Saltar al contenido principal
La configuración administrada por servidor permite a los administradores configurar Claude Code centralmente a través de una interfaz basada en web en Claude.ai. Los clientes de Claude Code reciben automáticamente estas configuraciones cuando los usuarios se autentican con sus credenciales organizacionales. Este enfoque está diseñado para organizaciones que no tienen infraestructura de administración de dispositivos implementada, o que necesitan administrar configuraciones para usuarios en dispositivos no administrados.
La configuración administrada por servidor está disponible para clientes de Claude for Teams y Claude for Enterprise.

Requisitos

Para usar la configuración administrada por servidor, necesita:
  • Plan Claude for Teams o Claude for Enterprise
  • Claude Code versión 2.1.38 o posterior para Claude for Teams, o versión 2.1.30 o posterior para Claude for Enterprise
  • Acceso de red a api.anthropic.com

Elegir entre configuración administrada por servidor y administrada por endpoint

Claude Code admite dos enfoques para la configuración centralizada. La configuración administrada por servidor entrega la configuración desde los servidores de Anthropic. La configuración administrada por endpoint se implementa directamente en dispositivos a través de políticas nativas del sistema operativo (preferencias administradas de macOS, registro de Windows) o archivos de configuración administrados.
EnfoqueMejor paraModelo de seguridad
Configuración administrada por servidorOrganizaciones sin MDM, o usuarios en dispositivos no administradosConfiguración entregada desde los servidores de Anthropic en el momento de la autenticación
Configuración administrada por endpointOrganizaciones con MDM o administración de endpointConfiguración implementada en dispositivos a través de perfiles de configuración MDM, políticas de registro o archivos de configuración administrados
Si sus dispositivos están inscritos en una solución MDM o de administración de endpoint, la configuración administrada por endpoint proporciona garantías de seguridad más sólidas porque el archivo de configuración puede protegerse de la modificación del usuario a nivel del sistema operativo.

Configurar la configuración administrada por servidor

1

Abrir la consola de administración

En Claude.ai, navegue a Admin Settings > Claude Code > Managed settings.
2

Definir su configuración

Agregue su configuración como JSON. Todas las configuraciones disponibles en settings.json son compatibles, incluidos hooks, variables de entorno y configuraciones solo administradas como allowManagedPermissionRulesOnly.Este ejemplo aplica una lista de denegación de permisos, impide que los usuarios omitan permisos y restringe las reglas de permisos a las definidas en la configuración administrada:
{
  "permissions": {
    "deny": [
      "Bash(curl *)",
      "Read(./.env)",
      "Read(./.env.*)",
      "Read(./secrets/**)"
    ],
    "disableBypassPermissionsMode": "disable"
  },
  "allowManagedPermissionRulesOnly": true
}
Los hooks utilizan el mismo formato que en settings.json.Este ejemplo ejecuta un script de auditoría después de cada edición de archivo en toda la organización:
{
  "hooks": {
    "PostToolUse": [
      {
        "matcher": "Edit|Write",
        "hooks": [
          { "type": "command", "command": "/usr/local/bin/audit-edit.sh" }
        ]
      }
    ]
  }
}
Para configurar el clasificador del modo automático para que sepa qué repositorios, buckets y dominios confía su organización:
{
  "autoMode": {
    "environment": [
      "Source control: github.example.com/acme-corp and all repos under it",
      "Trusted cloud buckets: s3://acme-build-artifacts, gs://acme-ml-datasets",
      "Trusted internal domains: *.corp.example.com"
    ]
  }
}
Debido a que los hooks ejecutan comandos de shell, los usuarios ven un diálogo de aprobación de seguridad antes de que se apliquen. Consulte Configurar el modo automático para ver cómo las entradas de autoMode afectan lo que el clasificador bloquea y advertencias importantes sobre los campos allow y soft_deny.
3

Guardar e implementar

Guarde sus cambios. Los clientes de Claude Code reciben la configuración actualizada en su próximo inicio o ciclo de sondeo por hora.

