Claude Code Server-managed Settings（Beta）：无 MDM 企业集中配置、安全审批与缓存机制

Server-managed settings 是 Claude Code 的企业级集中配置方案（公开 Beta），允许管理员通过 claude.ai 网页管理控制台统一下发配置，无需 MDM（移动设备管理）基础设施。

适用场景#

Server-managed settings 专为以下情况设计：

• 组织没有 MDM 基础设施
• 需要管理非受管设备上的用户
• 希望通过 Web 控制台（而非设备策略文件）统一管理配置

前提条件#

Server-managed vs Endpoint-managed：如何选择？#

如果设备已加入 MDM，Endpoint-managed settings 提供更强的安全保障——设置文件可在 OS 级别受保护，防止用户修改。

设置下发机制#

优先级#

Server-managed settings 与 Endpoint-managed settings 同处最高优先级层，均不可被其他设置覆盖（包括命令行参数）。

当两者同时存在时，Server-managed settings 优先，Endpoint-managed settings 不生效。

抓取与缓存行为#

Claude Code 在启动时从 Anthropic 服务器抓取设置，活跃会话期间每小时轮询更新。

首次启动（无缓存）：

• 异步抓取配置
• 抓取失败时 Claude Code 继续运行（无受管配置）
• 存在短暂窗口期，配置加载前限制暂不生效

后续启动（有缓存）：

• 缓存配置立即生效
• 后台抓取最新配置
• 网络故障时缓存配置继续有效

Claude Code 无需重启即可应用大多数配置更新，但 OpenTelemetry 等高级配置需完整重启才能生效。

安全审批对话框#

以下配置因存在安全风险，应用前需用户明确审批：

• Shell 命令设置：执行 shell 命令的配置
• 自定义环境变量：不在已知安全白名单中的变量
• Hook 配置：任何 Hook 定义

用户看到安全对话框后必须批准才能继续；拒绝则 Claude Code 退出。

访问控制#

以下角色可管理 Server-managed settings：

• Primary Owner
• Owner

严格限制访问权限，因为配置更改会影响组织中的所有用户。

当前 Beta 阶段限制#

• 配置均匀应用于组织所有用户，尚不支持按组配置
• MCP 服务器配置不能通过 Server-managed settings 下发（需使用 Endpoint-managed 方式）

平台可用性#

Server-managed settings 需要直接连接 api.anthropic.com，以下情况不可用：

• Amazon Bedrock
• Google Vertex AI
• Microsoft Foundry
• 通过 ANTHROPIC_BASE_URL 或 LLM Gateway 使用自定义 API 端点

安全注意事项#

加强安全建议：

• 使用 ConfigChange Hooks 记录运行时配置变更或阻止未授权修改
• 对已加入 MDM 的设备优先使用 Endpoint-managed settings

审计日志#

设置变更的审计日志事件可通过合规 API 或审计日志导出获取。每条事件包含：

• 执行的操作类型
• 执行操作的账号和设备
• 前后值的引用

联系 Anthropic 客户成功团队获取访问权限。

---

原文：Server-managed settings (beta) - Claude Code Docs | 来源：Anthropic 官方文档