Claude Code 组织部署指南 - 管理员配置、权限管控、用量监控
面向管理员的 Claude Code 部署决策地图,涵盖 API 提供商、托管设置、策略执行、使用监控和数据处理。
Claude Code 通过托管设置强制执行组织策略,这些设置优先于本地开发人员配置。您可以从 Claude 管理控制台、移动设备管理 (MDM) 系统或磁盘上的文件传递这些设置。这些设置控制 Claude 可以访问的工具、命令、服务器和网络目标。
本页按顺序介绍部署决策。每一行都链接到下面的部分和该区域的参考页面。
ℹ️ SSO、SCIM 预配和座位分配在 Claude 账户级别配置。有关这些步骤,请参阅 Claude 企业管理员指南 和 座位分配。
| 决策 | 您的选择 | 参考 |
|---|---|---|
| 选择您的 API 提供商 | Claude Code 的身份验证位置和计费方式 | 身份验证、Bedrock、Vertex AI、Foundry |
| 决定设置如何到达设备 | 托管策略如何到达开发人员机器 | 服务器托管配置、设置文件 |
| 决定要强制执行的内容 | 允许哪些工具、命令和集成 | 权限、沙箱化 |
| 设置使用情况可见性 | 如何跟踪支出和采用情况 | Analytics、Monitoring、Costs |
| 审查数据处理 | 数据保留和合规性态势 | Data usage、安全性 |
选择您的 API 提供商
Claude Code 通过多个 API 提供商之一连接到 Claude。您的选择会影响计费、身份验证和您继承的合规性态势。
| 提供商 | 何时选择 |
|---|---|
| Claude for Teams / Enterprise | 您希望 Claude Code 和 claude.ai 在一个按座位订阅下,无需运行基础设施。这是默认建议。 |
| Claude Console | 您是 API 优先或希望按使用量付费 |
| Amazon Bedrock | 您希望继承现有的 AWS 合规控制和计费 |
| Google Vertex AI | 您希望继承现有的 GCP 合规控制和计费 |
| Microsoft Foundry | 您希望继承现有的 Azure 合规控制和计费 |
有关涵盖身份验证、区域和功能奇偶性的完整提供商比较,请参阅企业部署概述。每个提供商的身份验证设置在身份验证中。
网络配置中的代理和防火墙要求适用于所有提供商。如果您想要在多个提供商前面有单个端点或集中式请求日志记录,请参阅 LLM gateway。
决定设置如何到达设备
托管设置定义优先于本地开发人员配置的策略。Claude Code 在四个位置查找它们,并使用在给定设备上找到的第一个。
| 机制 | 传递 | 优先级 | 平台 |
|---|---|---|---|
| Server-managed | Claude.ai 管理控制台 | 最高 | 全部 |
| plist / registry policy | macOS: com.anthropic.claudecode plistWindows: HKLM\SOFTWARE\Policies\ClaudeCode | 高 | macOS、Windows |
| File-based managed | macOS: /Library/Application Support/ClaudeCode/managed-settings.jsonLinux 和 WSL: /etc/claude-code/managed-settings.jsonWindows: C:\Program Files\ClaudeCode\managed-settings.json | 中 | 全部 |
| Windows user registry | HKCU\SOFTWARE\Policies\ClaudeCode | 最低 | 仅 Windows |
Server-managed 设置在身份验证时到达设备,并在活跃会话期间每小时刷新一次,无需端点基础设施。它们需要 Claude for Teams 或 Enterprise 计划,因此在其他提供商上的部署需要改用基于文件或操作系统级别的机制之一。
如果您的组织混合使用提供商,请为 Claude.ai 用户配置服务器托管配置加上基于文件或 plist/registry 回退,以便其他用户仍然接收托管策略。
plist 和 HKLM 注册表位置适用于任何提供商,并且由于需要管理员权限才能写入,因此可以抵抗篡改。Windows 用户注册表中的 HKCU 可以在没有提升权限的情况下写入,因此将其视为便利默认值而不是执行通道。
无论您选择哪种机制,托管值都优先于用户和项目设置。数组设置(如 permissions.allow 和 permissions.deny)合并来自所有源的条目,因此开发人员可以扩展托管列表但不能从中删除。
决定要强制执行的内容
托管设置可以锁定工具、沙箱执行、限制 MCP 服务器和插件源,以及控制哪些 hooks 运行。每一行都是一个控制表面,具有驱动它的设置键。
| 控制 | 它的作用 | 关键设置 |
|---|---|---|
| 权限规则 | 允许、询问或拒绝特定工具和命令 | permissions.allow、permissions.deny |
