Contrôler l'accès aux serveurs MCP pour votre organisation
Limitez les serveurs MCP que les utilisateurs peuvent ajouter ou connecter avec des fichiers de configuration gérés, des listes blanches et des listes noires.
Par défaut, toute personne exécutant Claude Code peut connecter n’importe quel serveur MCP de son choix. Anthropic examine les connecteurs par rapport à ses critères d’examen avant de les ajouter à l’Annuaire Anthropic, mais n’effectue pas d’audit de sécurité ni ne gère aucun serveur MCP. En tant qu’administrateur, vous pouvez restreindre les serveurs qui s’exécutent dans votre organisation, du déploiement d’un ensemble approuvé fixe à la désactivation complète de MCP.Cette page couvre comment :
Choisir un modèle qui correspond au niveau de contrôle dont vous avez besoin
La page Sécurité couvre le modèle de menace MCP et comment évaluer un serveur avant de l’approuver. Décider ce qu’il faut appliquer couvre les restrictions MCP aux côtés des autres contrôles administratifs.
Claude Code prend en charge une gamme de niveaux de restriction. Chaque modèle utilise l’un ou les deux mécanismes couverts ci-dessous : managed-mcp.json pour déployer un ensemble fixe, et allowedMcpServers/deniedMcpServers pour filtrer ce que les utilisateurs configurent.
Modèle
Ce qu’il fait
Configurer
Désactiver MCP
Aucun serveur ne se charge nulle part
managed-mcp.json avec une carte de serveurs vide
Déploiement fixe
Chaque utilisateur obtient les mêmes serveurs et ne peut pas en ajouter d’autres
managed-mcp.json avec les serveurs que vous voulez
Catalogue approuvé
Publiez une liste de serveurs approuvés ; les utilisateurs ajoutent ceux qu’ils veulent, tout le reste est bloqué
Appliquer une liste blanche que les utilisateurs peuvent élargir dans leurs propres paramètres
allowedMcpServers sans allowManagedMcpServersOnly
Liste noire uniquement
Bloquer les serveurs connus comme mauvais, autoriser tout le reste
deniedMcpServers
Aucune restriction
Les utilisateurs ajoutent n’importe quoi
Ne déployez aucune configuration MCP gérée
Claude Code n’a pas de registre de serveurs MCP intégré que les utilisateurs peuvent parcourir et installer. Pour le modèle de catalogue approuvé, partagez la liste approuvée et ses commandes claude mcp add quelque part où vos utilisateurs les trouveront, comme un wiki interne, ou distribuez les serveurs en tant que plugins via une place de marché de plugins gérée afin que les utilisateurs puissent les parcourir et les installer à partir de /plugin.
Si vous déployez un fichier managed-mcp.json, Claude Code charge uniquement les serveurs que ce fichier définit. Les utilisateurs ne peuvent pas ajouter, modifier ou utiliser d’autres serveurs MCP, y compris les serveurs fournis par les plugins. Le fichier supprime également les connecteurs claude.ai sauf si vous les autorisez aux côtés de l’ensemble géré.Deux autres paramètres peuvent filtrer davantage l’ensemble géré :
allowedMcpServers et deniedMcpServers s’appliquent également aux serveurs gérés, donc un serveur géré qui ne les satisfait pas ne se chargera pas.
Le propre deniedMcpServers d’un utilisateur se fusionne à partir de ses paramètres, donc les utilisateurs peuvent bloquer un serveur géré pour eux-mêmes.
Voir Comment un serveur est évalué pour l’ordre complet des vérifications.managed-mcp.json est un fichier autonome, il ne peut donc pas être livré via les paramètres gérés par le serveur. Tout processus pouvant écrire dans un chemin système avec des privilèges d’administrateur peut le déployer. À grande échelle, c’est généralement via des outils de gestion des appareils, tels que Jamf ou un profil de configuration sur macOS, Group Policy ou Intune sur Windows, ou votre gestion de flotte de choix sur Linux. Claude Code recherche le fichier à l’un de ces chemins :
S’authentifier avec des identifiants par utilisateur
N’importe quel utilisateur sur la machine peut lire ce fichier, donc ne stockez pas de clés API ou d’autres identifiants dans les blocs env. Transmettez plutôt les identifiants par utilisateur avec l’un de ceux-ci :
Expansion ${VAR} pour lire les secrets de l’environnement de chaque utilisateur.
Pour confirmer que le fichier est en vigueur, exécutez deux vérifications sur une machine gérée :
claude mcp list affiche uniquement les serveurs dans managed-mcp.json. Si les propres serveurs d’un utilisateur apparaissent toujours, le fichier n’est pas lu ; vérifiez le chemin et les permissions.
claude mcp add --transport http test https://example.com/mcp échoue avec Cannot add MCP server: enterprise MCP configuration is active and has exclusive control over MCP servers. L’URL n’a pas besoin d’être un vrai serveur, car la vérification de la politique rejette la commande avant que quoi que ce soit ne soit contacté.
