Zum Hauptinhalt springen
Claude Code erzwingt Organisationsrichtlinien durch verwaltete Einstellungen, die Vorrang vor lokalen Entwicklerkonfigurationen haben. Sie stellen diese Einstellungen über die Claude-Administratorkonsole, Ihr Mobile-Device-Management-System (MDM) oder eine Datei auf der Festplatte bereit. Die Einstellungen steuern, auf welche Tools, Befehle, Server und Netzwerkziele Claude zugreifen kann. Diese Seite führt Sie durch die Bereitstellungsentscheidungen in der richtigen Reihenfolge. Jede Zeile verlinkt auf den Abschnitt unten und auf die Referenzseite für diesen Bereich.
SSO, SCIM-Bereitstellung und Sitzplatzzuweisung werden auf Claude-Kontoebene konfiguriert. Siehe das Claude Enterprise Administrator Guide und Sitzplatzzuweisung für diese Schritte.
EntscheidungWas Sie wählenReferenz
API-Anbieter wählenWo Claude Code sich authentifiziert und wie es abgerechnet wirdAuthentifizierung, Bedrock, Vertex AI, Foundry
Entscheiden Sie, wie Einstellungen Geräte erreichenWie verwaltete Richtlinien Entwicklermaschinen erreichenServer-verwaltete Einstellungen, Einstellungsdateien
Entscheiden Sie, was durchgesetzt werden sollWelche Tools, Befehle und Integrationen zulässig sindBerechtigungen, Sandboxing
Nutzungssichtbarkeit einrichtenWie Sie Ausgaben und Akzeptanz verfolgenAnalytik, Überwachung, Kosten
Datenbehandlung überprüfenDatenspeicherung und Compliance-PositionDatennutzung, Sicherheit

API-Anbieter wählen

Claude Code verbindet sich mit Claude über einen von mehreren API-Anbietern. Ihre Wahl beeinflusst die Abrechnung, die Authentifizierung und welche Compliance-Position Sie erben.
AnbieterWählen Sie dies, wenn
Claude für Teams / EnterpriseSie möchten Claude Code und claude.ai unter einem Pro-Sitz-Abonnement ohne Infrastruktur zum Ausführen. Dies ist die Standardempfehlung.
Claude ConsoleSie sind API-first oder möchten Pay-as-you-go-Abrechnung
Amazon BedrockSie möchten vorhandene AWS-Compliance-Kontrollen und Abrechnung erben
Google Vertex AISie möchten vorhandene GCP-Compliance-Kontrollen und Abrechnung erben
Microsoft FoundrySie möchten vorhandene Azure-Compliance-Kontrollen und Abrechnung erben
Für den vollständigen Anbietervergleich mit Authentifizierung, Regionen und Funktionsparität siehe Übersicht zur Enterprise-Bereitstellung. Die Auth-Einrichtung für jeden Anbieter finden Sie unter Authentifizierung. Proxy- und Firewall-Anforderungen in Netzwerkkonfiguration gelten unabhängig vom Anbieter. Wenn Sie einen einzelnen Endpunkt vor mehreren Anbietern oder zentralisierte Anforderungsprotokollierung möchten, siehe LLM-Gateway.

