Контролируйте доступ к серверам MCP для вашей организации
Ограничьте, какие серверы MCP пользователи могут добавлять или подключать, используя управляемые файлы конфигурации, списки разрешений и списки запретов.
По умолчанию любой, кто запускает Claude Code, может подключить любой MCP сервер по своему выбору. Anthropic проверяет соединители в соответствии с критериями листинга перед добавлением их в Anthropic Directory, но не проводит проверку безопасности и не управляет какими-либо MCP серверами. Как администратор, вы можете ограничить, какие серверы работают в вашей организации, от развертывания фиксированного одобренного набора до полного отключения MCP.На этой странице рассматривается, как:
Выбрать шаблон, который соответствует необходимому уровню контроля
На странице Security рассматривается модель угроз MCP и способы оценки сервера перед его одобрением. Decide what to enforce охватывает ограничения MCP наряду с другими административными элементами управления.
Claude Code поддерживает различные уровни ограничений. Каждый шаблон использует один или оба механизма, описанные ниже: managed-mcp.json для развертывания фиксированного набора и allowedMcpServers/deniedMcpServers для фильтрации того, что настраивают пользователи.
Шаблон
Что он делает
Конфигурация
Отключить MCP
Серверы не загружаются нигде
managed-mcp.json с пустой картой серверов
Фиксированное развертывание
Каждый пользователь получает одни и те же серверы и не может добавлять другие
managed-mcp.json с нужными вам серверами
Одобренный каталог
Опубликуйте список одобренных серверов; пользователи добавляют нужные им, все остальное блокируется
Применить список разрешений, который пользователи могут расширить в своих собственных настройках
allowedMcpServers без allowManagedMcpServersOnly
Только список запретов
Заблокируйте известные плохие серверы, разрешите все остальное
deniedMcpServers
Без ограничений
Пользователи добавляют что угодно
Не развертывайте никакую управляемую конфигурацию MCP
Claude Code не имеет встроенного реестра MCP серверов, который пользователи могут просматривать и устанавливать. Для шаблона одобренного каталога поделитесь списком одобренных серверов и его командами claude mcp add в месте, где его найдут ваши пользователи, например во внутренней вики, или распределите серверы как плагины через управляемый рынок плагинов, чтобы пользователи могли просматривать и устанавливать их из /plugin.
Если вы развернете файл managed-mcp.json, Claude Code загружает только серверы, которые определены в этом файле. Пользователи не могут добавлять, изменять или использовать какие-либо другие MCP серверы, включая серверы, предоставляемые плагинами. Файл также подавляет соединители claude.ai, если вы не разрешите их наряду с управляемым набором.Два других параметра могут дополнительно фильтровать управляемый набор:
allowedMcpServers и deniedMcpServers также применяются к управляемым серверам, поэтому управляемый сервер, который не проходит их, не будет загружен.
Собственный deniedMcpServers пользователя объединяется из его настроек, поэтому пользователи могут заблокировать управляемый сервер для себя.
Полный порядок проверок см. в разделе How a server is evaluated.managed-mcp.json — это отдельный файл, поэтому он не может быть доставлен через server-managed settings. Любой процесс, который может писать в системный путь с правами администратора, может развернуть его. В масштабе это обычно происходит через инструменты управления устройствами, такие как Jamf или профиль конфигурации на macOS, Group Policy или Intune на Windows, или выбранное вами управление флотом на Linux. Claude Code ищет файл по одному из этих путей:
Аутентификация с учетными данными для каждого пользователя
Любой пользователь на машине может прочитать этот файл, поэтому не сохраняйте ключи API или другие учетные данные в блоках env. Передавайте учетные данные для каждого пользователя одним из следующих способов:
${VAR} расширение для чтения секретов из окружения каждого пользователя.
Чтобы подтвердить, что файл действует, выполните две проверки на управляемой машине:
claude mcp list показывает только серверы в managed-mcp.json. Если собственные серверы пользователя все еще отображаются, файл не читается; проверьте путь и разрешения.
claude mcp add --transport http test https://example.com/mcp завершается с ошибкой Cannot add MCP server: enterprise MCP configuration is active and has exclusive control over MCP servers. URL не должен быть реальным сервером, так как проверка политики отклоняет команду перед тем, как что-либо будет контактировано.
Разверните managed-mcp.json, содержащий пустую карту серверов, чтобы заблокировать каждый MCP сервер:
{ "mcpServers": {}}
Пользователи не видят никаких MCP серверов в /mcp, и claude mcp add завершается с ошибкой политики предприятия, указанной выше. Серверы, которые пользователи ранее настроили, перестают загружаться при следующем запуске сеанса без предупреждения о том, что причина в политике.
Разрешить соединители claude.ai наряду с управляемым набором
Развертывание managed-mcp.json подавляет соединители claude.ai по умолчанию, включая соединители, которые администратор настроил для организации в консоли администратора claude.ai. Чтобы загружать эти соединители наряду с серверами в managed-mcp.json, установите "allowAllClaudeAiMcps": true в источнике управляемых настроек. Требуется Claude Code версии 2.1.149 или позже.Когда параметр включен, Claude Code загружает те же соединители claude.ai, которые он загружал бы, если бы managed-mcp.json не был развернут. Списки разрешений и запретов по-прежнему применяются к этим соединителям, поэтому вы можете заблокировать конкретные с помощью deniedMcpServers. Параметр влияет только на соединители claude.ai; серверы, предоставляемые плагинами, остаются подавленными.Claude Code читает этот параметр только из контролируемых администратором уровней политики: server-managed settings, развернутый через MDM plist или ключ реестра HKLM, или системный файл managed-settings.json. Размещение его в пользовательских или проектных настройках не имеет эффекта, поэтому пользователи не могут повторно включить соединители, которые исключительный контроль подавил.
Контроль на основе политики со списками разрешений и запретов
Списки разрешений и запретов фильтруют, какие настроенные серверы разрешены для загрузки. Это не реестр: сервер все еще должен быть добавлен пользователем, плагином или managed-mcp.json перед тем, как список разрешений или запретов применится к нему. Чтобы развернуть серверы для пользователей, используйте managed-mcp.json.Чтобы сделать список разрешений авторитетным, установите allowedMcpServers и allowManagedMcpServersOnly: true вместе в источник управляемых настроек, такой как server-managed settings или развернутый файл managed-settings.json. Ограничение списка разрешений только управляемыми настройками показывает конфигурацию. Без allowManagedMcpServersOnly списки разрешений из каждого источника настроек объединяются, включая собственный ~/.claude/settings.json пользователя, поэтому пользователь может расширить то, что разрешает ваш список разрешений. Списки запретов объединяются из каждого источника независимо.
allowManagedMcpServersOnly отличается от allowManagedPermissionRulesOnly, который блокирует только правила разрешений. Установка этого флага не применяет список разрешений MCP.
allowedMcpServers и deniedMcpServers — это списки записей. Каждая запись — это объект с одним ключом, который идентифицирует серверы по их URL, команде или имени:
Ключ
Совпадает
Используется для
serverUrl
URL удаленного сервера, точный или с подстановочными знаками *
HTTP и SSE серверы
serverCommand
Точная команда и аргументы, которые запускают сервер stdio
Серверы stdio
serverName
Метка, назначенная пользователем. Только точное совпадение; подстановочные знаки не расширяются
Любой тип, но см. предупреждение ниже
Оставление allowedMcpServers неустановленным отличается от установки его в пустой массив:
Параметр
Не установлен (по умолчанию)
Пустой массив []
Заполненный
allowedMcpServers
Все серверы разрешены
Серверы не разрешены
Разрешены только совпадающие серверы
deniedMcpServers
Серверы не блокируются
Серверы не блокируются
Совпадающие серверы блокируются
Запись serverName, в любом списке, не является элементом управления безопасностью. Имя — это метка, которую пользователь назначает при запуске claude mcp add или редактировании файла конфигурации, а не базовый сервер, поэтому пользователь может назвать любой сервер github. Для соединителей claude.ai имя — это отображаемое имя, возвращаемое claude.ai, которое может измениться. Чтобы применить, какие серверы фактически работают, добавьте записи serverCommand или serverUrl.
Валидация serverName отличается между двумя списками:
В deniedMcpServers, serverName принимает любую непустую строку, поэтому вы можете блокировать соединители claude.ai по их отображаемому имени. Например, { "serverName": "claude.ai Slack" } блокирует соединитель Slack. Предпочитайте запись serverUrl, когда вам нужно, чтобы запрет был устойчив к переименованиям, или когда имя соединителя конфликтует и получает суффикс (N).
В allowedMcpServers, serverName ограничен буквами, цифрами, дефисами и подчеркиваниями. Используйте serverUrl для добавления в список разрешений соединителя claude.ai.
