Probabilmente i vostri sviluppatori hanno già scoperto Claude Code. La domanda è se lo conosce anche il vostro team IT.
Quel divario, ovvero il momento in cui uno strumento entra a far parte del flusso di lavoro e il momento in cui l'organizzazione ne assume effettivamente la gestione, è il punto in cui iniziano silenziosamente la maggior parte dei problemi di intelligenza artificiale in ambito aziendale. Questo blog è pensato per gli amministratori IT e i responsabili dell'ingegneria che desiderano colmare questo divario prima che si trasformi in un problema.
Al termine di questo articolo, saprai esattamente cos'è Claude Code, cosa può fare nel tuo ambiente, cosa succede quando viene eseguito senza i controlli aziendali e come implementarlo, configurarlo e gestirlo su tutta la tua infrastruttura tramite Scalefusion.
Che cos'è il Codice Claude?
Claude Code è lo strumento di programmazione agentiva di Anthropic. Risiede nel terminale, legge il codice sorgente ed esegue le attività di sviluppo tramite il linguaggio naturale.
Quell'ultima parola è fondamentale: esegue. Non suggerisce. Non visualizza in anteprima. Claude Code legge i file del tuo progetto, scrive e modifica il codice su più file contemporaneamente, esegue i test, gestisce gli errori, itera e salva i risultati. Quando uno sviluppatore gli chiede di effettuare il refactoring di un modulo, aggiungere l'autenticazione a un endpoint o correggere una pipeline CI non funzionante, Claude Code esegue l'attività nello stesso modo in cui lo farebbe uno sviluppatore, con la differenza che non ha bisogno di nessuno che supervisioni ogni passaggio.
Stripe ha implementato Claude Code presso 1,370 ingegneri di tutti i livelli. Un team ha completato una migrazione da Scala a Java di 10,000 righe in quattro giorni, un lavoro stimato in dieci settimane di lavoro per un ingegnere. Non si tratta di un semplice aumento di produttività, ma di un vero e proprio salto di qualità in termini di ciò che i team di ingegneri sono in grado di realizzare.
Claude Code funziona nel terminale e si integra nativamente con gli IDE VS Code, Cursor, Windsurf e JetBrains. Funziona con GitHub e GitLab, può monitorare le pipeline CI, correggere automaticamente gli errori e inviare pull request. Anthropic riporta che circa il 27% delle attività assistite da Claude Code erano attività che non sarebbero state nemmeno tentate senza lo strumento. Gli ingegneri non solo lavorano più velocemente, ma si cimentano anche in attività che prima non avrebbero affrontato.
Cosa può fare Claude Code nel tuo ambiente
Prima di addentrarci nella configurazione, è opportuno specificare cosa fa effettivamente Claude Code su una macchina, perché è da qui che deve iniziare la discussione a livello aziendale.
Claude Code legge l'intero codice sorgente nel suo contesto. Esegue comandi di shell, modifica file, effettua richieste di rete e chiama servizi esterni. Supporta i server MCP (Model Context Protocol), il che significa che può connettersi ai database interni, alle API, ai sistemi di documentazione e agli strumenti di monitoraggio. In modalità automatica, le azioni che rientrano nella soglia di un classificatore di sicurezza vengono eseguite senza attendere la conferma umana individuale.
Nessuno di questi aspetti rappresenta un problema se la configurazione è corretta. Diventano invece un problema quando la configurazione non è corretta.
Uno sviluppatore che esegue Claude Code con le impostazioni predefinite lo esegue con i propri permessi a livello utente. Può leggere i file di ambiente, le chiavi SSH e le credenziali nella sua directory di lavoro. Invia il contesto del codice ai server di Anthropic per l'elaborazione. Senza autenticazione legata all'organizzazione, uno sviluppatore può utilizzare un account personale. Senza restrizioni di modello, utilizzerà qualsiasi modello disponibile. Senza controlli sui permessi, il flag –dangerously-skip-permissions è accessibile, rimuovendo completamente le richieste di conferma per i comandi della shell e le modifiche ai file.
Per uno sviluppatore che lavora da solo a un progetto personale, niente di tutto ciò ha importanza. Per uno sviluppatore che ha accesso all'infrastruttura di produzione di un'azienda, invece, tutto ciò è fondamentale.
Cosa succede quando Claude Code viene eseguito su larga scala senza gestione?
La maggior parte delle aziende che hanno un problema con il Codice Claude non ne sono ancora consapevoli.