Verificar la entrega de configuración

Para confirmar que la configuración se está aplicando, pida a un usuario que reinicie Claude Code. Si la configuración incluye configuraciones que activan el diálogo de aprobación de seguridad, el usuario ve un mensaje que describe la configuración administrada al inicio. También puede verificar que las reglas de permisos administrados estén activas haciendo que un usuario ejecute /permissions para ver sus reglas de permisos efectivas.

Control de acceso

Los siguientes roles pueden administrar la configuración administrada por servidor:
  • Propietario principal
  • Propietario
Restrinja el acceso al personal de confianza, ya que los cambios de configuración se aplican a todos los usuarios de la organización.

Configuraciones solo administradas

La mayoría de las claves de configuración funcionan en cualquier ámbito. Un puñado de claves solo se leen de la configuración administrada y no tienen efecto cuando se colocan en archivos de configuración de usuario o proyecto. Consulte configuraciones solo administradas para obtener la lista completa. Cualquier configuración que no esté en esa lista aún puede colocarse en la configuración administrada y tiene la precedencia más alta.

Limitaciones actuales

La configuración administrada por servidor tiene las siguientes limitaciones:
  • La configuración se aplica uniformemente a todos los usuarios de la organización. Las configuraciones por grupo aún no son compatibles.
  • Las configuraciones de servidor MCP no se pueden distribuir a través de la configuración administrada por servidor.

Entrega de configuración

Precedencia de configuración

La configuración administrada por servidor y la configuración administrada por endpoint ocupan el nivel más alto en la jerarquía de configuración de Claude Code. Ningún otro nivel de configuración puede anularlas, incluidos los argumentos de línea de comandos. Dentro del nivel administrado, la primera fuente que entrega una configuración no vacía gana. La configuración administrada por servidor se verifica primero, luego la configuración administrada por endpoint. Las fuentes no se fusionan: si la configuración administrada por servidor entrega alguna clave, la configuración administrada por endpoint se ignora completamente. Si la configuración administrada por servidor no entrega nada, se aplica la configuración administrada por endpoint. Si borra su configuración administrada por servidor en la consola de administración con la intención de volver a una política plist administrada por endpoint o de registro, tenga en cuenta que la configuración en caché persiste en máquinas cliente hasta la siguiente obtención exitosa. Ejecute /status para ver qué fuente administrada está activa.

Comportamiento de obtención y almacenamiento en caché

Claude Code obtiene la configuración de los servidores de Anthropic al inicio y sondea actualizaciones cada hora durante sesiones activas. Primer lanzamiento sin configuración en caché:
  • Claude Code obtiene la configuración de forma asincrónica
  • Si la obtención falla, Claude Code continúa sin configuración administrada
  • Hay una breve ventana antes de que se cargue la configuración donde las restricciones aún no se aplican
Lanzamientos posteriores con configuración en caché:
  • La configuración en caché se aplica inmediatamente al inicio
  • Claude Code obtiene configuración nueva en segundo plano
  • La configuración en caché persiste a través de fallos de red
Claude Code aplica actualizaciones de configuración automáticamente sin reinicio, excepto para configuraciones avanzadas como la configuración de OpenTelemetry, que requieren un reinicio completo para tomar efecto.

