文档索引
在此获取完整文档索引:https://code.claude.com/docs/llms.txt 使用此文件发现所有可用页面,然后再进一步探索。
为您的组织设置 Claude Code
管理员部署 Claude Code 的决策地图,涵盖 API 提供程序、托管设置、策略实施、使用情况监控和数据处理。
Claude Code 通过优先于本地开发者配置的托管设置来强制执行组织策略。您可以从 Claude 管理控制台、移动设备管理 (MDM) 系统或磁盘上的文件下发这些设置。这些设置控制 Claude 可以访问哪些工具、命令、服务器和网络目标。
本页面按顺序介绍部署决策。每一行链接到下面的部分以及该领域的参考页面。
SSO、SCIM 配置和席位分配在 Claude 帐户级别配置。有关这些步骤,请参阅 Claude Enterprise Administrator Guide 和席位分配。
| 决策 | 您在选择什么 | 参考 |
|---|---|---|
| 选择您的 API 提供程序 | Claude Code 在哪里进行身份验证以及如何计费 | 身份验证、Bedrock、Vertex AI、Foundry |
| 决定设置如何到达设备 | 托管策略如何到达开发者机器 | 服务器托管设置、设置文件 |
| 决定要强制执行什么 | 允许哪些工具、命令和集成 | 权限、沙箱 |
| 设置使用情况可见性 | 如何跟踪支出和采用情况 | 分析、监控使用情况、成本 |
| 审查数据处理 | 数据保留和合规状态 | 数据使用、安全 |
选择您的 API 提供程序
Claude Code 通过多个 API 提供程序之一连接到 Claude。您的选择会影响计费、身份验证、您继承的合规状态以及您的开发者可以使用的 Claude Code 功能。
| 提供程序 | 选择此选项当 |
|---|---|
| Claude for Teams / Enterprise | 您希望 Claude Code 和 claude.ai 在一个按席位订阅下运行,无需运行基础设施。这是默认推荐。 |
| Claude Console | 您是 API 优先或想要按使用量计费 |
| Amazon Bedrock | 您希望继承现有的 AWS 合规控制和计费 |
| Google Vertex AI | 您希望继承现有的 GCP 合规控制和计费 |
| Microsoft Foundry | 您希望继承现有的 Azure 合规控制和计费 |
某些 Claude Code 功能需要 Claude.ai 帐户。Web 上的 Claude Code、Routines、Code Review、Remote Control 和 Chrome 扩展仅通过 Console API 密钥或云提供程序凭据无法使用。如果您通过 Bedrock、Vertex 或 Foundry 部署,请规划开发者是否还需要 Claude for Teams 或 Enterprise 席位。每个功能页面都列出了其计划要求。
有关涵盖身份验证、区域和功能对等的完整提供程序比较,请参阅企业部署概览。每个提供程序的身份验证设置在身份验证中。
网络配置中的代理和防火墙要求适用于任何提供程序。如果您想在多个提供程序前面使用单一端点或集中请求日志记录,请参阅 LLM 网关。
决定设置如何到达设备
托管设置定义优先于本地开发者配置的策略。Claude Code 在四个位置查找它们,并使用在给定设备上找到的第一个。
| 机制 | 下发方式 | 优先级 | 平台 |
|---|---|---|---|
| 服务器托管 | Claude.ai 管理控制台 | 最高 | 全部 |
| plist / 注册表策略 | macOS: com.anthropic.claudecode plistWindows: HKLM\SOFTWARE\Policies\ClaudeCode | 高 | macOS、Windows |
| 基于文件的托管 | macOS: /Library/Application Support/ClaudeCode/managed-settings.jsonLinux 和 WSL: /etc/claude-code/managed-settings.jsonWindows: C:\Program Files\ClaudeCode\managed-settings.json | 中 | 全部 |
| Windows 用户注册表 | HKCU\SOFTWARE\Policies\ClaudeCode | 最低 | 仅 Windows |
服务器托管设置在身份验证时到达设备,并在活动会话期间每小时刷新,无需端点基础设施。它们需要 Claude for Teams 或 Enterprise 计划,因此在其他提供程序上的部署需要基于文件或操作系统级别的机制之一。
如果您的组织混合使用提供程序,请为 Claude.ai 用户配置服务器托管设置,加上基于文件或 plist/注册表回退,以便其他用户仍能接收托管策略。
plist 和 HKLM 注册表位置适用于任何提供程序,并且防篡改,因为它们需要管理员权限才能写入。HKCU 处的 Windows 用户注册表无需提升即可写入,因此将其视为便利默认值而不是强制通道。
默认情况下,WSL 仅读取 /etc/claude-code 处的 Linux 文件路径。要将您的 Windows 注册表和 C:\Program Files\ClaudeCode 策略扩展到同一台机器上的 WSL,请在任一仅管理员 Windows 源中设置 wslInheritsWindowsSettings: true。
无论您选择哪种机制,托管值都优先于用户和项目设置。数组设置(如 permissions.allow 和 permissions.deny)会合并来自所有源的条目,因此开发者可以扩展托管列表但不能从中移除。
