Configurer Claude Code pour votre organisation
Une carte de décision pour les administrateurs déployant Claude Code, couvrant les fournisseurs d'API, les paramètres gérés, l'application des politiques, la surveillance de l'utilisation et la gestion des données.
Claude Code applique la politique organisationnelle par le biais de paramètres gérés qui prennent précédence sur la configuration locale des développeurs. Vous livrez ces paramètres à partir de la console d'administration Claude, de votre système de gestion des appareils mobiles (MDM) ou d'un fichier sur disque. Les paramètres contrôlent les outils, commandes, serveurs et destinations réseau que Claude peut atteindre.
Cette page vous guide à travers les décisions de déploiement dans l'ordre. Chaque ligne renvoie à la section ci-dessous et à la page de référence pour ce domaine.
| Décision | Ce que vous choisissez | Référence |
|---|---|---|
| Choisir votre fournisseur d'API | Où Claude Code s'authentifie et comment il est facturé | Authentification, Bedrock, Vertex AI, Foundry |
| Décider comment les paramètres atteignent les appareils | Comment la politique gérée atteint les machines des développeurs | Paramètres gérés par le serveur, Fichiers de paramètres |
| Décider ce qu'il faut appliquer | Quels outils, commandes et intégrations sont autorisés | Permissions, Sandboxing |
| Configurer la visibilité de l'utilisation | Comment vous suivez les dépenses et l'adoption | Analytique, Surveillance, Coûts |
| Examiner la gestion des données | Rétention des données et posture de conformité | Utilisation des données, Sécurité |
Choisir votre fournisseur d'API
Claude Code se connecte à Claude par l'intermédiaire de l'un de plusieurs fournisseurs d'API. Votre choix affecte la facturation, l'authentification et la posture de conformité que vous héritez.
| Fournisseur | Choisissez ceci quand |
|---|---|
| Claude for Teams / Enterprise | Vous voulez Claude Code et claude.ai sous un seul abonnement par siège sans infrastructure à exécuter. C'est la recommandation par défaut. |
| Claude Console | Vous êtes orienté API ou vous voulez une facturation à l'usage |
| Amazon Bedrock | Vous voulez hériter des contrôles de conformité et de la facturation AWS existants |
| Google Vertex AI | Vous voulez hériter des contrôles de conformité et de la facturation GCP existants |
| Microsoft Foundry | Vous voulez hériter des contrôles de conformité et de la facturation Azure existants |
Pour la comparaison complète des fournisseurs couvrant l'authentification, les régions et la parité des fonctionnalités, consultez l'aperçu du déploiement en entreprise. La configuration d'authentification de chaque fournisseur se trouve dans Authentification.
Les exigences de proxy et de pare-feu dans Configuration réseau s'appliquent quel que soit le fournisseur. Si vous voulez un point de terminaison unique devant plusieurs fournisseurs ou une journalisation centralisée des demandes, consultez Passerelle LLM.
Décider comment les paramètres atteignent les appareils
Les paramètres gérés définissent une politique qui prend précédence sur la configuration locale des développeurs. Claude Code les recherche dans quatre endroits et utilise le premier qu'il trouve sur un appareil donné.
| Mécanisme | Livraison | Priorité | Plateformes |
|---|---|---|---|
| Géré par le serveur | Console d'administration Claude.ai | Très élevée | Tous |
| Politique plist / registre | macOS : plist com.anthropic.claudecodeWindows : HKLM\SOFTWARE\Policies\ClaudeCode |
Élevée | macOS, Windows |
| Géré basé sur fichier | macOS : /Library/Application Support/ClaudeCode/managed-settings.jsonLinux et WSL : /etc/claude-code/managed-settings.jsonWindows : C:\Program Files\ClaudeCode\managed-settings.json |
Moyenne | Tous |
| Registre utilisateur Windows | HKCU\SOFTWARE\Policies\ClaudeCode |
Très basse | Windows uniquement |
Les paramètres gérés par le serveur atteignent les appareils au moment de l'authentification et s'actualisent toutes les heures pendant les sessions actives, sans infrastructure de point de terminaison. Ils nécessitent un plan Claude for Teams ou Enterprise, donc les déploiements sur d'autres fournisseurs ont besoin de l'un des mécanismes basés sur fichier ou au niveau du système d'exploitation à la place.
Si votre organisation mélange les fournisseurs, configurez les paramètres gérés par le serveur pour les utilisateurs de Claude.ai plus un secours basé sur fichier ou plist/registre afin que les autres utilisateurs reçoivent toujours la politique gérée.
Les emplacements du registre plist et HKLM fonctionnent avec n'importe quel fournisseur et résistent à la falsification car ils nécessitent des privilèges d'administrateur pour écrire. Le registre utilisateur Windows à HKCU est accessible en écriture sans élévation, donc traitez-le comme une valeur par défaut pratique plutôt que comme un canal d'application.
Par défaut, WSL lit uniquement le chemin de fichier Linux à /etc/claude-code. Pour étendre votre registre Windows et la politique C:\Program Files\ClaudeCode à WSL sur la même machine, définissez wslInheritsWindowsSettings: true dans l'une de ces sources Windows réservées aux administrateurs.
Quel que soit le mécanisme que vous choisissez, les valeurs gérées prennent précédence sur les paramètres utilisateur et projet. Les paramètres de tableau tels que permissions.allow et permissions.deny fusionnent les entrées de toutes les sources, donc les développeurs peuvent étendre les listes gérées mais pas les supprimer.
Consultez Paramètres gérés par le serveur et Fichiers de paramètres et précédence.
