Claude Code 中文文档

为组织设置 Claude Code

面向管理员的 Claude Code 部署决策指南,涵盖 API 提供商选择、托管设置分发、策略执行、使用监控和数据处理。

Claude Code 通过托管设置来执行组织策略,这些设置优先于开发者的本地配置。 你可以通过 Claude 管理控制台、移动设备管理 (MDM) 系统或磁盘上的文件来下发这些设置。设置控制 Claude 可以访问哪些工具、命令、服务器和网络目标。

本页按顺序介绍部署决策。每行链接到下方的详细章节以及该领域的参考页面。

注意: SSO、SCIM 用户供应和席位分配在 Claude 账户级别配置。相关步骤参见 Claude 企业管理员指南席位分配

决策 你在选择什么 参考文档
选择 API 提供商 Claude Code 的认证方式和计费渠道 认证BedrockVertex AIFoundry
决定设置如何到达设备 托管策略如何送达开发者机器 服务器管理设置设置文件
决定执行什么策略 允许哪些工具、命令和集成 权限沙箱
设置使用可见性 如何追踪花费和采用情况 分析监控成本
审查数据处理 数据留存和合规态势 数据使用安全

选择 API 提供商

Claude Code 通过以下几种 API 提供商之一连接 Claude。你的选择影响计费、认证、继承的合规态势以及开发者可用的 Claude Code 功能。

提供商 适用场景
Claude for Teams / Enterprise 希望 Claude Code 和 claude.ai 统一在一个按席位计费的订阅中,无需运维基础设施。推荐方案。
Claude Console API 优先或需要按用量付费
Amazon Bedrock 希望继承现有 AWS 合规控制和计费
Google Vertex AI 希望继承现有 GCP 合规控制和计费
Microsoft Foundry 希望继承现有 Azure 合规控制和计费

部分 Claude Code 功能需要 claude.ai 账户。网页版 Claude CodeRoutines代码审查远程控制Chrome 扩展无法仅通过 Console API 密钥或云提供商凭据使用。如果通过 Bedrock、Vertex 或 Foundry 部署,需要规划开发者是否还需要 Claude for Teams 或 Enterprise 席位。每个功能页面列出了其计划要求。

完整的提供商对比(涵盖认证、区域和功能对等)参见企业部署概览。每个提供商的认证设置参见认证

无论选择哪个提供商,网络配置中的代理和防火墙要求都适用。如果需要在多个提供商前面放一个统一端点或集中请求日志,参见 LLM 网关

决定设置如何到达设备

托管设置定义优先于开发者本地配置的策略。 Claude Code 按以下优先顺序检查四个来源,并应用第一个返回非空配置的来源。

机制 分发方式 优先级 平台
服务器管理 claude.ai 管理控制台 最高 全部
plist / 注册表策略 macOS: com.anthropic.claudecode plist
Windows: HKLM\SOFTWARE\Policies\ClaudeCode
macOS, Windows
基于文件的托管 macOS: /Library/Application Support/ClaudeCode/managed-settings.json
Linux 和 WSL: /etc/claude-code/managed-settings.json
Windows: C:\Program Files\ClaudeCode\managed-settings.json
全部
Windows 用户注册表 HKCU\SOFTWARE\Policies\ClaudeCode 最低 仅 Windows

服务器管理设置在认证时到达设备,活跃会话期间每小时刷新,无需端点基础设施。需要 Claude for Teams 或 Enterprise 计划,因此使用其他提供商的部署需要选择基于文件或 OS 级别的机制。

如果组织混合使用多个提供商,为 claude.ai 用户配置服务器管理设置,并为其他用户提供基于文件或 plist/注册表的回退,确保所有人都能收到托管策略。

plist 和 HKLM 注册表位置适用于任何提供商,并且因为需要管理员权限写入而具有防篡改能力。HKCU 处的 Windows 用户注册表无需提权即可写入,应视为便捷默认值而非强制执行渠道。

默认情况下,WSL 只读取 /etc/claude-code 处的 Linux 文件路径。要将 Windows 注册表和 C:\Program Files\ClaudeCode 策略扩展到同一台机器上的 WSL,在这两个仅管理员可写的 Windows 来源中设置 wslInheritsWindowsSettings: true

