Hoe implementeer en beheer je Claude Code in een bedrijfsomgeving met Scalefusion?

Uw ontwikkelaars hebben Claude Code waarschijnlijk al gevonden. De vraag is of uw IT-team dat ook heeft gedaan.

Die kloof, tussen het moment dat een tool in de workflow wordt opgenomen en het moment dat de organisatie er daadwerkelijk controle over uitoefent, is waar de meeste problemen met AI binnen bedrijven stilletjes beginnen. Deze blog is bedoeld voor IT-beheerders en technische leiders die deze kloof willen dichten voordat het een probleem wordt.

Aan het einde van deze blog weet je precies wat Claude Code is, wat het in jouw omgeving kan doen, wat er gebeurt als het zonder bedrijfsbeheer draait en hoe je het via Scalefusion kunt implementeren, configureren en beheren in je hele vloot.

Wat is Claude Code?

Claude Code is Anthropics tool voor agentgestuurd programmeren. Het draait in de terminal, leest je codebase en voert ontwikkeltaken uit met behulp van natuurlijke taal.

Dat laatste woord is belangrijk: voert uit. Niet suggereert. Niet bekijkt. Claude Code leest bestanden in je hele project, schrijft en wijzigt code in meerdere bestanden tegelijk, voert tests uit, handelt fouten af, herhaalt het proces en commit de resultaten. Wanneer een ontwikkelaar het de opdracht geeft om een ​​module te refactoren, authenticatie toe te voegen aan een endpoint of een falende CI-pipeline te repareren, voert het de taak op dezelfde manier uit als een ontwikkelaar, alleen hoeft er niemand elke stap te controleren.

Stripe implementeerde Claude Code bij 1,370 engineers van alle niveaus. Eén team voltooide een migratie van 10,000 regels code van Scala naar Java in vier dagen, werk waar normaal gesproken tien weken voor nodig zijn. Dat is geen productiviteitsboost. Dat is een fundamentele verandering in wat engineeringteams kunnen opleveren.

Claude Code draait in de terminal en integreert naadloos met VS Code, Cursor, Windsurf en JetBrains IDE's. Het werkt met GitHub en GitLab, kan CI-pipelines monitoren, fouten automatisch herstellen en pull requests indienen. Anthropic meldt dat ongeveer 27% van de taken die met behulp van Claude Code werden uitgevoerd, taken waren die zonder de tool helemaal niet zouden zijn aangepakt. Ontwikkelaars werken niet alleen sneller, ze nemen ook taken aan die ze voorheen niet zouden hebben gedaan.

Wat Claude Code in jouw omgeving kan doen.

Voordat we ingaan op de configuratie, is het belangrijk om specifiek te zijn over wat Claude Code precies doet op een machine, want dit is waar het gesprek binnen een bedrijfsomgeving moet beginnen.

Claude Code leest uw volledige codebase in context. Het voert shell-opdrachten uit, bewerkt bestanden, doet netwerkverzoeken en roept externe services aan. Het ondersteunt Model Context Protocol (MCP)-servers, wat betekent dat het verbinding kan maken met uw interne databases, API's, documentatiesystemen en monitoringtools. In de automatische modus worden acties die binnen de drempelwaarden van een veiligheidsclassificatie vallen, uitgevoerd zonder te wachten op individuele menselijke bevestiging.

Dat is allemaal geen probleem als het correct geconfigureerd is. Het is wél een probleem als het niet correct geconfigureerd is.

Een ontwikkelaar die Claude Code met de standaardinstellingen uitvoert, doet dit met zijn eigen gebruikersrechten. Het programma kan omgevingsbestanden, SSH-sleutels en inloggegevens in zijn werkmap lezen. Het stuurt codecontext naar de servers van Anthropic voor verwerking. Zonder authenticatie via de organisatie kan een ontwikkelaar een persoonlijk account gebruiken. Zonder modelbeperkingen gebruikt het programma het beschikbare model. Zonder toegangscontrole is de vlag –dangerously-skip-permissions beschikbaar, waardoor bevestigingsprompts bij shell-opdrachten en bestandsbewerkingen volledig worden verwijderd.

Voor een solo-ontwikkelaar die aan een persoonlijk project werkt, maakt dat allemaal niets uit. Voor een ontwikkelaar met toegang tot de productie-infrastructuur van een bedrijf, is het allemaal van belang.

Wat gebeurt er als Claude Code onbeheerd op grote schaal draait?

De meeste bedrijven die een Claude Code-probleem hebben, weten nog niet dat ze er een hebben.

