Batasi server MCP mana yang dapat ditambahkan atau dihubungkan pengguna dengan file konfigurasi yang dikelola, daftar izin, dan daftar penolakan.
Secara default, siapa pun yang menjalankan Claude Code dapat menghubungkan server MCP apa pun yang mereka pilih. Anthropic meninjau konektor terhadap kriteria pendaftarannya sebelum menambahkannya ke Direktori Anthropic, tetapi tidak melakukan audit keamanan atau mengelola server MCP apa pun. Sebagai administrator, Anda dapat membatasi server mana yang berjalan di organisasi Anda, mulai dari menerapkan set yang disetujui tetap hingga menonaktifkan MCP sepenuhnya.Halaman ini mencakup cara untuk:
Memilih pola yang sesuai dengan tingkat kontrol yang Anda butuhkan
Halaman Security mencakup model ancaman MCP dan cara mengevaluasi server sebelum menyetujuinya. Tentukan apa yang akan diterapkan mencakup pembatasan MCP bersama dengan kontrol administratif lainnya.
Claude Code mendukung berbagai tingkat pembatasan. Setiap pola menggunakan satu atau kedua mekanisme yang dibahas di bawah: managed-mcp.json untuk menerapkan set tetap, dan allowedMcpServers/deniedMcpServers untuk memfilter apa yang dikonfigurasi pengguna.
Pola
Apa yang dilakukan
Konfigurasi
Nonaktifkan MCP
Tidak ada server yang dimuat di mana pun
managed-mcp.json dengan peta server kosong
Penerapan tetap
Setiap pengguna mendapatkan server yang sama dan tidak dapat menambah yang lain
managed-mcp.json dengan server yang Anda inginkan
Katalog yang disetujui
Publikasikan daftar server yang disetujui; pengguna menambahkan yang mereka inginkan, yang lain diblokir
Terapkan daftar izin yang dapat diperluas pengguna dalam pengaturan mereka sendiri
allowedMcpServers tanpa allowManagedMcpServersOnly
Hanya daftar penolakan
Blokir server yang diketahui buruk, izinkan yang lain
deniedMcpServers
Tanpa pembatasan
Pengguna menambahkan apa pun
Jangan terapkan konfigurasi MCP yang dikelola
Claude Code tidak memiliki registri server MCP bawaan yang dapat ditelusuri dan diinstal pengguna. Untuk pola katalog yang disetujui, bagikan daftar yang disetujui dan perintah claude mcp add di tempat yang akan ditemukan pengguna Anda, seperti wiki internal, atau distribusikan server sebagai plugin melalui marketplace plugin yang dikelola sehingga pengguna dapat menelusuri dan menginstalnya dari /plugin.
Jika Anda menerapkan file managed-mcp.json, Claude Code hanya memuat server yang didefinisikan file tersebut. Pengguna tidak dapat menambah, memodifikasi, atau menggunakan server MCP lain apa pun, termasuk server yang disediakan plugin. File juga menekan konektor claude.ai kecuali Anda mengizinkannya bersama set yang dikelola.Dua pengaturan lainnya dapat memfilter set yang dikelola lebih lanjut:
allowedMcpServers dan deniedMcpServers juga berlaku untuk server yang dikelola, jadi server yang dikelola yang tidak melewati mereka tidak akan dimuat.
deniedMcpServers pengguna sendiri digabungkan dari pengaturan mereka, jadi pengguna dapat memblokir server yang dikelola untuk diri mereka sendiri.
