Перейти к основному содержанию

Documentation Index

Fetch the complete documentation index at: https://code.claude.com/docs/llms.txt

Use this file to discover all available pages before exploring further.

По умолчанию любой, кто запускает Claude Code, может подключить любой MCP сервер по своему выбору. Anthropic проверяет соединители в соответствии с критериями листинга перед добавлением их в Anthropic Directory, но не проводит проверку безопасности и не управляет какими-либо MCP серверами. Как администратор, вы можете ограничить, какие серверы работают в вашей организации, от развертывания фиксированного одобренного набора до полного отключения MCP. На этой странице рассматривается, как:
На странице Security рассматривается модель угроз MCP и способы оценки сервера перед его одобрением. Decide what to enforce охватывает ограничения MCP наряду с другими административными элементами управления.

Выбор шаблона

Claude Code поддерживает различные уровни ограничений. Каждый шаблон использует один или оба механизма, описанные ниже: managed-mcp.json для развертывания фиксированного набора и allowedMcpServers/deniedMcpServers для фильтрации того, что настраивают пользователи.
ШаблонЧто он делаетКонфигурация
Отключить MCPСерверы не загружаются нигдеmanaged-mcp.json с пустой картой серверов
Фиксированное развертываниеКаждый пользователь получает одни и те же серверы и не может добавлять другиеmanaged-mcp.json с нужными вам серверами
Одобренный каталогОпубликуйте список одобренных серверов; пользователи добавляют нужные им, все остальное блокируетсяallowedMcpServers + allowManagedMcpServersOnly: true
Только серверы плагиновСерверы могут поступать только из плагинов; пользователи не могут добавлять свои собственныеstrictPluginOnlyCustomization с mcp в списке
Мягкий список разрешенийПрименить список разрешений, который пользователи могут расширить в своих собственных настройкахallowedMcpServers без allowManagedMcpServersOnly
Только список запретовЗаблокируйте известные плохие серверы, разрешите все остальноеdeniedMcpServers
Без ограниченийПользователи добавляют что угодноНе развертывайте никакую управляемую конфигурацию MCP
Claude Code не имеет встроенного реестра MCP серверов, который пользователи могут просматривать и устанавливать. Для шаблона одобренного каталога поделитесь списком одобренных серверов и его командами claude mcp add в месте, где его найдут ваши пользователи, например во внутренней вики, или распределите серверы как плагины через управляемый рынок плагинов, чтобы пользователи могли просматривать и устанавливать их из /plugin.

Исключительный контроль с managed-mcp.json

Если вы развернете файл managed-mcp.json, Claude Code загружает только серверы, которые определены в этом файле. Пользователи не могут добавлять, изменять или использовать какие-либо другие MCP серверы, включая серверы, предоставляемые плагинами, и соединители claude.ai. Два других параметра могут дополнительно фильтровать управляемый набор:
  • allowedMcpServers и deniedMcpServers также применяются к управляемым серверам, поэтому управляемый сервер, который не проходит их, не будет загружен.
  • Собственный deniedMcpServers пользователя объединяется из его настроек, поэтому пользователи могут заблокировать управляемый сервер для себя.
Полный порядок проверок см. в разделе How a server is evaluated. managed-mcp.json — это отдельный файл, поэтому он не может быть доставлен через server-managed settings. Любой процесс, который может писать в системный путь с правами администратора, может развернуть его. В масштабе это обычно происходит через инструменты управления устройствами, такие как Jamf или профиль конфигурации на macOS, Group Policy или Intune на Windows, или выбранное вами управление флотом на Linux. Claude Code ищет файл по одному из этих путей:
ПлатформаПуть
macOS/Library/Application Support/ClaudeCode/managed-mcp.json
Linux и WSL/etc/claude-code/managed-mcp.json
WindowsC:\Program Files\ClaudeCode\managed-mcp.json
Файл использует тот же формат, что и файл проекта .mcp.json: 
{
  "mcpServers": {
    "github": {
      "type": "http",
      "url": "https://api.githubcopilot.com/mcp/"
    },
    "sentry": {
      "type": "http",
      "url": "https://mcp.sentry.dev/mcp"
    },
    "company-internal": {
      "type": "stdio",
      "command": "/usr/local/bin/company-mcp-server",
      "args": ["--config", "/etc/company/mcp-config.json"],
      "env": {
        "COMPANY_API_URL": "https://internal.example.com"
      }
    }
  }
}

Аутентификация с учетными данными для каждого пользователя

Любой пользователь на машине может прочитать этот файл, поэтому не сохраняйте ключи API или другие учетные данные в блоках env. Передавайте учетные данные для каждого пользователя одним из следующих способов:

Проверка конфигурации

Чтобы подтвердить, что файл действует, выполните две проверки на управляемой машине:
  1. claude mcp list показывает только серверы в managed-mcp.json. Если собственные серверы пользователя все еще отображаются, файл не читается; проверьте путь и разрешения.
  2. claude mcp add --transport http test https://example.com/mcp завершается с ошибкой Cannot add MCP server: enterprise MCP configuration is active and has exclusive control over MCP servers. URL не должен быть реальным сервером, так как проверка политики отклоняет команду перед тем, как что-либо будет контактировано.