Il modello di adozione è sempre lo stesso: alcuni sviluppatori lo provano, la produttività aumenta sensibilmente, la voce si sparge e improvvisamente trenta ingegneri di tre team diversi lo utilizzano con le proprie configurazioni. Alcuni sono autenticati con account personali. Altri si sono connessi a server MCP locali che il reparto IT non ha mai esaminato. Altri ancora lo utilizzano con l'opzione di bypass delle autorizzazioni abilitata perché è più veloce. Lo strumento di intelligenza artificiale, nato come progetto pilota, è ora integrato nel flusso di lavoro di sviluppo e non c'è alcuna visibilità su tutto ciò.
I rischi specifici in un ambiente regolamentato non sono astratti. Gli sviluppatori con account personali inviano codice proprietario ad Anthropic secondo i termini per i consumatori, che prevedono impostazioni predefinite per la gestione dei dati diverse rispetto agli accordi aziendali. I server MCP non verificati implicano integrazioni di strumenti con Claude non approvate da nessuno del reparto IT. L'accesso incontrollato ai modelli significa che alcuni team utilizzano Opus mentre il controllo dei costi presuppone Sonnet. E in assenza di autenticazione legata all'organizzazione, i cambiamenti di personale non comportano la chiusura automatica dell'accesso.
Niente di tutto ciò richiede intenzioni malevole. È semplicemente ciò che accade quando si adotta un modello di business in modo spontaneo, senza una governance adeguata.
Come Anthropic ha creato il livello delle policy aziendali
Ecco la parte che la maggior parte dei team IT al di fuori delle aziende focalizzate sulla sicurezza non ha ancora scoperto.
Anthropic ha creato un livello di configurazione aziendale adeguato sia per Claude Code che per Claude for Desktop. Entrambi i prodotti supportano le preferenze gestite distribuite tramite MDM attraverso lo standard Apple. .mobileconfig meccanismo su macOS e criteri equivalenti del registro di sistema di Windows tramite Criteri di gruppo o Intune sui dispositivi Windows gestiti.
Quando un profilo di configurazione viene inviato tramite Scalefusion, tali impostazioni si trovano al livello di precedenza più alto nella gerarchia delle impostazioni di Claude Code. Nessun altro livello di impostazioni può sovrascriverle, inclusi gli argomenti della riga di comando. Né tramite l'applicazione, né tramite flag della CLI, né tramite file di configurazione locali.
Le principali politiche di controllo per il Codice Claude:
availableModelsLimita i modelli che gli sviluppatori possono selezionare tramite /model o –model. Impostandolo su ["haiku", "sonetto"], Opus non sarà disponibile su quel dispositivo, indipendentemente dai diritti dell'account.forceLoginOrgUUIDRichiede che l'account autenticato appartenga alla tua specifica organizzazione Claude. Un account personale non verrà autenticato. Uno sviluppatore che lascia l'azienda perde automaticamente l'accesso quando la sua appartenenza all'organizzazione viene revocata.forceLoginMethod: "claudeai"Blocca l'autenticazione esclusivamente per gli account Claude.ai, impedendo l'accesso tramite Anthropic Console o chiave API.permissions.disableBypassPermissionsMode: "disable"Rimuove completamente il flag CLI –dangerously-skip-permissions. Gli sviluppatori non possono saltare la conferma umana per i comandi della shell e le modifiche ai file, anche se sanno che il flag esiste.disableAutoMode: "disable"Rimuove la modalità automatica dal ciclo di autorizzazione, garantendo che un essere umano sia coinvolto in ogni azione intrapresa da Claude Code sul sistema.companyAnnouncementsVisualizza un messaggio personalizzato per gli sviluppatori della startup Claude Code, utile per rendere visibili le linee guida interne, gli elenchi dei server MCP approvati o i promemoria di conformità.
Per Claude per Desktop, i controlli equivalenti coprono le connessioni al server MCP (isLocalDevMcpEnabled), verifica della firma dell'estensione (isDesktopExtensionSignatureRequired), l'interfaccia del terminale Claude Code all'interno dell'applicazione desktop (isClaudeCodeForDesktopEnabled), Funzionalità di coworking/utilizzo del computer (secureVmFeaturesEnabled) e gestione degli aggiornamenti (disableAutoUpdates, autoUpdaterEnforcementHours).
Implementazione di Claude Code tramite Scalefusion, passo dopo passo
Sia Claude Code che Claude for Desktop vengono distribuiti tramite Scalefusion Impostazioni personalizzate funzionalità all'interno dei profili dispositivo macOS. Lo stesso approccio si applica all'intera flotta Mac gestita da un'unica dashboard. Per i dispositivi Windows, le policy equivalenti vengono distribuite tramite Scalefusion. MDM di Windows configurazione del profilo.
