原文（日本語に翻訳）

マネージドポリシーのaskルールがユーザーのallowルールやスキルのallowed-toolsによって回避されていた問題を修正

原文（英語）

Fixed managed policy ask rules being bypassed by user allow rules or skill allowed-tools

概要

マネージドポリシーで設定されたask（許可前に確認を求める）ルールが、ユーザーのallowルールやスキルのallowed-tools設定によって意図せず無視される問題が修正されました。この修正により、組織のセキュリティポリシーが適切に適用されるようになり、管理者の意図した権限制御が確実に機能します。企業環境でClaude Codeを使用している場合に特に重要な修正です。

基本的な使い方

このバグ修正はユーザー操作不要で自動的に適用されます。ただし、権限設定の動作について理解しておくことが重要です。

マネージドポリシーの優先順位

マネージドポリシー（管理者設定） > ユーザー設定 > スキル設定

修正後は、マネージドポリシーのaskルールが常に最優先されます。

実践例

マネージドポリシーでのaskルール設定例

管理者が設定するポリシーファイル（managed-settings.json）：

{
  "permissions": {
    "rules": [
      {
        "type": "ask",
        "tools": ["Bash"],
        "pattern": "rm -rf *",
        "reason": "危険なコマンドは実行前に確認が必要"
      }
    ]
  }
}

ユーザー設定との競合が解消された例

修正前は以下のようにユーザーのallowがマネージドのaskを上書きしていました：

// ユーザーの settings.json（修正前は管理者ポリシーを無効化していた）
{
  "permissions": {
    "allow": ["Bash(rm -rf *)"]  // ← これがマネージドの ask を回避していた
  }
}

修正後は、マネージドポリシーのaskルールが優先され、ユーザーのallowでは回避できません。

スキルの allowed-tools との関係

# スキルの frontmatter
---
name: my-skill
allowed-tools:
  - Bash
---

修正後は、スキルのallowed-toolsでBashを許可していても、マネージドポリシーのaskルールが適用されます。

注意点

• この修正によって、これまで自動許可されていた操作が確認を求めるようになる場合があります
• 組織のIT管理者に確認し、ポリシーの意図を理解した上で運用してください
• 個人ユーザーには影響なく、マネージドポリシーを使用している組織環境での変更です
• セキュリティポリシーの変更に気づかない場合は、IT管理者に問い合わせてください

関連情報

• Claude Code 権限管理ドキュメント
• マネージドポリシーの設定ガイド
• 関連設定: permissions, managed-settings, allowed-tools