為您的組織設定 Claude Code
管理員部署 Claude Code 的決策地圖,涵蓋 API 提供者、受管設定、政策執行、使用情況監控和資料處理。
Claude Code 透過受管設定來執行組織政策,這些設定優先於本地開發人員配置。您可以從 Claude 管理員控制台、行動裝置管理 (MDM) 系統或磁碟上的檔案傳遞這些設定。這些設定控制 Claude 可以存取的工具、命令、伺服器和網路目的地。
本頁按順序介紹部署決策。每一行都連結到下面的部分和該區域的參考頁面。
| 決策 | 您正在選擇什麼 | 參考 |
|---|---|---|
| 選擇您的 API 提供者 | Claude Code 驗證的位置以及如何計費 | Authentication、Bedrock、Vertex AI、Foundry |
| 決定設定如何到達裝置 | 受管政策如何到達開發人員機器 | Server-managed settings、Settings files |
| 決定要執行什麼 | 允許哪些工具、命令和整合 | Permissions、Sandboxing |
| 設定使用情況可見性 | 您如何追蹤支出和採用情況 | Analytics、Monitoring、Costs |
| 檢查資料處理 | 資料保留和合規狀況 | Data usage、Security |
選擇您的 API 提供者
Claude Code 透過多個 API 提供者之一連接到 Claude。您的選擇會影響計費、驗證、您繼承的合規狀況,以及您的開發人員可以使用的 Claude Code 功能。
| 提供者 | 在以下情況下選擇此選項 |
|---|---|
| Claude for Teams / Enterprise | 您希望 Claude Code 和 claude.ai 在一個按座位訂閱下,無需執行基礎設施。這是預設建議。 |
| Claude Console | 您是 API 優先或希望按使用量付費計費 |
| Amazon Bedrock | 您希望繼承現有的 AWS 合規控制和計費 |
| Google Vertex AI | 您希望繼承現有的 GCP 合規控制和計費 |
| Microsoft Foundry | 您希望繼承現有的 Azure 合規控制和計費 |
某些 Claude Code 功能需要 Claude.ai 帳戶。Claude Code on the web、Routines、Code Review、Remote Control 和 Chrome extension 無法透過 Console API 金鑰或雲端提供者認證單獨使用。如果您透過 Bedrock、Vertex 或 Foundry 部署,請規劃開發人員是否也需要 Claude for Teams 或 Enterprise 座位。每個功能頁面都列出其計畫要求。
有關涵蓋驗證、區域和功能奇偶性的完整提供者比較,請參閱 企業部署概述。每個提供者的驗證設定位於 Authentication。
無論提供者如何,網路配置 中的代理和防火牆要求都適用。如果您想要在多個提供者前面有單一端點或集中式請求日誌記錄,請參閱 LLM gateway。
決定設定如何到達裝置
受管設定定義優先於本地開發人員配置的政策。Claude Code 按優先順序檢查以下四個來源,並應用第一個傳回非空配置的來源。
| 機制 | 傳遞 | 優先級 | 平台 |
|---|---|---|---|
| Server-managed | Claude.ai 管理員控制台 | 最高 | 全部 |
| plist / registry policy | macOS:com.anthropic.claudecode plistWindows: HKLM\SOFTWARE\Policies\ClaudeCode |
高 | macOS、Windows |
| File-based managed | macOS:/Library/Application Support/ClaudeCode/managed-settings.jsonLinux 和 WSL: /etc/claude-code/managed-settings.jsonWindows: C:\Program Files\ClaudeCode\managed-settings.json |
中 | 全部 |
| Windows user registry | HKCU\SOFTWARE\Policies\ClaudeCode |
最低 | 僅 Windows |
Server-managed 設定在驗證時到達裝置,並在活動會話期間每小時刷新一次,無需端點基礎設施。它們需要 Claude for Teams 或 Enterprise 計畫,因此在其他提供者上的部署需要改用基於檔案或作業系統級別的機制之一。
如果您的組織混合使用提供者,請為 Claude.ai 使用者配置 server-managed settings 加上 基於檔案或 plist/registry 備用,以便其他使用者仍然接收受管政策。
plist 和 HKLM 登錄位置適用於任何提供者,並且由於需要管理員權限才能寫入,因此可以抵抗篡改。Windows 使用者登錄中的 HKCU 無需提升即可寫入,因此將其視為便利預設值而不是執行通道。
無論您選擇哪種機制,受管值都優先於使用者和專案設定。陣列設定(例如 permissions.allow 和 permissions.deny)會合併來自所有來源的項目,因此開發人員可以擴展受管清單但無法從中移除。
請參閱 Server-managed settings 和 Settings files and precedence。
決定要執行什麼
受管設定可以鎖定工具、沙箱執行、限制 MCP 伺服器和外掛程式來源,以及控制哪些 hooks 執行。每一行都是一個控制表面,具有驅動它的設定鍵。
| 控制 | 它的作用 | 關鍵設定 |
|---|---|---|
| Permission rules | 允許、詢問或拒絕特定工具和命令 | permissions.allow、permissions.deny |
| Permission lockdown | 僅受管權限規則適用;禁用 --dangerously-skip-permissions |
allowManagedPermissionRulesOnly、permissions.disableBypassPermissionsMode |
| Sandboxing | 作業系統級別的檔案系統和網路隔離,具有網域允許清單 | sandbox.enabled、sandbox.network.allowedDomains |
| Managed policy CLAUDE.md | 在每個會話中載入的組織範圍指令,無法排除 | 受管政策路徑中的檔案 |
| MCP server control | 限制使用者可以新增或連接的 MCP 伺服器,或部署固定集合 | allowedMcpServers、deniedMcpServers、allowManagedMcpServersOnly,或已部署的 managed-mcp.json 檔案 |
| Plugin marketplace control | 限制使用者可以新增和安裝的市場來源 | strictKnownMarketplaces、blockedMarketplaces |
| Customization lockdown | 阻止 skills、agents、hooks 和 MCP 伺服器來自使用者和專案來源,使其只能來自外掛程式或受管設定 | strictPluginOnlyCustomization |
| Hook restrictions | 僅受管 hooks 載入;限制 HTTP hook URL | allowManagedHooksOnly、allowedHttpHookUrls |
| Disable agent view | 關閉 claude agents、--bg、/background 和隨選監督員 |
disableAgentView |
| Version floor | 防止自動更新安裝低於組織範圍最小值的版本 | minimumVersion |
| Required version range | 當執行版本超出組織核准範圍時,完全拒絕啟動。比 minimumVersion 更強大,後者只會阻止降級 |
requiredMinimumVersion、requiredMaximumVersion |
權限規則和沙箱涵蓋不同的層。拒絕 WebFetch 會阻止 Claude 的 fetch 工具,但如果允許 Bash,curl 和 wget 仍然可以到達任何 URL。沙箱透過在作業系統級別執行的網路網域允許清單來彌補這一差距。
有關這些控制防禦的威脅模型,請參閱 Security。
設定使用情況可見性
根據您需要報告的內容選擇監控。
| 功能 | 您獲得什麼 | 可用性 | 從哪裡開始 |
|---|---|---|---|
| Usage monitoring | 會話、工具和令牌的 OpenTelemetry 匯出 | 所有提供者 | Monitoring usage |
| Analytics dashboard | 每個使用者的指標、貢獻追蹤、排行榜 | 僅 Anthropic | Analytics |
| Cost tracking | 支出限制、速率限制和使用情況歸因 | 僅 Anthropic | Costs |
雲端提供者透過 AWS Cost Explorer、GCP Billing 或 Azure Cost Management 公開支出。Claude for Teams 和 Enterprise 計畫在 claude.ai/analytics/claude-code 包含使用情況儀表板。
檢查資料處理
在 Team、Enterprise、Claude API 和雲端提供者計畫上,Anthropic 不會在您的程式碼或提示上訓練模型。您的 API 提供者決定保留和合規狀況。
| 主題 | 需要了解的內容 | 從哪裡開始 |
|---|---|---|
| Data usage policy | Anthropic 收集什麼、保留多長時間、永遠不會用於訓練的內容 | Data usage |
| Zero Data Retention (ZDR) | 請求完成後不存儲任何內容。在 Claude for Enterprise 上可用 | Zero data retention |
| Security architecture | 網路模型、加密、驗證、稽核追蹤 | Security |
如果您需要請求級別的稽核日誌記錄或按資料敏感性路由流量,請在開發人員和您的提供者之間放置 LLM gateway。有關法規要求和認證,請參閱 Legal and compliance。
驗證和上線
配置受管設定後,讓開發人員在 Claude Code 內執行 /status。在 Status 標籤上,Setting sources 行顯示 Enterprise managed settings 後面跟著括號中的來源,其中之一為 (remote)、(plist)、(HKLM)、(HKCU) 或 (file)。請參閱 驗證作用中的設定。
分享這些資源以幫助開發人員入門:
- 快速入門:從安裝到使用專案的首次會話逐步說明
- 常見工作流程:日常任務的模式,例如程式碼審查、重構和除錯
- Claude 101 和 Claude Code in Action:自進度 Anthropic Academy 課程
對於登入問題,請將開發人員指向 驗證疑難排解。最常見的修復是:
- 執行
/logout然後/login以切換帳戶 - 如果缺少企業驗證選項,執行
claude update - 更新後重新啟動終端
如果開發人員看到「您尚未被新增到您的組織」,他們的座位不包括 Claude Code 存取權限,需要在管理員控制台中更新。
後續步驟
選擇提供者和傳遞機制後,繼續進行詳細配置:
- Server-managed settings:從 Claude 管理員控制台傳遞受管政策
- Settings reference:每個設定鍵、檔案位置和優先級規則
- Monorepos and large repos:為部署到 monorepo 的組織提供的每個目錄配置模式
- Amazon Bedrock、Google Vertex AI、Microsoft Foundry:提供者特定部署
- Claude Enterprise Administrator Guide:SSO、SCIM、座位管理和推出劇本