Déployez un managed-mcp.json contenant une carte de serveurs vide pour bloquer tous les serveurs MCP :
{ "mcpServers": {}}
Les utilisateurs ne voient aucun serveur MCP dans /mcp, et claude mcp add échoue avec l’erreur de politique d’entreprise ci-dessus. Les serveurs que les utilisateurs avaient précédemment configurés cessent de se charger la prochaine fois qu’ils démarrent une session, sans avertissement que la politique en est la raison.
Autoriser les connecteurs claude.ai aux côtés de l’ensemble géré
Le déploiement de managed-mcp.json supprime les connecteurs claude.ai par défaut, y compris les connecteurs qu’un administrateur a configurés pour l’organisation dans la console d’administration claude.ai. Pour charger ces connecteurs aux côtés des serveurs dans managed-mcp.json, définissez "allowAllClaudeAiMcps": true dans une source de paramètres gérés. Nécessite Claude Code v2.1.149 ou ultérieur.Avec le paramètre activé, Claude Code charge les mêmes connecteurs claude.ai qu’il chargerait si managed-mcp.json n’était pas déployé. Les listes blanches et listes noires s’appliquent toujours à ces connecteurs, vous pouvez donc en bloquer des spécifiques avec deniedMcpServers. Le paramètre affecte uniquement les connecteurs claude.ai ; les serveurs fournis par les plugins restent supprimés.Claude Code lit ce paramètre uniquement à partir des niveaux de politique contrôlés par l’administrateur : paramètres gérés par le serveur, une clé plist déployée par MDM ou une clé de registre HKLM, ou un fichier managed-settings.json système. Le placer dans les paramètres utilisateur ou projet n’a aucun effet, donc les utilisateurs ne peuvent pas réactiver les connecteurs que le contrôle exclusif a supprimés.
Contrôle basé sur les politiques avec listes blanches et listes noires
Les listes blanches et les listes noires filtrent les serveurs configurés autorisés à se charger. Ce ne sont pas un registre : un serveur doit toujours être ajouté par un utilisateur, un plugin ou managed-mcp.json avant que la liste blanche ou la liste noire ne s’applique à lui. Pour déployer des serveurs aux utilisateurs, utilisez managed-mcp.json.Pour rendre la liste blanche faisant autorité, définissez allowedMcpServers et allowManagedMcpServersOnly: true ensemble dans une source de paramètres gérés, telle que les paramètres gérés par le serveur ou un fichier managed-settings.json déployé. Restreindre la liste blanche aux paramètres gérés uniquement montre la configuration. Sans allowManagedMcpServersOnly, les listes blanches de chaque source de paramètres fusionnent, y compris le propre ~/.claude/settings.json d’un utilisateur, donc un utilisateur peut élargir ce que votre liste blanche permet. Les listes noires fusionnent de chaque source indépendamment.
allowManagedMcpServersOnly est séparé de allowManagedPermissionRulesOnly, qui verrouille uniquement les règles de permission. La définition de cet indicateur n’applique pas la liste blanche MCP.
Faire correspondre les serveurs par URL, commande ou nom
allowedMcpServers et deniedMcpServers sont des listes d’entrées. Chaque entrée est un objet avec une seule clé qui identifie les serveurs par leur URL, leur commande ou leur nom :
Clé
Correspond à
Utiliser pour
serverUrl
Une URL de serveur distant, exacte ou avec des caractères génériques *
Serveurs HTTP et SSE
serverCommand
La commande exacte et les arguments qui démarrent un serveur stdio
Serveurs stdio
serverName
L’étiquette assignée par l’utilisateur. Correspondance exacte uniquement ; les caractères génériques ne sont pas développés
L’un ou l’autre type, mais voir l’Avertissement ci-dessous
Laisser allowedMcpServers non défini est différent de le définir sur un tableau vide :
Paramètre
Non défini (par défaut)
Tableau vide []
Rempli
allowedMcpServers
Tous les serveurs autorisés
Aucun serveur autorisé
Seuls les serveurs correspondants autorisés
deniedMcpServers
Aucun serveur bloqué
Aucun serveur bloqué
Serveurs correspondants bloqués
Une entrée serverName, dans l’une ou l’autre liste, n’est pas un contrôle de sécurité. Le nom est l’étiquette qu’un utilisateur assigne lors de l’exécution de claude mcp add ou de la modification d’un fichier de configuration, pas le serveur sous-jacent, donc un utilisateur peut appeler n’importe quel serveur github. Pour les connecteurs claude.ai, le nom est le nom d’affichage renvoyé par claude.ai, qui peut changer. Pour appliquer les serveurs qui s’exécutent réellement, ajoutez des entrées serverCommand ou serverUrl.
La validation serverName diffère entre les deux listes :
Dans deniedMcpServers, serverName accepte n’importe quelle chaîne non vide, donc vous pouvez bloquer les connecteurs claude.ai par leur nom d’affichage. Par exemple, { "serverName": "claude.ai Slack" } bloque le connecteur Slack. Préférez une entrée serverUrl quand vous avez besoin que le refus soit robuste aux renommages, ou quand un nom de connecteur entre en collision et gagne un suffixe (N).
Dans allowedMcpServers, serverName est limité aux lettres, chiffres, traits d’union et traits de soulignement. Utilisez serverUrl pour ajouter un connecteur claude.ai à la liste blanche.
