Zum Hauptinhalt springen

Documentation Index

Fetch the complete documentation index at: https://code.claude.com/docs/llms.txt

Use this file to discover all available pages before exploring further.

Standardmäßig kann jeder, der Claude Code ausführt, jeden beliebigen MCP-Server verbinden. Anthropic überprüft Konnektoren anhand seiner Auflistungskriterien, bevor sie zum Anthropic-Verzeichnis hinzugefügt werden, führt aber keine Sicherheitsprüfung durch und verwaltet keinen MCP-Server. Als Administrator können Sie einschränken, welche Server in Ihrer Organisation ausgeführt werden – von der Bereitstellung eines festen genehmigten Satzes bis zur vollständigen Deaktivierung von MCP. Diese Seite behandelt folgende Themen:
Die Seite Sicherheit behandelt das MCP-Bedrohungsmodell und wie Sie einen Server vor der Genehmigung bewerten. Entscheiden Sie, was Sie durchsetzen möchten behandelt MCP-Einschränkungen zusammen mit den anderen administrativen Kontrollen.

Wählen Sie ein Muster

Claude Code unterstützt eine Reihe von Einschränkungsstufen. Jedes Muster verwendet einen oder beide der unten behandelten Mechanismen: managed-mcp.json zur Bereitstellung eines festen Satzes und allowedMcpServers/deniedMcpServers zum Filtern der Benutzerkonfiguration.
MusterWas es tutKonfigurieren
MCP deaktivierenKeine Server werden irgendwo geladenmanaged-mcp.json mit einer leeren Serverzuordnung
Feste BereitstellungJeder Benutzer erhält die gleichen Server und kann keine anderen hinzufügenmanaged-mcp.json mit den gewünschten Servern
Genehmigter KatalogVeröffentlichen Sie eine Liste genehmigter Server; Benutzer fügen die gewünschten hinzu, alles andere wird blockiertallowedMcpServers + allowManagedMcpServersOnly: true
Nur Plugin-ServerServer können nur aus Plugins stammen; Benutzer können keine eigenen hinzufügenstrictPluginOnlyCustomization mit mcp in der Liste
Soft-ZulassungslisteErzwingen Sie eine Zulassungsliste, die Benutzer in ihren eigenen Einstellungen erweitern könnenallowedMcpServers ohne allowManagedMcpServersOnly
Nur SperrlisteBlockieren Sie bekannt schlechte Server, erlauben Sie alles anderedeniedMcpServers
Keine EinschränkungenBenutzer fügen alles hinzuStellen Sie keine verwaltete MCP-Konfiguration bereit
Claude Code hat keine integrierte MCP-Serverregistrierung, die Benutzer durchsuchen und installieren können. Für das Muster des genehmigten Katalogs teilen Sie die genehmigte Liste und ihre claude mcp add-Befehle an einem Ort, den Ihre Benutzer finden, z. B. einem internen Wiki, oder verteilen Sie die Server als Plugins über einen verwalteten Plugin-Marketplace, damit Benutzer sie von /plugin durchsuchen und installieren können.

Exklusive Kontrolle mit managed-mcp.json

Wenn Sie eine managed-mcp.json-Datei bereitstellen, lädt Claude Code nur die Server, die diese Datei definiert. Benutzer können keine anderen MCP-Server hinzufügen, ändern oder verwenden, einschließlich Plugin-bereitgestellter Server und claude.ai-Konnektoren. Zwei weitere Einstellungen können den verwalteten Satz weiter filtern:
  • allowedMcpServers und deniedMcpServers gelten auch für verwaltete Server, daher wird ein verwalteter Server, der diese nicht erfüllt, nicht geladen.
  • Die eigenen deniedMcpServers eines Benutzers werden aus seinen Einstellungen zusammengeführt, daher können Benutzer einen verwalteten Server für sich selbst blockieren.
Siehe Wie ein Server bewertet wird für die vollständige Reihenfolge der Überprüfungen. managed-mcp.json ist eine eigenständige Datei und kann nicht über serververwaltete Einstellungen bereitgestellt werden. Jeder Prozess, der in einen Systempfad mit Administratorrechten schreiben kann, kann ihn bereitstellen. In großem Maßstab geschieht dies normalerweise über Geräteverwaltungstools wie Jamf oder ein Konfigurationsprofil auf macOS, Gruppenrichtlinie oder Intune unter Windows oder Ihre Fleet-Verwaltung Ihrer Wahl unter Linux. Claude Code sucht die Datei unter einem dieser Pfade:
PlattformPfad
macOS/Library/Application Support/ClaudeCode/managed-mcp.json
Linux und WSL/etc/claude-code/managed-mcp.json
WindowsC:\Program Files\ClaudeCode\managed-mcp.json
Die Datei verwendet das gleiche Format wie eine Projekt-.mcp.json-Datei: 
{
  "mcpServers": {
    "github": {
      "type": "http",
      "url": "https://api.githubcopilot.com/mcp/"
    },
    "sentry": {
      "type": "http",
      "url": "https://mcp.sentry.dev/mcp"
    },
    "company-internal": {
      "type": "stdio",
      "command": "/usr/local/bin/company-mcp-server",
      "args": ["--config", "/etc/company/mcp-config.json"],
      "env": {
        "COMPANY_API_URL": "https://internal.example.com"
      }
    }
  }
}

