Questo articolo spiega dove viene eseguito Claude Cowork, come ogni modalità di esecuzione è isolata e quali controlli amministrativi sono disponibili per limitarne l'ambito.
Questo articolo è destinato agli amministratori Enterprise. L'architettura descritta è la stessa per tutti i piani. I controlli amministrativi a livello di dispositivo alla fine si applicano ai piani Team ed Enterprise.
Claude Cowork è in beta su web e mobile, e sta per essere implementato nelle prossime settimane a partire dal piano Max, con altri piani in arrivo.
Dove viene eseguito Claude Cowork
Le sessioni Cowork vengono eseguite in remoto per impostazione predefinita: il ciclo dell'agente e l'esecuzione del codice vengono eseguiti sui server di Anthropic e le sessioni e i file vengono salvati nell'account Claude del membro. L'esecuzione remota è in beta e viene implementata gradualmente su tutti i piani.
L'esecuzione locale rimane disponibile per le distribuzioni desktop esistenti: il ciclo dell'agente e l'esecuzione del codice vengono eseguiti sul dispositivo del membro, come descritto di seguito.
Architettura della sessione remota
In una sessione remota, il ciclo dell'agente e l'esecuzione del codice vengono eseguiti in una sandbox isolata e temporanea sull'infrastruttura gestita da Anthropic. Ogni sessione ottiene la propria sandbox, creata all'avvio della sessione e distrutta al termine, e le sandbox non condividono lo stato tra loro o tra le organizzazioni. Questa infrastruttura è mantenuta separata dagli ambienti aziendali, di ricerca e di addestramento dei modelli di Anthropic.
Proprietà chiave di una sessione remota:
Nessun accesso alla tua rete per impostazione predefinita. La sandbox non può raggiungere indirizzi privati, interni, link-local o di metadati cloud, e non può raggiungere i sistemi interni di Anthropic, quindi non può essere utilizzata per accedere alla tua rete.
L'accesso alla rete segue la tua politica esistente. Una sessione cloud utilizza la stessa impostazione di accesso alla rete che governa Cowork locale e chat. Nessun accesso alla rete è l'impostazione predefinita per le organizzazioni Enterprise.
L'uscita è applicata al di fuori della sandbox. Tutto il traffico in uscita dalla sandbox passa attraverso un proxy obbligatorio che la sandbox non può riconfigurare o aggirare, e solo le destinazioni consentite sono raggiungibili.
Solo credenziali di breve durata. La sandbox contiene solo token con ambito di sessione che scadono entro poche ore. I token di autorizzazione del connettore non entrano mai nella sandbox; le chiamate del connettore vengono effettuate lato server.
Isolamento del tenant a livello di dati. Ogni record archiviato è limitato alla tua organizzazione e al tuo account.
Quando una sessione remota ha bisogno di qualcosa sul dispositivo dell'utente, come un file locale o il browser, la richiesta passa attraverso l'app Claude Desktop su quel dispositivo tramite una connessione intermediata da Anthropic. L'accesso ai file locali è limitato alle cartelle che il membro ha collegato sul desktop, e ogni chiamata di strumento locale viene verificata rispetto alle autorizzazioni del membro prima di essere eseguita. Se l'app desktop è offline, una sessione remota non può raggiungere il dispositivo.
Poiché una sessione remota viene eseguita sui server di Anthropic, il lavoro dell'agente, inclusi eventuali file locali che apre tramite l'app desktop, viene elaborato sui server di Anthropic anziché rimanere sul dispositivo. I dati della conversazione sono gestiti secondo gli stessi impegni commerciali di altri dati Team ed Enterprise e non vengono utilizzati per addestrare Claude.
Architettura della sessione locale
Le sessioni locali si applicano alle distribuzioni desktop esistenti e utilizzano due ambienti di esecuzione sul dispositivo del membro:
Il ciclo dell'agente viene eseguito nativamente sul dispositivo. Questo include la gestione della conversazione di Claude, la lettura e la scrittura di file nelle cartelle collegate, il recupero web e i server MCP dei plugin locali. L'accesso è controllato da un sistema di autorizzazioni a livello di applicazione che applica le regole delle cartelle collegate del membro e le impostazioni di uscita della rete della tua organizzazione.