Entscheiden Sie, wie Einstellungen Geräte erreichen

Verwaltete Einstellungen definieren Richtlinien, die Vorrang vor lokalen Entwicklerkonfigurationen haben. Claude Code sucht an vier Stellen danach und verwendet die erste, die es auf einem bestimmten Gerät findet.
MechanismusLieferungPrioritätPlattformen
Server-verwaltetClaude.ai-AdministratorkonsoleHöchsteAlle
plist / Registry-RichtliniemacOS: com.anthropic.claudecode plist
Windows: HKLM\SOFTWARE\Policies\ClaudeCode		HochmacOS, Windows
Dateibasiert verwaltetmacOS: /Library/Application Support/ClaudeCode/managed-settings.json
Linux und WSL: /etc/claude-code/managed-settings.json
Windows: C:\Program Files\ClaudeCode\managed-settings.json		MittelAlle
Windows-Benutzer-RegistryHKCU\SOFTWARE\Policies\ClaudeCodeNiedrigsteNur Windows
Server-verwaltete Einstellungen erreichen Geräte zum Authentifizierungszeitpunkt und werden während aktiver Sitzungen stündlich aktualisiert, ohne dass eine Endpunkt-Infrastruktur erforderlich ist. Sie erfordern einen Claude für Teams oder Enterprise-Plan, daher benötigen Bereitstellungen auf anderen Anbietern stattdessen einen der dateibasierten oder Betriebssystem-Mechanismen. Wenn Ihre Organisation mehrere Anbieter mischt, konfigurieren Sie server-verwaltete Einstellungen für Claude.ai-Benutzer plus ein dateibasiertes oder plist/Registry-Fallback, damit andere Benutzer immer noch verwaltete Richtlinien erhalten. Die plist- und HKLM-Registry-Speicherorte funktionieren mit jedem Anbieter und widerstehen Manipulationen, da sie Administratorrechte zum Schreiben erfordern. Die Windows-Benutzer-Registry unter HKCU ist ohne Erhöhung beschreibbar, daher sollten Sie sie eher als praktischen Standard als als Durchsetzungskanal behandeln. Standardmäßig liest WSL nur den Linux-Dateipfad unter /etc/claude-code. Um Ihre Windows-Registry und C:\Program Files\ClaudeCode-Richtlinie auf WSL auf demselben Computer zu erweitern, setzen Sie wslInheritsWindowsSettings: true in einer dieser nur für Administratoren zugänglichen Windows-Quellen. Welcher Mechanismus Sie auch wählen, verwaltete Werte haben Vorrang vor Benutzer- und Projekteinstellungen. Array-Einstellungen wie permissions.allow und permissions.deny führen Einträge aus allen Quellen zusammen, sodass Entwickler verwaltete Listen erweitern, aber nicht daraus entfernen können. Siehe Server-verwaltete Einstellungen und Einstellungsdateien und Priorität.

Entscheiden Sie, was durchgesetzt werden soll

Verwaltete Einstellungen können Tools sperren, Sandbox-Ausführung, MCP-Server und Plugin-Quellen einschränken und steuern, welche Hooks ausgeführt werden. Jede Zeile ist eine Kontrollfläche mit den Einstellungsschlüsseln, die sie antreiben.
KontrolleWas es tutWichtige Einstellungen
BerechtigungsregelnBestimmte Tools und Befehle zulassen, fragen oder ablehnenpermissions.allow, permissions.deny
BerechtigungssperreNur verwaltete Berechtigungsregeln gelten; deaktivieren Sie --dangerously-skip-permissionsallowManagedPermissionRulesOnly, permissions.disableBypassPermissionsMode
SandboxingIsolierung auf Betriebssystemebene des Dateisystems und Netzwerks mit Domain-Allowlistssandbox.enabled, sandbox.network.allowedDomains
Verwaltete Richtlinie CLAUDE.mdOrganisationsweite Anweisungen, die in jeder Sitzung geladen werden, können nicht ausgeschlossen werdenDatei im verwalteten Richtlinienpfad
MCP-Server-KontrolleEinschränken, welche MCP-Server Benutzer hinzufügen oder verbinden könnenallowedMcpServers, deniedMcpServers, allowManagedMcpServersOnly
Plugin-Marketplace-KontrolleEinschränken, von welchen Marketplace-Quellen Benutzer hinzufügen und installieren könnenstrictKnownMarketplaces, blockedMarketplaces
Hook-EinschränkungenNur verwaltete Hooks werden geladen; HTTP-Hook-URLs einschränkenallowManagedHooksOnly, allowedHttpHookUrls
VersionsuntergrenzeVerhindern Sie, dass Auto-Update unter ein organisationsweites Minimum installiert wirdminimumVersion
Berechtigungsregeln und Sandboxing decken verschiedene Ebenen ab. Das Ablehnen von WebFetch blockiert Claudes Fetch-Tool, aber wenn Bash zulässig ist, können curl und wget immer noch jede URL erreichen. Sandboxing schließt diese Lücke mit einer auf Betriebssystemebene durchgesetzten Netzwerk-Domain-Allowlist. Für das Bedrohungsmodell, das diese Kontrollen verteidigen, siehe Sicherheit.

