为组织设置 Claude Code
一句话
为组织管理员提供部署 Claude Code 的决策指南,涵盖 API 提供商、设置传递、策略执行等关键方面。
什么时候翻这页
- 首次为组织部署 Claude Code 时
- 需要决定使用哪个 API 提供商时
- 需要配置组织级策略和权限时
- 需要监控团队使用情况和成本时
核心概念
- 托管设置 (Managed settings): Claude Code 通过托管设置强制执行组织策略,这些设置优先于本地开发者配置。
- API 提供商 (API providers): Claude Code 可以通过不同的 API 提供商连接到 Claude,影响计费、认证和合规性。
- 设置传递机制 (Settings delivery mechanisms): 托管设置可以通过服务器管理、plist/注册表策略、文件或 Windows 用户注册表传递到设备。
- 权限控制 (Permission rules): 可以允许、询问或拒绝特定的工具和命令。
- 沙盒执行 (Sandboxing): 提供操作系统级别的文件系统和网络隔离。
怎么做
-
选择 API 提供商:
- Claude for Teams/Enterprise: 默认推荐,统一订阅
- Claude Console: API 优先或按使用量计费
- Amazon Bedrock: 继承 AWS 合规控制
- Google Vertex AI: 继承 GCP 合规控制
- Microsoft Foundry: 继承 Azure 合规控制
-
决定设置如何到达设备:
- 服务器管理设置 (最高优先级)
- plist/注册表策略 (高优先级)
- 文件托管设置 (中等优先级)
- Windows 用户注册表 (最低优先级)
-
决定要强制执行的内容:
- 配置权限规则
- 启用沙盒执行
- 控制 MCP 服务器
- 限制插件市场
- 锁定自定义
-
设置使用可见性:
- 使用监控 (所有提供商)
- 分析仪表板 (仅 Anthropic)
- 成本跟踪 (仅 Anthropic)
-
审查数据处理:
- 了解数据使用政策
- 考虑零数据保留 (ZDR)
- 审查安全架构
命令 / 配置速查
| 设置类型 | 配置项 | 平台 | 路径/键名 |
|---|---|---|---|
| 文件托管设置 | managed-settings.json | macOS | /Library/Application Support/ClaudeCode/managed-settings.json |
| 文件托管设置 | managed-settings.json | Linux/WSL | /etc/claude-code/managed-settings.json |
| 文件托管设置 | managed-settings.json | Windows | C:\Program Files\ClaudeCode\managed-settings.json |
| 注册表策略 | ClaudeCode | Windows | HKLM\SOFTWARE\Policies\ClaudeCode |
| 注册表策略 | ClaudeCode | Windows | HKCU\SOFTWARE\Policies\ClaudeCode |
| 注册表策略 | com.anthropic.claudecode | macOS | com.anthropic.claudecode plist |
初学者易错点
- 混淆不同设置传递机制的优先级,导致配置不生效
- 忽略某些 Claude Code 功能需要 Claude.ai 账户,而不仅仅是 API 密钥
- 仅通过权限规则控制网络访问,而忽略了沙盒执行的重要性
- 未考虑混合提供商环境下的设置回退策略
- 忘记在 WSL 环境中启用
wslInheritsWindowsSettings: true以继承 Windows 设置
相关词条
authentication身份验证与 API 提供商设置server-managed-settings服务器托管配置详解permissions权限规则与控制sandboxing沙盒执行与安全隔离monitoring-usage使用监控与成本跟踪settings配置文件与设置优先级