemente a todos los usuarios de la organización. Las configuraciones por grupo aún no son compatibles.
- Las configuraciones de servidor MCP no se pueden distribuir a través de la configuración administrada por servidor.
- Las configuraciones restringidas a fuentes de políticas a nivel del sistema operativo, como
policyHelperywslInheritsWindowsSettings, no se respetan. Impleméntelas a través de MDM o un archivomanaged-settings.jsondel sistema en su lugar.
Entrega de configuración
Precedencia de configuración
La configuración administrada por servidor y la configuración administrada por endpoint ocupan el nivel más alto en la jerarquía de configuración de Claude Code. Ningún otro nivel de configuración puede anularlas, incluidos los argumentos de línea de comandos.
Dentro del nivel administrado, la primera fuente que entrega una configuración no vacía gana. La configuración administrada por servidor se verifica primero, luego la configuración administrada por endpoint. Las fuentes no se fusionan: si la configuración administrada por servidor entrega alguna clave, la configuración administrada por endpoint se ignora completamente. Si la configuración administrada por servidor no entrega nada, se aplica la configuración administrada por endpoint.
Si borra su configuración administrada por servidor en la consola de administración con la intención de volver a una política plist administrada por endpoint o de registro, tenga en cuenta que la configuración en caché persiste en máquinas cliente hasta la siguiente obtención exitosa. Ejecute /status para ver qué fuente administrada está activa.
Comportamiento de obtención y almacenamiento en caché
Claude Code obtiene la configuración de los servidores de Anthropic al inicio y sondea actualizaciones cada hora durante sesiones activas.
Primer lanzamiento sin configuración en caché:
- Claude Code obtiene la configuración de forma asincrónica
- Si la obtención falla, Claude Code continúa sin configuración administrada
- Hay una breve ventana antes de que se cargue la configuración donde las restricciones aún no se aplican
Lanzamientos posteriores con configuración en caché:
- La configuración en caché se aplica inmediatamente al inicio
- Claude Code obtiene configuración nueva en segundo plano
- La configuración en caché persiste a través de fallos de red
Claude Code aplica actualizaciones de configuración automáticamente sin reinicio, excepto para configuraciones avanzadas como la configuración de OpenTelemetry, que requieren un reinicio completo para tomar efecto.
Aplicar inicio cerrado por fallo
De forma predeterminada, si la obtención de configuración remota falla al inicio, la CLI continúa sin configuración administrada. Para entornos donde esta breve ventana no aplicada es inaceptable, establezca forceRemoteSettingsRefresh: true en su configuración administrada.
Cuando esta configuración está activa, la CLI se bloquea al inicio hasta que la configuración remota se obtiene recientemente. Si la obtención falla, la CLI se cierra en lugar de continuar sin la política. Esta configuración se autoperpetúa: una vez entregada desde el servidor, también se almacena en caché localmente para que los inicios posteriores apliquen el mismo comportamiento incluso antes de la primera obtención exitosa de una nueva sesión.
Para habilitarlo, agregue la clave a su configuración de configuración administrada:
{
"forceRemoteSettingsRefresh": true
}
Antes de habilitar esta configuración, asegúrese de que sus políticas de red permitan la conectividad a api.anthropic.com. Si ese endpoint no es accesible, la CLI se cierra al inicio y los usuarios no pueden iniciar Claude Code.
A partir de v2.1.139, los subcomandos claude auth como claude auth login están exentos de esta verificación, por lo que los usuarios pueden volver a autenticarse cuando las credenciales caducadas son la razón por la que falla la obtención de configuración.
Diálogos de aprobación de seguridad
Ciertas configuraciones que podrían presentar riesgos de seguridad requieren aprobación explícita del usuario antes de ser aplicadas:
- Configuraciones de comandos de shell: configuraciones que ejecutan comandos de shell
- Variables de entorno personalizadas: variables que no están en la lista de permitidos conocida y segura
- Configuraciones de hooks: cualquier definición de hook
Cuando estas configuraciones están presentes, los usuarios ven un diálogo de seguridad que explica qué se está configurando. Los usuarios deben aprobar para continuar. Si un usuario rechaza la configuración, Claude Code se cierra.
Disponibilidad de plataforma
La configuración administrada por servidor requiere una conexión directa a api.anthropic.com y no está disponible cuando se utilizan proveedores de modelos de terceros:
- Amazon Bedrock
- Google Vertex AI
- Microsoft Foundry
- Endpoints de API personalizados a través de
ANTHROPIC_BASE_URLo puertas de enlace LLM
Registro de auditoría
Los eventos del registro de auditoría para cambios de configuración están disponibles a través de la API de cumplimiento o exportación del registro de auditoría. Póngase en contacto con su equipo de cuenta de Anthropic para obtener acceso.
Los eventos de auditoría incluyen el tipo de acción realizada, la cuenta y el dispositivo que realizó la acción, y referencias a los valores anteriores y nuevos.
Consideraciones de seguridad
La configuración administrada por servidor proporciona aplicación de políticas centralizada, pero funciona como un control del lado del cliente. En dispositivos no administrados, los usuarios con acceso de administrador o sudo pueden modificar el binario de Claude Code, el sistema de archivos o la configuración de red.
| Escenario | Comportamiento |
|---|---|
| El usuario edita el archivo de configuración en caché | El archivo manipulado se aplica al inicio, pero la configuración correcta se restaura en la siguiente obtención del servidor |
| El usuario elimina el archivo de configuración en caché | Ocurre el comportamiento del primer lanzamiento: la configuración se obtiene de forma asincrónica con una breve ventana no aplicada |
| La API no está disponible | La configuración en caché se aplica si está disponible, de lo contrario, la configuración administrada no se aplica hasta la siguiente obtención exitosa. Con forceRemoteSettingsRefresh: true, la CLI se cierra en lugar de continuar, excepto para subcomandos claude auth |
| El usuario se autentica con una organización diferente | La configuración no se entrega para cuentas fuera de la organización administrada |
| El usuario configura un proveedor de modelo de terceros | La configuración administrada por servidor se omite. Esto incluye establecer CLAUDE_CODE_USE_BEDROCK, CLAUDE_CODE_USE_MANTLE, CLAUDE_CODE_USE_VERTEX, CLAUDE_CODE_USE_FOUNDRY, o un ANTHROPIC_BASE_URL no predeterminado |
Para detectar cambios de configuración en tiempo de ejecución, use hooks ConfigChange para registrar modificaciones o bloquear cambios no autorizados antes de que surtan efecto.
Para garantías de aplicación más sólidas, use la configuración administrada por endpoint en dispositivos inscritos en una solución MDM.
Ver también
Páginas relacionadas para administrar la configuración de Claude Code:
- Settings: referencia de configuración completa que incluye todas las configuraciones disponibles
- Endpoint-managed settings: configuración administrada implementada en dispositivos por TI
- Authentication: configurar el acceso de usuarios a Claude Code
- Security: salvaguardas de seguridad y mejores prácticas