Anthropic

本文介绍了 Claude Cowork 如何在成员设备上运行，以及管理员可用于限制其在托管设备上范围的控制。

本文适用于企业管理员。此处描述的架构在所有计划中都相同。末尾的设备级管理员控制适用于团队和企业计划。

Claude Cowork 在每个成员的设备上使用两个执行环境：

代理循环在设备上本地运行。这包括 Claude 的对话处理、连接文件夹中的文件读写、网络获取和本地插件 MCP 服务器。访问由应用层权限系统控制，该系统强制执行成员的连接文件夹规则和您组织的网络出口设置。

代码执行在隔离的虚拟机 (VM) 中运行。Shell 命令和 Claude 编写的任何代码在专用 Linux VM 内执行，由平台的虚拟机管理程序（macOS 上的 Apple Virtualization.framework，Windows 上的 Hyper-V）将其与主机操作系统隔离。VM 强制执行自己的网络出口过滤、系统调用限制和按会话用户隔离。

- 代理循环在设备上本地运行。这包括 Claude 的对话处理、连接文件夹中的文件读写、网络获取和本地插件 MCP 服务器。访问由应用层权限系统控制，该系统强制执行成员的连接文件夹规则和您组织的网络出口设置。
- 代码执行在隔离的虚拟机 (VM) 中运行。Shell 命令和 Claude 编写的任何代码在专用 Linux VM 内执行，由平台的虚拟机管理程序（macOS 上的 Apple Virtualization.framework，Windows 上的 Hyper-V）将其与主机操作系统隔离。VM 强制执行自己的网络出口过滤、系统调用限制和按会话用户隔离。

有关详细的技术概览，请参阅我们信任中心上的 <a href="https://trust.anthropic.com/resources?s=2a7bbzo1lyymvdt551q7kl&amp;name=claude-cowork-desktop-security-architecture-overview" rel="nofollow noopener noreferrer" target="_blank">Claude Cowork 桌面安全架构概览</a>。

两个 MDM 密钥允许您限制 Cowork 在托管设备上的范围。两者都是通过您的 MDM 解决方案应用的设备级设置，而不是从组织设置应用。

禁用本地 MCP 服务器：将 isLocalDevMcpEnabled 设置为 false 以禁用插件捆绑和本地配置的 MCP 服务器。

禁用桌面扩展：将 isDesktopExtensionEnabled 设置为 false 以阻止 MCPB 和 DXT 扩展服务器运行。

- 禁用本地 MCP 服务器：将 isLocalDevMcpEnabled 设置为 false 以禁用插件捆绑和本地配置的 MCP 服务器。
- 禁用桌面扩展：将 isDesktopExtensionEnabled 设置为 false 以阻止 MCPB 和 DXT 扩展服务器运行。

两个控制在 <a href="https://support.claude.com/en/articles/12622667-enterprise-configuration-for-claude-desktop">Claude Desktop 企业配置</a>中有描述。

组织设置 &gt; Cowork 中的组织范围 Cowork 切换（为您的组织启用）控制 Cowork 是否可用。上述设备级控制仅在启用 Cowork 时适用。

___________________________________________________________

我的组织在研究预览期间开始使用 Cowork。本文是否适用于我？

还没有。您的组织仍在使用较旧的架构，正在迁移到此处描述的架构。我们将在切换前向您的组织管理员发送电子邮件。

如果成员的设备无法启动 VM 会发生什么？

当 VM 不可用时，Cowork 继续运行文件和网络工具。Shell 命令和代码执行报告"工作区不可用"，直到 VM 恢复。

Cowork 活动是否显示在审计日志中？

目前没有。Cowork 活动不会在审计日志、合规性 API 或数据导出中捕获。有关监控 Cowork 活动的指导，请参阅 <a href="https://support.claude.com/en/articles/14477985-monitor-cowork-activity-with-opentelemetry">使用 OpenTelemetry 监控 Claude Cowork 活动</a>。

端点检测 (EDR) 工具能否检查 VM 内的活动？

不能。VM 在设计上与基于主机的安全工具隔离。如果您的合规性态势取决于端点可见性，请在推出 Cowork 之前考虑这一点。

Claude Cowork 桌面架构概览

Terms of Service - Consumer

Product

Research

Terms of Service - Commercial

Privacy Policy

Company

Usage Policy

News

Responsible Disclosure Policy

Careers

Compliance

查找答案并从 Intercom 支持和社区专家那里获得帮助

本网站使用 Cookie 和其他技术。我们与第三方供应商利用这些技术来监控并记录您的个人信息及您与本网站的互动（包括浏览的内容、光标移动、屏幕录制和聊天内容），其目的已在我们的 Cookie 政策中加以说明。继续访问我们的网站，即表示您同意我们的{websiteTermsLink}、{privacyPolicyLink}和{cookiePolicyLink}。

本网站使用运行所绝对必要的 Cookie 和类似技术（下称“Cookie”）。我们和我们的合作伙伴还希望设置更多的 Cookie，以实现网站性能分析、功能性、广告和社交媒体功能。请参阅我们的{cookiePolicyLink}以了解详细信息。您可以在 Cookie 设置中更改 Cookie 偏好设置。

我们使用 Cookie 让网站正常运行，同时也用于分析及广告目的。您可以视需要启用或禁用可选 Cookie。请参阅我们的{cookiePolicyLink}以了解更多详细信息。

广告 Cookie 由我们的广告合作伙伴设置，用于收集您在不同时间、不同浏览器和设备上使用本网站、我们的通信和其他在线服务的信息。他们使用这些信息向您展示他们认为您会感兴趣的在线广告，并衡量广告效果。社交媒体 Cookie 由社交媒体平台设置，使您能够在这些平台上分享内容，并能够跟踪您在其他在线服务中的活动信息，使用方式如其隐私政策所述。

这些 Cookie 使网站能够提供更完善的功能和个性化体验。它们可能由我们设置，也可能由我们在页面中添加其服务的第三方提供商设置。如果您不允许使用这些 Cookie，则部分或全部服务可能无法正常运行。

这些 Cookie 是网站运行所必需，并且无法在我们的系统中关闭。

我们通过这些 Cookie 统计访问次数和流量来源，以便我们可以衡量并改进我们网站的性能。它们使我们了解哪些页面最受欢迎，哪些页面最不受欢迎，并能观察访客在网站上的移动路径。

您有权选择不出售您的个人信息。请参阅我们的{cookiePolicyLink}，以了解更多关于我们如何使用您数据的详细信息。

您的隐私选择

我们使用 Cookie 来提升用户体验。您可以在下方自定义 Cookie 偏好设置。请参阅我们的{cookiePolicyLink}以了解更多详细信息。

Cookie 设置

空的帮助中心

哎哟。该页面不存在。

主页

搜索

失望

表情平淡

面带微笑

正在思考……

正在搜索来源...

分析中...

通过 Messenger 或由对话中的支持代理提交的工单将显示在此处。

Claude Cowork 桌面架构概览

Claude Cowork 的两个执行环境

托管设备的管理员控制

常见问题

我的组织在研究预览期间开始使用 Cowork。本文是否适用于我？

如果成员的设备无法启动 VM 会发生什么？

Cowork 活动是否显示在审计日志中？

端点检测 (EDR) 工具能否检查 VM 内的活动？