Authentifizieren Sie sich mit benutzerspezifischen Anmeldedaten

Jeder Benutzer auf dem Computer kann diese Datei lesen, daher speichern Sie keine API-Schlüssel oder andere Anmeldedaten in env-Blöcken. Übergeben Sie benutzerspezifische Anmeldedaten stattdessen mit einem dieser:

Validieren Sie die Konfiguration

Um zu bestätigen, dass die Datei wirksam ist, führen Sie zwei Überprüfungen auf einem verwalteten Computer durch:
  1. claude mcp list zeigt nur die Server in managed-mcp.json. Wenn die eigenen Server eines Benutzers immer noch angezeigt werden, wird die Datei nicht gelesen; überprüfen Sie den Pfad und die Berechtigungen.
  2. claude mcp add --transport http test https://example.com/mcp schlägt mit Cannot add MCP server: enterprise MCP configuration is active and has exclusive control over MCP servers fehl. Die URL muss kein echter Server sein, da die Richtlinienprüfung den Befehl ablehnt, bevor etwas kontaktiert wird.

Deaktivieren Sie MCP vollständig

Stellen Sie eine managed-mcp.json mit einer leeren Serverzuordnung bereit, um jeden MCP-Server zu blockieren: 
{
  "mcpServers": {}
}
Benutzer sehen keine MCP-Server in /mcp, und claude mcp add schlägt mit dem oben genannten Enterprise-Richtlinienfehler fehl. Server, die Benutzer zuvor konfiguriert hatten, werden beim nächsten Starten einer Sitzung nicht mehr geladen, ohne dass eine Warnung angezeigt wird, dass die Richtlinie der Grund ist.

Richtlinienbasierte Kontrolle mit Zulassungslisten und Sperrlisten

Zulassungslisten und Sperrlisten filtern, welche konfigurierten Server geladen werden dürfen. Sie sind keine Registrierung: Ein Server muss immer noch von einem Benutzer, einem Plugin oder managed-mcp.json hinzugefügt werden, bevor die Zulassungsliste oder Sperrliste darauf angewendet wird. Um Server für Benutzer bereitzustellen, verwenden Sie managed-mcp.json. Um die Zulassungsliste verbindlich zu machen, setzen Sie allowedMcpServers und allowManagedMcpServersOnly: true zusammen in einer verwalteten Einstellungsquelle, z. B. serververwaltete Einstellungen oder eine bereitgestellte managed-settings.json-Datei. Beschränken Sie die Zulassungsliste auf verwaltete Einstellungen nur zeigt die Konfiguration. Ohne allowManagedMcpServersOnly werden Zulassungslisten aus jeder Einstellungsquelle zusammengeführt, einschließlich der eigenen ~/.claude/settings.json eines Benutzers, daher kann ein Benutzer erweitern, was Ihre Zulassungsliste erlaubt. Sperrlisten werden unabhängig davon aus jeder Quelle zusammengeführt.
allowManagedMcpServersOnly ist getrennt von allowManagedPermissionRulesOnly, das Berechtigungsregeln nur sperrt. Das Setzen dieses Flags erzwingt nicht die MCP-Zulassungsliste.

