การกำหนดค่าที่จัดการโดยเซิร์ฟเวอร์
กำหนดค่า Claude Code สำหรับองค์กรจากส่วนกลางผ่านการตั้งค่าที่ส่งมาจากเซิร์ฟเวอร์ โดยไม่ต้องใช้โครงสร้างพื้นฐานการจัดการอุปกรณ์
การตั้งค่าที่จัดการโดยเซิร์ฟเวอร์ช่วยให้ผู้ดูแลระบบกำหนดค่า Claude Code ได้จากส่วนกลางผ่านอินเทอร์เฟซเว็บบน Claude.ai โดยไคลเอนต์ Claude Code จะได้รับการตั้งค่าเหล่านี้โดยอัตโนมัติเมื่อผู้ใช้ยืนยันตัวตนด้วยข้อมูลรับรองขององค์กร
แนวทางนี้ออกแบบมาสำหรับองค์กรที่ไม่มีโครงสร้างพื้นฐานการจัดการอุปกรณ์ หรือต้องการจัดการการตั้งค่าสำหรับผู้ใช้บนอุปกรณ์ที่ไม่ได้จัดการ
การตั้งค่าที่จัดการโดยเซิร์ฟเวอร์พร้อมใช้งานสำหรับลูกค้า Claude for Teams และ Claude for Enterprise
ข้อกำหนด
เพื่อใช้การตั้งค่าที่จัดการโดยเซิร์ฟเวอร์ คุณต้องมี:
- แผน Claude for Teams หรือ Claude for Enterprise
- Claude Code เวอร์ชัน 2.1.38 หรือใหม่กว่าสำหรับ Claude for Teams หรือเวอร์ชัน 2.1.30 หรือใหม่กว่าสำหรับ Claude for Enterprise
- การเข้าถึงเครือข่ายถึง
api.anthropic.com
เลือกระหว่างการตั้งค่าจัดการโดยเซิร์ฟเวอร์และการตั้งค่าจัดการโดยอุปกรณ์ปลายทาง
Claude Code รองรับสองแนวทางสำหรับการกำหนดค่าจากส่วนกลาง การตั้งค่าที่จัดการโดยเซิร์ฟเวอร์จะส่งการกำหนดค่าจากเซิร์ฟเวอร์ของ Anthropic ส่วน การตั้งค่าที่จัดการโดยอุปกรณ์ปลายทาง จะติดตั้งโดยตรงบนอุปกรณ์ผ่านนโยบาย OS ดั้งเดิม (macOS managed preferences, Windows registry) หรือไฟล์การตั้งค่าที่จัดการ
| แนวทาง | เหมาะสำหรับ | โมเดลความปลอดภัย |
|---|---|---|
| การตั้งค่าจัดการโดยเซิร์ฟเวอร์ | องค์กรที่ไม่มี MDM หรือผู้ใช้บนอุปกรณ์ที่ไม่ได้จัดการ | การตั้งค่าส่งจากเซิร์ฟเวอร์ของ Anthropic ตอนยืนยันตัวตน |
| การตั้งค่าจัดการโดยอุปกรณ์ปลายทาง | องค์กรที่มี MDM หรือการจัดการอุปกรณ์ปลายทาง | การตั้งค่าติดตั้งบนอุปกรณ์ผ่านโปรไฟล์การกำหนดค่า MDM, นโยบาย registry, หรือไฟล์การตั้งค่าที่จัดการ |
กำหนดค่าการตั้งค่าที่จัดการโดยเซิร์ฟเวอร์
1. เปิดคอนโซลผู้ดูแลระบบ
ใน Claude.ai ไปที่ Admin Settings > Claude Code > Managed settings
2. กำหนดการตั้งค่าของคุณ
เพิ่มการกำหนดค่าในรูปแบบ JSON ค่าที่ตั้งได้ทั้งหมดใน settings.json รองรับ ยกเว้นที่จำกัดเฉพาะการส่งผ่านนโยบาย OS เช่น hooks, environment variables และการตั้งค่าเฉพาะสำหรับผู้จัดการ
