Claude Code管理者コントロール:ITおよびDevOpsチームのための完全ガイド(2026年)
Rama Adi Nugraha
Katelin Teen
最終更新 June 9, 2026
Claude Codeに管理者コントロールが必要な理由
エンジニアリング組織にコーディングエージェントを導入する場合、チャットツールの展開とはリスクプロファイルが異なります。Claude Codeはシェルコマンドを実行し、コードベース全体のファイルを読み取り、プルリクエストを開き、適切な権限があればインターネットにアクセスしたり、シークレットファイルに書き込んだりすることができます。コントロールがないと、2つの失敗モードが現れます:開発者が慎重な使い方に陥り、すべての操作を手動で確認するか、包括的な権限を付与してしまい、技術的に何でもできるエージェントが生まれてしまいます。
どちらもあなたが望むものではありません。実際に必要なのは、AIのためのグループポリシーに近いものです:組織レベルでツールに許可されることを定義し、開発者はその範囲内で生産的な環境を得て、問題が発生した場合の監査能力を持つことができます。
それがClaude Codeの管理者コントロールが設計されている目的です。システムの各層を見ていきましょう。
4段階の設定階層
すべてのClaude Code設定は優先度スタックを通じて解決されます。最高から最低の優先度順に:
- Managed — ITが展開、最高優先度、何によっても上書き不可
- CLIアーギュメント — セッション限定の上書き(
--model sonnet、--permission-mode plan) - ローカルプロジェクト(
.claude/settings.local.json)— このリポジトリの個人用上書き、gitignore対象 - 共有プロジェクト(
.claude/settings.json)— チーム共有、gitにコミット済み - ユーザー(
~/.claude/settings.json)— 個人グローバルデフォルト
マネージド層が上限でユーザー設定が下限です。プロジェクト設定はチームがツールを標準化する場所です。permissions.allowのような配列値の設定はスコープ間でマージされ、互いに置き換えられることはありません。ユーザー設定のallowルールはプロジェクト設定のallowルールと積み重なります。スカラー値は、それを定義する最上位スコープからのwinner-take-allに従います。
知っておく価値のある微妙な点:v2.1.142以降、autoモードはプロジェクトまたはローカル設定で設定された場合は無視されます。プロジェクト設定でdefaultMode: "auto"を設定しているのに効果がない場合は、それが理由です。ユーザー設定またはマネージド設定から来る必要があります。
マネージド設定の展開
4つの配信メカニズムはすべて同じJSON形式を読み取ります:
サーバー管理(Teams/Enterprise): claude.aiの管理コンソールから設定をプッシュします。Claude for TeamsまたはEnterpriseプランが必要です。forceRemoteSettingsRefresh: trueを使用して、プッシュが確認されるまでセッション起動をブロックします。ポリシー更新が開発者が作業を継続する前に有効になる必要がある場合に便利です。
macOS MDM(Jamf、Kandji、Mosyle): com.anthropic.claudecode plistドメインを対象にした設定プロファイルを展開します。トップレベルキーはJSONフィールド名を反映し、ネストされた設定はplist辞書、配列はplist配列を使用します。MDMでMacを管理している組織の標準的なアプローチです。
Windows グループポリシー / Intune: HKLM\SOFTWARE\Policies\ClaudeCodeにREG_SZ型のSettings値でJSONを書き込みます。グループポリシーオブジェクトまたはIntuneの設定プロファイルで展開します。ユーザーレベルのポリシーのみ(管理レベルのソースがない場合)はHKCU\SOFTWARE\Policies\ClaudeCodeを使用してください。
ファイルベース: managed-settings.jsonを以下に配置します:
- macOS:
/Library/Application Support/ClaudeCode/ - Linux / WSL:
/etc/claude-code/ - Windows:
C:\Program Files\ClaudeCode\
ファイルベースは同じ場所のmanaged-settings.d/ドロップインディレクトリもサポートします。ファイルはアルファベット順にソートされ、深くマージされます。後のファイルのスカラーが優先し、配列は連結および重複排除されます。複数のセキュリティツールやチームが互いを上書きすることなく個別のポリシーフラグメントを提供する必要がある場合に便利です。
デバイスのポスチャまたはリモートコンプライアンスサービスから導出された動的ポリシーには、policyHelperキーで起動時に設定JSONを計算する実行可能ファイルを指定します。バイナリはJSON envelopeを(managedSettingsキー下の設定と共に)stdoutに書き込み、Claude Codeはセッション開始前にそれを取得します。v2.1.136以降で利用可能です。
