Pular para o conteúdo principal
Claude Code aplica a política da organização através de configurações gerenciadas que têm precedência sobre a configuração local do desenvolvedor. Você entrega essas configurações a partir do console de administração Claude, seu sistema de gerenciamento de dispositivos móveis (MDM) ou um arquivo no disco. As configurações controlam quais ferramentas, comandos, servidores e destinos de rede Claude pode alcançar. Esta página percorre as decisões de implantação em ordem. Cada linha vincula à seção abaixo e à página de referência para essa área.
SSO, provisionamento SCIM e atribuição de assentos são configurados no nível da conta Claude. Consulte o Guia do Administrador Empresarial Claude e atribuição de assentos para essas etapas.
DecisãoO que você está escolhendoReferência
Escolha seu provedor de APIOnde Claude Code autentica e como é cobradoAuthentication, Bedrock, Vertex AI, Foundry
Decida como as configurações chegam aos dispositivosComo a política gerenciada chega às máquinas dos desenvolvedoresServer-managed settings, Settings files
Decida o que aplicarQuais ferramentas, comandos e integrações são permitidasPermissions, Sandboxing
Configure a visibilidade de usoComo você rastreia gastos e adoçãoAnalytics, Monitoring, Costs
Revise o tratamento de dadosRetenção de dados e postura de conformidadeData usage, Security

Escolha seu provedor de API

Claude Code se conecta ao Claude através de um dos vários provedores de API. Sua escolha afeta faturamento, autenticação e qual postura de conformidade você herda.
ProvedorEscolha isto quando
Claude for Teams / EnterpriseVocê quer Claude Code e claude.ai sob uma assinatura por assento com nenhuma infraestrutura para executar. Esta é a recomendação padrão.
Claude ConsoleVocê é API-first ou quer faturamento pay-as-you-go
Amazon BedrockVocê quer herdar controles de conformidade e faturamento AWS existentes
Google Vertex AIVocê quer herdar controles de conformidade e faturamento GCP existentes
Microsoft FoundryVocê quer herdar controles de conformidade e faturamento Azure existentes
Para a comparação completa do provedor cobrindo autenticação, regiões e paridade de recursos, consulte a visão geral de implantação empresarial. A configuração de autenticação de cada provedor está em Authentication. Os requisitos de proxy e firewall em Network configuration se aplicam independentemente do provedor. Se você quiser um único endpoint na frente de vários provedores ou registro de solicitações centralizado, consulte LLM gateway.

Decida como as configurações chegam aos dispositivos

As configurações gerenciadas definem a política que tem precedência sobre a configuração local do desenvolvedor. Claude Code procura por elas em quatro lugares e usa a primeira que encontra em um determinado dispositivo.
MecanismoEntregaPrioridadePlataformas
Server-managedConsole de administração Claude.aiMais altaTodas
plist / registry policymacOS: com.anthropic.claudecode plist
Windows: HKLM\SOFTWARE\Policies\ClaudeCode		AltamacOS, Windows
File-based managedmacOS: /Library/Application Support/ClaudeCode/managed-settings.json
Linux e WSL: /etc/claude-code/managed-settings.json
Windows: C:\Program Files\ClaudeCode\managed-settings.json		MédiaTodas
Windows user registryHKCU\SOFTWARE\Policies\ClaudeCodeMais baixaApenas Windows
As configurações gerenciadas pelo servidor chegam aos dispositivos no momento da autenticação e são atualizadas a cada hora durante sessões ativas, sem infraestrutura de endpoint. Eles exigem um plano Claude for Teams ou Enterprise, portanto, implantações em outros provedores precisam de um dos mecanismos baseados em arquivo ou de nível do SO. Se sua organização mistura provedores, configure configurações gerenciadas pelo servidor para usuários Claude.ai mais um fallback baseado em arquivo ou plist/registry para que outros usuários ainda recebam política gerenciada. Os locais de registro plist e HKLM funcionam com qualquer provedor e resistem a adulteração porque exigem privilégios de administrador para escrever. O registro de usuário do Windows em HKCU é gravável sem elevação, portanto, trate-o como um padrão de conveniência em vez de um canal de aplicação. Por padrão, WSL lê apenas o caminho do arquivo Linux em /etc/claude-code. Para estender sua política de registro do Windows e C:\Program Files\ClaudeCode para WSL na mesma máquina, defina wslInheritsWindowsSettings: true em uma das fontes do Windows somente para administrador. Qualquer que seja o mecanismo escolhido, os valores gerenciados têm precedência sobre as configurações de usuário e projeto. As configurações de matriz, como permissions.allow e permissions.deny, mesclam entradas de todas as fontes, portanto, os desenvolvedores podem estender listas gerenciadas, mas não removê-las. Consulte Server-managed settings e Settings files and precedence.

