本文介绍了 Claude Cowork 的运行位置、每种执行模式的隔离方式,以及可用的管理员控制措施。
本文适用于企业管理员。此处描述的架构在所有计划中都相同。末尾的设备级管理员控制适用于团队和企业计划。
Claude Cowork 在网页和移动设备上处于测试阶段,将在未来几周内逐步推出,首先从 Max 计划开始,随后推出更多计划。
Claude Cowork 的运行位置
Cowork 会话默认远程运行:代理循环和代码执行在 Anthropic 的服务器上运行,会话和文件保存到成员的 Claude 账户。远程执行处于测试阶段,正在逐步推出到各个计划。
本地执行仍可用于现有桌面部署:代理循环和代码执行在成员的设备上运行,如下所述。
远程会话架构
在远程会话中,代理循环和代码执行在 Anthropic 管理的基础设施上的隔离临时沙箱中运行。每个会话都有自己的沙箱,在会话开始时创建,在会话结束时销毁,沙箱之间和跨组织之间不共享状态。此基础设施与 Anthropic 的企业、研究和模型训练环境分开保存。
远程会话的关键属性:
默认情况下无法访问您的网络。沙箱无法访问私有、内部、链接本地或云元数据地址,也无法访问 Anthropic 内部系统,因此无法用于进入您的网络。
网络访问遵循您现有的策略。云会话使用与管理本地 Cowork 和聊天的网络访问设置相同的设置。对于企业组织,默认不允许网络访问。
在沙箱外强制执行出站流量。所有离开沙箱的流量都通过强制代理传递,沙箱无法重新配置或绕过该代理,只有允许列表中的目标可以访问。
仅限短期凭证。沙箱仅保存在数小时内过期的会话范围令牌。连接器授权令牌永远不会进入沙箱;连接器调用在服务器端进行。
数据层的租户隔离。每条存储的记录都限定在您的组织和账户范围内。
当远程会话需要用户设备上的内容(如本地文件或浏览器)时,请求通过该设备上的 Claude Desktop 应用程序通过 Anthropic 代理连接进行。本地文件访问仅限于成员在桌面上连接的文件夹,每个本地工具调用在运行前都会根据成员的权限进行检查。如果桌面应用离线,远程会话无法访问该设备。
由于远程会话在 Anthropic 的服务器上运行,代理的工作(包括它通过桌面应用打开的任何本地文件)在 Anthropic 的服务器上处理,而不是保留在设备上。对话数据按照与其他团队和企业数据相同的商业承诺进行处理,不用于训练 Claude。
本地会话架构
本地会话适用于现有桌面部署,并在成员的设备上使用两个执行环境:
代理循环在设备上本地运行。这包括 Claude 的对话处理、连接文件夹中的文件读写、网页获取和本地插件 MCP 服务器。访问由应用层权限系统控制,该系统强制执行成员的连接文件夹规则和您的组织的网络出站设置。
代码执行在隔离的虚拟机 (VM) 中运行。Shell 命令和 Claude 编写的任何代码在专用 Linux VM 内执行,由平台的虚拟机管理程序(macOS 上的 Apple Virtualization.framework,Windows 上的 Hyper-V)与主机操作系统隔离。VM 强制执行自己的网络出站过滤、系统调用限制和每会话用户隔离。
有关详细的技术概览,请参阅我们信任中心上的 Claude Cowork 桌面安全架构概览。
托管设备的管理员控制
两个 MDM 密钥允许您限制托管设备上 Cowork 的范围。两者都是通过您的 MDM 解决方案应用的设备级设置,而不是从组织设置应用。
禁用本地 MCP 服务器:将
isLocalDevMcpEnabled设置为 false 以禁用插件捆绑和本地配置的 MCP 服务器。禁用桌面扩展:将
isDesktopExtensionEnabled设置为 false 以阻止 MCPB 和 DXT 扩展服务器运行。
两个控制都在 Claude Desktop 企业配置中进行了描述。
这两个 MDM 密钥管理 Claude Desktop 应用,因此它们适用于本地会话以及远程会话通过桌面应用访问的任何内容。本地 MCP 服务器不在远程会话中运行。
组织设置 > Cowork 中的组织范围 Cowork 切换(为您的组织启用)控制 Cowork 是否可用。上述设备级控制仅在启用 Cowork 时适用。
远程会话的组织控制
除了组织范围的 Cowork 切换外,远程会话在组织设置中有自己的控制:
为组织打开或关闭远程会话,同时保持本地桌面 Cowork 可用。
设置网络访问策略,确定远程会话可以访问的目标。
通过关闭持久的"始终允许"来要求对每个权限门控工具调用进行新的批准,并控制成员是否可以运行会话而无需每次调用批准提示。
要求受信任设备注册和最近登录以进行远程会话。启用后,这适用于组织中的每个远程会话。
上述设备级 MDM 密钥管理 Claude Desktop 应用,因此它们也适用于远程会话可以通过应用访问的内容。在托管设备上禁用本地 MCP 服务器后,只有文件夹限制的桌面文件工具可用于远程会话。
常见问题
如果成员的设备无法启动 VM 会怎样?
这适用于本地会话。Cowork 在 VM 不可用时继续运行文件和网页工具。Shell 命令和代码执行报告"工作区不可用",直到 VM 恢复。
远程会话是否可以访问用户的设备或我们的网络?
默认情况下不能。远程会话在 Anthropic 服务器上的隔离环境中运行,在您的网络之外,无法访问私有或内部地址。远程会话仅通过该设备上的 Claude Desktop 应用访问成员的本地文件或浏览器,仅限于成员连接的文件夹,且仅在应用在线时。
Cowork 活动是否显示在审计日志中?
目前没有。Cowork 活动不会在审计日志、合规性 API 或数据导出中捕获。有关监控 Cowork 活动的指导,请参阅 使用 OpenTelemetry 监控 Claude Cowork 活动。
端点检测 (EDR) 工具能否检查 VM 内的活动?
不能。VM 在设计上与基于主机的安全工具隔离,远程会话完全在您的端点之外运行,因此 EDR 工具也无法观察它们。如果您的合规性态势取决于端点可见性,请在推出 Cowork 之前考虑这一点。