Passen Sie Server nach URL, Befehl oder Name an

allowedMcpServers und deniedMcpServers sind Listen von Einträgen. Jeder Eintrag ist ein Objekt mit einem einzelnen Schlüssel, der Server nach ihrer URL, ihrem Befehl oder ihrem Namen identifiziert:
SchlüsselPasst zuVerwenden Sie für
serverUrlEine Remote-Server-URL, exakt oder mit *-PlatzhalternHTTP- und SSE-Server
serverCommandDer genaue Befehl und die Argumente, die einen Stdio-Server startenStdio-Server
serverNameDas vom Benutzer zugewiesene Label. Nur exakte Übereinstimmung; Platzhalter werden nicht erweitertBeide Typen, aber siehe die Warnung unten
Das Nicht-Setzen von allowedMcpServers unterscheidet sich vom Setzen auf ein leeres Array:
EinstellungNicht gesetzt (Standard)Leeres Array []Gefüllt
allowedMcpServersAlle Server erlaubtKeine Server erlaubtNur übereinstimmende Server erlaubt
deniedMcpServersKeine Server blockiertKeine Server blockiertÜbereinstimmende Server blockiert
Eine Zulassungsliste, die nur serverName-Einträge verwendet, ist keine Sicherheitskontrolle. Der Name ist das Label, das ein Benutzer beim Ausführen von claude mcp add oder beim Bearbeiten einer Konfigurationsdatei zuweist, nicht der zugrunde liegende Server, daher kann ein Benutzer jeden Server github nennen. Um zu erzwingen, welche Server tatsächlich ausgeführt werden, fügen Sie serverCommand- oder serverUrl-Einträge hinzu.

Wie ein Server bewertet wird

Vor dem Laden eines Servers, einschließlich eines aus managed-mcp.json, führt Claude Code drei Überprüfungen in Reihenfolge durch:
  1. Zusammenführen der Listen. Zulassungslisten- und Sperrlisten-Einträge aus jeder Einstellungsquelle werden in eine Zulassungsliste und eine Sperrliste kombiniert. Wenn allowManagedMcpServersOnly true ist, wird nur die verwaltete Zulassungsliste beibehalten; die Sperrliste wird immer aus jeder Quelle zusammengeführt.
  2. Überprüfen Sie die Sperrliste. Ein Server, der einem Sperrlisten-Eintrag entspricht, nach URL, Befehl oder Name, wird blockiert. Nichts überschreibt eine Sperrlisten-Übereinstimmung.
  3. Überprüfen Sie die Zulassungsliste. Wenn allowedMcpServers nirgendwo gesetzt ist, wird jeder Server, der die Sperrliste bestanden hat, geladen. Wenn es gesetzt ist, hängt das, dem der Server entsprechen muss, von seinem Typ ab, wie in der Tabelle unten gezeigt.
ServertypErlaubt, wenn es passt zu
Remote (HTTP oder SSE)Ein serverUrl-Eintrag. Eine serverName-Übereinstimmung zählt nur, wenn die Zulassungsliste keine serverUrl-Einträge enthält
StdioEin serverCommand-Eintrag. Eine serverName-Übereinstimmung zählt nur, wenn die Zulassungsliste keine serverCommand-Einträge enthält
Zwei Matching-Regeln gelten innerhalb dieser Überprüfungen:
  • Befehle stimmen genau überein. Jedes Argument, in Reihenfolge. ["npx", "-y", "server"] stimmt nicht mit ["npx", "server"] oder ["npx", "-y", "server", "--flag"] überein.
  • URLs unterstützen *-Platzhalter überall im Muster, einschließlich des Schemas. Hostname-Matching ist case-insensitiv und ignoriert einen nachgestellten FQDN-Punkt, daher passt https://Mcp.Example.com/* zu https://mcp.example.com/api. Pfade bleiben case-sensitiv.
MusterErlaubt
https://mcp.example.com/*Alle Pfade auf einer bestimmten Domain
https://mcp.example.comAuch alle Pfade auf dieser Domain. Ein Muster ohne Pfad passt zu jedem Pfad
https://*.example.com/*Jede Subdomain von example.com
http://localhost:*/*Jeder Port auf localhost
*://mcp.example.com/*Jedes Schema zu einer bestimmten Domain

