Zum Hauptinhalt springen

Claude Cowork Architekturübersicht

Dieser Artikel erklärt, wo Claude Cowork ausgeführt wird, wie jeder Ausführungsmodus isoliert ist, und welche Admin-Kontrollen zur Verfügung stehen, um seinen Umfang einzuschränken.

Dieser Artikel ist für Enterprise-Administratoren. Die hier beschriebene Architektur ist in allen Plänen gleich. Die Geräteebenen-Admin-Kontrollen am Ende gelten für Team- und Enterprise-Pläne.

Claude Cowork befindet sich in der Beta-Phase im Web und auf Mobilgeräten und wird in den nächsten Wochen schrittweise eingeführt, beginnend mit dem Max-Plan, gefolgt von weiteren Plänen.

Wo Claude Cowork ausgeführt wird

Cowork-Sitzungen werden standardmäßig remote ausgeführt: Die Agent-Schleife und die Code-Ausführung laufen auf Anthropic-Servern, und Sitzungen sowie Dateien werden im Claude-Konto des Mitglieds gespeichert. Remote-Ausführung befindet sich in der Beta-Phase und wird schrittweise über alle Pläne hinweg eingeführt.

Lokale Ausführung bleibt für bestehende Desktop-Bereitstellungen verfügbar: Die Agent-Schleife und die Code-Ausführung laufen auf dem Gerät des Mitglieds, wie unten beschrieben.

Remote-Sitzungsarchitektur

In einer Remote-Sitzung laufen die Agent-Schleife und die Code-Ausführung in einer isolierten, temporären Sandbox auf von Anthropic verwalteter Infrastruktur. Jede Sitzung erhält ihre eigene Sandbox, die beim Start der Sitzung erstellt und beim Ende gelöscht wird. Sandboxes teilen keinen Status untereinander oder über Organisationen hinweg. Diese Infrastruktur wird getrennt von Anthropics Unternehmens-, Forschungs- und Modelltrainingsumgebungen gehalten.

Wichtige Eigenschaften einer Remote-Sitzung:

  • Standardmäßig kein Zugriff auf Ihr Netzwerk. Die Sandbox kann private, interne, Link-Local- oder Cloud-Metadaten-Adressen nicht erreichen und kann nicht auf Anthropic-interne Systeme zugreifen, daher kann sie nicht verwendet werden, um in Ihr Netzwerk einzudringen.

  • Netzwerkzugriff folgt Ihrer bestehenden Richtlinie. Eine Cloud-Sitzung verwendet die gleiche Netzwerkzugriffs-Einstellung, die lokale Cowork und Chat regelt. Kein Netzwerkzugriff ist die Standardeinstellung für Enterprise-Organisationen.

  • Egress wird außerhalb der Sandbox erzwungen. Der gesamte Datenverkehr, der die Sandbox verlässt, durchläuft einen obligatorischen Proxy, den die Sandbox nicht neu konfigurieren oder umgehen kann, und nur auf der Whitelist stehende Ziele sind erreichbar.

  • Nur kurzlebige Anmeldedaten. Die Sandbox enthält nur Sitzungs-Token, die innerhalb von Stunden ablaufen. Connector-Autorisierungs-Token gelangen niemals in die Sandbox; Connector-Aufrufe werden auf der Serverseite durchgeführt.

  • Mandantenisolation auf der Datenschicht. Jeder gespeicherte Datensatz ist auf Ihre Organisation und Ihr Konto beschränkt.

Wenn eine Remote-Sitzung etwas auf dem Gerät des Benutzers benötigt, wie eine lokale Datei oder den Browser, wird die Anfrage über die Claude Desktop-App auf diesem Gerät über eine von Anthropic vermittelte Verbindung gesendet. Der Zugriff auf lokale Dateien ist auf Ordner beschränkt, die das Mitglied auf dem Desktop verbunden hat, und jeder lokale Tool-Aufruf wird vor der Ausführung gegen die Berechtigungen des Mitglieds überprüft. Wenn die Desktop-App offline ist, kann eine Remote-Sitzung das Gerät nicht erreichen.

Da eine Remote-Sitzung auf Anthropic-Servern ausgeführt wird, wird die Arbeit des Agenten, einschließlich aller lokalen Dateien, die er über die Desktop-App öffnet, auf Anthropic-Servern verarbeitet, anstatt auf dem Gerät zu bleiben. Konversationsdaten werden unter den gleichen kommerziellen Zusagen wie andere Team- und Enterprise-Daten behandelt und werden nicht zum Trainieren von Claude verwendet.

Lokale Sitzungsarchitektur

Lokale Sitzungen gelten für bestehende Desktop-Bereitstellungen und verwenden zwei Ausführungsumgebungen auf dem Gerät des Mitglieds:

  • Die Agent-Schleife wird nativ auf dem Gerät ausgeführt. Dies umfasst Claudes Konversationsbehandlung, Datei-Lese- und Schreibvorgänge in verbundenen Ordnern, Web-Abrufe und lokale Plugin-MCP-Server. Der Zugriff wird durch ein Berechtigungssystem auf Anwendungsebene gesteuert, das die Regeln für verbundene Ordner des Mitglieds und die Netzwerk-Egress-Einstellungen Ihrer Organisation erzwingt.

