SSO、SCIM 预配和座位分配在 Claude 账户级别配置。有关这些步骤,请参阅 Claude 企业管理员指南 和 座位分配。
| 决策 | 您的选择 | 参考 |
|---|---|---|
| 选择您的 API 提供商 | Claude Code 的身份验证位置和计费方式 | Authentication、Bedrock、Vertex AI、Foundry |
| 决定设置如何到达设备 | 托管策略如何到达开发人员机器 | Server-managed settings、Settings files |
| 决定要强制执行的内容 | 允许哪些工具、命令和集成 | Permissions、Sandboxing |
| 设置使用情况可见性 | 如何跟踪支出和采用情况 | Analytics、Monitoring、Costs |
| 审查数据处理 | 数据保留和合规性态势 | Data usage、Security |
选择您的 API 提供商
Claude Code 通过多个 API 提供商之一连接到 Claude。您的选择会影响计费、身份验证和您继承的合规性态势。| 提供商 | 何时选择 |
|---|---|
| Claude for Teams / Enterprise | 您希望 Claude Code 和 claude.ai 在一个按座位订阅下,无需运行基础设施。这是默认建议。 |
| Claude Console | 您是 API 优先或希望按使用量付费 |
| Amazon Bedrock | 您希望继承现有的 AWS 合规控制和计费 |
| Google Vertex AI | 您希望继承现有的 GCP 合规控制和计费 |
| Microsoft Foundry | 您希望继承现有的 Azure 合规控制和计费 |
决定设置如何到达设备
托管设置定义优先于本地开发人员配置的策略。Claude Code 在四个位置查找它们,并使用在给定设备上找到的第一个。| 机制 | 传递 | 优先级 | 平台 |
|---|---|---|---|
| Server-managed | Claude.ai 管理控制台 | 最高 | 全部 |
| plist / registry policy | macOS: com.anthropic.claudecode plistWindows: HKLM\SOFTWARE\Policies\ClaudeCode | 高 | macOS、Windows |
| File-based managed | macOS: /Library/Application Support/ClaudeCode/managed-settings.jsonLinux 和 WSL: /etc/claude-code/managed-settings.jsonWindows: C:\Program Files\ClaudeCode\managed-settings.json | 中 | 全部 |
| Windows user registry | HKCU\SOFTWARE\Policies\ClaudeCode | 最低 | 仅 Windows |
permissions.allow 和 permissions.deny)合并来自所有源的条目,因此开发人员可以扩展托管列表但不能从中删除。
请参阅 Server-managed settings 和 Settings files and precedence。
决定要强制执行的内容
托管设置可以锁定工具、沙箱执行、限制 MCP 服务器和插件源,以及控制哪些 hooks 运行。每一行都是一个控制表面,具有驱动它的设置键。| 控制 | 它的作用 | 关键设置 |
|---|---|---|
| Permission rules | 允许、询问或拒绝特定工具和命令 | permissions.allow、permissions.deny |
| Permission lockdown | 仅托管权限规则适用;禁用 --dangerously-skip-permissions | allowManagedPermissionRulesOnly、permissions.disableBypassPermissionsMode |
| Sandboxing | 具有域允许列表的操作系统级文件系统和网络隔离 | sandbox.enabled、sandbox.network.allowedDomains |
| Managed policy CLAUDE.md | 在每个会话中加载的组织范围指令,无法排除 | 托管策略路径处的文件 |
| MCP server control | 限制用户可以添加或连接的 MCP 服务器 | allowedMcpServers、deniedMcpServers、allowManagedMcpServersOnly |
| Plugin marketplace control | 限制用户可以添加和安装的市场来源 | strictKnownMarketplaces、blockedMarketplaces |
| Hook restrictions | 仅托管 hooks 加载;限制 HTTP hook URL | allowManagedHooksOnly、allowedHttpHookUrls |
| Version floor | 防止自动更新安装低于组织范围最小值的版本 | minimumVersion |
curl 和 wget 仍然可以到达任何 URL。沙箱通过在操作系统级别强制执行的网络域允许列表来弥补这一差距。
有关这些控制防御的威胁模型,请参阅 Security。
设置使用情况可见性
根据您需要报告的内容选择监控。| 功能 | 您获得的内容 | 可用性 | 从何处开始 |
|---|---|---|---|
| Usage monitoring | 会话、工具和令牌的 OpenTelemetry 导出 | 所有提供商 | Monitoring usage |
| Analytics dashboard | 每用户指标、贡献跟踪、排行榜 | 仅 Anthropic | Analytics |
| Cost tracking | 支出限制、速率限制和使用情况归属 | 仅 Anthropic | Costs |
审查数据处理
在 Team、Enterprise、Claude API 和云提供商计划上,Anthropic 不会在您的代码或提示上训练模型。您的 API 提供商决定保留和合规性态势。| 主题 | 需要了解的内容 | 从何处开始 |
|---|---|---|
| Data usage policy | Anthropic 收集的内容、保留多长时间、永远不会用于训练的内容 | Data usage |
| Zero Data Retention (ZDR) | 请求完成后不存储任何内容。在 Claude for Enterprise 上可用 | Zero data retention |
| Security architecture | 网络模型、加密、身份验证、审计跟踪 | Security |
验证和入职
配置托管设置后,让开发人员在 Claude Code 中运行/status。输出包括以 Enterprise managed settings 开头的一行,后跟括号中的源,为 (remote)、(plist)、(HKLM)、(HKCU) 或 (file) 之一。请参阅 Verify active settings。
分享这些资源以帮助开发人员入门:
- Quickstart:从安装到使用项目的首次会话演练
- Common workflows:代码审查、重构和调试等日常任务的模式
- Claude 101 和 Claude Code in Action:自定进度的 Anthropic Academy 课程
- 运行
/logout然后/login以切换账户 - 如果缺少企业身份验证选项,运行
claude update - 更新后重启终端
后续步骤
选择提供商和传递机制后,继续进行详细配置:- Server-managed settings:从 Claude 管理控制台传递托管策略
- Settings reference:每个设置键、文件位置和优先级规则
- Amazon Bedrock、Google Vertex AI、Microsoft Foundry:提供商特定部署
- Claude 企业管理员指南:SSO、SCIM、座位管理和推出手册