Полное отключение MCP

Разверните managed-mcp.json, содержащий пустую карту серверов, чтобы заблокировать каждый MCP сервер: 
{
  "mcpServers": {}
}
Пользователи не видят никаких MCP серверов в /mcp, и claude mcp add завершается с ошибкой политики предприятия, указанной выше. Серверы, которые пользователи ранее настроили, перестают загружаться при следующем запуске сеанса без предупреждения о том, что причина в политике.

Контроль на основе политики со списками разрешений и запретов

Списки разрешений и запретов фильтруют, какие настроенные серверы разрешены для загрузки. Это не реестр: сервер все еще должен быть добавлен пользователем, плагином или managed-mcp.json перед тем, как список разрешений или запретов применится к нему. Чтобы развернуть серверы для пользователей, используйте managed-mcp.json. Чтобы сделать список разрешений авторитетным, установите allowedMcpServers и allowManagedMcpServersOnly: true вместе в источник управляемых настроек, такой как server-managed settings или развернутый файл managed-settings.json. Restrict the allowlist to managed settings only показывает конфигурацию. Без allowManagedMcpServersOnly списки разрешений из каждого источника настроек объединяются, включая собственный ~/.claude/settings.json пользователя, поэтому пользователь может расширить то, что разрешает ваш список разрешений. Списки запретов объединяются из каждого источника независимо.
allowManagedMcpServersOnly отличается от allowManagedPermissionRulesOnly, который блокирует только правила разрешений. Установка этого флага не применяет список разрешений MCP.

Сопоставление серверов по URL, команде или имени

allowedMcpServers и deniedMcpServers — это списки записей. Каждая запись — это объект с одним ключом, который идентифицирует серверы по их URL, команде или имени:
КлючСовпадаетИспользуется для
serverUrlURL удаленного сервера, точный или с подстановочными знаками *HTTP и SSE серверы
serverCommandТочная команда и аргументы, которые запускают сервер stdioСерверы stdio
serverNameМетка, назначенная пользователем. Только точное совпадение; подстановочные знаки не расширяютсяЛюбой тип, но см. предупреждение ниже
Оставление allowedMcpServers неустановленным отличается от установки его в пустой массив:
ПараметрНе установлен (по умолчанию)Пустой массив []Заполненный
allowedMcpServersВсе серверы разрешеныСерверы не разрешеныРазрешены только совпадающие серверы
deniedMcpServersСерверы не блокируютсяСерверы не блокируютсяСовпадающие серверы блокируются
Список разрешений, который использует только записи serverName, не является элементом управления безопасностью. Имя — это метка, которую пользователь назначает при запуске claude mcp add или редактировании файла конфигурации, а не базовый сервер, поэтому пользователь может назвать любой сервер github. Чтобы применить, какие серверы фактически работают, добавьте записи serverCommand или serverUrl.

Как оценивается сервер

Перед загрузкой сервера, включая сервер из managed-mcp.json, Claude Code выполняет три проверки по порядку:
  1. Объедините списки. Записи списка разрешений и запретов из каждого источника настроек объединяются в один список разрешений и один список запретов. Когда allowManagedMcpServersOnly имеет значение true, сохраняется только управляемый список разрешений; список запретов всегда объединяется из каждого источника.
  2. Проверьте список запретов. Сервер, который совпадает с любой записью списка запретов по URL, команде или имени, блокируется. Ничто не переопределяет совпадение списка запретов.
  3. Проверьте список разрешений. Если allowedMcpServers не установлен нигде, каждый сервер, который прошел список запретов, загружается. Если он установлен, то, с чем должен совпадать сервер, зависит от его типа, показанного в таблице ниже.
Тип сервераРазрешено, когда совпадает
Удаленный (HTTP или SSE)Запись serverUrl. Совпадение serverName считается только когда список разрешений не содержит записей serverUrl
StdioЗапись serverCommand. Совпадение serverName считается только когда список разрешений не содержит записей serverCommand
Два правила сопоставления применяются внутри этих проверок:
  • Команды совпадают точно. Каждый аргумент по порядку. ["npx", "-y", "server"] не совпадает с ["npx", "server"] или ["npx", "-y", "server", "--flag"].
  • URL поддерживают подстановочные знаки * в любом месте шаблона, включая схему. Сопоставление имени хоста не учитывает регистр и игнорирует конечную точку FQDN, поэтому https://Mcp.Example.com/* совпадает с https://mcp.example.com/api. Пути остаются чувствительными к регистру.
ШаблонРазрешает
https://mcp.example.com/*Все пути на конкретном домене
https://mcp.example.comТакже все пути на этом домене. Шаблон без пути совпадает с любым путем
https://*.example.com/*Любой поддомен example.com
http://localhost:*/*Любой порт на localhost
*://mcp.example.com/*Любая схема к конкретному домену

