除**,保证组织规范在每个开发者的会话里都生效。
方式 2:Managed Settings(技术层面强制)
通过 MDM 或配置管理工具分发设置文件,禁止高危操作:
json
{
"permissions": {
"deny": [
"Bash(rm -rf*)",
"Bash(*production*)",
"Write(/etc/*)",
"Write(~/.ssh/*)"
]
}
}CLAUDE.md vs Managed Settings 的分工:
| 用途 | 用哪个 |
|---|---|
| 代码规范、风格指南 | Managed CLAUDE.md |
| 合规提醒、数据处理说明 | Managed CLAUDE.md |
| 禁止特定命令或文件访问 | Managed Settings permissions.deny |
| 强制沙箱隔离 | Managed Settings sandbox |
分级权限设计
json
// 普通开发者
{ "permissions": { "deny": ["Bash(*prod*)", "Bash(kubectl*)"] } }
// 高级开发者(额外允许 Docker)
{ "permissions": { "allow": ["Bash(docker*)"], "deny": ["Bash(*prod*)"] } }
// DevOps
{ "permissions": { "allow": ["Bash(kubectl*)"] } }SSO 集成(Enterprise)
Enterprise 计划支持 SAML 2.0 和 OIDC:
- 访问 claude.ai/admin-settings/sso
- 选择 IdP(Okta、Azure AD、Google Workspace 等)
- 配置 SSO 参数,测试登录
- 强制所有用户使用 SSO:在 managed settings 设置
forceLoginMethod: "sso"
开启后,开发者运行 claude 自动通过公司 SSO 登录,不需要个人账号。
成本管理
模型选择策略(Opus 比 Sonnet 贵 3-5 倍):
| 任务类型 | 推荐模型 |
|---|---|
| 代码库探索、搜索 | Haiku(最便宜) |
| 日常功能开发 | Sonnet(均衡) |
| 复杂架构、安全分析 | Opus(最强) |
在 Managed CLAUDE.md 里加成本意识指令:
markdown
## 上下文管理
- 每个独立任务完成后主动 /compact
- 用 @文件名 精确引用,不要读整个目录
- 任务切换时开新会话定期审查:管理员控制台查看各成员 Token 消耗分布,识别异常用量。
合规与审计
Enterprise 支持:
- 数据驻留地区选择(US、EU)
- 零数据保留模式(不用于训练)
- 审计日志导出
用 Hooks 记录敏感操作:
json
{
"hooks": {
"PreToolUse": [{
"matcher": "Bash",
"hooks": [{
"type": "command",
"command": "echo $(date) >> ~/audit/claude-actions.log"
}]
}]
}
}来源:Claude Code 企业部署文档 | Anthropic Enterprise | 整理:ClaudeEagle