この記事では、Claude Coworkが実行される場所、各実行モードの分離方法、およびそのスコープを制限するために利用可能な管理者コントロールについて説明します。
この記事はエンタープライズ管理者向けです。ここで説明するアーキテクチャはすべてのプランで同じです。最後に記載されているデバイスレベルの管理者コントロールはTeamおよびEnterpriseプランに適用されます。
Claude CoworkはWebおよびモバイルでベータ版であり、Maxプランから始まり、今後数週間にわたってロールアウトされ、その後さらに多くのプランが続きます。
Claude Coworkが実行される場所
Coworkセッションはデフォルトでリモートで実行されます。エージェントループとコード実行はAnthropicのサーバー上で実行され、セッションとファイルはメンバーのClaudeアカウントに保存されます。リモート実行はベータ版であり、プラン全体で段階的にロールアウトされています。
ローカル実行は既存のデスクトップデプロイメント向けに引き続き利用可能です。エージェントループとコード実行はメンバーのデバイス上で実行されます。詳細は以下を参照してください。
リモートセッションアーキテクチャ
リモートセッションでは、エージェントループとコード実行はAnthropicが管理するインフラストラクチャ上の分離された一時的なサンドボックスで実行されます。各セッションは独自のサンドボックスを取得し、セッション開始時に作成され、セッション終了時に破棄されます。サンドボックスは互いに、または組織全体で状態を共有しません。このインフラストラクチャはAnthropicの企業、研究、およびモデルトレーニング環境から分離されています。
リモートセッションの主な特性:
デフォルトではネットワークへのアクセスはありません。サンドボックスはプライベート、内部、リンクローカル、またはクラウドメタデータアドレスに到達できず、Anthropic内部システムにも到達できないため、ネットワークへのピボットに使用することはできません。
ネットワークアクセスは既存のポリシーに従います。クラウドセッションはローカルCoworkとチャットを管理するのと同じネットワークアクセス設定を使用します。ネットワークアクセスなしがEnterpriseの組織のデフォルトです。
エグレスはサンドボックス外で強制されます。サンドボックスから出るすべてのトラフィックは、サンドボックスが再構成またはバイパスできない必須プロキシを通過し、許可リストに登録された宛先のみに到達可能です。
短期間のみ有効な認証情報。サンドボックスは数時間以内に期限切れになるセッションスコープのトークンのみを保持します。コネクタ認可トークンはサンドボックスに入りません。コネクタ呼び出しはサーバー側で行われます。
データレイヤーでのテナント分離。保存されたすべてのレコードは組織とアカウントにスコープされます。
リモートセッションがローカルファイルやブラウザなどのユーザーのデバイス上の何かが必要な場合、リクエストはそのデバイス上のClaude Desktopアプリを通じてAnthropicが仲介する接続を介して送信されます。ローカルファイルアクセスはメンバーがデスクトップで接続したフォルダに限定され、各ローカルツール呼び出しは実行前にメンバーの権限に対してチェックされます。デスクトップアプリがオフラインの場合、リモートセッションはデバイスに到達できません。
リモートセッションはAnthropicのサーバー上で実行されるため、デスクトップアプリを通じて開くローカルファイルを含むエージェントの作業はデバイスに留まるのではなく、Anthropicのサーバー上で処理されます。会話データは他のTeamおよびEnterpriseデータと同じ商業的コミットメントの下で処理され、Claudeのトレーニングには使用されません。
ローカルセッションアーキテクチャ
ローカルセッションは既存のデスクトップデプロイメントに適用され、メンバーのデバイス上の2つの実行環境を使用します。
エージェントループはデバイス上でネイティブに実行されます。これには、Claudeの会話処理、接続されたフォルダ内のファイルの読み取りと書き込み、Webフェッチ、およびローカルプラグインMCPサーバーが含まれます。アクセスはアプリケーション層の権限システムによってゲートされ、メンバーの接続フォルダルールと組織のネットワークエグレス設定を強制します。
