이 문서에서는 Claude Cowork이 멤버 기기에서 실행되는 방식과 관리되는 기기에서 범위를 제한하기 위해 사용 가능한 관리자 제어 기능을 설명합니다.
이 문서는 Enterprise 관리자를 위한 것입니다. 여기에 설명된 아키텍처는 모든 요금제에서 동일합니다. 끝부분의 기기 수준 관리자 제어 기능은 Team 및 Enterprise 요금제에 적용됩니다.
Claude Cowork의 두 가지 실행 환경
Claude Cowork은 각 멤버의 기기에서 두 가지 실행 환경을 사용합니다:
에이전트 루프는 기기에서 기본적으로 실행됩니다. 여기에는 Claude의 대화 처리, 연결된 폴더의 파일 읽기 및 쓰기, 웹 가져오기, 로컬 플러그인 MCP 서버가 포함됩니다. 액세스는 멤버의 연결된 폴더 규칙과 조직의 네트워크 송신 설정을 적용하는 애플리케이션 계층 권한 시스템으로 제어됩니다.
코드 실행은 격리된 가상 머신(VM)에서 실행됩니다. Shell 명령 및 Claude가 작성한 모든 코드는 전용 Linux VM 내에서 실행되며, 플랫폼의 하이퍼바이저(macOS의 Apple Virtualization.framework, Windows의 Hyper-V)로 호스트 운영 체제로부터 격리됩니다. VM은 자체 네트워크 송신 필터링, syscall 제한 및 세션별 사용자 격리를 적용합니다.
자세한 기술 개요는 Trust Center의 Claude Cowork 데스크톱 보안 아키텍처 개요를 참조하세요.
관리되는 기기의 관리자 제어 기능
두 가지 MDM 키를 사용하여 관리되는 기기에서 Cowork의 범위를 제한할 수 있습니다. 둘 다 조직 설정이 아닌 MDM 솔루션을 통해 적용되는 기기 수준 설정입니다.
로컬 MCP 서버 비활성화: isLocalDevMcpEnabled를 false로 설정하여 플러그인 번들 및 로컬로 구성된 MCP 서버를 비활성화합니다.
데스크톱 확장 비활성화: isDesktopExtensionEnabled를 false로 설정하여 MCPB 및 DXT 확장 서버가 실행되지 않도록 차단합니다.
두 제어 기능은 Claude Desktop의 Enterprise 구성에 설명되어 있습니다.
조직 설정 > Cowork의 조직 전체 Cowork 토글(조직에 대해 활성화)은 Cowork을 사용할 수 있는지 여부를 제어합니다. 위의 기기 수준 제어 기능은 Cowork이 활성화된 경우에만 적용됩니다.
자주 묻는 질문
우리 조직이 연구 미리보기 중에 Cowork 사용을 시작했습니다. 이 문서가 나에게 적용되나요?
아직 아닙니다. 귀사는 여전히 이전 아키텍처를 사용 중이며 여기에 설명된 아키텍처로 마이그레이션 중입니다. 전환 전에 조직 관리자에게 이메일을 보내드리겠습니다.
멤버의 기기가 VM을 시작할 수 없으면 어떻게 되나요?
Cowork은 VM을 사용할 수 없는 동안 파일 및 웹 도구를 계속 실행합니다. Shell 명령 및 코드 실행은 VM이 복구될 때까지 "작업 공간을 사용할 수 없음"을 보고합니다.
Cowork 활동이 감사 로그에 표시되나요?
현재는 아닙니다. Cowork 활동은 감사 로그, Compliance API 또는 데이터 내보내기에 캡처되지 않습니다. Cowork 활동 모니터링에 대한 지침은 OpenTelemetry를 사용하여 Claude Cowork 활동 모니터링을 참조하세요.
엔드포인트 탐지(EDR) 도구가 VM 내부의 활동을 검사할 수 있나요?
아니요. VM은 설계상 호스트 기반 보안 도구로부터 격리됩니다. 규정 준수 태세가 엔드포인트 가시성에 따라 달라지는 경우 Cowork을 배포하기 전에 이를 고려하세요.