Passo 1: Registrati alla dashboard di Scalefusion e navigare verso Profili e criteri dispositivo > Configurazioni Apple.
Passo 2: Seleziona una configurazione Apple esistente e fai clic su Modifica oppure creane una nuova per questa distribuzione.
Passo 3: Nella barra laterale di configurazione, vai a macOS e seleziona 'Configurazione personalizzata'.
Passo 4: Incolla il payload di configurazione direttamente nell'editor delle impostazioni personalizzate oppure utilizza il pulsante Importa file per caricarlo come file XML.
Passo 5: Clicchi ConvalidareUn segno di spunta verde conferma che il payload è stato formato correttamente.
Passo 6: mantenere Invia payload sul canale utente toggled OFFQuesti payload sono progettati per essere applicati a livello di dispositivo, imponendo la configurazione a tutti gli utenti della macchina.
Passo 7: Clicchi SalvaLa configurazione viene applicata a tutti i dispositivi gestiti associati a questo profilo.
Un payload completo e incentrato sulla sicurezza per Claude for Desktop, che include estensioni, connessioni MCP, gestione degli aggiornamenti e Cowork:
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN"
"http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>PayloadContent</key>
<array>
<dict>
<key>PayloadType</key>
<string>com.anthropic.claudefordesktop</string>
<key>PayloadIdentifier</key>
<string>com.yourorg.claudefordesktop.REPLACE-WITH-UUID</string>
<key>PayloadUUID</key>
<string>REPLACE-WITH-UUID</string>
<key>PayloadVersion</key>
<integer>1</integer>
<key>disableAutoUpdates</key>
<true/>
<key>autoUpdaterEnforcementHours</key>
<integer>1</integer>
<key>isClaudeCodeForDesktopEnabled</key>
<false/>
<key>isDesktopExtensionEnabled</key>
<false/>
<key>isDesktopExtensionSignatureRequired</key>
<true/>
<key>isLocalDevMcpEnabled</key>
<false/>
<key>secureVmFeaturesEnabled</key>
<false/>
</dict>
</array>
<key>PayloadDisplayName</key>
<string>Claude for Desktop – Managed</string>
<key>PayloadIdentifier</key>
<string>com.yourorg.claudefordesktop.profile</string>
<key>PayloadOrganization</key>
<string>Your Organization</string>
<key>PayloadType</key>
<string>Configuration</string>
<key>PayloadUUID</key>
<string>REPLACE-WITH-PROFILE-UUID</string>
<key>PayloadVersion</key>
<integer>1</integer>
</dict>
</plist>Per verificare la distribuzione su un dispositivo gestito, apri Claude Code nel terminale ed esegui /status. L'output mostrerà "Impostazioni gestite a livello aziendale (plist)" nella sezione Impostazioni delle origini, confermando che le preferenze gestite sono attive ed elencando le impostazioni applicate.
Nota: sia il payload Claude for Desktop che il payload Claude Code possono essere inclusi nello stesso editor delle impostazioni personalizzate. Assicurarsi che ciascuno abbia un PayloadIdentifier e un PayloadUUID univoci.
Configurazione dei profili per team
Utilizzare un unico carico utile per l'intera flotta non è la soluzione ideale, ed è qui che entrano in gioco i gruppi di dispositivi di Scalefusion.
Uno sviluppatore con accesso all'infrastruttura di produzione necessita di una configurazione di Claude Code diversa rispetto a un product manager, un ingegnere QA o un analista di conformità. Una policy uniforme significa o dare troppi privilegi a tutti o limitare eccessivamente i loro accessi. Nessuna delle due soluzioni è vantaggiosa per l'azienda.
L'approccio pratico prevede l'applicazione di tre profili a tre gruppi di dispositivi gestiti dalla stessa dashboard di Scalefusion:
- Profilo ingegneristico: Accesso al modello più ampio (Sonetto e Opus in
availableModels), connessioni MCP consentite per integrazioni interne verificate, estensioni consentite conisDesktopExtensionSignatureRequired: true, quindi vengono caricate solo le estensioni verificate. - Profilo generale del personale: Accesso a Claude per Desktop con estensioni disabilitate, nessuna connessione MCP locale, aggiornamenti su implementazione controllata dall'IT, interfaccia terminale Claude Code disabilitata.
- Profilo regolamentato o sensibile alla conformità: Haiku solo tramite
availableModels, bypass del permesso e modalità automatica entrambi disabilitati, autenticazione legata all'organizzazione imposta tramiteforceLoginOrgUUIDConnessioni MCP disattivate.