  • Die Code-Ausführung läuft in einer isolierten virtuellen Maschine (VM). Shell-Befehle und jeder Code, den Claude schreibt, werden in einer dedizierten Linux-VM ausgeführt, isoliert vom Host-Betriebssystem durch den Hypervisor der Plattform (Apple Virtualization.framework auf macOS, Hyper-V auf Windows). Die VM erzwingt ihre eigene Netzwerk-Egress-Filterung, Syscall-Einschränkungen und Benutzer-Isolation pro Sitzung.

Für einen detaillierten technischen Überblick siehe die Claude Cowork Desktop-Sicherheitsarchitektur-Übersicht in unserem Trust Center.


Admin-Kontrollen für verwaltete Geräte

Zwei MDM-Schlüssel ermöglichen es Ihnen, den Umfang von Cowork auf verwalteten Geräten einzuschränken. Beide sind Geräteebenen-Einstellungen, die über Ihre MDM-Lösung angewendet werden, nicht aus Organisationseinstellungen.

  • Lokale MCP-Server deaktivieren: Setzen Sie isLocalDevMcpEnabled auf false, um Plugin-gebündelte und lokal konfigurierte MCP-Server zu deaktivieren.

  • Desktop-Erweiterungen deaktivieren: Setzen Sie isDesktopExtensionEnabled auf false, um zu verhindern, dass MCPB- und DXT-Erweiterungsserver ausgeführt werden.

Beide Kontrollen werden in Enterprise-Konfiguration für Claude Desktop beschrieben.

Diese MDM-Schlüssel regeln die Claude Desktop-App, daher gelten sie für lokale Sitzungen und für alles, das eine Remote-Sitzung über die Desktop-App erreicht. Lokale MCP-Server werden nicht in Remote-Sitzungen ausgeführt.

Der organisationsweite Cowork-Schalter in Organisationseinstellungen > Cowork (Für Ihre Organisation aktivieren) steuert, ob Cowork überhaupt verfügbar ist. Die oben genannten Geräteebenen-Kontrollen gelten nur, wenn Cowork aktiviert ist.


Organisationskontrollen für Remote-Sitzungen

Neben dem organisationsweiten Cowork-Schalter haben Remote-Sitzungen ihre eigenen Kontrollen in den Organisationseinstellungen:

  • Aktivieren oder deaktivieren Sie Remote-Sitzungen für die Organisation, während Sie lokale Desktop-Cowork verfügbar lassen.

  • Legen Sie die Netzwerkzugriffs-Richtlinie fest, die bestimmt, welche Ziele eine Remote-Sitzung erreichen kann.

  • Erfordern Sie eine neue Genehmigung für jeden berechtigungsgesteuerten Tool-Aufruf, indem Sie das persistente "Immer zulassen" ausschalten, und steuern Sie, ob Mitglieder Sitzungen ohne Genehmigungsaufforderungen pro Aufruf ausführen können.

  • Erfordern Sie die Registrierung eines vertrauenswürdigen Geräts und eine aktuelle Anmeldung für Remote-Sitzungen. Wenn aktiviert, gilt dies für jede Remote-Sitzung in der Organisation.

Die oben genannten Geräteebenen-MDM-Schlüssel regeln die Claude Desktop-App, daher gelten sie auch für das, was eine Remote-Sitzung über die App erreichen kann. Mit deaktivierten lokalen MCP-Servern auf einem verwalteten Gerät bleiben nur die ordnerbegrenzten Desktop-Datei-Tools für Remote-Sitzungen verfügbar.


Häufig gestellte Fragen

Was passiert, wenn das Gerät eines Mitglieds die VM nicht starten kann?

Dies gilt für lokale Sitzungen. Cowork führt weiterhin Datei- und Web-Tools aus, während die VM nicht verfügbar ist. Shell-Befehle und Code-Ausführung melden "Arbeitsbereich nicht verfügbar", bis die VM wiederhergestellt ist.

Hat eine Remote-Sitzung Zugriff auf die Geräte der Benutzer oder unser Netzwerk?

Standardmäßig nicht. Remote-Sitzungen laufen in isolierten Umgebungen auf Anthropic-Servern, außerhalb Ihres Netzwerks, und können private oder interne Adressen nicht erreichen. Eine Remote-Sitzung erreicht die lokalen Dateien oder den Browser eines Mitglieds nur über die Claude Desktop-App auf diesem Gerät, nur für Ordner, die das Mitglied verbunden hat, und nur während die App online ist.

Wird die Cowork-Aktivität in Audit-Logs angezeigt?

Derzeit nicht. Die Cowork-Aktivität wird nicht in Audit-Logs, der Compliance-API oder Datenexporten erfasst. Anleitungen zur Überwachung der Cowork-Aktivität finden Sie unter Claude Cowork-Aktivität mit OpenTelemetry überwachen.

Können EDR-Tools (Endpoint Detection and Response) die Aktivität in der VM überprüfen?

Nein. Die VM ist von Haus aus von hostgestützten Sicherheitstools isoliert, und Remote-Sitzungen laufen vollständig außerhalb Ihrer Endpunkte, daher können EDR-Tools sie auch nicht beobachten. Wenn Ihre Compliance-Anforderungen von der Endpunkt-Sichtbarkeit abhängen, berücksichtigen Sie dies, bevor Sie Cowork einführen.

Hat dies deine Frage beantwortet?