ตัวอย่างนี้บังคับใช้รายการปฏิเสธสิทธิ์ ป้องกันผู้ใช้ไม่ให้ข้ามสิทธิ์ และจำกัดกฎสิทธิ์เฉพาะที่กำหนดในการตั้งค่าที่จัดการ:
{
"permissions": {
"deny": [
"Bash(curl *)",
"Read(./.env)",
"Read(./.env.*)",
"Read(./secrets/**)"
],
"disableBypassPermissionsMode": "disable"
},
"allowManagedPermissionRulesOnly": true
}
ตัวอย่างนี้รัน audit script หลังการแก้ไขไฟล์ทุกครั้งทั่วทั้งองค์กร:
{
"hooks": {
"PostToolUse": [
{
"matcher": "Edit|Write",
"hooks": [
{ "type": "command", "command": "/usr/local/bin/audit-edit.sh" }
]
}
]
}
}
ตัวอย่างการกำหนดค่า auto mode classifier:
{
"autoMode": {
"environment": [
"Source control: github.example.com/acme-corp and all repos under it",
"Trusted cloud buckets: s3://acme-build-artifacts, gs://acme-ml-datasets",
"Trusted internal domains: *.corp.example.com"
]
}
}
3. บันทึกและปรับใช้
บันทึกการเปลี่ยนแปลง ไคลเอนต์ Claude Code จะได้รับการตั้งค่าที่อัปเดตในการเริ่มต้นครั้งถัดไปหรือรอบการตรวจสอบทุกชั่วโมง
ตรวจสอบการส่งมอบการตั้งค่า
เพื่อยืนยันว่าการตั้งค่าถูกใช้งาน ขอให้ผู้ใช้รีสตาร์ท Claude Code คุณสามารถตรวจสอบกฎสิทธิ์ที่จัดการโดยใช้ /permissions
การควบคุมการเข้าถึง
บทบาทต่อไปนี้สามารถจัดการการตั้งค่าที่จัดการโดยเซิร์ฟเวอร์:
- Primary Owner
- Owner
ข้อจำกัดปัจจุบัน
การตั้งค่าที่จัดการโดยเซิร์ฟเวอร์มีข้อจำกัดดังต่อไปนี้:
- การตั้งค่าใช้กับผู้ใช้ทุกคนในองค์กรอย่างเท่าเทียมกัน การกำหนดค่าแยกตามกลุ่มยังไม่รองรับ
- ไฟล์
managed-mcp.jsonไม่สามารถแจกจ่ายผ่านการตั้งค่าที่จัดการโดยเซิร์ฟเวอร์ - การตั้งค่าที่จำกัดเฉพาะแหล่ง OS-level policy เช่น
policyHelperและwslInheritsWindowsSettingsไม่ได้รับการยอมรับ
การส่งมอบการตั้งค่า
ลำดับความสำคัญของการตั้งค่า
การตั้งค่าที่จัดการโดยเซิร์ฟเวอร์และการตั้งค่าที่จัดการโดยอุปกรณ์ปลายทางทั้งคู่อยู่ในระดับสูงสุดของ ลำดับชั้นการตั้งค่า Claude Code
พฤติกรรมการดึงข้อมูลและการแคช
Claude Code ดึงการตั้งค่าจากเซิร์ฟเวอร์ของ Anthropic เมื่อเริ่มต้นและตรวจสอบการอัปเดตทุกชั่วโมงระหว่างเซสชันที่ใช้งาน
การเปิดใช้งานครั้งแรกโดยไม่มีการตั้งค่าที่แคช:
- Claude Code ดึงการตั้งค่าแบบ asynchronous
- หากการดึงข้อมูลล้มเหลว Claude Code จะดำเนินการต่อโดยไม่มีการตั้งค่าที่จัดการ