何がアクティブかを確認するには、Claude Code内で/statusを実行します。ステータスタブには、括弧内に配信チャネルを記載した各アクティブ層を一覧表示するSetting sources行が表示されます:Enterprise managed settings (remote)、(plist)、(HKLM)、(file)。
パーミッション:allow、ask、denyルール
パーミッションシステムは、Claudeが質問なしに行えることと、まったく触れられないことを表現する方法です。3つのルールタイプ:
- Allow — Claudeはプロンプトなしに自動的にツールを実行
- Ask — Claudeは実行前に開発者にプロンプトを表示(ほとんどのツールのデフォルト)
- Deny — Claudeはツールをまったく使用できない
ルールはToolまたはTool(specifier)の形式に従います。"Bash"のようなベアdenyはClaudeのコンテキストからツール全体を削除し、Claudeがそれを使用しようとすることはありません。"Bash(rm *)"のようなスコープdenyはツールを利用可能に保ちますが、実行時に一致する呼び出しをブロックします。
評価順序は常にdenyが最初、次にask、次にallow — そして最初の一致ルールがそれがどのスコープから来たかに関係なく優先されます。ユーザー設定のdenyはプロジェクトレベルのallowをブロックします。マネージドdenyはどの下位スコープによってもロック解除できません。
チーム環境向けの.claude/settings.jsonの実践的な基本設定:
{
"permissions": {
"allow": [
"Bash(npm run *)",
"Bash(git commit *)",
"Bash(git diff *)",
"Bash(git log *)",
"Bash(git status)",
"Bash(git stash *)"
],
"deny": [
"Bash(curl *)",
"Bash(wget *)",
"Read(./.env)",
"Read(./.env.*)",
"Read(./secrets/**)",
"WebFetch"
]
}
}
これで一般的な開発コマンドを自動承認しながら、ネットワークツールと機密ファイルの読み取りをブロックします。
知っておくべきパーミッションルールパターン
ワイルドカードは引数をまたいで一致します。 Bash(npm run *)はnpm run test --watchに一致します — *はスペースを含む複数の引数にまたがります。Bash(git *)はgit log --oneline --allに一致します。*の前のスペースは単語境界を強制します:Bash(ls *)はls -laに一致しますがlsofには一致しません。
URLに制約されたcurlは壊れやすいです。 Bash(curl http://github.com/ *)はcurl -X GET http://github.com/...(URL前のオプション)、curl https://github.com/...(異なるプロトコル)、またはURLを保持する環境変数では失敗します。信頼性の高いドメイン制限には、許可ドメインにWebFetch(domain:github.com)を使用し、Bashネットワークツールはすべてdenyしてください。詳細な説明はパーミッションリファレンスにあります。
複合コマンドは一致前に分割されます。 npm testのallowルールはnpm test && curl evil.comをカバーしません。Claude Codeは&&、||、;、|で分割し、各サブコマンドを独立してチェックします。
Read/Editパターンはgitignore構文に従います。 Read(./.env)とRead(**/.env)は同等です — 両方とも現在のディレクトリ以下の任意の.envをブロックします。ファイルシステム上のどこでも.envファイルをブロックするにはRead(//**/.env)を使用してください。
パーミッションモード
6つのパーミッションモードは、一致しないツール呼び出しの処理方法を変更します:
| モード | 動作 |
|---|---|
default | 各ツールの最初の使用時にプロンプト |
acceptEdits | ファイル編集と安全なファイルシステムコマンドを自動承認 |
plan | 読み取り専用 — ファイル変更なし |
auto | バックグラウンドセーフティチェックで整合した呼び出しを自動承認(リサーチプレビュー) |
dontAsk | allowルールで事前承認されていない限り自動拒否 |
bypassPermissions | すべてのプロンプトをスキップ — 分離されたコンテナ/VMのみ |
設定でdefaultModeを設定して開始モードをロックします。bypassPermissionsモードが有効化されないようにするには、マネージド設定に追加してください:
{
"permissions": {
"disableBypassPermissionsMode": "disable"
}
}
