主题
为组织部署 Claude Code
通过 managed settings 集中下发并强制组织策略,覆盖 API 提供商、权限与用量监控。
是什么
面向管理员的部署决策地图:为组织铺开 Claude Code 时,按顺序决定 API 提供商、策略如何到达开发者设备、强制哪些控制、如何观测用量、以及数据处理合规姿态。
核心机制是 managed settings(受管设置)。它优先级高于本地开发者配置,可通过 Claude admin console、MDM(plist/registry)或磁盘文件下发,用以控制 Claude 能访问的工具、命令、服务器与网络目标。注意 SSO、SCIM、座位分配在 Claude 账户层面配置,不在本页范围。
怎么工作
- 选择 API 提供商:Claude for Teams/Enterprise(默认推荐,按座位订阅)、Claude Console(按量计费)、Amazon Bedrock、Google Vertex AI、Microsoft Foundry(后三者继承对应云的合规与计费)
- 决定策略如何到达设备:Claude Code 在 4 个位置查找 managed settings,使用设备上找到的第一个,优先级从高到低为 server-managed > plist/registry policy > 文件式 managed > Windows 用户注册表(HKCU)
- server-managed settings 在认证时下发,活动会话期间每小时刷新,无需自建端点,但需要 Teams 或 Enterprise 计划;其他提供商需用文件式或 OS 级机制
- 受管值优先于 user 与 project 设置;数组类设置(如 permissions.allow / permissions.deny)会合并各来源条目——开发者只能扩展受管列表,不能删除其中条目
- 决定强制项:权限规则、权限锁定、沙箱、组织级 CLAUDE.md、MCP 服务器管控、插件市场管控、自定义锁定、hook 限制、关闭 agent view、版本下限
- 设置用量可见性:OpenTelemetry 用量监控(全提供商)、Analytics 仪表盘与成本追踪(仅 Anthropic 提供商)
- 审视数据处理:Team/Enterprise/Claude API/云提供商计划下,Anthropic 不用你的代码或提示词训练模型;保留与合规姿态由 API 提供商决定
- 部署后让开发者运行 /status 验证受管设置是否生效
怎么配置 / 用法
四种 managed settings 下发位置(按优先级,设备使用首个命中):
- Server-managed:来自 Claude.ai admin console,优先级最高,全平台
- plist / registry policy(高优先级,需管理员权限,防篡改):
macOS: com.anthropic.claudecode (plist)
Windows: HKLM\SOFTWARE\Policies\ClaudeCode- 文件式 managed(中优先级,任意提供商可用):
macOS: /Library/Application Support/ClaudeCode/managed-settings.json
Linux 和 WSL: /etc/claude-code/managed-settings.json
Windows: C:\Program Files\ClaudeCode\managed-settings.json- Windows 用户注册表(最低优先级,无需提权,仅作便利默认而非强制通道):
HKCU\SOFTWARE\Policies\ClaudeCodeWSL 默认只读 Linux 路径 /etc/claude-code。若要把 Windows 策略扩展到同机 WSL,在 admin-only Windows 源中设置 wslInheritsWindowsSettings: true。
可强制的关键控制与设置键:permissions.allow / permissions.deny;allowManagedPermissionRulesOnly、permissions.disableBypassPermissionsMode(禁用 --dangerously-skip-permissions);sandbox.enabled、sandbox.network.allowedDomains;allowedMcpServers / deniedMcpServers / allowManagedMcpServersOnly 或部署 managed-mcp.json;strictKnownMarketplaces、blockedMarketplaces;strictPluginOnlyCustomization;allowManagedHooksOnly、allowedHttpHookUrls;disableAgentView;minimumVersion。
验证:开发者运行 /status,输出含 Enterprise managed settings,后跟来源 (remote)、(plist)、(HKLM)、(HKCU) 或 (file) 之一。
什么时候用
- 为组织/企业规模化铺开 Claude Code,需要集中强制策略时
- 需要锁定可用工具、命令、MCP 服务器、插件来源或 hook 时
- 要选择并对接 API 提供商(Teams/Enterprise、Console、Bedrock、Vertex、Foundry)时
- 需要监控用量、成本与采用情况,或满足数据保留/合规要求时
限制 / 坑
- server-managed settings 需要 Claude for Teams 或 Enterprise 计划;其他提供商须改用文件式或 OS 级机制
- Claude Code on the web、Routines、Code Review、Remote Control、Chrome 扩展等功能仅靠 Console API key 或云提供商凭证无法使用,需 Teams/Enterprise 座位
- Analytics 仪表盘与成本追踪仅在 Anthropic 提供商可用;云提供商需用 AWS Cost Explorer、GCP Billing 或 Azure Cost Management
- HKCU 用户注册表无需提权即可写,不应作为强制通道
- 仅 deny WebFetch 并不够:若 Bash 被允许,curl/wget 仍可访问任意 URL,需用沙箱网络允许列表在 OS 层堵住
硬事实速查(12 条)
- managed settings 优先级高于本地开发者配置,控制 Claude 可达的工具、命令、服务器与网络目标
- 支持 5 类 API 提供商:Claude for Teams/Enterprise(默认推荐)、Claude Console、Amazon Bedrock、Google Vertex AI、Microsoft Foundry
- 策略下发优先级:server-managed > plist/registry policy > 文件式 managed > HKCU 用户注册表,设备用首个命中
- server-managed 在认证时下发,活动会话期间每小时刷新,无需自建端点基础设施
- 文件式路径:macOS /Library/Application Support/ClaudeCode/managed-settings.json、Linux/WSL /etc/claude-code/managed-settings.json、Windows C:\Program Files\ClaudeCode\managed-settings.json
- plist 键 com.anthropic.claudecode;Windows 策略注册表 HKLM\SOFTWARE\Policies\ClaudeCode 与 HKCU\SOFTWARE\Policies\ClaudeCode
- 数组设置(permissions.allow/deny)跨来源合并,开发者只能扩展不能删除受管条目
- WSL 默认仅读 /etc/claude-code;设 wslInheritsWindowsSettings: true 可继承 Windows 设置
- 用量监控通过 OpenTelemetry 导出会话、工具与 token,全提供商可用
- Analytics 与成本追踪仅 Anthropic 提供商;Teams/Enterprise 仪表盘在 claude.ai/analytics/claude-code
- Team/Enterprise/Claude API/云提供商计划下 Anthropic 不用你的代码或提示词训练模型;Enterprise 可用 Zero Data Retention
- 用 /status 验证生效,输出来源标记为 (remote)/(plist)/(HKLM)/(HKCU)/(file) 之一