Пример конфигурации

Конфигурация ниже устанавливает жесткий список разрешений со списком запретов. Выделенные строки изменяют способ оценки остальной части списка, и выноски после блока объясняют каждую: 
{
  "allowedMcpServers": [
    { "serverUrl": "https://api.githubcopilot.com/*" },
    { "serverUrl": "https://mcp.sentry.dev/*" },
    { "serverCommand": ["npx", "-y", "@modelcontextprotocol/server-filesystem", "."] },
    { "serverCommand": ["python", "/usr/local/bin/approved-server.py"] },
    { "serverUrl": "https://mcp.example.com/*" },
    { "serverUrl": "https://*.internal.example.com/*" }
  ],
  "deniedMcpServers": [
    { "serverName": "dangerous-server" },
    { "serverCommand": ["npx", "-y", "unapproved-package"] },
    { "serverUrl": "https://*.untrusted.example.com/*" }
  ]
}
  • Строка 3: первая запись serverUrl. Как только она существует, каждый удаленный сервер должен совпадать с шаблоном URL, поэтому пользователь не может получить неуказанный удаленный сервер, дав ему разрешенное имя.
  • Строка 5: первая запись serverCommand. Тот же эффект для серверов stdio, поэтому каждый локальный сервер должен совпадать с указанной командой точно.
  • Строка 11: запись serverName в списке запретов. Записи списка запретов всегда применяются, поэтому любой сервер с именем dangerous-server блокируется независимо от его URL или команды.
Запись serverName в этом списке разрешений никогда не совпадет ни с чем, так как оба типа транспорта уже имеют более строгие записи. Аккордеоны ниже проходят через то, как сервер оценивается в сравнении с другими комбинациями списков разрешений и запретов. 
{
  "allowedMcpServers": [
    { "serverUrl": "https://mcp.example.com/*" },
    { "serverUrl": "https://*.internal.example.com/*" }
  ]
}
СерверРезультат
HTTP сервер в https://mcp.example.com/apiРазрешено: совпадает с шаблоном URL
HTTP сервер в https://api.internal.example.com/mcpРазрешено: совпадает с подстановочным поддоменом
HTTP сервер в https://external.example.com/mcpБлокировано: не совпадает ни с одним шаблоном URL
Сервер stdio с любой командойБлокировано: нет записей имени или команды для совпадения
{
  "allowedMcpServers": [
    { "serverCommand": ["npx", "-y", "approved-package"] }
  ]
}
СерверРезультат
Сервер stdio с ["npx", "-y", "approved-package"]Разрешено: совпадает с командой
Сервер stdio с ["node", "server.js"]Блокировано: не совпадает с командой
HTTP сервер с именем my-apiБлокировано: нет записей имени для совпадения
{
  "allowedMcpServers": [
    { "serverName": "github" },
    { "serverCommand": ["npx", "-y", "approved-package"] }
  ]
}
СерверРезультат
Сервер stdio с именем local-tool и ["npx", "-y", "approved-package"]Разрешено: совпадает с командой
Сервер stdio с именем local-tool и ["node", "server.js"]Блокировано: записи команды существуют, но не совпадают
Сервер stdio с именем github и ["node", "server.js"]Блокировано: серверы stdio должны совпадать с командами, когда существуют записи команды
HTTP сервер с именем githubРазрешено: совпадает с именем
HTTP сервер с именем other-apiБлокировано: имя не совпадает
{
  "allowedMcpServers": [
    { "serverName": "github" },
    { "serverName": "internal-tool" }
  ]
}
СерверРезультат
Сервер stdio с именем github с любой командойРазрешено: нет ограничений команды
Сервер stdio с именем internal-tool с любой командойРазрешено: нет ограничений команды
HTTP сервер с именем githubРазрешено: совпадает с именем
Любой сервер с именем otherБлокировано: имя не совпадает
{
  "allowedMcpServers": [
    { "serverUrl": "https://*.example.com/*" }
  ],
  "deniedMcpServers": [
    { "serverUrl": "https://staging.example.com/*" }
  ]
}
СерверРезультат
HTTP сервер в https://mcp.example.com/apiРазрешено: совпадает с шаблоном URL списка разрешений, нет совпадения списка запретов
HTTP сервер в https://staging.example.com/apiБлокировано: совпадает с обоими, но список запретов имеет приоритет
HTTP сервер в https://other.com/mcpБлокировано: не совпадает со списком разрешений