Nutzungssichtbarkeit einrichten

Wählen Sie die Überwachung basierend auf dem, was Sie melden müssen.
FähigkeitWas Sie erhaltenVerfügbarkeitWo Sie anfangen
NutzungsüberwachungOpenTelemetry-Export von Sitzungen, Tools und TokensAlle AnbieterNutzungsüberwachung
Analytik-DashboardPro-Benutzer-Metriken, Beitragsverfolgung, LeaderboardNur AnthropicAnalytik
KostenverfolgungAusgabenlimits, Ratenlimits und NutzungszuordnungNur AnthropicKosten
Cloud-Anbieter stellen Ausgaben über AWS Cost Explorer, GCP Billing oder Azure Cost Management bereit. Claude für Teams und Enterprise-Pläne enthalten ein Nutzungs-Dashboard unter claude.ai/analytics/claude-code.

Datenbehandlung überprüfen

Bei Team-, Enterprise-, Claude API- und Cloud-Provider-Plänen trainiert Anthropic keine Modelle auf Ihrem Code oder Ihren Prompts. Ihr API-Anbieter bestimmt die Aufbewahrung und Compliance-Position.
ThemaWas Sie wissen solltenWo Sie anfangen
DatennutzungsrichtlinieWas Anthropic erfasst, wie lange es aufbewahrt wird, was niemals zum Training verwendet wirdDatennutzung
Zero Data Retention (ZDR)Nichts wird nach Abschluss der Anfrage gespeichert. Verfügbar auf Claude für EnterpriseZero Data Retention
SicherheitsarchitekturNetzwerkmodell, Verschlüsselung, Authentifizierung, Audit-TrailSicherheit
Wenn Sie Anfrage-Level-Audit-Protokollierung benötigen oder Datenverkehr nach Datensensibilität weiterleiten möchten, platzieren Sie ein LLM-Gateway zwischen Entwicklern und Ihrem Anbieter. Für behördliche Anforderungen und Zertifizierungen siehe Rechtliche Angelegenheiten und Compliance.

Überprüfen und Onboarding

Nach der Konfiguration verwalteter Einstellungen lassen Sie einen Entwickler /status in Claude Code ausführen. Die Ausgabe enthält eine Zeile, die mit Enterprise managed settings beginnt, gefolgt von der Quelle in Klammern, eine von (remote), (plist), (HKLM), (HKCU) oder (file). Siehe Aktive Einstellungen überprüfen. Teilen Sie diese Ressourcen, um Entwicklern den Einstieg zu erleichtern: Bei Anmeldeproblemen verweisen Sie Entwickler auf Authentifizierungs-Fehlerbehebung. Die häufigsten Lösungen sind:
  • Führen Sie /logout und dann /login aus, um Konten zu wechseln
  • Führen Sie claude update aus, wenn die Enterprise-Auth-Option fehlt
  • Starten Sie das Terminal nach dem Update neu
Wenn ein Entwickler „You haven’t been added to your organization yet” sieht, ist sein Sitzplatz nicht für Claude Code-Zugriff enthalten und muss in der Administratorkonsole aktualisiert werden.

Nächste Schritte

Mit ausgewähltem Anbieter und Liefermechanismus fahren Sie mit der detaillierten Konfiguration fort: