Lorsque Claude Cowork est déployé sur Amazon Bedrock, Google Cloud Vertex AI, Azure AI Foundry ou une passerelle LLM, les connecteurs MCP, les plugins et les compétences fonctionnent différemment que sur Claude Enterprise. Tout est contrôlé via MDM et les montages du système de fichiers local, avec une interface de configuration locale et une configuration poussée via MDM.
Cet article couvre les contrôles d'administration (liste blanche, distribution, politiques) et l'expérience utilisateur final (ce qui est disponible, ce qui ne l'est pas).
Connecteurs MCP
MCP (Model Context Protocol) permet à Claude de se connecter à des outils et des sources de données au-delà de ce qui est intégré à Claude Desktop. Les serveurs MCP locaux s'exécutant sur la machine de l'utilisateur et les serveurs MCP distants accessibles via HTTP ou SSE sont tous deux pris en charge.
Serveurs MCP distants gérés par l'administrateur
Utilisez la clé MDM managedMcpServers pour distribuer les serveurs MCP distants aux utilisateurs. Chaque entrée du tableau JSON nécessite un nom unique et une URL HTTPS. Les champs facultatifs incluent le transport, les en-têtes, la configuration OAuth et les politiques au niveau des outils.
Exemple de configuration :
[
{
"name": "internal-tools",
"url": "https://mcp.example.corp/sse",
"transport": "sse",
"headers": {
"Authorization": "Bearer <token>"
},
"toolPolicy": {
"runShell": "blocked",
"searchDocs": "allow"
}
}
]
transport peut être "http" (par défaut) ou "sse".
headers et oauth s'excluent mutuellement. Si vous définissez
oauth: true, Claude Desktop exécute un flux PKCE pour acquérir les identifiants de l'utilisateur. Sinon, utilisez les en-têtes pour l'authentification statique.toolPolicy mappe les noms d'outils à "allow", "ask" ou "blocked". La politique ask invite l'utilisateur à confirmer avant l'exécution de l'outil.
Serveurs MCP locaux ajoutés par l'utilisateur
Par défaut, les utilisateurs peuvent ajouter leurs propres serveurs MCP locaux (transport stdio). Pour restreindre cela, définissez isLocalDevMcpEnabled = false dans votre configuration MDM. Lorsque la valeur est false, seuls les serveurs de la liste gérée sont disponibles et les utilisateurs ne peuvent pas ajouter les leurs.
Désactiver les outils intégrés
Claude Desktop inclut plusieurs outils intégrés : Task, Bash, Glob, Grep, Read, Edit, Write, NotebookEdit, WebFetch, TodoWrite, WebSearch, Skill, REPL, JavaScript et AskUserQuestion. Deux autres—ToolSearch et SendUserMessage—sont disponibles sous certaines conditions.
Pour supprimer des outils de l'ensemble disponible, ajoutez-les au tableau disabledBuiltinTools. Par exemple : disabledBuiltinTools = ["WebSearch", "Bash"]
Plugins
Les plugins regroupent les compétences, les commandes, les sous-agents et les serveurs MCP pour des rôles ou des équipes spécifiques. Dans Claude Cowork standard, les administrateurs distribuent les plugins via l'interface d'administration Anthropic. Avec les plateformes tierces, les plugins sont distribués via un montage de répertoire local sur chaque machine.
Emplacement du montage du plugin
Placez les dossiers de plugins à :
macOS : /Library/Application Support/Claude/org-plugins/
Windows : C:\ProgramData\Claude\org-plugins\
Poussez le contenu du répertoire via MDM, un outil de distribution de logiciels ou votre processus de gestion des points de terminaison standard.
Structure du répertoire des plugins
Chaque plugin suit cette structure à l'intérieur de l'emplacement de montage :
code_reviewer_plugin/
claude-plugin/
plugin.json
version.json
.mcp.json (same format as managedMcpServers)
agents/
code-reviewer.md
commands/
find-all-bugs.md
skills/
security-review/
security-review.md
Le fichier plugin.json déclare les métadonnées du plugin. Le fichier version.json suit les informations de version. Le fichier .mcp.json déclare tous les serveurs MCP que le plugin regroupe—son format correspond au schéma managedMcpServers ci-dessus.
Extensions de bureau
Les extensions de bureau (fichiers .dxt et .mcpb) sont des extensions locales que les utilisateurs peuvent installer à partir de l'interface utilisateur des connecteurs. Trois clés MDM contrôlent ceci :
isDesktopExtensionEnabled — permet aux utilisateurs d'installer des extensions de bureau locales
isDesktopExtensionDirectoryEnabled — affiche le répertoire d'extensions Anthropic dans l'interface utilisateur des connecteurs
isDesktopExtensionSignatureRequired — rejette les extensions qui ne sont pas signées par un éditeur de confiance
Pour les déploiements plus stricts, définissez l'exigence de signature sur true et désactivez le répertoire d'extensions Anthropic afin que les utilisateurs n'installent que les extensions signées que votre équipe a examinées.
Compétences
Les compétences sont le format d'Anthropic pour empaqueter les instructions et le contexte spécifiques au domaine. Avec les plateformes tierces, les compétences sont locales uniquement—elles sont livrées dans le cadre de plugins ou en tant qu'ajouts autonomes au répertoire de plugins local.
La place de marché des compétences et des plugins disponible dans Claude Enterprise n'est pas disponible avec les plateformes tierces. Si votre organisation souhaite un catalogue de compétences organisé, distribuez les compétences dans le cadre de votre déploiement de plugins via le même répertoire de montage décrit ci-dessus.
Ce qui n'est pas disponible avec les plateformes tierces
Ces fonctionnalités d'extensibilité sont disponibles dans Claude Enterprise mais pas lorsque Claude Cowork est déployé sur une plateforme tierce :
Place de marché des compétences et des plugins — pas de catalogue centralisé. Distribuez via MDM à la place.
Partage de projets et de plugins — le partage entre utilisateurs nécessite des fonctionnalités de chat et de projet qui ne sont pas disponibles.
Rôles personnalisés pour MCP et plugins — le contrôle d'accès basé sur les rôles via l'interface d'administration n'est pas disponible. Utilisez les configurations MDM et les groupes d'utilisateurs au niveau du système d'exploitation pour un accès différencié.
Interface d'administration pour la gestion des utilisateurs — la gestion des utilisateurs se fait au niveau du fournisseur de cloud et de la couche MDM, pas via Anthropic.
Questions fréquemment posées
Les plugins peuvent-ils nécessiter l'approbation d'un administrateur avant qu'un utilisateur les installe ?
Les plugins que vous distribuez via le répertoire org-plugins sont disponibles pour tous les utilisateurs de cette machine—aucune étape d'approbation par utilisateur. Pour des contrôles plus stricts, combinez la distribution basée sur le montage avec un flux d'extension de bureau signé (isDesktopExtensionSignatureRequired = true).
Quels serveurs MCP sont livrés avec ce déploiement ?
Les serveurs MCP ne sont pas livrés par défaut avec Claude Code sur l'inférence tierce. Tous les serveurs MCP doivent être autorisés via MDM.
Les utilisateurs peuvent-ils partager les identifiants MCP sur plusieurs machines ?
Les identifiants dans les en-têtes sont livrés via MDM et liés à la configuration de la machine. Pour les identifiants spécifiques à l'utilisateur, utilisez l'option oauth: true, qui déclenche un flux PKCE à la première utilisation.
Comment mettre à jour un plugin après son déploiement ?
Remplacez le dossier du plugin dans le montage org-plugins et poussez la version mise à jour via votre outil de distribution de logiciels existant. Les utilisateurs voient la nouvelle version au prochain redémarrage de l'application.