{/* TRANSLATED — 已翻译为中文 */}
> ## 文档索引
> 在此获取完整文档索引:https://code.claude.com/docs/llms.txt
> 使用此文件发现所有可用页面,然后再进一步探索。
# 配置服务器托管设置
> 通过服务器下发的设置为您的组织集中配置 Claude Code,无需设备管理基础设施。
服务器托管设置允许管理员通过 Claude.ai 上的基于 Web 的界面集中配置 Claude Code。当用户使用其组织凭据进行身份验证时,Claude Code 客户端会自动接收这些设置。
此方法适用于没有设备管理基础设施的组织,或需要为非托管设备上的用户管理设置的组织。
服务器托管设置适用于 [Claude for Teams](https://claude.com/pricing?utm_source=claude_code\&utm_medium=docs\&utm_content=server_settings_teams#team-&-enterprise) 和 [Claude for Enterprise](https://anthropic.com/contact-sales?utm_source=claude_code\&utm_medium=docs\&utm_content=server_settings_enterprise) 客户。
## 要求
要使用服务器托管设置,您需要:
* Claude for Teams 或 Claude for Enterprise 计划
* Claude for Teams 需要 2.1.38 或更高版本,Claude for Enterprise 需要 2.1.30 或更高版本
* 能够访问 `api.anthropic.com` 的网络
## 服务器托管设置与端点托管设置的选择
Claude Code 支持两种集中配置的方式。服务器托管设置从 Anthropic 的服务器下发配置。[端点托管设置](/en/settings#settings-files)通过原生操作系统策略(macOS 托管首选项、Windows 注册表)或托管设置文件直接部署到设备。
| 方式 | 最适合 | 安全模型 |
| :----------------------------------------------------------- | :------------------------------------------------------- | :-------------------------------------------------------------------------------------------------------- |
| **服务器托管设置** | 没有 MDM 的组织,或非托管设备上的用户 | 设置在身份验证时从 Anthropic 的服务器下发 |
| **[端点托管设置](/en/settings#settings-files)** | 具有 MDM 或端点管理的组织 | 通过 MDM 配置文件、注册表策略或托管设置文件将设置部署到设备 |
如果您的设备已注册到 MDM 或端点管理解决方案中,端点托管设置提供更强的安全保证,因为设置文件可以在操作系统级别防止用户修改。
## 配置服务器托管设置
在 [Claude.ai](https://claude.ai) 中,导航到 **Admin Settings > Claude Code > Managed settings**。
以 JSON 形式添加您的配置。所有 [`settings.json` 中可用的设置](/en/settings#available-settings)都受支持,但限制为操作系统级别策略下发的设置除外;请参阅[当前限制](#current-limitations)了解该简短列表。这包括[钩子](/en/hooks)、[环境变量](/en/env-vars)和[仅托管设置](/en/permissions#managed-only-settings),如 `allowManagedPermissionRulesOnly`。
此示例强制执行权限拒绝列表,防止用户绕过权限,并将权限规则限制为在托管设置中定义的规则:
```json theme={null}
{
"permissions": {
"deny": [
"Bash(curl *)",
"Read(./.env)",
"Read(./.env.*)",
"Read(./secrets/**)"
],
"disableBypassPermissionsMode": "disable"
},
"allowManagedPermissionRulesOnly": true
}
```
钩子使用与 `settings.json` 中相同的格式。
此示例在组织范围内的每次文件编辑后运行审计脚本:
```json theme={null}