无论选择哪种机制,托管值优先于用户和项目设置。数组设置(如 permissions.allowpermissions.deny)合并所有来源的条目,开发者可以扩展托管列表但不能移除。对于两个例外fallbackModelavailableModels),托管值替换而非合并较低层。

参见服务器管理设置设置文件与优先级

决定执行什么策略

托管设置可以锁定工具、沙箱执行环境、限制 MCP 服务器和插件来源、以及控制哪些 hook 运行。 每行是一个控制面及驱动它的设置键。

控制面 作用 关键设置
权限规则 允许、询问或拒绝特定工具和命令 permissions.allowpermissions.deny
权限锁定 仅托管权限规则生效;禁用 --dangerously-skip-permissions allowManagedPermissionRulesOnlypermissions.disableBypassPermissionsMode
沙箱 OS 级文件系统和网络隔离,支持域名白名单 sandbox.enabledsandbox.network.allowedDomains
托管策略 CLAUDE.md 全组织指令在每个会话中加载,不可排除 托管策略路径下的文件
MCP 服务器控制 限制用户可添加或连接的 MCP 服务器,或部署固定集合 allowedMcpServersdeniedMcpServersallowManagedMcpServersOnly,或已部署的 managed-mcp.json
插件市场控制 限制用户可添加和安装的市场来源 strictKnownMarketplacesblockedMarketplaces
自定义锁定 阻止来自用户和项目来源的 skill、agent、hook 和 MCP 服务器,只允许来自插件或托管设置 strictPluginOnlyCustomization
Hook 限制 仅加载托管 hook;限制 HTTP hook URL allowManagedHooksOnlyallowedHttpHookUrls
禁用 Agent 视图 关闭 claude agents--bg/background 和按需 supervisor disableAgentView
模型限制 availableModels 过滤选择器中显示的模型。添加 enforceAvailableModels 还约束自动选择的默认模型 availableModelsenforceAvailableModels
版本下限 防止自动更新安装低于组织最低要求的版本 minimumVersion
要求版本范围 运行版本不在组织批准范围内时拒绝启动。比 minimumVersion 更强 requiredMinimumVersionrequiredMaximumVersion

权限规则和沙箱覆盖不同层面。拒绝 WebFetch 阻止 Claude 的 fetch 工具,但如果允许 Bash,curlwget 仍可访问任何 URL。沙箱通过 OS 级别的网络域名白名单来弥补这个漏洞。

这些控制防御的威胁模型参见安全

设置使用可见性

根据需要报告的内容选择监控方式。

能力 提供内容 可用性 起步位置
使用监控 会话、工具和 token 的 OpenTelemetry 导出 所有提供商 监控使用
分析面板 每用户指标、贡献追踪、排行榜 仅 Anthropic 分析
成本追踪 花费限制、速率限制和使用归因 仅 Anthropic 成本

云提供商通过 AWS Cost Explorer、GCP Billing 或 Azure Cost Management 暴露花费。Claude for Teams 和 Enterprise 计划包含使用面板,位于 claude.ai/analytics/claude-code

审查数据处理

在 Team、Enterprise、Claude API 和云提供商计划中,Anthropic 不会使用你的代码或提示训练模型。 你的 API 提供商决定数据留存和合规态势。

主题 需要了解的内容 起步位置
数据使用策略 Anthropic 收集什么、保留多久、什么永远不会用于训练 数据使用
零数据留存 (ZDR) 请求完成后不存储任何内容。面向符合条件的 Claude for Enterprise 账户 零数据留存
安全架构 网络模型、加密、认证、审计跟踪 安全

如果需要请求级审计日志或按数据敏感度路由流量,在开发者和提供商之间放置 LLM 网关。监管要求和认证参见法律与合规

验证与上线

配置完托管设置后,让开发者在 Claude Code 中运行 /status Status 标签页的 Setting sources 行应显示 Enterprise managed settings,后面括号注明来源:(remote)(plist)(HKLM)(HKCU)(file)。参见验证活跃设置

分享以下资源帮助开发者上手:

对于登录问题,引导开发者查看认证故障排除。最常见的修复方法:

  • 运行 /logout/login 切换账户
  • 如果缺少企业认证选项,运行 claude update
  • 更新后重启终端

如果开发者看到 "You haven't been added to your organization yet",说明其席位未包含 Claude Code 访问权限,需要在管理控制台中更新。

下一步

选定提供商和分发机制后,继续详细配置: