安装和配置 Claude Cowork 与第三方平台的集成

本指南将引导 IT 管理员在 Amazon Bedrock、Google Cloud Vertex AI、Azure AI Foundry 或 LLM 网关上部署 Claude Cowork。涵盖下载、macOS 和 Windows 的 MDM 配置、特定提供商的设置以及完整的 MDM 密钥参考。

如果您正在评估此部署是否适合您的组织，请从 Claude Cowork 与第三方平台开始。

开始前的准备

确保您拥有：

平台访问权限 — macOS 13.0 (Ventura) 或更高版本，或 Windows 10 或 11。在 Windows 上，必须启用虚拟机平台功能，这需要一次性系统重启。
推理提供商 — Amazon Bedrock、Google Cloud Vertex AI、Azure AI Foundry 或公开 /v1/messages 的 LLM 网关。
该提供商的凭证 — API 密钥、Bearer 令牌、服务账户 JSON 或 Foundry 密钥，具体取决于您使用的提供商。
MDM 访问权限 — macOS 使用 Jamf、Kandji、Mosyle 或类似工具。Windows 使用 Intune 或组策略。

下载安装程序

从下载页面为您的平台下载 Claude Desktop。标准 Claude Cowork 和第三方部署使用相同的二进制文件——MDM 配置文件决定应用运行的模式。

macOS

从下载页面下载 macOS 安装程序。
打开 .dmg 文件。
将 Claude.app 拖到您的应用程序文件夹。
使用设置 UI（下一部分）配置第三方推理。
应用 MDM 配置（下方配置部分）。

Windows

从下载页面下载 Windows 安装程序。
运行 .msix 安装程序。它专为企业部署设计，可以通过 Intune 或组策略推送。
按照屏幕上的提示操作。
使用设置 UI（下一部分）配置第三方推理。
应用 MDM 配置（下方配置部分）。

通过设置 UI 配置第三方推理

打开下载的 Claude Desktop 应用（您无需登录）。导航到菜单栏，选择帮助 → 故障排除 → 启用开发者模式。启用开发者模式后，转到开发者 → 配置第三方推理。这将激活设置 UI 来配置所需字段。您可以在此处找到有关每个字段的更多信息：配置参考。

应用 MDM 配置

安装后，应用托管配置文件以激活第三方平台模式并将应用指向您的推理提供商。

macOS

从设置 UI 中，选择导出以下载 .mobileconfig 文件进行分发。

通过您的 MDM 解决方案部署 .mobileconfig 配置文件。

域：com.anthropic.claudefordesktop
交付方式：Jamf、Kandji、Mosyle、Intune for Mac 或任何支持应用配置的 MDM

Windows

从设置 UI 中，选择导出以下载 .reg 文件进行分发。

注册表路径：HKCU\SOFTWARE\Policies\Claude
交付方式：组策略、Intune 或任何支持 .reg 文件的 MDM

VDI 部署

在 VDI 环境中，相同的 MDM 密钥适用。可以在您的黄金镜像中设置它们（以便每个克隆会话都继承它们），或通过您的 VDI 代理的策略系统在运行时推送它们。

设置插件

插件通过角色特定的技能、命令和 MCP 服务器包来扩展 Claude 的功能。使用第三方平台时，插件通过每台机器上的本地目录挂载进行分发。

将您的插件文件夹放在：

macOS：/Library/Application Support/Claude/org-plugins/
Windows：C:\ProgramData\Claude\org-plugins\

有关插件结构和管理详情，请参阅使用第三方平台扩展 Claude Cowork。

验证安装

在测试机器上启动 Claude Desktop。您应该看到：

左侧导航中的 Cowork 和 Code 选项卡
没有 Chat 选项卡（此部署中不提供聊天功能）
通过网关或您的推理提供商登录的选项

如果用户在启动时看到错误，请检查 inferenceProvider 密钥是否已设置以及提供商凭证是否有效。在 macOS 上使用控制台日志或在 Windows 上使用事件查看器进行更深入的调试。

