サーバー管理設定を構成する
デバイス管理インフラストラクチャを必要とせずに、Claude.ai 上のウェブベースインターフェースを通じて、組織全体で Claude Code を一元的に構成します。
サーバー管理設定により、管理者は Claude.ai 上のウェブベースインターフェースを通じて Claude Code を一元的に構成できます。Claude Code クライアントは、ユーザーが組織の認証情報で認証すると、これらの設定を自動的に受け取ります。
このアプローチは、デバイス管理インフラストラクチャが導入されていない組織、または管理されていないデバイス上のユーザーの設定を管理する必要がある組織向けに設計されています。
要件
サーバー管理設定を使用するには、以下が必要です。
- Claude for Teams または Claude for Enterprise プラン
- Claude for Teams の場合はバージョン 2.1.38 以降、Claude for Enterprise の場合はバージョン 2.1.30 以降の Claude Code
api.anthropic.comへのネットワークアクセス
サーバー管理設定とエンドポイント管理設定の選択
Claude Code は、一元的な構成のための 2 つのアプローチをサポートしています。サーバー管理設定は Anthropic のサーバーから構成を配信します。エンドポイント管理設定は、ネイティブ OS ポリシー(macOS 管理設定、Windows レジストリ)または管理設定ファイルを通じてデバイスに直接配置されます。
| アプローチ | 最適な用途 | セキュリティモデル |
|---|---|---|
| サーバー管理設定 | MDM がない組織、または管理されていないデバイス上のユーザー | 認証時に Anthropic のサーバーから配信される設定 |
| エンドポイント管理設定 | MDM またはエンドポイント管理がある組織 | MDM 構成プロファイル、レジストリポリシー、または管理設定ファイルを通じてデバイスに配置される設定 |
デバイスが MDM またはエンドポイント管理ソリューションに登録されている場合、エンドポイント管理設定はより強力なセキュリティ保証を提供します。これは、設定ファイルが OS レベルでユーザーの変更から保護される可能性があるためです。
サーバー管理設定を構成する
管理コンソールを開く
Claude.ai で、Admin Settings > Claude Code > Managed settings に移動します。
設定を定義する
構成を JSON として追加します。settings.json で利用可能なすべての設定がサポートされており、OS レベルのポリシー配信に制限されているものを除きます。現在の制限事項でその短いリストを参照してください。これにはhooks、環境変数、および allowManagedPermissionRulesOnly などの管理専用設定が含まれます。
この例は、権限拒否リストを適用し、ユーザーが権限をバイパスするのを防ぎ、権限ルールを管理設定で定義されたものに制限します。
{
"permissions": {
"deny": [
"Bash(curl *)",
"Read(./.env)",
"Read(./.env.*)",
"Read(./secrets/**)"
],
"disableBypassPermissionsMode": "disable"
},
"allowManagedPermissionRulesOnly": true
}
hooks は settings.json と同じ形式を使用します。
この例は、組織全体のすべてのファイル編集後に監査スクリプトを実行します。
{
"hooks": {
"PostToolUse": [
{
"matcher": "Edit|Write",
"hooks": [
{ "type": "command", "command": "/usr/local/bin/audit-edit.sh" }
]
}
]
}
}
auto mode 分類器を構成して、組織が信頼するリポジトリ、バケット、ドメインを認識させるには、以下のようにします。
{
"autoMode": {
"environment": [
"Source control: github.example.com/acme-corp and all repos under it",
"Trusted cloud buckets: s3://acme-build-artifacts, gs://acme-ml-datasets",
"Trusted internal domains: *.corp.example.com"