Avant de charger un serveur, y compris un serveur de managed-mcp.json, Claude Code exécute trois vérifications dans l’ordre :
Fusionner les listes. Les entrées de liste blanche et de liste noire de chaque source de paramètres se combinent en une liste blanche et une liste noire. Quand allowManagedMcpServersOnly est true, seule la liste blanche gérée est conservée ; la liste noire fusionne toujours de chaque source.
Vérifier la liste noire. Un serveur qui correspond à n’importe quelle entrée de liste noire, par URL, commande ou nom, est bloqué. Rien ne remplace une correspondance de liste noire.
Vérifier la liste blanche. Si allowedMcpServers n’est défini nulle part, chaque serveur qui a réussi la liste noire se charge. S’il est défini, ce à quoi le serveur doit correspondre dépend de son type, indiqué dans le tableau ci-dessous.
Type de serveur
Autorisé quand il correspond à
Distant (HTTP ou SSE)
Une entrée serverUrl. Une correspondance serverName compte uniquement quand la liste blanche ne contient aucune entrée serverUrl
Stdio
Une entrée serverCommand. Une correspondance serverName compte uniquement quand la liste blanche ne contient aucune entrée serverCommand
Deux règles de correspondance s’appliquent dans ces vérifications :
Les commandes correspondent exactement. Chaque argument, dans l’ordre. ["npx", "-y", "server"] ne correspond pas à ["npx", "server"] ou ["npx", "-y", "server", "--flag"].
Les URL supportent les caractères génériques * n’importe où dans le modèle, y compris le schéma. La correspondance du nom d’hôte est insensible à la casse et ignore un point FQDN final, donc https://Mcp.Example.com/* correspond à https://mcp.example.com/api. Les chemins restent sensibles à la casse.
Modèle
Autorise
https://mcp.example.com/*
Tous les chemins sur un domaine spécifique
https://mcp.example.com
Aussi tous les chemins sur ce domaine. Un modèle sans chemin correspond à n’importe quel chemin
La configuration ci-dessous configure une liste blanche stricte avec une liste noire. Les lignes en surbrillance changent la façon dont le reste de la liste est évalué, et les légendes après le bloc expliquent chacune :
Ligne 3 : la première entrée serverUrl. Une fois qu’elle existe, chaque serveur distant doit correspondre à un modèle d’URL, donc un utilisateur ne peut pas obtenir un serveur distant non répertorié en lui donnant un nom autorisé.
Ligne 5 : la première entrée serverCommand. Même effet pour les serveurs stdio, donc chaque serveur local doit correspondre exactement à une commande répertoriée.
Ligne 11 : une entrée serverName dans la liste noire. Les entrées de liste noire s’appliquent toujours, donc n’importe quel serveur nommé dangerous-server est bloqué indépendamment de son URL ou de sa commande.
Une entrée serverName dans cette liste blanche ne correspondrait jamais à rien, car les deux types de transport ont déjà des entrées plus strictes.Les accordéons ci-dessous parcourent la façon dont un serveur est évalué par rapport à d’autres combinaisons de listes blanches et de listes noires.
Quand allowManagedMcpServersOnly est true, les listes blanches des paramètres utilisateur, projet et local sont ignorées. La liste noire fusionne toujours de toutes les sources, donc les utilisateurs peuvent toujours bloquer les serveurs pour eux-mêmes.
Comment les restrictions apparaissent aux utilisateurs
Quand une restriction bloque un serveur, l’utilisateur voit soit une erreur de claude mcp add, soit le serveur cesse silencieusement de se charger. Utilisez ce tableau pour reconnaître ces rapports et pour indiquer aux utilisateurs à quoi s’attendre avant de déployer une modification :
Restriction
Ce que l’utilisateur voit
managed-mcp.json est présent et l’utilisateur exécute claude mcp add
Cannot add MCP server: enterprise MCP configuration is active and has exclusive control over MCP servers
Le serveur est sur une liste noire et l’utilisateur exécute claude mcp add
Cannot add MCP server "<name>": server is explicitly blocked by enterprise policy
Le serveur n’est pas sur la liste blanche et l’utilisateur exécute claude mcp add
Cannot add MCP server "<name>": not allowed by enterprise policy
Un serveur précédemment configuré est maintenant bloqué par la politique
Le serveur disparaît silencieusement de /mcp et claude mcp list sans avertissement
Dans le dernier cas, l’utilisateur n’obtient aucun signal que la politique est la raison pour laquelle son serveur a disparu, donc informez les utilisateurs affectés des serveurs bloqués quand vous déployez une nouvelle restriction.
Quand l’export OpenTelemetry est configuré, Claude Code peut enregistrer les serveurs MCP et les outils que les utilisateurs invoquent. Définissez OTEL_LOG_TOOL_DETAILS=1 pour inclure les noms de serveur MCP et d’outils dans les événements d’outils, puis agrégez-les dans votre collecteur pour voir les serveurs auxquels vos utilisateurs se connectent réellement. Voir Surveillance pour configurer l’exportateur et pour le schéma d’événement complet.