L'esecuzione del codice viene eseguita in una macchina virtuale (VM) isolata. I comandi shell e qualsiasi codice scritto da Claude vengono eseguiti all'interno di una VM Linux dedicata, isolata dal sistema operativo host dall'hypervisor della piattaforma (Apple Virtualization.framework su macOS, Hyper-V su Windows). La VM applica il proprio filtraggio dell'uscita della rete, restrizioni delle syscall e isolamento degli utenti per sessione.
Per una panoramica tecnica dettagliata, consulta la panoramica dell'architettura di sicurezza del desktop di Claude Cowork nel nostro Trust Center.
Controlli amministrativi per i dispositivi gestiti
Due chiavi MDM ti permettono di limitare l'ambito di Cowork sui dispositivi gestiti. Entrambe sono impostazioni a livello di dispositivo applicate tramite la tua soluzione MDM, non dalle impostazioni dell'organizzazione.
Disabilita server MCP locali: Imposta
isLocalDevMcpEnabledsu false per disabilitare i server MCP forniti con i plugin e configurati localmente.Disabilita estensioni desktop: Imposta
isDesktopExtensionEnabledsu false per bloccare l'esecuzione dei server di estensione MCPB e DXT.
Entrambi i controlli sono descritti in Configurazione Enterprise per Claude Desktop.
Queste chiavi MDM governano l'app Claude Desktop, quindi si applicano alle sessioni locali e a tutto ciò che una sessione remota raggiunge tramite l'app desktop. I server MCP locali non vengono eseguiti nelle sessioni remote.
L'interruttore Cowork a livello di organizzazione in Impostazioni organizzazione > Cowork (Abilita per la tua organizzazione) controlla se Cowork è disponibile. I controlli a livello di dispositivo sopra si applicano solo quando Cowork è abilitato.
Controlli dell'organizzazione per le sessioni remote
Oltre all'interruttore Cowork a livello di organizzazione, le sessioni remote hanno i propri controlli nelle impostazioni dell'organizzazione:
Attiva o disattiva le sessioni remote per l'organizzazione, mantenendo disponibile Cowork desktop locale.
Imposta la politica di accesso alla rete che determina quali destinazioni una sessione remota può raggiungere.
Richiedi un'approvazione nuova per ogni chiamata di strumento controllata da autorizzazioni disattivando il "consenti sempre" persistente, e controlla se i membri possono eseguire sessioni senza prompt di approvazione per chiamata.
Richiedi l'iscrizione a dispositivi attendibili e un accesso recente per le sessioni remote. Se abilitato, questo si applica a ogni sessione remota nell'organizzazione.
Le chiavi MDM a livello di dispositivo sopra governano l'app Claude Desktop, quindi si applicano anche a ciò che una sessione remota può raggiungere tramite l'app. Con i server MCP locali disabilitati su un dispositivo gestito, solo gli strumenti di file desktop limitati alle cartelle rimangono disponibili per le sessioni remote.
Domande frequenti
Cosa succede se il dispositivo di un membro non riesce ad avviare la VM?
Questo si applica alle sessioni locali. Cowork continua a eseguire strumenti di file e web mentre la VM non è disponibile. I comandi shell e l'esecuzione del codice segnalano "workspace non disponibile" fino al ripristino della VM.
Una sessione remota ha accesso ai dispositivi degli utenti o alla nostra rete?
No per impostazione predefinita. Le sessioni remote vengono eseguite in ambienti isolati sui server di Anthropic, al di fuori della tua rete, e non possono raggiungere indirizzi privati o interni. Una sessione remota raggiunge i file locali o il browser di un membro solo tramite l'app Claude Desktop su quel dispositivo, solo per le cartelle che il membro ha collegato, e solo mentre l'app è online.
L'attività di Cowork viene visualizzata nei registri di audit?
Attualmente no. L'attività di Cowork non viene acquisita nei registri di audit, nell'API di conformità o nelle esportazioni di dati. Per indicazioni sul monitoraggio dell'attività di Cowork, consulta Monitora l'attività di Claude Cowork con OpenTelemetry.
Gli strumenti di rilevamento degli endpoint (EDR) possono ispezionare l'attività all'interno della VM?
No. La VM è isolata dagli strumenti di sicurezza basati su host per progettazione, e le sessioni remote vengono eseguite completamente al di fuori dei tuoi endpoint, quindi gli strumenti EDR non possono osservarle nemmeno. Se la tua posizione di conformità dipende dalla visibilità degli endpoint, tieni conto di questo prima di implementare Cowork.