Ограничение списка разрешений только управляемыми настройками

Чтобы сделать управляемый список разрешений единственным применяемым, установите allowManagedMcpServersOnly в файле управляемых настроек: 
{
  "allowManagedMcpServersOnly": true,
  "allowedMcpServers": [
    { "serverUrl": "https://api.githubcopilot.com/*" },
    { "serverUrl": "https://*.internal.example.com/*" }
  ]
}
Когда allowManagedMcpServersOnly имеет значение true, списки разрешений из пользовательских, проектных и локальных настроек игнорируются. Список запретов все еще объединяется из всех источников, поэтому пользователи всегда могут блокировать серверы для себя.

Как ограничения отображаются пользователям

Когда ограничение блокирует сервер, пользователь либо видит ошибку от claude mcp add, либо сервер молча перестает загружаться. Используйте эту таблицу, чтобы распознать эти отчеты и сообщить пользователям, чего ожидать перед развертыванием изменения:
ОграничениеЧто видит пользователь
managed-mcp.json присутствует и пользователь запускает claude mcp addCannot add MCP server: enterprise MCP configuration is active and has exclusive control over MCP servers
Сервер находится в списке запретов и пользователь запускает claude mcp addCannot add MCP server "<name>": server is explicitly blocked by enterprise policy
Сервер не находится в списке разрешений и пользователь запускает claude mcp addCannot add MCP server "<name>": not allowed by enterprise policy
Ранее настроенный сервер теперь заблокирован политикойСервер молча исчезает из /mcp и claude mcp list без предупреждения
В последнем случае пользователь не получает сигнала о том, что причина в политике, поэтому сообщите затронутым пользователям, какие серверы блокируются при развертывании нового ограничения.

Мониторинг использования MCP

Когда OpenTelemetry export настроен, Claude Code может записывать, какие MCP серверы и инструменты вызывают пользователи. Установите OTEL_LOG_TOOL_DETAILS=1, чтобы включить имена MCP серверов и инструментов в события инструментов, затем агрегируйте их в вашем сборщике, чтобы увидеть, какие серверы фактически подключают ваши пользователи. См. Monitoring для настройки экспортера и полной схемы событий.

Сводка конфигурации

Каждый файл и параметр, рассмотренные на этой странице, что они контролируют и как их доставить:
ПоверхностьЧто она контролируетГде она находитсяКак доставить
managed-mcp.jsonФиксированный набор серверов, исключительный контрольСистемный путь: /Library/Application Support/ClaudeCode/, /etc/claude-code/ или C:\Program Files\ClaudeCode\MDM, GPO, управление флотом или любой процесс с правами администратора. Не может быть установлен через server-managed settings
allowedMcpServersСписок разрешений разрешенных серверовЛюбой файл настроек; записи из каждого источника объединяются, если не установлен allowManagedMcpServersOnlyДля применения, источник управляемых настроек: server-managed settings, managed-settings.json, профиль MDM или реестр
deniedMcpServersСписок запретов заблокированных серверовЛюбой файл настроек; записи из каждого источника объединяютсяТо же, что allowedMcpServers
allowManagedMcpServersOnlyБлокирует список разрешений только управляемыми источникамиТолько источники управляемых настроек; параметр не имеет эффекта в других местахТо же, что allowedMcpServers

Связанные ресурсы

  • Decide what to enforce: ограничения MCP наряду с правилами разрешений, песочницей и другими элементами управления администратора
  • Connect Claude Code to tools via MCP: полная справка MCP, включая транспорты, области и аутентификацию
  • Settings: иерархия настроек и способ приоритета управляемых настроек
  • Server-managed settings: доставка allowedMcpServers и deniedMcpServers из консоли администратора Claude.ai
  • Security: модель угроз, которую защищают эти элементы управления
  • Claude Enterprise Administrator Guide: SSO, SCIM, управление местами и сценарий развертывания