Aplicar inicio cerrado por fallo

De forma predeterminada, si la obtención de configuración remota falla al inicio, la CLI continúa sin configuración administrada. Para entornos donde esta breve ventana no aplicada es inaceptable, establezca forceRemoteSettingsRefresh: true en su configuración administrada. Cuando esta configuración está activa, la CLI se bloquea al inicio hasta que la configuración remota se obtiene recientemente. Si la obtención falla, la CLI se cierra en lugar de continuar sin la política. Esta configuración se autoperpetúa: una vez entregada desde el servidor, también se almacena en caché localmente para que los inicios posteriores apliquen el mismo comportamiento incluso antes de la primera obtención exitosa de una nueva sesión. Para habilitarlo, agregue la clave a su configuración de configuración administrada: 
{
  "forceRemoteSettingsRefresh": true
}
Antes de habilitar esta configuración, asegúrese de que sus políticas de red permitan la conectividad a api.anthropic.com. Si ese endpoint no es accesible, la CLI se cierra al inicio y los usuarios no pueden iniciar Claude Code.

Diálogos de aprobación de seguridad

Ciertas configuraciones que podrían presentar riesgos de seguridad requieren aprobación explícita del usuario antes de ser aplicadas:
  • Configuraciones de comandos de shell: configuraciones que ejecutan comandos de shell
  • Variables de entorno personalizadas: variables que no están en la lista de permitidos conocida y segura
  • Configuraciones de hooks: cualquier definición de hook
Cuando estas configuraciones están presentes, los usuarios ven un diálogo de seguridad que explica qué se está configurando. Los usuarios deben aprobar para continuar. Si un usuario rechaza la configuración, Claude Code se cierra.
En modo no interactivo con la bandera -p, Claude Code omite los diálogos de seguridad y aplica la configuración sin aprobación del usuario.

Disponibilidad de plataforma

La configuración administrada por servidor requiere una conexión directa a api.anthropic.com y no está disponible cuando se utilizan proveedores de modelos de terceros:
  • Amazon Bedrock
  • Google Vertex AI
  • Microsoft Foundry
  • Endpoints de API personalizados a través de ANTHROPIC_BASE_URL o puertas de enlace LLM

Registro de auditoría

Los eventos del registro de auditoría para cambios de configuración están disponibles a través de la API de cumplimiento o exportación del registro de auditoría. Póngase en contacto con su equipo de cuenta de Anthropic para obtener acceso. Los eventos de auditoría incluyen el tipo de acción realizada, la cuenta y el dispositivo que realizó la acción, y referencias a los valores anteriores y nuevos.

Consideraciones de seguridad

La configuración administrada por servidor proporciona aplicación de políticas centralizada, pero funciona como un control del lado del cliente. En dispositivos no administrados, los usuarios con acceso de administrador o sudo pueden modificar el binario de Claude Code, el sistema de archivos o la configuración de red.
EscenarioComportamiento
El usuario edita el archivo de configuración en cachéEl archivo manipulado se aplica al inicio, pero la configuración correcta se restaura en la siguiente obtención del servidor
El usuario elimina el archivo de configuración en cachéOcurre el comportamiento del primer lanzamiento: la configuración se obtiene de forma asincrónica con una breve ventana no aplicada
La API no está disponibleLa configuración en caché se aplica si está disponible, de lo contrario, la configuración administrada no se aplica hasta la siguiente obtención exitosa. Con forceRemoteSettingsRefresh: true, la CLI se cierra en lugar de continuar
El usuario se autentica con una organización diferenteLa configuración no se entrega para cuentas fuera de la organización administrada
El usuario establece un ANTHROPIC_BASE_URL no predeterminadoLa configuración administrada por servidor se omite cuando se utilizan proveedores de API de terceros
Para detectar cambios de configuración en tiempo de ejecución, use hooks ConfigChange para registrar modificaciones o bloquear cambios no autorizados antes de que surtan efecto. Para garantías de aplicación más sólidas, use la configuración administrada por endpoint en dispositivos inscritos en una solución MDM.

Ver también

Páginas relacionadas para administrar la configuración de Claude Code:
  • Settings: referencia de configuración completa que incluye todas las configuraciones disponibles
  • Endpoint-managed settings: configuración administrada implementada en dispositivos por TI
  • Authentication: configurar el acceso de usuarios a Claude Code
  • Security: salvaguardas de seguridad y mejores prácticas