| 权限锁定 | 仅托管权限规则适用;禁用 --dangerously-skip-permissions | allowManagedPermissionRulesOnly、permissions.disableBypassPermissionsMode |
| 沙箱化 | 具有域允许列表的操作系统级文件系统和网络隔离 | sandbox.enabled、sandbox.network.allowedDomains |
| 托管策略 CLAUDE.md | 在每个会话中加载的组织范围指令,无法排除 | 托管策略路径处的文件 |
| MCP 服务器控制 | 限制用户可以添加或连接的 MCP 服务器 | allowedMcpServers、deniedMcpServers、allowManagedMcpServersOnly |
| 插件市场控制 | 限制用户可以添加和安装的市场来源 | strictKnownMarketplaces、blockedMarketplaces |
| Hook 限制 | 仅托管 hooks 加载;限制 HTTP hook URL | allowManagedHooksOnly、allowedHttpHookUrls |
| 版本下限 | 防止自动更新安装低于组织范围最小值的版本 | minimumVersion |
权限规则和沙箱覆盖不同的层。拒绝 WebFetch 会阻止 Claude 的 fetch 工具,但如果允许 Bash,curl 和 wget 仍然可以到达任何 URL。沙箱通过在操作系统级别强制执行的网络域允许列表来弥补这一差距。
有关这些控制防御的威胁模型,请参阅安全性。
设置使用情况可见性
根据您需要报告的内容选择监控。
| 功能 | 您获得的内容 | 可用性 | 从何处开始 |
|---|---|---|---|
| Usage monitoring | 会话、工具和令牌的 OpenTelemetry 导出 | 所有提供商 | Monitoring usage |
| Analytics dashboard | 每用户指标、贡献跟踪、排行榜 | 仅 Anthropic | Analytics |
| Cost tracking | 支出限制、速率限制和使用情况归属 | 仅 Anthropic | Costs |
云提供商通过 AWS Cost Explorer、GCP Billing 或 Azure Cost Management 公开支出。Claude for Teams 和 Enterprise 计划在 claude.ai/analytics/claude-code 包含使用情况仪表板。
审查数据处理
在 Team、Enterprise、Claude API 和云提供商计划上,Anthropic 不会在您的代码或提示上训练模型。您的 API 提供商决定保留和合规性态势。
| 主题 | 需要了解的内容 | 从何处开始 |
|---|---|---|
| Data usage policy | Anthropic 收集的内容、保留多长时间、永远不会用于训练的内容 | Data usage |
| Zero Data Retention (ZDR) | 请求完成后不存储任何内容。在 Claude for Enterprise 上可用 | Zero data retention |
| Security architecture | 网络模型、加密、身份验证、审计跟踪 | 安全性 |
如果您需要请求级别的审计日志或按数据敏感性路由流量,请在开发人员和您的提供商之间放置 LLM gateway。有关监管要求和认证,请参阅 Legal and compliance。
验证和入职
配置托管设置后,让开发人员在 Claude Code 中运行 /status。输出包括以 Enterprise managed settings 开头的一行,后跟括号中的源,为 (remote)、(plist)、(HKLM)、(HKCU) 或 (file) 之一。请参阅验证活跃设置。
分享这些资源以帮助开发人员入门:
- 快速入门:从安装到使用项目的首次会话演练
- 常见工作流:代码审查、重构和调试等日常任务的模式
- Claude 101 和 Claude Code in Action:自定进度的 Anthropic Academy 课程
对于登录问题,请将开发人员指向身份验证故障排除。最常见的修复是:
- 运行
/logout然后/login以切换账户 - 如果缺少企业身份验证选项,运行
claude update - 更新后重启终端
如果开发人员看到”您还没有被添加到您的组织”,他们的座位不包括 Claude Code 访问权限,需要在管理控制台中更新。
后续步骤
选择提供商和传递机制后,继续进行详细配置:
- 服务器托管配置:从 Claude 管理控制台传递托管策略
- 设置参考:每个设置键、文件位置和优先级规则
- Amazon Bedrock、Google Vertex AI、Microsoft Foundry:提供商特定部署
- Claude 企业管理员指南:SSO、SCIM、座位管理和推出手册
本文翻译自 Anthropic Claude Code 官方文档,最近一次同步:2025-05-01。