การเปิดใช้งานครั้งต่อไปที่มีการตั้งค่าที่แคช:
- การตั้งค่าที่แคชจะมีผลทันทีเมื่อเริ่มต้น
- Claude Code ดึงการตั้งค่าใหม่ในพื้นหลัง
บังคับให้การเริ่มต้นล้มเหลวแบบ Fail-Closed
โดยค่าเริ่มต้น หากการดึงการตั้งค่าระยะไกลล้มเหลวเมื่อเริ่มต้น CLI จะดำเนินการต่อโดยไม่มีการตั้งค่าที่จัดการ สำหรับสภาพแวดล้อมที่ช่วงเวลาสั้น ๆ ที่ไม่บังคับใช้นี้ยอมรับไม่ได้ ให้ตั้งค่า forceRemoteSettingsRefresh: true ในการตั้งค่าที่จัดการของคุณ:
{
"forceRemoteSettingsRefresh": true
}
กล่องโต้ตอบการอนุมัติความปลอดภัย
การตั้งค่าบางอย่างที่อาจก่อให้เกิดความเสี่ยงด้านความปลอดภัยต้องได้รับการอนุมัติจากผู้ใช้อย่างชัดเจนก่อนนำไปใช้:
- การตั้งค่าคำสั่ง shell: การตั้งค่าที่เรียกใช้คำสั่ง shell
- Environment variables ที่กำหนดเอง: ตัวแปรที่ไม่อยู่ใน allowlist ที่ปลอดภัยที่รู้จัก
- การกำหนดค่า hooks: คำนิยาม hook ใด ๆ
ความพร้อมใช้งานของแพลตฟอร์ม
การตั้งค่าที่จัดการโดยเซิร์ฟเวอร์ต้องการการเชื่อมต่อโดยตรงกับ api.anthropic.com และไม่พร้อมใช้งานเมื่อใช้ผู้ให้บริการโมเดลของบุคคลที่สาม:
- Amazon Bedrock
- Google Vertex AI
- Microsoft Foundry
- Endpoint API ที่กำหนดเองผ่าน
ANTHROPIC_BASE_URLหรือ LLM gateways
การตรวจสอบบันทึก
เหตุการณ์บันทึกการตรวจสอบสำหรับการเปลี่ยนแปลงการตั้งค่าพร้อมใช้งานผ่าน compliance API หรือการส่งออกบันทึกการตรวจสอบ
ข้อควรพิจารณาด้านความปลอดภัย
การตั้งค่าที่จัดการโดยเซิร์ฟเวอร์ให้การบังคับใช้นโยบายจากส่วนกลาง แต่ดำเนินการเป็นการควบคุมฝั่งไคลเอนต์
| สถานการณ์ | พฤติกรรม |
|---|---|
| ผู้ใช้แก้ไขไฟล์การตั้งค่าที่แคช | ไฟล์ที่ถูกแก้ไขจะมีผลเมื่อเริ่มต้น แต่การตั้งค่าที่ถูกต้องจะกู้คืนในการดึงข้อมูลจากเซิร์ฟเวอร์ครั้งถัดไป |
| ผู้ใช้ลบไฟล์การตั้งค่าที่แคช | เกิดพฤติกรรมการเปิดใช้งานครั้งแรก: การตั้งค่าดึงข้อมูลแบบ asynchronous พร้อมช่วงเวลาสั้น ๆ ที่ไม่บังคับใช้ |
| API ไม่พร้อมใช้งาน | การตั้งค่าที่แคชมีผล หากมี หรือการตั้งค่าที่จัดการไม่บังคับใช้จนกว่าจะดึงข้อมูลสำเร็จ |
ดูเพิ่มเติม
- การตั้งค่า: ข้อมูลอ้างอิงการกำหนดค่าสมบูรณ์
- การตั้งค่าจัดการโดยอุปกรณ์ปลายทาง: การตั้งค่าที่จัดการที่ติดตั้งบนอุปกรณ์โดย IT
- การยืนยันตัวตน: ตั้งค่าการเข้าถึง Claude Code ของผู้ใช้
- ความปลอดภัย: มาตรการความปลอดภัยและแนวทางปฏิบัติที่ดีที่สุด