これで--dangerously-skip-permissionsフラグが完全に閉じられます — 開発者が使用しようとするとエラーが表示されます。autoモードも同様のパターンです:"disableAutoMode": "disable"。
マネージドのみの設定:管理者限定のロックダウンコントロール
マネージド設定経由で展開された場合にのみ有効になる設定があります。ユーザーまたはプロジェクトファイルに置いても効果はありません — これらは本当に管理者専用です:
| 設定 | 適用内容 |
|---|---|
allowManagedPermissionRulesOnly | ユーザーおよびプロジェクト設定がallow/ask/denyルールを定義できないようにします。マネージドルールのみが適用されます。 |
allowManagedHooksOnly | マネージド設定またはフォース有効化プラグインからのフックのみが実行されます。ユーザーおよびプロジェクトフックはブロックされます。 |
allowManagedMcpServersOnly | マネージド設定のallowedMcpServersにあるMCPサーバーのみが使用されます。 |
strictKnownMarketplaces | ユーザーが追加できるプラグインマーケットプレイスを制御します。空の配列はすべての新しいマーケットプレイス追加をブロックします。 |
strictPluginOnlyCustomization | スキル、エージェント、フック、および/またはMCPサーバーをプラグインのみから取得することを強制します。 |
forceLoginMethod | ログインをclaudeaiアカウントまたはconsoleアカウントに制限します。 |
forceLoginOrgUUID | 特定のAnthropicorg UUIDへのログインを要求します。 |
requiredMinimumVersion | Claude Codeバージョンがこれを下回る場合、起動をブロックします。 |
requiredMaximumVersion | Claude Codeバージョンがこれを上回る場合、起動をブロックします。 |
claudeMd | すべてのセッションに表示される組織全体の指示を挿入します。 |
channelsEnabled | チャネル(インテグレーション)を組織全体で有効または無効にします。 |
forceRemoteSettingsRefresh | マネージド設定がサーバーから新たに取得されるまで起動をブロックします。 |
allowManagedPermissionRulesOnly: true + allowManagedHooksOnly: trueの組み合わせで強固なペリメーターが得られます:開発者はマネージド設定で定義されたものを超えてClaudeが承認されることを拡張できません。すべてはIT承認のルールとフックを通じて実行され、それ以上はありません。
サンドボックス:OSレベルのファイルシステムとネットワーク分離
サンドボックスはパーミッションとは別のセキュリティ層です。パーミッションはClaudeが何をしようとするかを管理します。サンドボックスはBashコマンドが実際にOSレベルで何に到達できるかを適用します — macOSのネイティブプロセス分離(Seatbelt)とLinux seccomp/namespacesを使用して、ファイルシステムの読み取り/書き込み境界とネットワークアクセスルールを適用します。
開発者マシン向けの基本サンドボックス設定:
{
"sandbox": {
"enabled": true,
"autoAllowBashIfSandboxed": true,
"filesystem": {
"denyRead": [
"~/.aws/credentials",
"~/.ssh/id_rsa",
"~/.ssh/id_ed25519"
],
"allowWrite": ["/tmp/build", "~/.kube"]
},
"network": {
"allowedDomains": [
"github.com",
"*.npmjs.org",
"registry.yarnpkg.com",
"api.anthropic.com"
]
}
}
}
autoAllowBashIfSandboxed: true(デフォルト)を使用すると、サンドボックス境界内に留まるBashコマンドはプロンプトなしで実行されます — サンドボックス境界がコマンドごとの確認ダイアログに代わります。開発者はより速いフローを得て、あなたは適用を得ます。
より厳格な環境で知っておく価値のある3つのマネージドのみのサンドボックスフラグ:
sandbox.network.allowManagedDomainsOnly: true— マネージドのallowedDomainsにあるドメインのみ到達可能。プロジェクトレベルの追加は無視されますsandbox.filesystem.allowManagedReadPathsOnly: true— マネージドのfilesystem.allowReadパスのみが尊重されますsandbox.network.allowUnixSockets— macOSでDockerソケットアクセス(/var/run/docker.sock)を許可するために必要
サンドボックスはBashコマンドとその子プロセスにのみ適用されます。ClaudeのビルトインのRead/Writeツールを制限しません — これらは上記のパーミッションルールによって管理されます。多層防御のために両方の層を一緒に使用してください:パーミッションルールはClaudeが不正アクセスを試みるのを防ぎ、サンドボックスはOSレベルで抜け出すものを防ぎます。
コンテナ、CI、WSL環境については、Anthropicのサンドボックスガイドを参照してください — これらの環境では設定が異なります。
ポリシー適用のためのフック
フックは、特定のライフサイクルポイントで発火するシェルコマンド、HTTPエンドポイント、またはLLM評価プロンプトです。管理者用途では、PreToolUseがキーイベントです:任意のツール呼び出しの前に発火し、allowルールが許可する場合でも、呼び出しが発生する前にブロックできます。
破壊的なコマンドをブロックするシェルベースのセキュリティフック:
{
"hooks": {
"PreToolUse": [
{
"matcher": "Bash",
"hooks": [
{
"type": "command",
"command": "/usr/local/bin/claude-security-check.sh",
"args": []
}
]
}
]
}
}
フックはstdinでJSONとして完全なツール呼び出しを受け取ります。ブロックするには:
{
"hookSpecificOutput": {
"hookEventName": "PreToolUse",
"permissionDecision": "deny",
"permissionDecisionReason": "rm -rfは組織のセキュリティポリシーによりブロックされています"
}
}
出力なしの終了コード0は「決定なし」を意味します — 通常のパーミッションフローが継続します。フックは拒否できますが、沈黙は承認しません。
HTTPベースの集中ポリシーには、type: "http"を使用してツール呼び出しイベントをセキュリティサービスにポストし、レスポンスから決定を読み取ります。これにより、中央チームが各開発者マシンにシェルスクリプトを配布することなくポリシー評価を実行できます。
ガバナンスに役立つその他の2つのイベント:
ConfigChange— セッション中に設定ファイルが変更されると発火します。開発者がセッション中にパーミッションルールを変更した場合に検出し、可視性のためにSIEMまたはSlackに投稿するために使用します。SessionStart— セッションオープン時に発火します。監査メタデータの挿入、バージョン要件の確認、または機密操作を許可する前にユーザーがネットワーク上にいることを確認するのに適しています。
マネージド設定でallowManagedHooksOnly: trueを使用すると、マネージドチャネルを通じて展開されたフックのみが実行されます。プロジェクトの.claude/settings.jsonに開発者が作成したフックは静かに無視されます。利用可能なすべてのイベントについては完全なフックリファレンスを参照してください。
ネットワークとプロキシの設定
企業プロキシを通じてトラフィックをルーティングする環境では、Claude Codeは標準のプロキシ環境変数を読み取ります:
HTTPS_PROXY=https://proxy.example.com:8080
HTTP_PROXY=http://proxy.example.com:8080
NO_PROXY="localhost,192.168.1.1,.internal.example.com"
開発者の設定なしにすべてのセッションに適用されるよう、マネージド設定のenvブロックにこれらを設定します:
{
"env": {
"HTTPS_PROXY": "https://proxy.example.com:8080",
"NO_PROXY": "localhost,.internal.example.com"
}
}
エンタープライズTLS検査(CrowdStrike Falcon、Zscaler)では、Claude CodeはデフォルトでバンドルされたMozilla CAセットとOSの証明書ストアの両方を信頼します。プロキシがOSストアにないカスタムCAを使用している場合:
{
"env": {
"NODE_EXTRA_CA_CERTS": "/etc/ssl/certs/enterprise-ca.pem"
}
}
相互TLS認証の場合:
{
"env": {
"CLAUDE_CODE_CLIENT_CERT": "/etc/ssl/certs/claude-client.pem",
"CLAUDE_CODE_CLIENT_KEY": "/etc/ssl/private/claude-client-key.pem"
}
}
ファイアウォールの許可リストには最低限これらのURLが必要です:
| URL | 必要な用途 |
|---|---|
api.anthropic.com | Claude APIコール |
claude.ai | Claude.aiアカウント認証 |
platform.claude.com | コンソールアカウント認証 |
downloads.claude.ai | プラグインのダウンロードと自動更新 |
bridge.claudeusercontent.com | Claude in Chrome拡張機能 |
raw.githubusercontent.com | リリースノートとプラグインマーケットプレイス |
Amazon Bedrock、Google Vertex AI、またはMicrosoft Foundry経由での展開時、モデルトラフィックはapi.anthropic.comではなくクラウドプロバイダーに流れます。envブロックにCLAUDE_CODE_USE_BEDROCK=1(または同等のもの)を設定し、LLMゲートウェイ経由でルーティングする場合はANTHROPIC_BEDROCK_BASE_URLを設定します。完全なクラウドプロバイダーの設定はAnthropicのサードパーティインテグレーションガイドにあります。
MCPとプラグインのガバナンス
MCPサーバーはClaudeを外部ツールインテグレーション(Jira、Notion、GitHub、内部データベース)で拡張します。ガバナンスの観点から、リスクは開発者が信頼されていないサーバーに接続したり、未検証のマーケットプレイスプラグインをインストールしたりすることです。
マネージド設定を通じてMCPアクセスを制御する:
{
"allowedMcpServers": [
{ "serverName": "github" },
{ "serverName": "jira" }
],
"deniedMcpServers": [
{ "serverName": "filesystem" }
],
"allowManagedMcpServersOnly": true
}
allowManagedMcpServersOnly: trueを使用すると、プロジェクトの.mcp.jsonファイルは無視され、マネージド許可リストのサーバーのみが実行されます。拒否リストエントリはすべてのスコープから引き続きマージされるため、許可リストが有効な場合でも任意のスコープがサーバーをブロックできます。
プラグインマーケットプレイスを制御する:
{
"strictKnownMarketplaces": [
{ "source": "github", "repo": "acme-corp/approved-claude-plugins" }
],
"blockedMarketplaces": [
{ "source": "github", "repo": "untrusted-org/plugins" }
]
}
特定のリストでstrictKnownMarketplacesを使用すると、開発者はそのリストにあるマーケットプレイスのみを追加できます。空の配列[]はすべての新しいマーケットプレイス追加を完全にブロックします。blockedMarketplacesはネットワークまたはファイルシステム操作の前に適用されます — ブロックされたソースはディスクに触れることはありません。
strictPluginOnlyCustomizationはさらに進んで、すべてのスキル、エージェント、フック、MCPサーバーがユーザーまたはプロジェクトファイルではなくプラグインから来ることを要求します:
{
"strictPluginOnlyCustomization": ["skills", "hooks"]
}
4つのすべての表面(スキル、エージェント、フック、MCP)をロックするにはtrueを渡すか、ロックしたいものだけを名前にした配列を渡します。これにより、組織内のすべてのClaude Codeカスタマイズが開発者のアドホックな設定ではなく、承認された配布プラグインを通じて流れることが保証されます。プラグインシステムが可能にすることのコンテキストについてはClaude Codeプラグインの概要を参照してください。
組織全体のコンテキストとしてのCLAUDE.md
CLAUDE.mdファイルは指示レイヤーです — 設定ファイルが許可されることを定義する一方で、Claudeに何を優先すべきかを伝えます。マネージド設定のclaudeMdは、プロジェクトレベルのCLAUDE.mdコンテンツに関係なく、すべてのセッションに組織全体の指示を挿入します:
{
"claudeMd": "コミット前に必ず`make lint`を実行してください。/vendor内のファイルは決して変更しないでください。セキュリティ:パラメータ化されたクエリを使用し、認証情報をログに記録しないでください。内部ドキュメントはwiki.internal/engineering。"
}
開発者がローカルで上書きできるプロジェクトレベルのCLAUDE.mdとは異なり、マネージドのclaudeMdは除外も無視もできません。すべてのセッションに存在すべき組織全体のコーディング標準、セキュリティ要件、内部リソースへのリンクのための信頼できるチャネルです。
プロジェクト固有のコンテキストには、リポジトリルートにCLAUDE.mdをコミットします — すべてのコラボレーターが同じ指示を受け取り、Claude Codeデプロイガイドでは大規模なモノリポのための構造化方法を説明しています。claudeMdExcludes設定により、Claudeのコンテキストを汚染したくないvendorディレクトリやサードパーティコードからCLAUDE.mdファイルをスキップできます。
Claude Codeの使用状況のモニタリング
Claude CodeはOpenTelemetryを通じてテレメトリをエクスポートします。OTLPに対応したスタック(Datadog、Honeycomb、Grafana)と統合できます:
{
"env": {
"CLAUDE_CODE_ENABLE_TELEMETRY": "1",
"OTEL_METRICS_EXPORTER": "otlp",
"OTEL_EXPORTER_OTLP_ENDPOINT": "https://your-collector:4318",
"OTEL_RESOURCE_ATTRIBUTES": "service.name=claude-code"
}
}
利用可能なメトリクスには、セッションアクティビティ、タイプ別のツール使用数、モデル使用状況、エラーレートが含まれます。クラウドセッションでは、すべての操作がコンプライアンスのために自動的にログに記録されます。
ConfigChangeフック(上記で説明)は、セッション中に設定ファイルが変更されたときのリアルタイムシグナルを提供します。SIEMと組み合わせることで、設定変更の監査証跡が得られます。
チームレベルの使用状況レポートについては、usage-analytics-claude-codeブログにClaude Code使用分析のセットアップの完全なウォークスルーがあり、利用可能なOTLPメトリクスとそれぞれが何を示すかについて説明しています。
TeamsとEnterprise:各プランが管理者に追加するもの
| 機能 | Teams | Enterprise |
|---|---|---|
| プロジェクト設定(.claude/settings.json) | あり | あり |
| MDM/ファイルベースのマネージド設定 | あり | あり |
| サーバー管理設定(管理コンソールプッシュ) | 限定的 | 完全 |
| SSOとドメインキャプチャ | なし | あり |
forceLoginOrgUUIDの適用 | なし | あり |
| 組織全体のマネージドポリシー設定 | 部分的 | 完全 |
| リモートコントロールとWebセッション管理コントロール | あり | あり |
| コンプライアンスAPIアクセス(SOC 2 / ISO 27001) | なし | あり |
| 集中型使用状況ダッシュボード | あり | あり |
| 専用サポート / SLA | なし | あり |
約50人未満のチームへのClaude Codeの展開には、ファイルベースまたはMDM展開のマネージド設定を持つClaude for Teamsで通常必須事項をカバーできます。EnterpriseはSSO、組織メンバーシップを強制するforceLoginOrgUUID、中央コンソールからプッシュされるサーバー管理設定を追加します — Active Directory、Okta、または類似のIDマネジメントを持つ組織、またはAnthropic Trust Centerドキュメント(SOC 2 Type 2、ISO 27001、どちらも2026年時点で認証済み)を必要とするコンプライアンス要件を持つ組織に適しています。
完全なエンタープライズClaude Codeガイドは、調達、ユーザープロビジョニング、SSO設定手順をカバーしています。
クイックスタートマネージド設定テンプレート
ほとんどのセキュリティ意識の高いエンジニアリング組織に必須事項をカバーするベースラインのmanaged-settings.jsonを示します。/Library/Application Support/ClaudeCode/managed-settings.json(macOS)、/etc/claude-code/managed-settings.json(Linux)に展開するか、MDM/グループポリシー経由でプッシュしてください:
{
"$schema": "https://json.schemastore.org/claude-code-settings.json",
"permissions": {
"allow": [
"Bash(npm run *)",
"Bash(git commit *)",
"Bash(git diff *)",
"Bash(git log *)",
"Bash(git status)",
"Bash(git stash *)",
"Bash(make *)"
],
"deny": [
"Read(./.env)",
"Read(./.env.*)",
"Read(//home/**/.ssh/*)",
"Read(//root/.ssh/*)"
],
"disableBypassPermissionsMode": "disable"
},
"sandbox": {
"enabled": true,
"autoAllowBashIfSandboxed": true,
"filesystem": {
"denyRead": [
"~/.aws/credentials",
"~/.ssh/id_rsa",
"~/.ssh/id_ed25519",
"~/.ssh/id_ecdsa"
]
},
"network": {
"allowedDomains": [
"github.com",
"*.github.com",
"*.npmjs.org",
"registry.yarnpkg.com",
"api.anthropic.com",
"*.anthropic.com"
]
}
},