{
"hooks": {
"PostToolUse": [
{
"matcher": "Edit|Write",
"hooks": [
{ "type": "command", "command": "/usr/local/bin/audit-edit.sh" }
]
}
]
}
}
```
要配置[自动模式](/en/permission-modes#eliminate-prompts-with-auto-mode)分类器,使其了解您的组织信任哪些仓库、存储桶和域名:
```json theme={null}
{
"autoMode": {
"environment": [
"Source control: github.example.com/acme-corp and all repos under it",
"Trusted cloud buckets: s3://acme-build-artifacts, gs://acme-ml-datasets",
"Trusted internal domains: *.corp.example.com"
]
}
}
```
由于钩子执行 shell 命令,用户在应用之前会看到[安全审批对话框](#security-approval-dialogs)。有关 `autoMode` 条目如何影响分类器阻止的内容以及 `environment`、`allow`、`soft_deny` 和 `hard_deny` 字段的重要警告,请参阅[配置自动模式](/en/auto-mode-config)。
保存您的更改。Claude Code 客户端在下次启动或每小时轮询周期时接收更新的设置。
### 验证设置下发
要确认设置正在被应用,请让用户重启 Claude Code。如果配置包含触发[安全审批对话框](#security-approval-dialogs)的设置,用户会在启动时看到描述托管设置的提示。您还可以让用户运行 `/permissions` 查看其有效权限规则,以验证托管权限规则是否处于活动状态。
### 访问控制
以下角色可以管理服务器托管设置:
* **主要所有者**
* **所有者**
将访问权限限制给受信任的人员,因为设置更改会应用于组织中的所有用户。
### 仅托管设置
大多数[设置键](/en/settings#available-settings)在任何作用域中都可以工作。少数键仅从托管设置中读取,放在用户或项目设置文件中不起作用。完整列表请参阅[仅托管设置](/en/permissions#managed-only-settings)。不在该列表上的任何设置仍可放在托管设置中,并具有最高优先级。
### 当前限制
服务器托管设置具有以下限制:
* 设置统一应用于组织中的所有用户。尚不支持按组配置。
* 无法通过服务器托管设置分发 [`managed-mcp.json`](/en/managed-mcp) 文件。请改为在其中下发 `allowedMcpServers` 和 `deniedMcpServers` 策略键。
* 限制为操作系统级别策略源的设置(如 `policyHelper` 和 `wslInheritsWindowsSettings`)不会被接受。请通过 MDM 或系统 `managed-settings.json` 文件部署它们。
## 设置下发
### 设置优先级
服务器托管设置和[端点托管设置](/en/settings#settings-files)都占据 Claude Code [设置层次结构](/en/settings#settings-precedence)中的最高层级。没有其他设置级别可以覆盖它们,包括命令行参数。
在托管层级内,第一个下发非空配置的源生效。首先检查服务器托管设置,然后检查端点托管设置。源不会合并:如果服务器托管设置下发了任何键,端点托管设置将被完全忽略。如果服务器托管设置没有下发任何内容,则应用端点托管设置。
如果您在管理控制台中清除服务器托管配置,意图回退到端点托管的 plist 或注册表策略,请注意[缓存的设置](#fetch-and-caching-behavior)会在客户端机器上持续存在,直到下一次成功获取。运行 `/status` 查看哪个托管源处于活动状态。
### 获取和缓存行为
Claude Code 在启动时从 Anthropic 的服务器获取设置,并在活动会话期间每小时轮询更新。
**首次启动没有缓存设置时:**
* Claude Code 异步获取设置
* 如果获取失败,Claude Code 在没有托管设置的情况下继续
* 在设置加载之前有一个短暂的窗口,限制尚未生效
**后续启动有缓存设置时:**
* 缓存的设置在启动时立即应用
* Claude Code 在后台获取新设置
* 缓存的设置在网络故障时持续存在
Claude Code 自动应用设置更新,无需重启,但 OpenTelemetry 配置等高级设置除外,这些设置需要完全重启才能生效。
### 强制失败关闭启动
默认情况下,如果远程设置获取在启动时失败,CLI 在没有托管设置的情况下继续。对于此短暂未实施窗口不可接受的环境,请在托管设置中设置 `forceRemoteSettingsRefresh: true`。
当此设置处于活动状态时,CLI 在启动时阻塞,直到远程设置被新获取。如果获取失败,CLI 退出而不是在没有策略的情况下继续。此设置会自我延续:一旦从服务器下发,它也会在本地缓存,因此后续启动即使在新会话的第一次成功获取之前也会强制执行相同的行为。
要启用此功能,请将该键添加到您的托管设置配置中:
```json theme={null}
{
"forceRemoteSettingsRefresh": true
}
```
在启用此设置之前,请确保您的网络策略允许连接到 `api.anthropic.com`。如果该端点不可达,CLI 在启动时退出,用户无法启动 Claude Code。
从 v2.1.139 开始,`claude auth` 子命令(如 `claude auth login`)不受此检查的限制,因此用户可以在凭据过期导致设置获取失败时重新进行身份验证。
### 安全审批对话框
某些可能构成安全风险的设置在应用之前需要用户明确批准:
* **Shell 命令设置**:执行 shell 命令的设置
* **自定义环境变量**:不在已知安全允许列表中的变量
* **钩子配置**:任何钩子定义
当这些设置存在时,用户会看到一个安全对话框,解释正在配置的内容。用户必须批准才能继续。如果用户拒绝设置,Claude Code 将退出。
在使用 `-p` 标志的非交互模式下,Claude Code 跳过安全对话框,无需用户批准即可应用设置。
## 平台可用性
服务器托管设置需要直接连接到 `api.anthropic.com`,在使用第三方模型提供程序时不可用:
* Amazon Bedrock
* Google Vertex AI
* Microsoft Foundry
* 通过 `ANTHROPIC_BASE_URL` 或 [LLM 网关](/en/llm-gateway)的自定义 API 端点
## 审计日志
设置更改的审计日志事件可通过合规 API 或审计日志导出获得。请联系您的 Anthropic 客户团队获取访问权限。
审计事件包括执行的操作类型、执行操作的帐户和设备,以及对以前和新值的引用。
## 安全注意事项
服务器托管设置提供集中策略实施,但它们作为客户端控制运行。在非托管设备上,具有管理员或 sudo 访问权限的用户可以修改 Claude Code 二进制文件、文件系统或网络配置。
| 场景 | 行为 |
| :--------------------------------------------------------------------- | :------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------ |
| 用户编辑缓存的设置文件 | 被篡改的文件在启动时应用,但正确的设置在下一次服务器获取时恢复 |
| 用户删除缓存的设置文件 | 发生首次启动行为:设置异步获取,有短暂的未实施窗口 |
| API 不可用 | 如果可用则应用缓存的设置,否则托管设置在下一次成功获取之前不会生效。使用 `forceRemoteSettingsRefresh: true` 时,CLI 退出而不是继续,但 [`claude auth` 子命令](#enforce-fail-closed-startup)除外 |
| 用户使用不同的组织进行身份验证 | 不会为托管组织之外的帐户下发设置 |
| 用户配置[第三方模型提供程序](#platform-availability) | 服务器托管设置被绕过。这包括设置 `CLAUDE_CODE_USE_BEDROCK`、`CLAUDE_CODE_USE_MANTLE`、`CLAUDE_CODE_USE_VERTEX`、`CLAUDE_CODE_USE_FOUNDRY` 或非默认的 `ANTHROPIC_BASE_URL` |
要检测运行时配置更改,请使用 [`ConfigChange` 钩子](/en/hooks#configchange)记录修改或在未经授权的更改生效之前阻止它们。
要获得更强的实施保证,请在注册到 MDM 解决方案的设备上使用[端点托管设置](/en/settings#settings-files)。
## 另请参阅
管理 Claude Code 配置的相关页面:
* [设置](/en/settings):包含所有可用设置的完整配置参考
* [端点托管设置](/en/settings#settings-files):由 IT 部署到设备的托管设置
* [身份验证](/en/authentication):设置用户对 Claude Code 的访问
* [安全](/en/security):安全防护和最佳实践