コード実行は分離された仮想マシン(VM)で実行されます。シェルコマンドとClaudeが記述するコードは専用のLinux VM内で実行され、プラットフォームのハイパーバイザー(macOSではApple Virtualization.framework、WindowsではHyper-V)によってホストオペレーティングシステムから分離されます。VMは独自のネットワークエグレスフィルタリング、syscall制限、およびセッションごとのユーザー分離を強制します。
詳細な技術概要については、当社のTrust CenterのClaude Coworkデスクトップセキュリティアーキテクチャ概要を参照してください。
管理対象デバイスの管理者コントロール
2つのMDMキーを使用すると、管理対象デバイス上のCoworkのスコープを制限できます。どちらもデバイスレベルの設定であり、組織設定からではなくMDMソリューションを通じて適用されます。
ローカルMCPサーバーを無効にする:
isLocalDevMcpEnabledをfalseに設定して、プラグインバンドルおよびローカルで構成されたMCPサーバーを無効にします。デスクトップ拡張機能を無効にする:
isDesktopExtensionEnabledをfalseに設定して、MCPBおよびDXT拡張機能サーバーの実行をブロックします。
両方のコントロールはClaude Desktopのエンタープライズ構成で説明されています。
これらのMDMキーはClaude Desktopアプリを管理するため、ローカルセッションおよびリモートセッションがデスクトップアプリを通じて到達するすべてのものに適用されます。ローカルMCPサーバーはリモートセッションで実行されません。
組織設定 > Coworkの組織全体のCoworkトグル(組織に対して有効にする)は、Coworkが利用可能かどうかを制御します。上記のデバイスレベルのコントロールはCoworkが有効な場合にのみ適用されます。
リモートセッションの組織コントロール
組織全体のCoworkトグルを超えて、リモートセッションは組織設定に独自のコントロールを持っています。
ローカルデスクトップCoworkを利用可能なままにしながら、組織のリモートセッションをオンまたはオフにします。
リモートセッションが到達できる宛先を決定するネットワークアクセスポリシーを設定します。
永続的な「常に許可」をオフにして、すべての権限ゲートツール呼び出しに対して新しい承認を要求し、メンバーが呼び出しごとの承認プロンプトなしでセッションを実行できるかどうかを制御します。
リモートセッションに対して信頼できるデバイスの登録と最近のサインインを要求します。有効にすると、これは組織内のすべてのリモートセッションに適用されます。
上記のデバイスレベルのMDMキーはClaude Desktopアプリを管理するため、リモートセッションがアプリを通じて到達できるものにも適用されます。管理対象デバイスでローカルMCPサーバーが無効になっている場合、フォルダ制限されたデスクトップファイルツールのみがリモートセッションで利用可能です。
よくある質問
メンバーのデバイスがVMを起動できない場合はどうなりますか?
これはローカルセッションに適用されます。VMが利用できない間、Coworkはファイルおよびウェブツールを実行し続けます。シェルコマンドとコード実行は、VMが回復するまで「ワークスペース利用不可」を報告します。
リモートセッションはユーザーのデバイスまたはネットワークにアクセスできますか?
デフォルトではありません。リモートセッションはAnthropicのサーバー上の分離された環境で実行され、ネットワークの外にあり、プライベートまたは内部アドレスに到達できません。リモートセッションはメンバーのローカルファイルまたはブラウザにアクセスするのは、そのデバイス上のClaude Desktopアプリを通じてのみ、メンバーが接続したフォルダのみ、およびアプリがオンラインの間のみです。
Cowork活動は監査ログに表示されますか?
現在のところ、表示されません。Cowork活動は監査ログ、Compliance API、またはデータエクスポートでキャプチャされません。Cowork活動の監視に関するガイダンスについては、OpenTelemetryを使用したClaude Cowork活動の監視を参照してください。
エンドポイント検出(EDR)ツールはVM内のアクティビティを検査できますか?
いいえ。VMは設計上ホストベースのセキュリティツールから分離されており、リモートセッションはエンドポイント全体の外で実行されるため、EDRツールもそれらを観察できません。コンプライアンスポスチャがエンドポイント可視性に依存している場合、Coworkをロールアウトする前にこれを考慮してください。