Beispielkonfiguration

Die folgende Konfiguration richtet eine harte Zulassungsliste mit einer Sperrliste ein. Die hervorgehobenen Zeilen ändern, wie der Rest der Liste bewertet wird, und die Callouts nach dem Block erklären jeweils: 
{
  "allowedMcpServers": [
    { "serverUrl": "https://api.githubcopilot.com/*" },
    { "serverUrl": "https://mcp.sentry.dev/*" },
    { "serverCommand": ["npx", "-y", "@modelcontextprotocol/server-filesystem", "."] },
    { "serverCommand": ["python", "/usr/local/bin/approved-server.py"] },
    { "serverUrl": "https://mcp.example.com/*" },
    { "serverUrl": "https://*.internal.example.com/*" }
  ],
  "deniedMcpServers": [
    { "serverName": "dangerous-server" },
    { "serverCommand": ["npx", "-y", "unapproved-package"] },
    { "serverUrl": "https://*.untrusted.example.com/*" }
  ]
}
  • Zeile 3: der erste serverUrl-Eintrag. Sobald einer existiert, muss jeder Remote-Server einem URL-Muster entsprechen, daher kann ein Benutzer keinen nicht aufgelisteten Remote-Server erhalten, indem er ihm einen zulässigen Namen gibt.
  • Zeile 5: der erste serverCommand-Eintrag. Gleicher Effekt für Stdio-Server, daher muss jeder lokale Server genau einem aufgelisteten Befehl entsprechen.
  • Zeile 11: ein serverName-Eintrag in der Sperrliste. Sperrlisten-Einträge gelten immer, daher wird jeder Server namens dangerous-server blockiert, unabhängig von seiner URL oder seinem Befehl.
Ein serverName-Eintrag in dieser Zulassungsliste würde niemals etwas entsprechen, da beide Transporttypen bereits strengere Einträge haben. Die Akkordeons unten zeigen, wie ein Server gegen andere Zulassungslisten- und Sperrlisten-Kombinationen bewertet wird. 
{
  "allowedMcpServers": [
    { "serverUrl": "https://mcp.example.com/*" },
    { "serverUrl": "https://*.internal.example.com/*" }
  ]
}
ServerErgebnis
HTTP-Server unter https://mcp.example.com/apiErlaubt: passt zu URL-Muster
HTTP-Server unter https://api.internal.example.com/mcpErlaubt: passt zu Wildcard-Subdomain
HTTP-Server unter https://external.example.com/mcpBlockiert: passt zu keinem URL-Muster
Stdio-Server mit beliebigem BefehlBlockiert: keine Name- oder Befehlseinträge zum Abgleichen
{
  "allowedMcpServers": [
    { "serverCommand": ["npx", "-y", "approved-package"] }
  ]
}
ServerErgebnis
Stdio-Server mit ["npx", "-y", "approved-package"]Erlaubt: passt zu Befehl
Stdio-Server mit ["node", "server.js"]Blockiert: passt nicht zu Befehl
HTTP-Server namens my-apiBlockiert: keine Nameneinträge zum Abgleichen
{
  "allowedMcpServers": [
    { "serverName": "github" },
    { "serverCommand": ["npx", "-y", "approved-package"] }
  ]
}
ServerErgebnis
Stdio-Server namens local-tool mit ["npx", "-y", "approved-package"]Erlaubt: passt zu Befehl
Stdio-Server namens local-tool mit ["node", "server.js"]Blockiert: Befehlseinträge existieren, aber passt nicht
Stdio-Server namens github mit ["node", "server.js"]Blockiert: Stdio-Server müssen Befehlen entsprechen, wenn Befehlseinträge existieren
HTTP-Server namens githubErlaubt: passt zu Name
HTTP-Server namens other-apiBlockiert: Name passt nicht
{
  "allowedMcpServers": [
    { "serverName": "github" },
    { "serverName": "internal-tool" }
  ]
}
ServerErgebnis
Stdio-Server namens github mit beliebigem BefehlErlaubt: keine Befehlsbeschränkungen
Stdio-Server namens internal-tool mit beliebigem BefehlErlaubt: keine Befehlsbeschränkungen
HTTP-Server namens githubErlaubt: passt zu Name
Jeder Server namens otherBlockiert: Name passt nicht
{
  "allowedMcpServers": [
    { "serverUrl": "https://*.example.com/*" }
  ],
  "deniedMcpServers": [
    { "serverUrl": "https://staging.example.com/*" }
  ]
}
ServerErgebnis
HTTP-Server unter https://mcp.example.com/apiErlaubt: passt zu Zulassungslisten-URL-Muster, keine Sperrlisten-Übereinstimmung
HTTP-Server unter https://staging.example.com/apiBlockiert: passt zu beiden, aber die Sperrliste hat Vorrang
HTTP-Server unter https://other.com/mcpBlockiert: passt nicht zu Zulassungsliste

