原文(日本語に翻訳)
管理設定で allowManagedDomainsOnly が有効な場合に、許可されていないドメインへのアクセスにユーザーへの承認を求めていたサンドボックスの問題を修正しました — 許可されていないドメインはバイパスなしに自動的にブロックされるようになります
原文(英語)
Fixed sandbox prompting users to approve non-allowed domains when allowManagedDomainsOnly is enabled in managed settings — non-allowed domains are now blocked automatically with no bypass
概要
組織の管理設定で allowManagedDomainsOnly が有効になっている場合、許可リストに含まれていないドメインへのアクセスは自動的にブロックされるべきです。しかし、バグにより許可されていないドメインへのアクセス要求が発生した際にユーザーへの承認ダイアログが表示されていました。これにより、管理者が意図したセキュリティポリシーをユーザーが迂回できてしまう問題がありました。修正後は許可されていないドメインは自動的にブロックされ、ユーザーへの承認要求は行われません。
基本的な使い方
この修正は管理者設定を使用している組織環境での動作に影響します。
json
// 管理設定での allowManagedDomainsOnly の設定例
{
"allowManagedDomainsOnly": true,
"allowedDomains": [
"api.anthropic.com",
"github.com",
"internal.company.com"
]
}実践例
修正前の問題のある動作
管理設定:
allowManagedDomainsOnly: true
allowedDomains: ["api.anthropic.com", "internal.company.com"]
修正前の動作:
Claude Code が example.com にアクセスしようとする
↓
本来: 自動ブロック(ユーザー介入なし)
実際: 「example.com へのアクセスを許可しますか?」とユーザーに確認
↓
ユーザーが「はい」を押すとアクセス可能(ポリシーバイパス)
修正後の動作:
example.com へのアクセスしようとする
↓
自動的にブロック(確認なし)
↓
ユーザーはバイパス不可管理者向け設定
json
// managed-settings.json(管理者が配布する設定ファイル)
{
"allowManagedDomainsOnly": true,
"allowedDomains": [
"api.anthropic.com",
"github.com",
"registry.npmjs.org",
"*.company-internal.com"
],
"blockReason": "セキュリティポリシーにより、許可されていないドメインへのアクセスはブロックされています。"
}エンタープライズ環境でのセキュリティポリシー
組織のゼロトラストポリシー例:
1. 許可リスト(allowedDomains)に含まれるドメインのみアクセス可
2. 未許可ドメインは自動ブロック(ユーザー確認なし)
3. すべてのアクセスがログに記録される
修正後: このポリシーが正しく強制される注意点
allowManagedDomainsOnlyは組織の管理者が設定する機能です- 一般ユーザーはこの設定を変更できません
- 許可されていないドメインがブロックされた場合、管理者にドメインの追加を申請してください
- この修正はセキュリティ上重要なため、管理者は早急なアップデートを推奨します