]
}
}
hooks はシェルコマンドを実行するため、ユーザーは適用される前にセキュリティ承認ダイアログを表示します。autoMode エントリが分類器がブロックする内容にどのように影響するか、および environment、allow、soft_deny、および hard_deny フィールドに関する重要な警告については、auto mode を構成するを参照してください。
保存してデプロイする
変更を保存します。Claude Code クライアントは、次回の起動時または 1 時間ごとのポーリングサイクルで更新された設定を受け取ります。
設定配信の確認
設定が適用されていることを確認するには、ユーザーに Claude Code を再起動するよう依頼します。構成にセキュリティ承認ダイアログをトリガーする設定が含まれている場合、ユーザーは起動時に管理設定を説明するプロンプトを表示します。また、ユーザーに /permissions を実行して有効な権限ルールを表示させることで、管理権限ルールがアクティブであることを確認することもできます。
アクセス制御
以下のロールがサーバー管理設定を管理できます。
- Primary Owner
- Owner
設定の変更は組織内のすべてのユーザーに適用されるため、信頼できる担当者へのアクセスを制限してください。
管理専用設定
ほとんどの設定キーは任意のスコープで機能します。いくつかのキーは管理設定からのみ読み込まれ、ユーザーまたはプロジェクト設定ファイルに配置された場合は効果がありません。完全なリストについては、管理専用設定を参照してください。そのリストにない設定は、管理設定に配置することができ、最高の優先度を持ちます。
現在の制限事項
サーバー管理設定には、以下の制限があります。
- 設定は組織内のすべてのユーザーに均一に適用されます。グループごとの構成はまだサポートされていません。
- MCP サーバー構成は、サーバー管理設定を通じて配布することはできません。
policyHelperおよびwslInheritsWindowsSettingsなど、OS レベルのポリシーソースに制限されている設定は、尊重されません。代わりに MDM またはシステムmanaged-settings.jsonファイルを通じてデプロイしてください。
設定配信
設定の優先順位
サーバー管理設定とエンドポイント管理設定は、Claude Code 設定階層の最上位を占めます。コマンドライン引数を含む他の設定レベルはこれらをオーバーライドできません。管理層内では、空でない構成を配信する最初のソースが優先されます。サーバー管理設定が最初にチェックされ、次にエンドポイント管理設定がチェックされます。ソースはマージされません。サーバー管理設定がキーを配信する場合、エンドポイント管理設定は完全に無視されます。サーバー管理設定が何も配信しない場合、エンドポイント管理設定が適用されます。
管理コンソールでサーバー管理構成をクリアして、エンドポイント管理 plist またはレジストリポリシーにフォールバックする意図がある場合、キャッシュされた設定はクライアントマシンに保持され、次の成功したフェッチまで続きます。/status を実行して、どの管理ソースがアクティブであるかを確認してください。
フェッチとキャッシング動作
Claude Code は起動時に Anthropic のサーバーから設定をフェッチし、アクティブなセッション中は 1 時間ごとに更新をポーリングします。
キャッシュされた設定なしの初回起動:
- Claude Code は非同期で設定をフェッチします
- フェッチが失敗した場合、Claude Code は管理設定なしで続行します
- 設定が読み込まれるまでの短い期間があり、その間は制限が適用されません
キャッシュされた設定での後続の起動:
- キャッシュされた設定は起動時に直ちに適用されます
- Claude Code はバックグラウンドで新しい設定をフェッチします
- キャッシュされた設定はネットワーク障害を通じて保持されます
Claude Code は設定の更新を自動的に適用します。ただし、OpenTelemetry 構成などの高度な設定は、有効にするために完全な再起動が必要です。
強制的にクローズされた起動を適用する
デフォルトでは、起動時にリモート設定フェッチが失敗した場合、CLI は管理設定なしで続行します。この短い未適用ウィンドウが許容できない環境では、管理設定で forceRemoteSettingsRefresh: true を設定します。
この設定がアクティブな場合、CLI は起動時にリモート設定が新しくフェッチされるまでブロックされます。フェッチが失敗した場合、CLI はポリシーなしで続行するのではなく、終了します。この設定は自己永続化します。サーバーから配信されると、ローカルにもキャッシュされるため、新しいセッションの最初の成功したフェッチの前でも、後続の起動は同じ動作を適用します。
これを有効にするには、管理設定構成にキーを追加します。
{
"forceRemoteSettingsRefresh": true
}
この設定を有効にする前に、ネットワークポリシーが api.anthropic.com への接続を許可していることを確認してください。そのエンドポイントに到達できない場合、CLI は起動時に終了し、ユーザーは Claude Code を開始できません。
v2.1.139 以降、claude auth サブコマンド(claude auth login など)はこのチェックから除外されるため、期限切れの認証情報が設定フェッチが失敗する理由である場合、ユーザーは再認証できます。
セキュリティ承認ダイアログ
セキュリティリスクをもたらす可能性のある特定の設定には、適用される前に明示的なユーザー承認が必要です。
- シェルコマンド設定:シェルコマンドを実行する設定
- カスタム環境変数:既知の安全なホワイトリストにない変数
- フック構成:任意のフック定義
これらの設定が存在する場合、ユーザーは構成されている内容を説明するセキュリティダイアログを表示します。ユーザーは続行するために承認する必要があります。ユーザーが設定を拒否した場合、Claude Code は終了します。
プラットフォームの可用性
サーバー管理設定は api.anthropic.com への直接接続が必要であり、サードパーティのモデルプロバイダーを使用する場合は利用できません。
- Amazon Bedrock
- Google Vertex AI
- Microsoft Foundry
ANTHROPIC_BASE_URLまたは LLM ゲートウェイを通じたカスタム API エンドポイント
監査ログ
設定変更の監査ログイベントは、コンプライアンス API または監査ログエクスポートを通じて利用可能です。アクセスについては、Anthropic アカウントチームにお問い合わせください。
監査イベントには、実行されたアクションのタイプ、アクションを実行したアカウントとデバイス、および前の値と新しい値への参照が含まれます。
セキュリティに関する考慮事項
サーバー管理設定は一元的なポリシー適用を提供しますが、クライアント側の制御として機能します。管理されていないデバイスでは、管理者またはスーパーユーザーアクセス権を持つユーザーは、Claude Code バイナリ、ファイルシステム、またはネットワーク構成を変更できます。
| シナリオ | 動作 |
|---|---|
| ユーザーがキャッシュされた設定ファイルを編集する | 改ざんされたファイルは起動時に適用されますが、次のサーバーフェッチで正しい設定が復元されます |
| ユーザーがキャッシュされた設定ファイルを削除する | 初回起動動作が発生します。設定は非同期でフェッチされ、短い未適用ウィンドウがあります |
| API が利用不可 | キャッシュされた設定が利用可能な場合は適用されます。そうでない場合、管理設定は次の成功したフェッチまで適用されません。forceRemoteSettingsRefresh: true の場合、CLI は続行するのではなく終了します。ただし、claude auth サブコマンドを除きます |
| ユーザーが別の組織で認証する | 管理対象組織外のアカウントには設定が配信されません |
| ユーザーがサードパーティモデルプロバイダーを構成する | サーバー管理設定はバイパスされます。これには CLAUDE_CODE_USE_BEDROCK、CLAUDE_CODE_USE_MANTLE、CLAUDE_CODE_USE_VERTEX、CLAUDE_CODE_USE_FOUNDRY、またはデフォルト以外の ANTHROPIC_BASE_URL の設定が含まれます |
ランタイム構成の変更を検出するには、ConfigChange フックを使用して、変更をログに記録するか、変更が有効になる前に不正な変更をブロックしてください。
より強力な適用保証については、MDM ソリューションに登録されているデバイスでエンドポイント管理設定を使用してください。
関連項目
Claude Code 構成を管理するための関連ページ。
- Settings:すべての利用可能な設定を含む完全な構成リファレンス
- Endpoint-managed settings:IT によってデバイスに配置される管理設定
- Authentication:Claude Code へのユーザーアクセスのセットアップ
- Security:セキュリティ保護とベストプラクティス