設定伺服器管理的設定
透過伺服器傳遞的設定在 Claude.ai 上為您的組織集中設定 Claude Code,無需裝置管理基礎設施。
伺服器管理的設定允許管理員透過 Claude.ai 上的網頁介面集中設定 Claude Code。Claude Code 用戶端在使用者使用其組織認證進行身份驗證時會自動接收這些設定。
此方法適用於沒有裝置管理基礎設施的組織,或需要為非受管裝置上的使用者管理設定的組織。
需求
若要使用伺服器管理的設定,您需要:
- Claude for Teams 或 Claude for Enterprise 方案
- Claude for Teams 的 Claude Code 版本 2.1.38 或更新版本,或 Claude for Enterprise 的版本 2.1.30 或更新版本
- 對
api.anthropic.com的網路存取
在伺服器管理和端點管理的設定之間選擇
Claude Code 支援兩種集中設定方法。伺服器管理的設定從 Anthropic 的伺服器傳遞設定。端點管理的設定 透過原生作業系統原則 (macOS 受管偏好設定、Windows 登錄) 或受管設定檔直接部署到裝置。
| 方法 | 最適合 | 安全模型 |
|---|---|---|
| 伺服器管理的設定 | 沒有 MDM 的組織,或非受管裝置上的使用者 | 在身份驗證時從 Anthropic 伺服器傳遞的設定 |
| 端點管理的設定 | 具有 MDM 或端點管理的組織 | 透過 MDM 設定檔、登錄原則或受管設定檔部署到裝置的設定 |
如果您的裝置已在 MDM 或端點管理解決方案中註冊,端點管理的設定提供更強的安全保證,因為設定檔可以在作業系統層級受到保護,防止使用者修改。
設定伺服器管理的設定
開啟管理員主控台
在 Claude.ai 中,導覽至 Admin Settings > Claude Code > Managed settings。
定義您的設定
將您的設定新增為 JSON。支援 settings.json 中提供的所有設定,除了限制於作業系統層級原則傳遞的設定外;請參閱目前的限制以取得該簡短清單。這包括 hooks、環境變數 和僅限受管的設定,例如 allowManagedPermissionRulesOnly。
此範例強制執行權限拒絕清單,防止使用者繞過權限,並將權限規則限制為在受管設定中定義的規則:
{
"permissions": {
"deny": [
"Bash(curl *)",
"Read(./.env)",
"Read(./.env.*)",
"Read(./secrets/**)"
],
"disableBypassPermissionsMode": "disable"
},
"allowManagedPermissionRulesOnly": true
}
Hooks 使用與 settings.json 中相同的格式。
此範例在整個組織中的每次檔案編輯後執行稽核指令碼:
{
"hooks": {
"PostToolUse": [
{
"matcher": "Edit|Write",
"hooks": [
{ "type": "command", "command": "/usr/local/bin/audit-edit.sh" }
]
}
]
}
}
若要設定 auto mode 分類器,使其知道您的組織信任哪些儲存庫、儲存桶和網域:
{
"autoMode": {
"environment": [
"Source control: github.example.com/acme-corp and all repos under it",
"Trusted cloud buckets: s3://acme-build-artifacts, gs://acme-ml-datasets",
"Trusted internal domains: *.corp.example.com"
]
}
}
因為 hooks 執行 shell 命令,使用者在套用前會看到安全核准對話方塊。請參閱設定 auto mode,了解 autoMode 項目如何影響分類器阻止的內容,以及關於 environment、allow、soft_deny 和 hard_deny 欄位的重要警告。
儲存並部署
儲存您的變更。Claude Code 用戶端在下次啟動或每小時輪詢週期時會接收更新的設定。
驗證設定傳遞
若要確認設定正在套用,請要求使用者重新啟動 Claude Code。如果設定包含觸發安全核准對話方塊的設定,使用者會在啟動時看到描述受管設定的提示。您也可以透過讓使用者執行 /permissions 來檢視其有效的權限規則,以驗證受管權限規則是否處於作用中。
存取控制
以下角色可以管理伺服器管理的設定:
- 主要擁有者
- 擁有者
限制對受信任人員的存取,因為設定變更會套用到組織中的所有使用者。
僅限受管的設定
大多數設定金鑰可在任何範圍中運作。少數金鑰只能從受管設定中讀取,在放置於使用者或專案設定檔中時無效。請參閱僅限受管的設定以取得完整清單。任何不在該清單上的設定仍然可以放置在受管設定中,並具有最高優先順序。
目前的限制
伺服器管理的設定有以下限制:
- 設定統一套用到組織中的所有使用者。尚不支援每個群組的設定。
managed-mcp.json檔案無法透過伺服器管理的設定分發。改為在該處傳遞allowedMcpServers和deniedMcpServers原則金鑰。- 限制於作業系統層級原則來源的設定,例如
policyHelper和wslInheritsWindowsSettings,不會被接受。改為透過 MDM 或系統managed-settings.json檔案部署它們。
設定傳遞
設定優先順序
伺服器管理的設定和端點管理的設定都佔據 Claude Code 設定階層中的最高層級。沒有其他設定層級可以覆蓋它們,包括命令列引數。
在受管層級內,第一個傳遞非空設定的來源會獲勝。伺服器管理的設定會先檢查,然後是端點管理的設定。來源不會合併:如果伺服器管理的設定傳遞任何金鑰,端點管理的設定會被完全忽略。如果伺服器管理的設定不傳遞任何內容,端點管理的設定會套用。
如果您在管理員主控台中清除伺服器管理的設定,意圖回退到端點管理的 plist 或登錄原則,請注意快取的設定會在用戶端機器上持續存在,直到下次成功擷取。執行 /status 以查看哪個受管來源處於作用中。
擷取和快取行為
Claude Code 在啟動時從 Anthropic 的伺服器擷取設定,並在作用中的工作階段期間每小時輪詢一次更新。
首次啟動而無快取設定:
- Claude Code 非同步擷取設定
- 如果擷取失敗,Claude Code 會在沒有受管設定的情況下繼續
- 在設定載入之前有一個簡短的視窗,其中限制尚未強制執行
後續啟動並有快取設定:
- 快取設定在啟動時立即套用
- Claude Code 在背景擷取新鮮設定
- 快取設定透過網路故障持續存在
Claude Code 自動套用設定更新而無需重新啟動,除了進階設定(例如 OpenTelemetry 設定)需要完整重新啟動才能生效。
傳遞設定中的無效項目
傳遞的承載會以與其他受管來源相同的規則寬容地解析。當承載包含無法通過結構描述驗證的項目時,Claude Code 會移除該項目、顯示驗證錯誤,並套用每個剩餘的有效設定。請參閱受管設定中的無效項目以了解欄位層級的行為,包括如何處理安全強制欄位。需要 Claude Code v2.1.169 或更新版本。
伺服器管理的傳遞新增這些行為:
~/.claude/remote-settings.json中的快取會儲存已移除無效項目的已修復承載。原始無效承載永遠不會被持續保存。- 當承載中沒有欄位可以被修復時,Claude Code 會保留最後接受的快取設定並記錄致命錯誤。
- 安全核准對話方塊會評估已修復的承載,因此被移除的無效項目永遠不會被呈現以供核准,也永遠不會執行。
若要偵錯傳遞問題,請執行 claude --debug-file <path> 並在日誌中搜尋 Remote settings。在將承載變更推出到組織之前,請在測試機器上使用 claude doctor 驗證承載變更。
強制執行失敗關閉啟動
根據預設,如果遠端設定擷取在啟動時失敗,CLI 會在沒有受管設定的情況下繼續。對於這個簡短的未強制執行視窗無法接受的環境,請在您的受管設定中設定 forceRemoteSettingsRefresh: true。
當此設定處於作用中時,CLI 會在啟動時阻止,直到遠端設定被新鮮擷取。如果擷取失敗,CLI 會結束而不是在沒有原則的情況下繼續。此設定會自我延續:一旦從伺服器傳遞,它也會在本機快取,以便後續啟動即使在新工作階段的第一次成功擷取之前也會強制執行相同的行為。
若要啟用此功能,請將金鑰新增到您的受管設定設定:
{
"forceRemoteSettingsRefresh": true
}
在啟用此設定之前,請確保您的網路原則允許連線到 api.anthropic.com。如果該端點無法到達,CLI 會在啟動時結束,使用者無法啟動 Claude Code。
自 v2.1.139 起,claude auth 子命令(例如 claude auth login)不受此檢查限制,因此使用者可以在過期認證是設定擷取失敗原因時重新驗證。
安全核准對話方塊
某些可能造成安全風險的設定需要明確的使用者核准才能套用:
- Shell 命令設定:執行 shell 命令的設定
- 自訂環境變數:不在已知安全允許清單中的變數
- Hook 設定:任何 hook 定義
當這些設定存在時,使用者會看到安全對話方塊,說明正在設定的內容。使用者必須核准才能繼續。如果使用者拒絕設定,Claude Code 會結束。
平台可用性
伺服器管理的設定需要直接連線到 api.anthropic.com,在使用第三方模型提供者時無法使用:
- Amazon Bedrock
- Google Vertex AI
- Microsoft Foundry
- 透過
ANTHROPIC_BASE_URL或 LLM 閘道 的自訂 API 端點
稽核記錄
設定變更的稽核記錄事件可透過合規性 API 或稽核記錄匯出取得。請聯絡您的 Anthropic 帳戶團隊以取得存取權。
稽核事件包括執行的動作類型、執行動作的帳戶和裝置,以及對先前和新值的參考。
安全考量
伺服器管理的設定提供集中式原則強制執行,但它們作為用戶端控制運作。在非受管裝置上,具有管理員或 sudo 存取權的使用者可以修改 Claude Code 二進位檔、檔案系統或網路設定。
| 情況 | 行為 |
|---|---|
| 使用者編輯快取的設定檔 | 篡改的檔案在啟動時套用,但正確的設定會在下次伺服器擷取時還原 |
| 使用者刪除快取的設定檔 | 首次啟動行為發生:設定非同步擷取,有一個簡短的未強制執行視窗 |
| API 無法使用 | 如果可用,快取設定會套用,否則受管設定在下次成功擷取之前不會強制執行。使用 forceRemoteSettingsRefresh: true 時,CLI 會結束而不是繼續,除了 claude auth 子命令 |
| 使用者使用不同的組織進行身份驗證 | 不會為受管組織外的帳戶傳遞設定 |
| 使用者設定第三方模型提供者 | 伺服器管理的設定會被略過。這包括設定 CLAUDE_CODE_USE_BEDROCK、CLAUDE_CODE_USE_MANTLE、CLAUDE_CODE_USE_VERTEX、CLAUDE_CODE_USE_FOUNDRY 或非預設的 ANTHROPIC_BASE_URL |
若要偵測執行時期設定變更,請使用 ConfigChange hooks 來記錄修改或在未授權的變更生效前阻止它們。
如需更強的強制執行保證,請在已在 MDM 解決方案中註冊的裝置上使用端點管理的設定。
另請參閱
用於管理 Claude Code 設定的相關頁面:
- Settings:完整的設定參考,包括所有可用的設定
- Endpoint-managed settings:由 IT 部門部署到裝置的受管設定
- Authentication:設定使用者對 Claude Code 的存取
- Security:安全保護措施和最佳實踐