Beschränken Sie die Zulassungsliste auf verwaltete Einstellungen nur

Um die verwaltete Zulassungsliste zur einzigen anzuwenden, setzen Sie allowManagedMcpServersOnly in der verwalteten Einstellungsdatei: 
{
  "allowManagedMcpServersOnly": true,
  "allowedMcpServers": [
    { "serverUrl": "https://api.githubcopilot.com/*" },
    { "serverUrl": "https://*.internal.example.com/*" }
  ]
}
Wenn allowManagedMcpServersOnly true ist, werden Zulassungslisten aus Benutzer-, Projekt- und lokalen Einstellungen ignoriert. Die Sperrliste wird immer noch aus allen Quellen zusammengeführt, daher können Benutzer Server immer für sich selbst blockieren.

Wie Einschränkungen für Benutzer angezeigt werden

Wenn eine Einschränkung einen Server blockiert, sieht der Benutzer entweder einen Fehler von claude mcp add oder der Server wird stillschweigend nicht mehr geladen. Verwenden Sie diese Tabelle, um diese Berichte zu erkennen und um Benutzern mitzuteilen, was sie erwarten können, bevor Sie eine Änderung einführen:
EinschränkungWas der Benutzer sieht
managed-mcp.json ist vorhanden und der Benutzer führt claude mcp add ausCannot add MCP server: enterprise MCP configuration is active and has exclusive control over MCP servers
Der Server ist auf einer Sperrliste und der Benutzer führt claude mcp add ausCannot add MCP server "<name>": server is explicitly blocked by enterprise policy
Der Server ist nicht auf der Zulassungsliste und der Benutzer führt claude mcp add ausCannot add MCP server "<name>": not allowed by enterprise policy
Ein zuvor konfigurierter Server wird jetzt durch Richtlinie blockiertDer Server verschwindet stillschweigend aus /mcp und claude mcp list ohne Warnung
Im letzten Fall erhält der Benutzer kein Signal, dass die Richtlinie der Grund ist, warum sein Server verschwunden ist, daher teilen Sie betroffenen Benutzern mit, welche Server blockiert werden, wenn Sie eine neue Einschränkung einführen.

Überwachen Sie die MCP-Nutzung

Wenn OpenTelemetry-Export konfiguriert ist, kann Claude Code aufzeichnen, welche MCP-Server und Tools Benutzer aufrufen. Setzen Sie OTEL_LOG_TOOL_DETAILS=1, um MCP-Server- und Tool-Namen in Tool-Events einzubeziehen, und aggregieren Sie sie dann in Ihrem Collector, um zu sehen, welche Server Ihre Benutzer tatsächlich verbinden. Siehe Überwachung, um den Exporter einzurichten und das vollständige Event-Schema zu erhalten.

Konfigurationszusammenfassung

Jede Datei und Einstellung, die diese Seite behandelt, was sie kontrolliert und wie man sie bereitstellt:
OberflächeWas es kontrolliertWo es sich befindetWie man es bereitstellt
managed-mcp.jsonFester Serversatz, exklusive KontrolleSystempfad: /Library/Application Support/ClaudeCode/, /etc/claude-code/ oder C:\Program Files\ClaudeCode\MDM, GPO, Fleet-Verwaltung oder jeder Prozess mit Administratorrechten. Kann nicht über serververwaltete Einstellungen gesetzt werden
allowedMcpServersZulassungsliste zulässiger ServerJede Einstellungsdatei; Einträge aus jeder Quelle werden zusammengeführt, es sei denn, allowManagedMcpServersOnly ist gesetztZur Durchsetzung eine verwaltete Einstellungsquelle: serververwaltete Einstellungen, managed-settings.json, MDM-Profil oder Registrierung
deniedMcpServersSperrliste blockierter ServerJede Einstellungsdatei; Einträge aus jeder Quelle werden zusammengeführtGleich wie allowedMcpServers
allowManagedMcpServersOnlySperrt die Zulassungsliste auf verwaltete Quellen nurNur verwaltete Einstellungsquellen; die Einstellung hat keine Auswirkung anderswoGleich wie allowedMcpServers

Verwandte Ressourcen