租戶限制適用於 Enterprise 計畫成員和 Console 組織。
租戶限制使 Enterprise 計畫上的 IT 管理員能夠為 Claude 實施網路級存取控制。此功能確保公司網路上的使用者只能存取已批准的組織帳戶,防止未經授權使用個人帳戶。
運作方式
啟用後,您的網路代理會將 HTTP 標頭注入到 Claude 的請求中。Anthropic 驗證此標頭,並阻止來自不在允許清單中的任何組織的存取。
支援的驗證方法:
網路存取 (claude.ai)
桌面 / 應用程式存取
API 金鑰驗證
OAuth 權杖驗證
標頭格式
anthropic-allowed-org-ids: <org-uuid-1>,<org-uuid-2>,...
以逗號分隔的組織 UUID 清單
值之間沒有空格
範例:
anthropic-allowed-org-ids: 550e8400-e29b-41d4-a716-446655440000,6ba7b810-
9dad-11d1-80b4-00c04fd430c8
設定步驟
1. 尋找您的組織 UUID
Enterprise 計畫的成員可以在兩個不同的位置找到此資訊:
Console 組織的成員可以在 設定 > 組織中找到此資訊。
2. 設定您的網路代理
設定您的代理以為 Claude 流量注入標頭:
Rule: Claude Tenant Restriction
Application: claude.ai, api.anthropic.com
Action: Inject Header
Header Name: anthropic-allowed-org-ids
Header Value:
TLS Inspection: Required
3. 測試您的設定
從受限網路,使用您組織的 API 金鑰進行測試:
curl https://api.anthropic.com/v1/messages \
-H "x-api-key: $CLAUDE_API_KEY" \
-H "anthropic-version: 2023-06-01" \
-H "content-type: application/json" \
-d '{"model":"claude-sonnet-4-20250514","max_tokens":1024,"messages":
[{"role":"user","content":"Hello"}]}'
錯誤回應
當存取被阻止時,使用者會收到以下錯誤:
{
"type": "error",
"error": {
"type": "permission_error",
"message": "Access restricted by network policy. Contact IT Administrator.",
"error_code": "tenant_restriction_violation"
}
}
支援的代理平台
Zscaler ZIA (Cloud App Control 原則)
Palo Alto Prisma Access (SaaS 應用程式管理)
Cato Networks (租戶限制原則)
Netskope (標頭插入規則)
具有標頭注入功能的通用 HTTPS 代理
使用案例
情境 | 標頭值 |
單一組織 |
|
多個組織 (合作夥伴) |
|
安全性優勢
資料遺失防護:阻止從公司網路使用個人帳戶。
合規性:強制執行資料駐留和存取原則。
影子 IT 控制:防止未經授權的 Claude 使用。
稽核軌跡:完整的存取嘗試可見性。
向後相容性
對未設定租戶限制的網路沒有影響。
未受管理網路的標準驗證繼續進行。
現有的 API 金鑰驗證保持不變。