Het adoptiepatroon is consistent: een paar ontwikkelaars proberen het uit, de productiviteit stijgt merkbaar, het nieuws verspreidt zich en plotseling draaien dertig engineers, verdeeld over drie teams, het met hun eigen configuraties. Sommigen zijn geauthenticeerd met persoonlijke accounts. Sommigen hebben lokale MCP-servers gekoppeld die de IT-afdeling nooit heeft gecontroleerd. Sommigen draaien het met de permissie-bypass ingeschakeld omdat dat sneller is. De AI-tool die begon als een pilot, is nu ingebed in de ontwikkelworkflow en er is geen enkel inzicht in hoe dit gebeurt.

De specifieke risico's in een gereguleerde omgeving zijn niet abstract. Ontwikkelaars die op persoonlijke accounts werken, sturen eigen code naar Anthropic onder consumentenvoorwaarden, die andere standaardinstellingen voor gegevensverwerking hanteren dan bedrijfscontracten. Niet-gecontroleerde MCP-servers betekenen toolintegraties die verbinding maken met Claude zonder goedkeuring van de IT-afdeling. Ongecontroleerde toegang tot modellen betekent dat sommige teams Opus gebruiken, terwijl kostenbeheersing uitgaat van Sonnet. En zonder organisatiegebonden authenticatie wordt de toegang niet automatisch afgesloten bij personeelswijzigingen.

Dit vereist geen kwade opzet. Het is gewoon hoe organische adoptie zonder toezicht eruitziet.

Hoe Anthropic de bedrijfsbeleidslaag heeft opgebouwd

Dit is het gedeelte dat de meeste IT-teams buiten beveiligingsgerichte bedrijven nog niet hebben ontdekt.

Anthropic heeft een volwaardige configuratielaag voor bedrijven ontwikkeld voor zowel Claude Code als Claude for Desktop. Beide producten ondersteunen via MDM geïmplementeerde beheerde voorkeuren volgens de standaard van Apple. .mobileconfig mechanisme op macOS, en equivalente Windows-registerbeleidsregels via Groepsbeleid of Intune op beheerde Windows-apparaten.

Wanneer een configuratieprofiel via Scalefusion wordt gepusht, hebben die instellingen de hoogste prioriteit in de instellingenhiërarchie van Claude Code. Geen enkel ander instellingsniveau kan ze overschrijven, ook niet via commandoregelargumenten. Niet via de app, niet via CLI-vlaggen en niet via lokale configuratiebestanden.

De belangrijkste beleidsmaatregelen voor de Claude Code:

• availableModels Hiermee worden de modellen die ontwikkelaars kunnen selecteren via /model of –model beperkt. Stel dit in op [“haiku”, “sonnet”] en Opus is simpelweg niet beschikbaar op dat apparaat, ongeacht de rechten van het account.
• forceLoginOrgUUID Vereist dat het geverifieerde account bij uw specifieke Claude-organisatie hoort. Een persoonlijk account kan niet worden geverifieerd. Een ontwikkelaar die het bedrijf verlaat, verliest automatisch de toegang wanneer zijn of haar lidmaatschap van de organisatie wordt ingetrokken.
• forceLoginMethod: "claudeai" Vergrendelt de authenticatie alleen voor Claude.ai-accounts en blokkeert inloggen via Anthropic Console of API-sleutels.
• permissions.disableBypassPermissionsMode: "disable" Verwijdert de CLI-vlag –dangerously-skip-permissions volledig. Ontwikkelaars kunnen menselijke bevestiging bij shell-opdrachten en bestandsbewerkingen niet overslaan, zelfs niet als ze weten dat de vlag bestaat.
• disableAutoMode: "disable" Hierdoor wordt de automatische modus uit de machtigingscyclus verwijderd, zodat er altijd een mens betrokken is bij elke actie die Claude Code op het systeem uitvoert.
• companyAnnouncements Toont een aangepast bericht aan ontwikkelaars bij de startup Claude Code, handig voor het weergeven van interne richtlijnen, goedgekeurde MCP-serverlijsten of herinneringen aan nalevingsverplichtingen.

Voor Claude voor desktop omvatten de overeenkomstige bedieningselementen de MCP-serververbindingen (isLocalDevMcpEnabled), verificatie van de extensiehandtekening (isDesktopExtensionSignatureRequired), de Claude Code-terminalinterface binnen de desktop-app (isClaudeCodeForDesktopEnabled), functies voor samenwerking/computergebruik (secureVmFeaturesEnabled) en updatebeheer (disableAutoUpdates, autoUpdaterEnforcementHours).

Claude Code implementeren via Scalefusion, stap voor stap

Zowel Claude Code als Claude for Desktop worden geïmplementeerd via Scalefusion. Aangepaste instellingen Deze functie is beschikbaar binnen macOS-apparaatprofielen. Dezelfde aanpak geldt voor al uw beheerde Mac-apparaten vanuit één dashboard. Voor Windows-apparaten worden vergelijkbare beleidsregels geïmplementeerd via Scalefusion. Windows-MDM profielconfiguratie.