配置密钥参考

下表涵盖了截至 2026 年 4 月的所有可用 MDM 密钥。除非另有说明，否则所有密钥都是可选的。如需了解当前列表和任何新增内容，请联系您的客户代表。

推理设置

密钥	类型	描述
`inferenceProvider`	字符串	选择推理后端。设置此密钥可激活第三方平台模式。值：bedrock、vertex、foundry、gateway。
`inferenceGatewayBaseUrl`	字符串	网关基础 URL。当提供商 = gateway 时为必需。
`inferenceGatewayApiKey`	字符串	网关的 API 密钥。当提供商 = gateway 时为必需。
`inferenceGatewayAuthScheme`	字符串	网关凭证的发送方式（auto / x-api-key / bearer）。
`inferenceGatewayHeaders`	字符串（JSON 数组，包含 "Name: Value" 字符串）	可选的额外 HTTP 标头，在每个推理请求中发送到您的网关。
`inferenceVertexProjectId`	字符串	GCP 项目 ID。当提供商 = vertex 时为必需。
`inferenceVertexRegion`	字符串	GCP 区域。当提供商 = vertex 时为必需。
`inferenceVertexCredentialsFile`	字符串	服务账户 JSON 或 ADC 文件的绝对路径。不支持波浪号或环境变量扩展。当提供商 = vertex 时为必需。
`inferenceVertexBaseUrl`	字符串	覆盖 Vertex AI 端点（例如，私有服务连接）。保持未设置以使用公共区域端点。
`inferenceVertexOAuthClientId`	字符串	用于交互式按用户 Google 登录的 OAuth 客户端 ID，作为共享服务账户文件的替代方案。
`inferenceVertexOAuthClientSecret`	字符串	与上述客户端 ID 配对的 OAuth 客户端密钥。
`inferenceVertexOAuthScopes`	字符串（JSON 数组，包含作用域字符串）	要请求的 OAuth 作用域的 JSON 字符串数组。默认为 Vertex 预测所需的作用域。
`inferenceBedrockRegion`	字符串	AWS 区域。当提供商 = bedrock 时为必需。
`inferenceBedrockBearerToken`	字符串	AWS 持有者令牌。当提供商 = bedrock 时为必需。
`inferenceBedrockBaseUrl`	字符串	覆盖 Bedrock 端点（例如 VPC 接口端点或 LLM 网关）。留空以使用公共区域端点。
`inferenceBedrockProfile`	字符串	来自 ~/.aws/config 的 AWS 命名配置文件。在凭证由 AWS CLI、SSO 或企业凭证流程管理时使用。
`inferenceBedrockAwsDir`	字符串	包含 AWS 配置/凭证文件的目录的绝对路径（如果不是默认的 ~/.aws）。复制到沙箱中以便命名配置文件在那里解析。
`inferenceFoundryResource`	字符串	Azure AI Foundry 资源名称。当 provider = foundry 时必需。
`inferenceFoundryApiKey`	字符串	Azure AI Foundry API 密钥。当 provider = foundry 时必需。
`inferenceModels`	字符串	模型 ID 或别名的 JSON 数组（sonnet、opus、haiku）。第一个条目是选择器默认值。Vertex、Bedrock 和 Foundry 必需。
`inferenceCredentialHelper`	字符串	可执行文件的绝对路径，其标准输出是推理凭证。在会话开始时在主机上运行。
`inferenceCredentialHelperTtlSec`	整数	缓存辅助程序输出的时长（以秒为单位）。默认值：3600。

部署和自动更新

键	类型	描述
`deploymentOrganizationUuid`	字符串	标识此部署的稳定 UUID。限定本地存储和遥测范围。
`autoUpdaterEnforcementHours`	整数	设置后，无论用户活动如何，都会在指定小时数后强制安装待处理更新。未设置时，应用使用 72 小时窗口，但在用户活跃时延迟。
`disableAutoUpdates`	布尔值	阻止应用检查和下载更新。应用保持在已安装版本，直到通过其他方式更新。