Decida o que aplicar

As configurações gerenciadas podem bloquear ferramentas, execução de sandbox, restringir servidores MCP e fontes de plugins, e controlar quais hooks são executados. Cada linha é uma superfície de controle com as chaves de configuração que a controlam.
ControleO que fazConfigurações-chave
Permission rulesPermitir, perguntar ou negar ferramentas e comandos específicospermissions.allow, permissions.deny
Permission lockdownApenas regras de permissão gerenciadas se aplicam; desabilitar --dangerously-skip-permissionsallowManagedPermissionRulesOnly, permissions.disableBypassPermissionsMode
SandboxingIsolamento de sistema de arquivos e rede de nível do SO com listas de permissão de domíniosandbox.enabled, sandbox.network.allowedDomains
Managed policy CLAUDE.mdInstruções em toda a organização carregadas em cada sessão, não podem ser excluídasArquivo no caminho da política gerenciada
MCP server controlRestringir quais servidores MCP os usuários podem adicionar ou conectarallowedMcpServers, deniedMcpServers, allowManagedMcpServersOnly
Plugin marketplace controlRestringir quais fontes de marketplace os usuários podem adicionar e instalarstrictKnownMarketplaces, blockedMarketplaces
Hook restrictionsApenas hooks gerenciados são carregados; restringir URLs de hook HTTPallowManagedHooksOnly, allowedHttpHookUrls
Version floorImpedir que a atualização automática instale abaixo de um mínimo em toda a organizaçãominimumVersion
As regras de permissão e sandboxing cobrem camadas diferentes. Negar WebFetch bloqueia a ferramenta de busca do Claude, mas se Bash for permitido, curl e wget ainda podem alcançar qualquer URL. O sandboxing fecha essa lacuna com uma lista de permissão de domínio de rede aplicada no nível do SO. Para o modelo de ameaça que esses controles defendem, consulte Security.

Configure a visibilidade de uso

Escolha monitoramento com base no que você precisa relatar.
CapacidadeO que você obtémDisponibilidadePor onde começar
Usage monitoringExportação OpenTelemetry de sessões, ferramentas e tokensTodos os provedoresMonitoring usage
Analytics dashboardMétricas por usuário, rastreamento de contribuição, placarApenas AnthropicAnalytics
Cost trackingLimites de gastos, limites de taxa e atribuição de usoApenas AnthropicCosts
Os provedores de nuvem expõem gastos através do AWS Cost Explorer, GCP Billing ou Azure Cost Management. Os planos Claude for Teams e Enterprise incluem um painel de uso em claude.ai/analytics/claude-code.

Revise o tratamento de dados

Nos planos Team, Enterprise, Claude API e provedor de nuvem, Anthropic não treina modelos em seu código ou prompts. Seu provedor de API determina a retenção e postura de conformidade.
TópicoO que saberPor onde começar
Data usage policyO que Anthropic coleta, quanto tempo é retido, o que nunca é usado para treinamentoData usage
Zero Data Retention (ZDR)Nada armazenado após a conclusão da solicitação. Disponível no Claude for EnterpriseZero data retention
Security architectureModelo de rede, criptografia, autenticação, trilha de auditoriaSecurity
Se você precisar de registro de auditoria em nível de solicitação ou rotear tráfego por sensibilidade de dados, coloque um LLM gateway entre desenvolvedores e seu provedor. Para requisitos regulatórios e certificações, consulte Legal and compliance.

Verifique e integre

Após configurar as configurações gerenciadas, peça a um desenvolvedor para executar /status dentro de Claude Code. A saída inclui uma linha começando com Enterprise managed settings seguida pela fonte entre parênteses, uma de (remote), (plist), (HKLM), (HKCU) ou (file). Consulte Verify active settings. Compartilhe esses recursos para ajudar os desenvolvedores a começar: Para problemas de login, direcione os desenvolvedores para authentication troubleshooting. As correções mais comuns são:
  • Execute /logout e depois /login para trocar de contas
  • Execute claude update se a opção de autenticação empresarial estiver faltando
  • Reinicie o terminal após atualizar
Se um desenvolvedor vir “You haven’t been added to your organization yet,” seu assento não inclui acesso a Claude Code e precisa ser atualizado no console de administração.

Próximas etapas

Com o provedor e mecanismo de entrega escolhidos, passe para a configuração detalhada: