伺服器管理的設定允許管理員透過 Claude.ai 上的網頁介面集中設定 Claude Code。Claude Code 用戶端在使用者使用其組織認證進行身份驗證時會自動接收這些設定。 此方法適用於沒有裝置管理基礎設施的組織,或需要為非受管裝置上的使用者管理設定的組織。Documentation Index
Fetch the complete documentation index at: https://code.claude.com/docs/llms.txt
Use this file to discover all available pages before exploring further.
伺服器管理的設定適用於 Claude for Teams 和 Claude for Enterprise 客戶。
需求
若要使用伺服器管理的設定,您需要:- Claude for Teams 或 Claude for Enterprise 方案
- Claude for Teams 的 Claude Code 版本 2.1.38 或更新版本,或 Claude for Enterprise 的版本 2.1.30 或更新版本
- 對
api.anthropic.com的網路存取
在伺服器管理和端點管理的設定之間選擇
Claude Code 支援兩種集中設定方法。伺服器管理的設定從 Anthropic 的伺服器傳遞設定。端點管理的設定 透過原生作業系統原則 (macOS 受管偏好設定、Windows 登錄) 或受管設定檔直接部署到裝置。| 方法 | 最適合 | 安全模型 |
|---|---|---|
| 伺服器管理的設定 | 沒有 MDM 的組織,或非受管裝置上的使用者 | 在身份驗證時從 Anthropic 伺服器傳遞的設定 |
| 端點管理的設定 | 具有 MDM 或端點管理的組織 | 透過 MDM 設定檔、登錄原則或受管設定檔部署到裝置的設定 |
設定伺服器管理的設定
開啟管理員主控台
在 Claude.ai 中,導覽至 Admin Settings > Claude Code > Managed settings。
定義您的設定
將您的設定新增為 JSON。支援 Hooks 使用與 若要設定 auto mode 分類器,使其知道您的組織信任哪些儲存庫、儲存桶和網域:因為 hooks 執行 shell 命令,使用者在套用前會看到安全核准對話方塊。請參閱設定 auto mode,了解
settings.json 中提供的所有設定,除了限制於作業系統層級原則傳遞的設定外;請參閱目前的限制以取得該簡短清單。這包括 hooks、環境變數 和僅限受管的設定,例如 allowManagedPermissionRulesOnly。此範例強制執行權限拒絕清單,防止使用者繞過權限,並將權限規則限制為在受管設定中定義的規則:settings.json 中相同的格式。此範例在整個組織中的每次檔案編輯後執行稽核指令碼:autoMode 項目如何影響分類器阻止的內容,以及關於 environment、allow、soft_deny 和 hard_deny 欄位的重要警告。驗證設定傳遞
若要確認設定正在套用,請要求使用者重新啟動 Claude Code。如果設定包含觸發安全核准對話方塊的設定,使用者會在啟動時看到描述受管設定的提示。您也可以透過讓使用者執行/permissions 來檢視其有效的權限規則,以驗證受管權限規則是否處於作用中。
存取控制
以下角色可以管理伺服器管理的設定:- 主要擁有者
- 擁有者
僅限受管的設定
大多數設定金鑰可在任何範圍中運作。少數金鑰只能從受管設定中讀取,在放置於使用者或專案設定檔中時無效。請參閱僅限受管的設定以取得完整清單。任何不在該清單上的設定仍然可以放置在受管設定中,並具有最高優先順序。目前的限制
伺服器管理的設定有以下限制:- 設定統一套用到組織中的所有使用者。尚不支援每個群組的設定。
- MCP 伺服器設定 無法透過伺服器管理的設定分發。
- 限制於作業系統層級原則來源的設定,例如
policyHelper和wslInheritsWindowsSettings,不會被接受。改為透過 MDM 或系統managed-settings.json檔案部署它們。
設定傳遞
設定優先順序
伺服器管理的設定和端點管理的設定都佔據 Claude Code 設定階層中的最高層級。沒有其他設定層級可以覆蓋它們,包括命令列引數。 在受管層級內,第一個傳遞非空設定的來源會獲勝。伺服器管理的設定會先檢查,然後是端點管理的設定。來源不會合併:如果伺服器管理的設定傳遞任何金鑰,端點管理的設定會被完全忽略。如果伺服器管理的設定不傳遞任何內容,端點管理的設定會套用。 如果您在管理員主控台中清除伺服器管理的設定,意圖回退到端點管理的 plist 或登錄原則,請注意快取的設定會在用戶端機器上持續存在,直到下次成功擷取。執行/status 以查看哪個受管來源處於作用中。
擷取和快取行為
Claude Code 在啟動時從 Anthropic 的伺服器擷取設定,並在作用中的工作階段期間每小時輪詢一次更新。 首次啟動而無快取設定:- Claude Code 非同步擷取設定
- 如果擷取失敗,Claude Code 會在沒有受管設定的情況下繼續
- 在設定載入之前有一個簡短的視窗,其中限制尚未強制執行
- 快取設定在啟動時立即套用
- Claude Code 在背景擷取新鮮設定
- 快取設定透過網路故障持續存在
強制執行失敗關閉啟動
根據預設,如果遠端設定擷取在啟動時失敗,CLI 會在沒有受管設定的情況下繼續。對於這個簡短的未強制執行視窗無法接受的環境,請在您的受管設定中設定forceRemoteSettingsRefresh: true。
當此設定處於作用中時,CLI 會在啟動時阻止,直到遠端設定被新鮮擷取。如果擷取失敗,CLI 會結束而不是在沒有原則的情況下繼續。此設定會自我延續:一旦從伺服器傳遞,它也會在本機快取,以便後續啟動即使在新工作階段的第一次成功擷取之前也會強制執行相同的行為。
若要啟用此功能,請將金鑰新增到您的受管設定設定:
api.anthropic.com。如果該端點無法到達,CLI 會在啟動時結束,使用者無法啟動 Claude Code。
自 v2.1.139 起,claude auth 子命令(例如 claude auth login)不受此檢查限制,因此使用者可以在過期認證是設定擷取失敗原因時重新驗證。
安全核准對話方塊
某些可能造成安全風險的設定需要明確的使用者核准才能套用:- Shell 命令設定:執行 shell 命令的設定
- 自訂環境變數:不在已知安全允許清單中的變數
- Hook 設定:任何 hook 定義
在使用
-p 旗標的非互動模式中,Claude Code 會略過安全對話方塊並在沒有使用者核准的情況下套用設定。平台可用性
伺服器管理的設定需要直接連線到api.anthropic.com,在使用第三方模型提供者時無法使用:
- Amazon Bedrock
- Google Vertex AI
- Microsoft Foundry
- 透過
ANTHROPIC_BASE_URL或 LLM 閘道 的自訂 API 端點
稽核記錄
設定變更的稽核記錄事件可透過合規性 API 或稽核記錄匯出取得。請聯絡您的 Anthropic 帳戶團隊以取得存取權。 稽核事件包括執行的動作類型、執行動作的帳戶和裝置,以及對先前和新值的參考。安全考量
伺服器管理的設定提供集中式原則強制執行,但它們作為用戶端控制運作。在非受管裝置上,具有管理員或 sudo 存取權的使用者可以修改 Claude Code 二進位檔、檔案系統或網路設定。| 情況 | 行為 |
|---|---|
| 使用者編輯快取的設定檔 | 篡改的檔案在啟動時套用,但正確的設定會在下次伺服器擷取時還原 |
| 使用者刪除快取的設定檔 | 首次啟動行為發生:設定非同步擷取,有一個簡短的未強制執行視窗 |
| API 無法使用 | 如果可用,快取設定會套用,否則受管設定在下次成功擷取之前不會強制執行。使用 forceRemoteSettingsRefresh: true 時,CLI 會結束而不是繼續,除了 claude auth 子命令 |
| 使用者使用不同的組織進行身份驗證 | 不會為受管組織外的帳戶傳遞設定 |
| 使用者設定第三方模型提供者 | 伺服器管理的設定會被略過。這包括設定 CLAUDE_CODE_USE_BEDROCK、CLAUDE_CODE_USE_MANTLE、CLAUDE_CODE_USE_VERTEX、CLAUDE_CODE_USE_FOUNDRY 或非預設的 ANTHROPIC_BASE_URL |
ConfigChange hooks 來記錄修改或在未授權的變更生效前阻止它們。
如需更強的強制執行保證,請在已在 MDM 解決方案中註冊的裝置上使用端點管理的設定。
另請參閱
用於管理 Claude Code 設定的相關頁面:- Settings:完整的設定參考,包括所有可用的設定
- Endpoint-managed settings:由 IT 部門部署到裝置的受管設定
- Authentication:設定使用者對 Claude Code 的存取
- Security:安全保護措施和最佳實踐