"claudeMd": "コーディング標準についてはプロジェクトのCLAUDE.mdに従ってください。認証情報、トークン、シークレットは決してログに記録しないでください。パラメータ化されたクエリを使用してください。内部ドキュメント:wiki.internal/engineering",
"companyAnnouncements": [
"Claude Codeエンタープライズポリシーはすべてのセッションに適用されます。質問:security@yourcompany.com"
],
"requiredMinimumVersion": "2.1.100",
"availableModels": ["opus", "sonnet", "haiku"]
}
このテンプレートは--dangerously-skip-permissionsを閉じ、SSHキーとAWS認証情報の読み取りをブロックし、自動承認されたサンドボックスBashでサンドボックスを有効にし、発信ネットワークを承認されたドメインに制限し、最小限のセキュリティポリシーを挿入し、最低バージョンを固定します。
これを1週間実行して開発者が許可リストで実際に必要としていることを監査したら、最も厳格なロックダウンのために"allowManagedPermissionRulesOnly": trueの追加を検討してください。その設定は意図的にここでは省略されています — 許可リストがチームの実際のワークフローをカバーしていると確信した後にのみ追加してください。
完全なsettings.jsonリファレンスはさらに調整する必要がある場合に利用可能な~80のキーすべてをカバーし、Claude Codeのベストプラクティスガイドはこの管理者層を補完する開発者側のセットアップをカバーしています。
eesel.aiを試してみる
エンジニアリング組織のAIガバナンスについて慎重に検討しているなら、おそらくサポート、運用、その他のチームでも同じ質問に答えているでしょう。eesel.aiは、Claude Codeのパーミッションシステムと同じアプローチで、これらのチームがすでに使用しているツール(Zendesk、Freshdesk、Slack、Jira、100以上のツール)に直接自律型AIエージェントを展開します:エージェントはあなたが設定する明確な境界内で動作し、チームはエージェントができることとできないことをコントロールし続け、セットアップは既存のナレッジ履歴から数分で完了します。採用する新しいインターフェースも、プロンプトエンジニアリングも不要です。
よくある質問
Claude Codeで開発者が--dangerously-skip-permissionsを使用するのを防ぐにはどうすればよいですか?
permissions.disableBypassPermissionsModeを"disable"に設定してください。マネージド設定は優先度スタックの最上位にあるため、ユーザーやプロジェクトレベルの設定によって上書きすることはできません。コマンドライン引数でも同様です。完全な構文についてはAnthropicのパーミッションリファレンスをご参照ください。Claude Codeのマネージド設定とプロジェクト設定の違いは何ですか?
.claude/settings.jsonに格納され、gitにコミットされ、リポジトリのすべてのコラボレーターに適用されますが、ローカルまたはユーザー設定で上書きできます。コンプライアンスポリシーにはマネージド設定を、チームの慣習にはプロジェクト設定を使用してください。Claude Codeで開発者が使用できるClaudeモデルを制限できますか?
availableModelsを追加することで、ユーザーが/modelや--modelで選択できるモデルを制限できます。例えば["sonnet", "haiku"]でOpusを除外できます。modelキーと組み合わせて、組織全体のデフォルトを設定できます。BedrockやVertexデプロイメントでは、ANTHROPIC_DEFAULT_SONNET_MODEL環境変数で正確なモデルバージョンを固定できます。すべての開発者マシンにClaude Code管理者コントロールを展開するにはどうすればよいですか?
com.anthropic.claudecode plistドメインを対象)、Windows グループポリシーまたはIntune(HKLM\SOFTWARE\Policies\ClaudeCodeにJSONを書き込む)、またはmacOSの/Library/Application Support/ClaudeCode/managed-settings.jsonやLinuxの/etc/claude-code/managed-settings.jsonにファイルを配置する方法です。3つはすべて同じJSON形式を読み取ります。Team/Enterpriseプランでのサーバー管理設定には管理コンソールを使用してください。Claude Code管理者コントロールでallowManagedPermissionRulesOnlyは何をしますか?
trueに設定すると、ユーザーおよびプロジェクト設定がallow、ask、またはdenyのパーミッションルールを定義できなくなります。マネージド設定のルールのみが適用されます。これは最も厳格なパーミッションロックダウンです。開発者がClaude Codeで事前承認されていないツールを自己承認できないようにするセキュリティポリシーに役立ちます。