Décider ce qu'il faut appliquer
Les paramètres gérés peuvent verrouiller les outils, l'exécution du sandbox, restreindre les serveurs MCP et les sources de plugins, et contrôler les hooks qui s'exécutent. Chaque ligne est une surface de contrôle avec les clés de paramètres qui la pilotent.
| Contrôle | Ce qu'il fait | Paramètres clés |
|---|---|---|
| Règles de permission | Autoriser, demander ou refuser des outils et commandes spécifiques | permissions.allow, permissions.deny |
| Verrouillage des permissions | Seules les règles de permission gérées s'appliquent ; désactiver --dangerously-skip-permissions |
allowManagedPermissionRulesOnly, permissions.disableBypassPermissionsMode |
| Sandboxing | Isolation du système de fichiers et du réseau au niveau du système d'exploitation avec listes blanches de domaines | sandbox.enabled, sandbox.network.allowedDomains |
| Politique gérée CLAUDE.md | Instructions à l'échelle de l'organisation chargées dans chaque session, ne peuvent pas être exclues | Fichier au chemin de la politique gérée |
| Contrôle du serveur MCP | Restreindre les serveurs MCP que les utilisateurs peuvent ajouter ou connecter | allowedMcpServers, deniedMcpServers, allowManagedMcpServersOnly |
| Contrôle de la place de marché des plugins | Restreindre les sources de place de marché que les utilisateurs peuvent ajouter et installer | strictKnownMarketplaces, blockedMarketplaces |
| Restrictions des hooks | Seuls les hooks gérés se chargent ; restreindre les URL des hooks HTTP | allowManagedHooksOnly, allowedHttpHookUrls |
| Plancher de version | Empêcher la mise à jour automatique d'installer en dessous d'un minimum à l'échelle de l'organisation | minimumVersion |
Les règles de permission et le sandboxing couvrent différentes couches. Refuser WebFetch bloque l'outil fetch de Claude, mais si Bash est autorisé, curl et wget peuvent toujours atteindre n'importe quelle URL. Le sandboxing ferme cette lacune avec une liste blanche de domaines réseau appliquée au niveau du système d'exploitation.
Pour le modèle de menace que ces contrôles défendent, consultez Sécurité.
Configurer la visibilité de l'utilisation
Choisissez la surveillance en fonction de ce que vous devez signaler.
| Capacité | Ce que vous obtenez | Disponibilité | Par où commencer |
|---|---|---|---|
| Surveillance de l'utilisation | Export OpenTelemetry des sessions, outils et jetons | Tous les fournisseurs | Surveillance de l'utilisation |
| Tableau de bord analytique | Métriques par utilisateur, suivi des contributions, classement | Anthropic uniquement | Analytique |
| Suivi des coûts | Limites de dépenses, limites de débit et attribution d'utilisation | Anthropic uniquement | Coûts |
Les fournisseurs cloud exposent les dépenses via AWS Cost Explorer, GCP Billing ou Azure Cost Management. Les plans Claude for Teams et Enterprise incluent un tableau de bord d'utilisation sur claude.ai/analytics/claude-code.
Examiner la gestion des données
Sur les plans Team, Enterprise, Claude API et fournisseur cloud, Anthropic n'entraîne pas les modèles sur votre code ou vos invites. Votre fournisseur d'API détermine la rétention et la posture de conformité.
| Sujet | Ce qu'il faut savoir | Par où commencer |
|---|---|---|
| Politique d'utilisation des données | Ce qu'Anthropic collecte, combien de temps c'est conservé, ce qui n'est jamais utilisé pour l'entraînement | Utilisation des données |
| Rétention zéro données (ZDR) | Rien n'est stocké après la fin de la demande. Disponible sur Claude for Enterprise | Rétention zéro données |
| Architecture de sécurité | Modèle réseau, chiffrement, authentification, piste d'audit | Sécurité |
Si vous avez besoin d'une journalisation d'audit au niveau des demandes ou de router le trafic par sensibilité des données, placez une passerelle LLM entre les développeurs et votre fournisseur. Pour les exigences réglementaires et les certifications, consultez Légal et conformité.
Vérifier et intégrer
Après avoir configuré les paramètres gérés, demandez à un développeur d'exécuter /status dans Claude Code. La sortie inclut une ligne commençant par Enterprise managed settings suivie de la source entre parenthèses, l'une de (remote), (plist), (HKLM), (HKCU) ou (file). Consultez Vérifier les paramètres actifs.
Partagez ces ressources pour aider les développeurs à démarrer :
- Démarrage rapide : procédure pas à pas de la première session de l'installation au travail avec un projet
- Flux de travail courants : modèles pour les tâches quotidiennes comme l'examen du code, la refactorisation et le débogage
- Claude 101 et Claude Code in Action : cours d'Anthropic Academy à votre rythme
Pour les problèmes de connexion, dirigez les développeurs vers dépannage de l'authentification. Les correctifs les plus courants sont :
- Exécuter
/logoutpuis/loginpour changer de compte - Exécuter
claude updatesi l'option d'authentification d'entreprise est manquante - Redémarrer le terminal après la mise à jour
Si un développeur voit « You haven't been added to your organization yet », son siège n'inclut pas l'accès à Claude Code et doit être mis à jour dans la console d'administration.
Étapes suivantes
Avec le fournisseur et le mécanisme de livraison choisis, passez à la configuration détaillée :
- Paramètres gérés par le serveur : livrer la politique gérée à partir de la console d'administration Claude
- Référence des paramètres : chaque clé de paramètre, emplacement de fichier et règle de précédence
- Amazon Bedrock, Google Vertex AI, Microsoft Foundry : déploiement spécifique au fournisseur
- Guide de l'administrateur Claude Enterprise : SSO, SCIM, gestion des sièges et playbook de déploiement