當 Claude Cowork 部署在 Amazon Bedrock、Google Cloud Vertex AI、Azure AI Foundry 或 LLM 閘道上時,MCP 連接器、外掛程式和技能的運作方式與在 Claude Enterprise 上不同。所有內容都透過 MDM 和本機檔案系統掛載進行控制,具有本機設定介面和透過 MDM 推送的設定。
本文涵蓋管理員控制項(允許清單、分發、原則)和終端使用者體驗(可用項目、不可用項目)。
MCP 連接器
MCP(模型上下文協議)讓 Claude 連接到超越 Claude Desktop 內建功能的工具和資料來源。支援在使用者機器上執行的本機 MCP 伺服器和透過 HTTP 或 SSE 存取的遠端 MCP 伺服器。
管理員管理的遠端 MCP 伺服器
使用 managedMcpServers MDM 金鑰將遠端 MCP 伺服器分發給使用者。JSON 陣列中的每個項目都需要唯一的名稱和 HTTPS URL。選用欄位包括傳輸、標頭、OAuth 設定和工具層級原則。
範例設定:
[
{
"name": "internal-tools",
"url": "https://mcp.example.corp/sse",
"transport": "sse",
"headers": {
"Authorization": "Bearer <token>"
},
"toolPolicy": {
"runShell": "blocked",
"searchDocs": "allow"
}
}
]
transport 可以是 "http"(預設)或 "sse"。
headers 和 oauth 互斥。如果您設定
oauth: true,Claude Desktop 會執行 PKCE 流程以取得使用者認證。否則,使用標頭進行靜態驗證。toolPolicy 將工具名稱對應到 "allow"、"ask" 或 "blocked"。ask 原則會在工具執行前提示使用者確認。
使用者新增的本機 MCP 伺服器
根據預設,使用者可以新增自己的本機 MCP 伺服器(stdio 傳輸)。若要限制此功能,請在 MDM 設定中設定 isLocalDevMcpEnabled = false。設定為 false 時,只有受管清單中的伺服器可用,使用者無法新增自己的伺服器。
停用內建工具
Claude Desktop 包含多個內建工具:Task、Bash、Glob、Grep、Read、Edit、Write、NotebookEdit、WebFetch、TodoWrite、WebSearch、Skill、REPL、JavaScript 和 AskUserQuestion。另外兩個(ToolSearch 和 SendUserMessage)在特定條件下可用。
若要從可用集合中移除工具,請將其新增到 disabledBuiltinTools 陣列。例如:disabledBuiltinTools = ["WebSearch", "Bash"]
外掛程式
外掛程式為特定角色或團隊組合技能、命令、子代理和 MCP 伺服器。在標準 Claude Cowork 中,管理員透過 Anthropic 管理員 UI 分發外掛程式。使用第三方平台時,外掛程式透過每台機器上的本機目錄掛載進行分發。
外掛程式掛載位置
將外掛程式資料夾放在:
macOS:/Library/Application Support/Claude/org-plugins/
Windows:C:\ProgramData\Claude\org-plugins\
透過 MDM、軟體分發工具或標準端點管理程序推送目錄內容。
外掛程式目錄結構
每個外掛程式在掛載位置內遵循此結構:
code_reviewer_plugin/
claude-plugin/
plugin.json
version.json
.mcp.json (same format as managedMcpServers)
agents/
code-reviewer.md
commands/
find-all-bugs.md
skills/
security-review/
security-review.md
plugin.json 檔案宣告外掛程式的中繼資料。version.json 檔案追蹤版本資訊。.mcp.json 檔案宣告外掛程式組合的任何 MCP 伺服器,其格式與上述 managedMcpServers 架構相符。
桌面擴充功能
桌面擴充功能(.dxt 和 .mcpb 檔案)是使用者可以從連接器 UI 安裝的本機擴充功能。三個 MDM 金鑰控制此功能:
isDesktopExtensionEnabled — 允許使用者安裝本機桌面擴充功能
isDesktopExtensionDirectoryEnabled — 在連接器 UI 中顯示 Anthropic 擴充功能目錄
isDesktopExtensionSignatureRequired — 拒絕未由受信任發行者簽署的擴充功能
對於更嚴格的部署,將簽名要求設定為 true 並停用 Anthropic 擴充功能目錄,以便使用者只安裝您的團隊已審查的簽署擴充功能。
技能
技能是 Anthropic 用於封裝特定領域指示和內容的格式。使用第三方平台時,技能僅限本機,它們作為外掛程式的一部分或作為本機外掛程式目錄的獨立新增項目提供。
Claude Enterprise 中提供的技能和外掛程式市場在第三方平台上不可用。如果您的組織想要精選的技能目錄,請透過上述相同掛載目錄作為外掛程式推出的一部分分發技能。
第三方平台不提供的功能
這些擴充功能在 Claude Enterprise 中可用,但在 Claude Cowork 部署在第三方平台上時不可用:
技能和外掛程式市場 — 無集中式目錄。改為透過 MDM 分發。
專案和外掛程式共享 — 使用者之間的共享需要不可用的聊天和專案功能。
MCP 和外掛程式的自訂角色 — 透過管理員 UI 的角色型存取控制不可用。使用 MDM 設定和作業系統層級使用者群組進行差異化存取。
使用者管理的管理員 UI — 使用者管理在雲端提供者和 MDM 層進行,而不是透過 Anthropic。
常見問題
外掛程式是否可以要求管理員核准才能讓使用者安裝?
您透過 org-plugins 目錄分發的外掛程式可供該機器上的所有使用者使用,無需逐個使用者核准步驟。如需更嚴格的控制,請將基於掛載的分發與簽署的桌面擴充功能工作流程結合(isDesktopExtensionSignatureRequired = true)。
此部署隨附哪些 MCP 伺服器?
MCP 伺服器預設不隨 Claude Code 在第三方推論上提供。所有 MCP 伺服器必須透過 MDM 允許清單。
使用者可以在機器之間共享 MCP 認證嗎?
標頭中的認證透過 MDM 傳遞並與機器的設定相關聯。對於使用者特定的認證,請使用 oauth: true 選項,這會在首次使用時觸發 PKCE 流程。
部署外掛程式後如何更新它?
替換 org-plugins 掛載中的外掛程式資料夾,並透過現有軟體分發工具推送更新版本。使用者在下次應用程式重新啟動時會看到新版本。