遥测

键	类型	描述
`disableEssentialTelemetry`	布尔值	阻止发送给 Anthropic 的崩溃和错误报告以及性能计时数据。
`disableNonessentialTelemetry`	布尔值	阻止产品使用分析 — 功能使用、导航模式、UI 操作。
`disableNonessentialServices`	布尔值	阻止连接器图标（会泄露 MCP 主机名）和工件预览沙箱。连接器回退到字母图标；工件不呈现。
`otlpEndpoint`	字符串	OTLP 收集器的基础 URL。设置后，会话将导出日志和指标（提示、工具调用、令牌计数）。端点主机会自动添加到沙箱网络允许列表。
`otlpProtocol`	字符串	http/protobuf（默认）、http/json 或 grpc。
`otlpHeaders`	字符串	在每个 OTLP 请求上发送的逗号分隔的 key=value 对（标准 OTEL_EXPORTER_OTLP_HEADERS 格式）。

MCP、插件和工具

键	类型	描述
`isDesktopExtensionEnabled`	布尔值	允许用户安装本地桌面扩展（.dxt 或 .mcpb）。
`isDesktopExtensionDirectoryEnabled`	布尔值	在连接器 UI 中显示 Anthropic 扩展目录。
`isDesktopExtensionSignatureRequired`	布尔值	拒绝未由受信任发布者签名的桌面扩展。
`isLocalDevMcpEnabled`	布尔值	允许用户添加自己的本地 MCP 服务器。设置为 false 时，仅托管列表中的服务器可用。
`isClaudeCodeForDesktopEnabled`	布尔值	显示代码选项卡（基于终端的编码会话）。会话在主机上运行，不在虚拟机内运行。
`managedMcpServers`	字符串	远程 MCP 服务器配置的 JSON 数组。每个条目需要 name 和 url。可选：transport（http 或 sse）、headers、oauth、toolPolicy。
`disabledBuiltinTools`	字符串	要从代理工具列表中移除的工具名称的 JSON 数组。请参阅 MCP 文章了解完整工具列表。
`coworkEgressAllowedHosts`	字符串（主机名的 JSON 数组）	用户可以附加为工作区文件夹的绝对路径。前导 ~ 扩展为用户的主目录。设置后，此列表外的任何路径都会被拒绝。

工作区和使用限制

键	类型	描述
`allowedWorkspaceFolders`	字符串	用户可以附加为工作区文件夹的绝对路径的 JSON 数组。前导 ~ 扩展为每用户主目录。未设置 = 无限制。
`inferenceMaxTokensPerWindow`	整数	在拒绝 sendMessage 之前，每个滚动窗口允许的总输入+输出令牌数。在桌面主进程中强制执行。未设置 = 无限制。
`inferenceTokenWindowHours`	整数	令牌限制的滚动窗口长度。最多 720 小时（30 天）。当 now >= windowStartMs + windowHours×3600×1000 时，计数器重置。

后续步骤

如需更多设置详情，请参阅我们的 Cowork on 3P docs。
如需合规性和安全态势详情，请查阅 Claude Cowork 安全概览（第三方平台）在我们的信任中心。
设置 MCP 服务器并分发插件：使用第三方平台扩展 Claude Cowork
使用 OpenTelemetry 监控部署：使用 OpenTelemetry 监控 Claude Cowork 活动

通过第三方平台在 Excel、PowerPoint 和 Word 中使用 Claude

从 Cowork 中的任何地方向 Claude 分配任务

使用 OpenTelemetry 监控 Claude Cowork 活动

将 Claude Cowork 与第三方平台配合使用

使用第三方平台扩展 Claude Cowork