Lihat Bagaimana server dievaluasi untuk urutan pemeriksaan lengkap.managed-mcp.json adalah file mandiri, jadi tidak dapat dikirimkan melalui pengaturan yang dikelola server. Proses apa pun yang dapat menulis ke jalur sistem dengan hak istimewa administrator dapat menerapkannya. Dalam skala besar, itu biasanya melalui alat manajemen perangkat, seperti Jamf atau profil konfigurasi di macOS, Group Policy atau Intune di Windows, atau manajemen armada pilihan Anda di Linux. Claude Code mencari file di salah satu jalur berikut:
Pengguna apa pun di mesin dapat membaca file ini, jadi jangan simpan kunci API atau kredensial lain dalam blok env. Teruskan kredensial per pengguna dengan salah satu dari ini:
Ekspansi ${VAR} untuk membaca rahasia dari lingkungan setiap pengguna.
Untuk mengonfirmasi file berlaku, jalankan dua pemeriksaan pada mesin yang dikelola:
claude mcp list menampilkan hanya server di managed-mcp.json. Jika server pengguna sendiri masih muncul, file tidak dibaca; periksa jalur dan izin.
claude mcp add --transport http test https://example.com/mcp gagal dengan Cannot add MCP server: enterprise MCP configuration is active and has exclusive control over MCP servers. URL tidak perlu menjadi server nyata, karena pemeriksaan kebijakan menolak perintah sebelum apa pun dihubungi.
Terapkan managed-mcp.json yang berisi peta server kosong untuk memblokir setiap server MCP:
{ "mcpServers": {}}
Pengguna tidak melihat server MCP apa pun di /mcp, dan claude mcp add gagal dengan kesalahan kebijakan perusahaan di atas. Server yang dikonfigurasi pengguna sebelumnya berhenti dimuat saat mereka memulai sesi berikutnya, tanpa peringatan bahwa kebijakan adalah alasannya.
Izinkan konektor claude.ai bersama set yang dikelola
Menerapkan managed-mcp.json menekan konektor claude.ai secara default, termasuk konektor yang dikonfigurasi administrator untuk organisasi di konsol admin claude.ai. Untuk memuat konektor tersebut bersama server di managed-mcp.json, atur "allowAllClaudeAiMcps": true dalam sumber pengaturan yang dikelola. Memerlukan Claude Code v2.1.149 atau lebih baru.Dengan pengaturan diaktifkan, Claude Code memuat konektor claude.ai yang sama yang akan dimuat jika managed-mcp.json tidak diterapkan. Daftar izin dan daftar penolakan masih berlaku untuk konektor tersebut, jadi Anda dapat memblokir yang spesifik dengan deniedMcpServers. Pengaturan hanya mempengaruhi konektor claude.ai; server yang disediakan plugin tetap ditekan.Claude Code membaca pengaturan ini hanya dari tingkat kebijakan yang dikendalikan admin: pengaturan yang dikelola server, kunci plist yang diterapkan MDM atau kunci registri HKLM, atau file managed-settings.json sistem. Menempatkannya dalam pengaturan pengguna atau proyek tidak berpengaruh, jadi pengguna tidak dapat mengaktifkan kembali konektor yang kontrol eksklusif tekan.
Kontrol berbasis kebijakan dengan daftar izin dan daftar penolakan
Daftar izin dan daftar penolakan memfilter server mana yang dikonfigurasi yang diizinkan untuk dimuat. Mereka bukan registri: server masih harus ditambahkan oleh pengguna, plugin, atau managed-mcp.json sebelum daftar izin atau daftar penolakan berlaku padanya. Untuk menerapkan server kepada pengguna, gunakan managed-mcp.json.Untuk membuat daftar izin berwenang, atur allowedMcpServers dan allowManagedMcpServersOnly: true bersama-sama dalam sumber pengaturan yang dikelola, seperti pengaturan yang dikelola server atau file managed-settings.json yang diterapkan. Batasi daftar izin ke pengaturan yang dikelola saja menunjukkan konfigurasi. Tanpa allowManagedMcpServersOnly, daftar izin dari setiap sumber pengaturan digabungkan, termasuk ~/.claude/settings.json pengguna sendiri, jadi pengguna dapat memperluas apa yang diizinkan daftar izin Anda. Daftar penolakan digabungkan dari setiap sumber terlepas dari itu.
allowManagedMcpServersOnly terpisah dari allowManagedPermissionRulesOnly, yang mengunci aturan izin saja. Menetapkan bendera itu tidak menerapkan daftar izin MCP.
