本文說明 Claude Cowork 如何在成員裝置上執行,以及可用於限制其在受管裝置上範圍的管理員控制項。
本文適用於企業管理員。此處描述的架構在所有方案中都相同。末尾的裝置層級管理員控制項適用於團隊和企業方案。
Claude Cowork 的兩個執行環境
Claude Cowork 在每個成員的裝置上使用兩個執行環境:
代理迴圈在裝置上原生執行。這包括 Claude 的對話處理、連接資料夾中的檔案讀寫、網路擷取和本機外掛程式 MCP 伺服器。存取由應用程式層權限系統控制,該系統強制執行成員的連接資料夾規則和您組織的網路出口設定。
程式碼執行在隔離的虛擬機器 (VM) 中執行。Shell 命令和 Claude 撰寫的任何程式碼都在專用的 Linux VM 內執行,由平台的 Hypervisor 隔離於主機作業系統(macOS 上的 Apple Virtualization.framework,Windows 上的 Hyper-V)。VM 強制執行自己的網路出口篩選、系統呼叫限制和每個工作階段的使用者隔離。
如需詳細的技術概述,請參閱我們信任中心上的 Claude Cowork 桌面安全架構概述。
受管裝置的管理員控制項
兩個 MDM 金鑰可讓您限制 Cowork 在受管裝置上的範圍。兩者都是透過您的 MDM 解決方案應用的裝置層級設定,而不是從組織設定應用。
停用本機 MCP 伺服器:將 isLocalDevMcpEnabled 設定為 false 以停用外掛程式隨附和本機設定的 MCP 伺服器。
停用桌面擴充功能:將 isDesktopExtensionEnabled 設定為 false 以阻止 MCPB 和 DXT 擴充功能伺服器執行。
兩個控制項都在 Claude Desktop 企業設定中說明。
組織設定 > Cowork 中的組織範圍 Cowork 切換(為您的組織啟用)控制 Cowork 是否可用。上述裝置層級控制項僅在啟用 Cowork 時適用。
常見問題
我的組織在研究預覽期間開始使用 Cowork。本文是否適用於我?
還沒有。您的組織仍在較舊的架構上,正在遷移到此處描述的架構。我們會在切換前向您的組織管理員發送電子郵件。
如果成員的裝置無法啟動 VM 會發生什麼?
當 VM 無法使用時,Cowork 會繼續執行檔案和網路工具。Shell 命令和程式碼執行會報告「工作區無法使用」,直到 VM 恢復。
Cowork 活動是否會顯示在稽核記錄中?
目前沒有。Cowork 活動不會在稽核記錄、合規性 API 或資料匯出中擷取。如需有關監控 Cowork 活動的指導,請參閱 使用 OpenTelemetry 監控 Claude Cowork 活動。
端點偵測 (EDR) 工具是否可以檢查 VM 內的活動?
否。VM 在設計上與主機型安全工具隔離。如果您的合規性狀況取決於端點可見性,請在推出 Cowork 之前考慮這一點。