Claude Code ガイド

Appearance

原文(日本語に翻訳)

管理設定がmacOS plistまたはWindowsレジストリ経由で設定できるようになりました。詳細は https://code.claude.com/docs/en/settings#settings-files をご覧ください。

原文(英語)

Managed settings can now be set via macOS plist or Windows Registry. Learn more at https://code.claude.com/docs/en/settings#settings-files

概要

Claude Codeの管理設定が、macOSのplist(設定プロファイル)またはWindowsのレジストリ経由で設定できるようになりました。これにより、企業のIT管理者がMDMツール(Jamf、Intune等)やグループポリシーを通じて、組織全体のClaude Code設定をOSネイティブの仕組みで一元管理できます。管理設定はユーザーによる上書きが不可能なため、セキュリティポリシーやコンプライアンス要件の強制に適しています。

基本的な使い方

macOS:plist経由での設定(MDMプロファイル)

管理ドメイン: com.anthropic.claudecode

Jamf、Kandji等のMDMツールから以下の形式の設定プロファイルを配布します。

xml
<dict>
  <key>com.anthropic.claudecode</key>
  <dict>
    <key>permissions</key>
    <dict>
      <key>deny</key>
      <array>
        <string>Bash(curl *)</string>
        <string>Read(./.env)</string>
      </array>
      <key>allow</key>
      <array>
        <string>Bash(npm run *)</string>
      </array>
    </dict>
  </dict>
</dict>

Windows:レジストリ経由での設定(グループポリシー/Intune)

レジストリパス: HKLM\SOFTWARE\Policies\ClaudeCode

値名: Settings(REG_SZ または REG_EXPAND_SZ)

値データ: JSON形式の文字列

json
{
  "permissions": {
    "deny": ["Bash(curl *)", "Read(./.env)"],
    "allow": ["Bash(npm run *)"]
  },
  "env": {
    "CLAUDE_CODE_ENABLE_TELEMETRY": "1"
  },
  "allowManagedPermissionRulesOnly": true
}

実践例

ユースケース1:外部ネットワークアクセスの制限

企業のセキュリティポリシーとして、curlなどによる外部通信を禁止する場合。

macOS(plist):

xml
<dict>
  <key>permissions</key>
  <dict>
    <key>deny</key>
    <array>
      <string>Bash(curl *)</string>
      <string>Bash(wget *)</string>
    </array>
  </dict>
  <key>allowManagedPermissionRulesOnly</key>
  <true/>
</dict>

Windows(レジストリJSON):

json
{
  "permissions": {
    "deny": ["Bash(curl *)", "Bash(wget *)"]
  },
  "allowManagedPermissionRulesOnly": true
}

allowManagedPermissionRulesOnly: true を設定すると、ユーザーが独自のパーミッションルールを追加することを防げます。

ユースケース2:使用するAIモデルの固定

組織として特定のモデルのみ使用を許可する場合。

json
{
  "defaultModel": "claude-sonnet-4-5",
  "env": {
    "ANTHROPIC_MODEL": "claude-sonnet-4-5"
  }
}

ユースケース3:MCPサーバーの集中管理

承認済みMCPサーバーのみ使用を許可し、ユーザーが独自にMCPサーバーを追加できないようにする場合。

json
{
  "allowedMcpServers": {
    "approved-server": {
      "command": "npx",
      "args": ["-y", "@company/approved-mcp-server"]
    }
  },
  "allowManagedMcpServersOnly": true
}

ユースケース4:テレメトリの強制有効化

組織の監査要件としてテレメトリを常に有効にする場合。

json
{
  "env": {
    "CLAUDE_CODE_ENABLE_TELEMETRY": "1"
  }
}

ユースケース5:社内アナウンスの配信

Claude Code起動時に組織からのメッセージを表示する場合。

json
{
  "companyAnnouncements": {
    "message": "本日はClaude Codeのセキュリティポリシー研修があります。15:00にリモート参加してください。",
    "expiresAt": "2026-03-01T00:00:00Z"
  }
}

注意点

  • 上書き不可: 管理設定はユーザー設定、プロジェクト設定、コマンドライン引数よりも優先され、ユーザーによる変更はできません
  • 設定の優先順位: サーバー管理設定 > MDM/OSポリシー > managed-settings.json ファイルの順に適用されます
  • 管理専用設定: allowManagedHooksOnlyallowManagedPermissionRulesOnlyallowManagedMcpServersOnlydisableBypassPermissionsMode はmanaged settingsでのみ設定可能で、ユーザーは変更できません
  • ファイルベースの代替手段: plist/レジストリの代わりに、以下のパスに managed-settings.json を配置しても同等の効果が得られます
    • macOS/Linux: /Library/Application Support/ClaudeCode/managed-settings.json
    • Linux: /etc/claude-code/managed-settings.json
    • Windows: C:\Program Files\ClaudeCode\managed-settings.json
  • 設定の確認: ユーザーは /status コマンドで現在有効な設定ソースを確認できます
  • ユーザーへの影響の周知: 管理設定によって制限が適用されている場合、ユーザーに事前に説明しておくことを推奨します

関連情報