Cocokkan server berdasarkan URL, perintah, atau nama
allowedMcpServers dan deniedMcpServers adalah daftar entri. Setiap entri adalah objek dengan satu kunci yang mengidentifikasi server berdasarkan URL, perintah, atau nama mereka:
Kunci
Cocok
Gunakan untuk
serverUrl
URL server jarak jauh, tepat atau dengan wildcard *
Server HTTP dan SSE
serverCommand
Perintah dan argumen yang tepat yang memulai server stdio
Server stdio
serverName
Label yang ditetapkan pengguna. Kecocokan tepat saja; wildcard tidak diperluas
Tipe apa pun, tetapi lihat Peringatan di bawah
Membiarkan allowedMcpServers tidak diatur berbeda dari menetapkannya ke array kosong:
Pengaturan
Tidak diatur (default)
Array kosong []
Diisi
allowedMcpServers
Semua server diizinkan
Tidak ada server yang diizinkan
Hanya server yang cocok diizinkan
deniedMcpServers
Tidak ada server yang diblokir
Tidak ada server yang diblokir
Server yang cocok diblokir
Entri serverName, dalam daftar apa pun, bukan kontrol keamanan. Nama adalah label yang ditetapkan pengguna saat menjalankan claude mcp add atau mengedit file konfigurasi, bukan server yang mendasar, jadi pengguna dapat memanggil server apa pun github. Untuk konektor claude.ai, nama adalah nama tampilan yang dikembalikan oleh claude.ai, yang dapat berubah. Untuk menerapkan server mana yang benar-benar berjalan, tambahkan entri serverCommand atau serverUrl.
Validasi serverName berbeda antara dua daftar:
Dalam deniedMcpServers, serverName menerima string non-kosong apa pun, jadi Anda dapat memblokir konektor claude.ai berdasarkan nama tampilan mereka. Misalnya, { "serverName": "claude.ai Slack" } memblokir konektor Slack. Lebih suka entri serverUrl ketika Anda memerlukan penolakan yang kuat terhadap penggantian nama, atau ketika nama konektor bertabrakan dan mendapatkan akhiran (N).
Dalam allowedMcpServers, serverName terbatas pada huruf, angka, tanda hubung, dan garis bawah. Gunakan serverUrl untuk daftar izin konektor claude.ai.
Sebelum memuat server, termasuk yang dari managed-mcp.json, Claude Code menjalankan tiga pemeriksaan secara berurutan:
Gabungkan daftarnya. Entri daftar izin dan daftar penolakan dari setiap sumber pengaturan digabungkan menjadi satu daftar izin dan satu daftar penolakan. Ketika allowManagedMcpServersOnly adalah true, hanya daftar izin yang dikelola yang disimpan; daftar penolakan selalu digabungkan dari setiap sumber.
Periksa daftar penolakan. Server yang cocok dengan entri daftar penolakan apa pun, berdasarkan URL, perintah, atau nama, diblokir. Tidak ada yang mengganti kecocokan daftar penolakan.
Periksa daftar izin. Jika allowedMcpServers tidak diatur di mana pun, setiap server yang melewati daftar penolakan dimuat. Jika diatur, apa yang harus cocok dengan server tergantung pada jenisnya, ditunjukkan dalam tabel di bawah.
Jenis server
Diizinkan ketika cocok
Jarak jauh (HTTP atau SSE)
Entri serverUrl. Kecocokan serverName hanya dihitung ketika daftar izin tidak berisi entri serverUrl
Stdio
Entri serverCommand. Kecocokan serverName hanya dihitung ketika daftar izin tidak berisi entri serverCommand
Dua aturan pencocokan berlaku dalam pemeriksaan tersebut:
Perintah cocok dengan tepat. Setiap argumen, dalam urutan. ["npx", "-y", "server"] tidak cocok dengan ["npx", "server"] atau ["npx", "-y", "server", "--flag"].