Quando un nuovo ingegnere si unisce al team, viene automaticamente inserito nel gruppo di dispositivi di ingegneria. Claude Code è già installato sul suo computer, autenticato dall'organizzazione, conforme alle policy e configurato per il suo ruolo. Nessun passaggio di configurazione manuale. Nessun documento di onboarding, che potrebbe anche non leggere.
Quando una persona cambia team o lascia l'azienda, il suo gruppo di dispositivi cambia o la sua appartenenza all'organizzazione viene revocata. L'accesso è legato al ruolo della persona, non al suo ricordo di ciò che avrebbe dovuto avere.
È il momento giusto per fare le cose per bene
Claude Code non è uno strumento che verrà valutato, approvato e poi implementato secondo una pianificazione prestabilita. È già presente sui vostri dispositivi. Gli sviluppatori che lo hanno integrato nel loro flusso di lavoro non smetteranno di usarlo solo perché una policy IT arriva in ritardo.
Le organizzazioni che sapranno gestire al meglio questa situazione sono quelle che si rapportano agli sviluppatori partendo dal loro livello attuale: riconoscendo l'effettiva utilità di Claude Code, mantenendolo accessibile e implementando l'infrastruttura di governance necessaria per consentirne il funzionamento entro limiti appropriati.
Scalefusion offre al reparto IT la visibilità e il livello di controllo necessari per concretizzare questo obiettivo. Gli sviluppatori mantengono lo strumento. L'organizzazione ottiene l'implementazione che ha progettato.
Domande Frequenti
1. Claude Code funziona su Windows?
Sì. Claude Code supporta Windows e le impostazioni gestite equivalenti possono essere implementate tramite i criteri del registro di sistema di Windows, attraverso Criteri di gruppo o Microsoft Intune. La gestione dei profili MDM di Windows di Scalefusion copre questo percorso di implementazione.
2. Posso includere sia il payload Claude for Desktop che il payload Claude Code nello stesso profilo Scalefusion?
Sì. Entrambi i payload possono essere combinati nello stesso editor delle impostazioni personalizzate. Ogni payload necessita di un unico PayloadIdentifier e PayloadUUID per essere elaborato correttamente.
Cosa succede se uno sviluppatore tenta di sovrascrivere un'impostazione gestita?
L'impostazione non appare come opzione. Non è disattivata. Per impostazioni come --dangerously-skip-permissions Su Claude Code, il flag è stato completamente rimosso dalla CLI. Non c'è nulla da sovrascrivere.
3. Funziona anche con i dispositivi BYOD?
Le impostazioni gestite a livello di endpoint tramite MDM richiedono la registrazione del dispositivo. Per i dispositivi non gestiti o BYOD, Anthropic offre anche impostazioni gestite a livello di server, configurabili tramite la console di amministrazione di Claude.ai (richiede Claude for Teams v2.1.38 o Claude for Enterprise v2.1.30 e versioni successive). Si noti che le impostazioni gestite a livello di server sono lato client e possono essere modificate dagli utenti con accesso di amministratore. Per maggiori garanzie di applicazione, si consiglia di utilizzare le impostazioni degli endpoint implementate tramite MDM sui dispositivi gestiti.
4. Posso limitare i modelli a cui i singoli team possono accedere?
Sì. La chiave availableModels accetta un array di nomi di modelli e limita il comando /model e il flag –model ai soli modelli elencati. Applicato per profilo dispositivo, ciò significa che team diversi possono avere accesso a modelli diversi senza dover dipendere dall'autoregolamentazione degli utenti.
5. Le impostazioni gestite rallenteranno gli sviluppatori o ostacoleranno il loro lavoro?
Se configurato correttamente, no. Le impostazioni gestite rimuovono le opzioni che non rientrano nelle policy. Non complicano le opzioni rimanenti. Uno sviluppatore con un profilo che include l'accesso a Sonnet, connessioni MCP approvate ed estensioni consentite utilizza Claude Code normalmente. La configurazione è invisibile a meno che non si tenti di fare qualcosa al di fuori dei limiti definiti.
6. Come posso verificare che le impostazioni siano state implementate correttamente su tutta la flotta?
Esegui il comando /status nella CLI di Claude Code su qualsiasi dispositivo gestito. L'output elenca le origini delle impostazioni attive. Le preferenze gestite vengono visualizzate come "Impostazioni gestite aziendali (plist)", a conferma che il profilo è attivo. Per Claude for Desktop, le funzionalità con restrizioni semplicemente non vengono visualizzate nell'interfaccia.