Перед загрузкой сервера, включая сервер из managed-mcp.json, Claude Code выполняет три проверки по порядку:
Объедините списки. Записи списка разрешений и запретов из каждого источника настроек объединяются в один список разрешений и один список запретов. Когда allowManagedMcpServersOnly имеет значение true, сохраняется только управляемый список разрешений; список запретов всегда объединяется из каждого источника.
Проверьте список запретов. Сервер, который совпадает с любой записью списка запретов по URL, команде или имени, блокируется. Ничто не переопределяет совпадение списка запретов.
Проверьте список разрешений. Если allowedMcpServers не установлен нигде, каждый сервер, который прошел список запретов, загружается. Если он установлен, то, с чем должен совпадать сервер, зависит от его типа, показанного в таблице ниже.
Тип сервера
Разрешено, когда совпадает
Удаленный (HTTP или SSE)
Запись serverUrl. Совпадение serverName считается только когда список разрешений не содержит записей serverUrl
Stdio
Запись serverCommand. Совпадение serverName считается только когда список разрешений не содержит записей serverCommand
Два правила сопоставления применяются внутри этих проверок:
Команды совпадают точно. Каждый аргумент по порядку. ["npx", "-y", "server"] не совпадает с ["npx", "server"] или ["npx", "-y", "server", "--flag"].
URL поддерживают подстановочные знаки * в любом месте шаблона, включая схему. Сопоставление имени хоста не учитывает регистр и игнорирует конечную точку FQDN, поэтому https://Mcp.Example.com/* совпадает с https://mcp.example.com/api. Пути остаются чувствительными к регистру.
Шаблон
Разрешает
https://mcp.example.com/*
Все пути на конкретном домене
https://mcp.example.com
Также все пути на этом домене. Шаблон без пути совпадает с любым путем
Конфигурация ниже устанавливает жесткий список разрешений со списком запретов. Выделенные строки изменяют способ оценки остальной части списка, и выноски после блока объясняют каждую:
Строка 3: первая запись serverUrl. Как только она существует, каждый удаленный сервер должен совпадать с шаблоном URL, поэтому пользователь не может получить неуказанный удаленный сервер, дав ему разрешенное имя.
Строка 5: первая запись serverCommand. Тот же эффект для серверов stdio, поэтому каждый локальный сервер должен совпадать с указанной командой точно.
Строка 11: запись serverName в списке запретов. Записи списка запретов всегда применяются, поэтому любой сервер с именем dangerous-server блокируется независимо от его URL или команды.
Запись serverName в этом списке разрешений никогда не совпадет ни с чем, так как оба типа транспорта уже имеют более строгие записи.Аккордеоны ниже проходят через то, как сервер оценивается в сравнении с другими комбинациями списков разрешений и запретов.
Когда allowManagedMcpServersOnly имеет значение true, списки разрешений из пользовательских, проектных и локальных настроек игнорируются. Список запретов все еще объединяется из всех источников, поэтому пользователи всегда могут блокировать серверы для себя.
Когда ограничение блокирует сервер, пользователь либо видит ошибку от claude mcp add, либо сервер молча перестает загружаться. Используйте эту таблицу, чтобы распознать эти отчеты и сообщить пользователям, чего ожидать перед развертыванием изменения:
Ограничение
Что видит пользователь
managed-mcp.json присутствует и пользователь запускает claude mcp add
Cannot add MCP server: enterprise MCP configuration is active and has exclusive control over MCP servers
Сервер находится в списке запретов и пользователь запускает claude mcp add
Cannot add MCP server "<name>": server is explicitly blocked by enterprise policy
Сервер не находится в списке разрешений и пользователь запускает claude mcp add
Cannot add MCP server "<name>": not allowed by enterprise policy
Ранее настроенный сервер теперь заблокирован политикой
Сервер молча исчезает из /mcp и claude mcp list без предупреждения
В последнем случае пользователь не получает сигнала о том, что причина в политике, поэтому сообщите затронутым пользователям, какие серверы блокируются при развертывании нового ограничения.
Когда OpenTelemetry export настроен, Claude Code может записывать, какие MCP серверы и инструменты вызывают пользователи. Установите OTEL_LOG_TOOL_DETAILS=1, чтобы включить имена MCP серверов и инструментов в события инструментов, затем агрегируйте их в вашем сборщике, чтобы увидеть, какие серверы фактически подключают ваши пользователи. См. Monitoring для настройки экспортера и полной схемы событий.