URL mendukung wildcard * di mana pun dalam pola, termasuk skema. Pencocokan nama host tidak peka huruf besar-kecil dan mengabaikan titik FQDN yang tertinggal, jadi https://Mcp.Example.com/* cocok dengan https://mcp.example.com/api. Jalur tetap peka huruf besar-kecil.
Pola
Mengizinkan
https://mcp.example.com/*
Semua jalur di domain tertentu
https://mcp.example.com
Juga semua jalur di domain itu. Pola tanpa jalur cocok dengan jalur apa pun
Konfigurasi di bawah menyiapkan daftar izin keras dengan daftar penolakan. Baris yang disorot mengubah cara sisa daftar dievaluasi, dan callout setelah blok menjelaskan masing-masing:
Baris 3: entri serverUrl pertama. Setelah satu ada, setiap server jarak jauh harus cocok dengan pola URL, jadi pengguna tidak dapat mendapatkan server jarak jauh yang tidak terdaftar dengan memberikannya nama yang diizinkan.
Baris 5: entri serverCommand pertama. Efek yang sama untuk server stdio, jadi setiap server lokal harus cocok dengan perintah yang terdaftar dengan tepat.
Baris 11: entri serverName dalam daftar penolakan. Entri daftar penolakan selalu berlaku, jadi server apa pun yang bernama dangerous-server diblokir terlepas dari URL atau perintahnya.
Entri serverName dalam daftar izin ini tidak akan pernah cocok dengan apa pun, karena kedua jenis transportasi sudah memiliki entri yang lebih ketat.Accordion di bawah menjelaskan cara server dievaluasi terhadap kombinasi daftar izin dan daftar penolakan lainnya.
Ketika allowManagedMcpServersOnly adalah true, daftar izin dari pengaturan pengguna, proyek, dan lokal diabaikan. Daftar penolakan masih digabungkan dari semua sumber, jadi pengguna selalu dapat memblokir server untuk diri mereka sendiri.
Ketika pembatasan memblokir server, pengguna melihat kesalahan dari claude mcp add atau server berhenti dimuat secara diam-diam. Gunakan tabel ini untuk mengenali laporan tersebut dan untuk memberitahu pengguna apa yang diharapkan sebelum Anda meluncurkan perubahan:
Pembatasan
Apa yang dilihat pengguna
managed-mcp.json ada dan pengguna menjalankan claude mcp add
Cannot add MCP server: enterprise MCP configuration is active and has exclusive control over MCP servers
Server ada di daftar penolakan dan pengguna menjalankan claude mcp add
Cannot add MCP server "<name>": server is explicitly blocked by enterprise policy
Server tidak ada di daftar izin dan pengguna menjalankan claude mcp add
Cannot add MCP server "<name>": not allowed by enterprise policy
Server yang dikonfigurasi sebelumnya sekarang diblokir oleh kebijakan
Server menghilang secara diam-diam dari /mcp dan claude mcp list tanpa peringatan
Dalam kasus terakhir, pengguna tidak mendapat sinyal bahwa kebijakan adalah alasan server mereka menghilang, jadi beri tahu pengguna yang terpengaruh server mana yang diblokir saat Anda meluncurkan pembatasan baru.
Ketika ekspor OpenTelemetry dikonfigurasi, Claude Code dapat merekam server MCP dan alat mana yang digunakan pengguna. Atur OTEL_LOG_TOOL_DETAILS=1 untuk menyertakan nama server dan alat MCP dalam acara alat, kemudian agregasikan di kolektor Anda untuk melihat server mana yang benar-benar dihubungkan pengguna Anda. Lihat Monitoring untuk menyiapkan pengekspor dan untuk skema acara lengkap.