决定要强制执行什么
托管设置可以锁定工具、沙箱执行、限制 MCP 服务器和插件源,以及控制哪些钩子运行。每一行是一个控制面,带有驱动它的设置键。
| 控制面 | 功能 | 关键设置 |
|---|---|---|
| 权限规则 | 允许、询问或拒绝特定工具和命令 | permissions.allow、permissions.deny |
| 权限锁定 | 仅托管权限规则生效;禁用 --dangerously-skip-permissions | allowManagedPermissionRulesOnly、permissions.disableBypassPermissionsMode |
| 沙箱 | 操作系统级别的文件系统和网络隔离,带域名允许列表 | sandbox.enabled、sandbox.network.allowedDomains |
| 托管策略 CLAUDE.md | 每个会话加载的组织范围指令,无法排除 | 托管策略路径处的文件 |
| MCP 服务器控制 | 限制用户可以添加或连接到哪些 MCP 服务器,或部署固定集合 | allowedMcpServers、deniedMcpServers、allowManagedMcpServersOnly 或已部署的 managed-mcp.json 文件 |
| 插件市场控制 | 限制用户可以添加和从哪些市场源安装 | strictKnownMarketplaces、blockedMarketplaces |
| 自定义锁定 | 阻止来自用户和项目源的技能、代理、钩子和 MCP 服务器,使它们只能来自插件或托管设置 | strictPluginOnlyCustomization |
| 钩子限制 | 仅加载托管钩子;限制 HTTP 钩子 URL | allowManagedHooksOnly、allowedHttpHookUrls |
| 禁用代理视图 | 关闭 claude agents、--bg、/background 和按需监督器 | disableAgentView |
| 版本下限 | 防止自动更新安装低于组织范围最低版本 | minimumVersion |
权限规则和沙箱涵盖不同的层。拒绝 WebFetch 会阻止 Claude 的 fetch 工具,但如果 Bash 被允许,curl 和 wget 仍然可以访问任何 URL。沙箱通过在操作系统级别强制执行的网络域名允许列表来弥补这一差距。
有关这些控制所防御的威胁模型,请参阅安全。
设置使用情况可见性
根据您需要报告的内容选择监控。
| 功能 | 您获得什么 | 可用性 | 从哪里开始 |
|---|---|---|---|
| 使用情况监控 | 会话、工具和 token 的 OpenTelemetry 导出 | 所有提供程序 | 监控使用情况 |
| 分析仪表板 | 每用户指标、贡献跟踪、排行榜 | 仅限 Anthropic | 分析 |
| 成本跟踪 | 支出限制、速率限制和使用归因 | 仅限 Anthropic | 成本 |
云提供程序通过 AWS Cost Explorer、GCP Billing 或 Azure Cost Management 暴露支出。Claude for Teams 和 Enterprise 计划在 claude.ai/analytics/claude-code 包含使用情况仪表板。
审查数据处理
在 Team、Enterprise、Claude API 和云提供计划上,Anthropic 不会使用您的代码或提示训练模型。您的 API 提供程序决定保留和合规状态。
| 主题 | 需要了解什么 | 从哪里开始 |
|---|---|---|
| 数据使用政策 | Anthropic 收集什么、保留多长时间、什么永远不会用于训练 | 数据使用 |
| 零数据保留 (ZDR) | 请求完成后不存储任何内容。适用于 Claude for Enterprise | 零数据保留 |
| 安全架构 | 网络模型、加密、身份验证、审计跟踪 | 安全 |
如果您需要请求级审计日志或按数据敏感性路由流量,请在开发者和您的提供程序之间放置 LLM 网关。有关监管要求和认证,请参阅法律和合规。
验证和入门
配置托管设置后,让开发者在 Claude Code 内部运行 /status。输出包含以 Enterprise managed settings 开头的行,后跟括号中的源,即 (remote)、(plist)、(HKLM)、(HKCU) 或 (file) 之一。请参阅验证活动设置。
分享这些资源帮助开发者入门:
- 快速入门:从安装到使用项目的首次会话演练
- 常见工作流:日常任务的模式,如代码审查、重构和调试
- Claude 101 和 Claude Code in Action:Anthropic Academy 自学课程
对于登录问题,请将开发者指向身份验证故障排除。最常见的修复方法是:
- 运行
/logout然后/login切换帐户 - 如果企业身份验证选项缺失,运行
claude update - 更新后重启终端
如果开发者看到"You haven't been added to your organization yet",则他们的席位不包括 Claude Code 访问权限,需要在管理控制台中更新。
后续步骤
选择提供程序和下发机制后,继续进行详细配置:
- 服务器托管设置:从 Claude 管理控制台下发托管策略
- 设置参考:每个设置键、文件位置和优先级规则
- Monorepo 和大型仓库:组织部署到 monorepo 时的按目录配置模式
- Amazon Bedrock、Google Vertex AI、Microsoft Foundry:特定提供程序的部署
- Claude Enterprise Administrator Guide:SSO、SCIM、席位管理和推出策略