Stap 1: Inloggen Ga naar het Scalefusion-dashboard en navigeer naar Apparaatprofielen en -beleid > Apple-configuraties.

Stap 2: Selecteer een bestaande Apple-configuratie en klik op Bewerken, of maak een nieuwe aan voor deze implementatie.

Stap 3: Ga in de zijbalk 'Config' naar macOS en selecteer 'Aangepaste configuratie'..

Stap 4: Plak uw configuratiegegevens rechtstreeks in de editor voor aangepaste instellingen of gebruik de knop 'Bestanden importeren' om deze als XML-bestand te uploaden.

Stap 5: Klik BevestigenEen groen vinkje bevestigt dat de lading correct is samengesteld.

Stap 6: Houden Verzend payload op gebruikerskanaal omgeschakeld UITDeze payloads zijn bedoeld om op apparaatniveau te worden toegepast en de configuratie af te dwingen voor alle gebruikers op de machine.

Stap 7: Klik OpslaanDe configuratie wordt naar elk beheerd apparaat dat aan dit profiel is gekoppeld, verzonden.

Een compleet beveiligingsgericht pakket voor Claude voor desktop, met daarin extensies, MCP-verbindingen, updatebeheer en coworking:

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN"
  "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
  <key>PayloadContent</key>
  <array>
    <dict>
      <key>PayloadType</key>
      <string>com.anthropic.claudefordesktop</string>
      <key>PayloadIdentifier</key>
      <string>com.yourorg.claudefordesktop.REPLACE-WITH-UUID</string>
      <key>PayloadUUID</key>
      <string>REPLACE-WITH-UUID</string>
      <key>PayloadVersion</key>
      <integer>1</integer>
      <key>disableAutoUpdates</key>
      <true/>
      <key>autoUpdaterEnforcementHours</key>
      <integer>1</integer>
      <key>isClaudeCodeForDesktopEnabled</key>
      <false/>
      <key>isDesktopExtensionEnabled</key>
      <false/>
      <key>isDesktopExtensionSignatureRequired</key>
      <true/>
      <key>isLocalDevMcpEnabled</key>
      <false/>
      <key>secureVmFeaturesEnabled</key>
      <false/>
    </dict>
  </array>
  <key>PayloadDisplayName</key>
  <string>Claude for Desktop – Managed</string>
  <key>PayloadIdentifier</key>
  <string>com.yourorg.claudefordesktop.profile</string>
  <key>PayloadOrganization</key>
  <string>Your Organization</string>
  <key>PayloadType</key>
  <string>Configuration</string>
  <key>PayloadUUID</key>
  <string>REPLACE-WITH-PROFILE-UUID</string>
  <key>PayloadVersion</key>
  <integer>1</integer>
</dict>
</plist>

Om de implementatie op een beheerd apparaat te controleren, opent u Claude Code in de terminal en voert u /status uit. De uitvoer zal het volgende weergeven: “Bedrijfsinstellingen (plist)” Onder het gedeelte 'Bronnen instellen' kunt u bevestigen dat beheerde voorkeuren actief zijn en zien welke instellingen worden toegepast.

Opmerking: Zowel de Claude for Desktop- als de Claude Code-payloads kunnen in dezelfde editor voor aangepaste instellingen worden opgenomen. Zorg ervoor dat ze elk een unieke PayloadIdentifier en PayloadUUID hebben.

Profielen configureren per team

Eén payload voor uw hele vloot is niet de juiste aanpak, en dat is waar de Device Groups van Scalefusion hun waarde bewijzen.

Een ontwikkelaar met toegang tot de productieomgeving heeft een andere Claude Code-configuratie nodig dan een productmanager, een QA-engineer of een compliance-analist. Een uniform beleid betekent dat je iedereen ofwel te veel rechten geeft, ofwel iedereen te veel beperkingen oplegt. Geen van beide is in het belang van het bedrijf.

De praktische aanpak bestaat uit drie profielen die worden toegepast op drie apparaatgroepen, beheerd vanuit hetzelfde Scalefusion-dashboard:

• Technisch profiel: Bredere toegang tot modellen (Sonnet en Opus in availableModels), MCP-verbindingen toegestaan ​​voor gecontroleerde interne integraties, uitbreidingen toegestaan ​​met isDesktopExtensionSignatureRequired: true, zodat alleen geverifieerde extensies worden geladen.
• Profiel van het algemene personeel: Claude voor desktoptoegang met uitgeschakelde extensies, geen lokale MCP-verbindingen, updates worden uitgerold volgens IT-richtlijnen, Claude Code-terminalinterface is uitgeschakeld.
• Gereguleerd of compliancegevoelig profiel: Haiku alleen via availableModelsZowel de machtigingsomzeiling als de automatische modus zijn uitgeschakeld, en authenticatie binnen de organisatie wordt afgedwongen via forceLoginOrgUUIDMCP-verbindingen uitgeschakeld.

Wanneer een nieuwe engineer zich bij het team voegt, wordt hij of zij automatisch toegevoegd aan de apparaatgroep voor engineers. Claude Code wordt op hun computer geïnstalleerd en is al geauthenticeerd voor de organisatie, voldoet al aan het beleid en is al geconfigureerd voor hun rol. Geen handmatige installatiestappen nodig. Geen onboardingdocumentatie, die ze misschien toch niet lezen.

Wanneer iemand van team wisselt of het bedrijf verlaat, verandert de apparaatgroep waartoe hij of zij behoort of wordt het lidmaatschap van de organisatie ingetrokken. De toegang is gekoppeld aan de rol van de persoon, niet aan wat hij of zij zich herinnert over welke toegang hij of zij zou moeten hebben.

Het juiste moment om dit goed aan te pakken.

Claude Code is geen tool die eerst geëvalueerd, goedgekeurd en vervolgens volgens een vast schema uitgerold zal worden. Het is al op uw apparaten geïnstalleerd. Ontwikkelaars die het onderdeel van hun workflow hebben gemaakt, zullen er niet mee stoppen omdat een IT-beleid te laat komt.

De organisaties die dit goed zullen aanpakken, zijn de organisaties die aansluiten bij de behoeften van ontwikkelaars: erkennen dat Claude Code echt nuttig is, het toegankelijk houden en de governance-infrastructuur opzetten die ervoor zorgt dat het binnen de juiste kaders kan functioneren.

Scalefusion biedt IT de zichtbaarheid en de handhavingslaag die nodig zijn om dit te realiseren. Ontwikkelaars behouden de tool. De organisatie krijgt de implementatie die ze heeft ontworpen.

Bent u klaar om Claude Code in uw hele wagenpark te beheren?

Start vandaag nog met uw gratis proefperiode.

Aan de slag

Veelgestelde vragen

1. Draait Claude Code op Windows? 

Ja. Claude Code ondersteunt Windows en vergelijkbare beheerde instellingen kunnen worden geïmplementeerd via Windows-registerbeleid via Groepsbeleid of Microsoft Intune. Het Windows MDM-profielbeheer van Scalefusion dekt deze implementatieroute.

2. Kan ik zowel de Claude for Desktop- als de Claude Code-payloads in hetzelfde Scalefusion-profiel opnemen? 

Ja. Beide payloads kunnen in dezelfde editor voor aangepaste instellingen worden gecombineerd. Elke payload heeft een unieke naam nodig. PayloadIdentifier en PayloadUUID om correct verwerkt te worden.

Wat gebeurt er als een ontwikkelaar een beheerde instelling probeert te overschrijven? 

De instelling wordt niet als optie weergegeven. Hij is niet grijs weergegeven. Voor instellingen zoals --dangerously-skip-permissions Bij Claude Code is de vlag volledig uit de CLI verwijderd. Er valt niets meer te overschrijven.

3. Werkt dit ook op BYOD-apparaten? 

Instellingen die via MDM op het eindpunt worden beheerd, vereisen registratie van het apparaat. Voor onbeheerde of BYOD-apparaten biedt Anthropic ook serverbeheerde instellingen die geconfigureerd kunnen worden via de Claude.ai-beheerconsole (vereist Claude for Teams v2.1.38 of Claude for Enterprise v2.1.30 en later). Houd er rekening mee dat serverbeheerde instellingen aan de clientzijde worden uitgevoerd en kunnen worden gewijzigd door gebruikers met beheerdersrechten. Voor een betere handhaving van de regels is het gebruik van via MDM geïmplementeerde eindpuntinstellingen de aanbevolen aanpak voor beheerde apparaten.

4. Kan ik beperken tot welke modellen individuele teams toegang hebben? 

Ja. De sleutel availableModels accepteert een array met modelnamen en beperkt de opdracht /model en de vlag –model tot alleen de vermelde modellen. Dit wordt per apparaatprofiel toegepast, wat betekent dat verschillende teams toegang kunnen hebben tot verschillende modellen zonder dat gebruikers dit zelf hoeven te reguleren.

5. Zullen beheerde instellingen ontwikkelaars vertragen of in de weg zitten? 

Correct geconfigureerd? Nee. Beheerde instellingen verwijderen opties die buiten het beleid vallen. Ze voegen geen extra belemmering toe aan de resterende opties. Een ontwikkelaar met een profiel met Sonnet-toegang, goedgekeurde MCP-verbindingen en toegestane extensies ervaart Claude Code normaal. De configuratie is onzichtbaar, tenzij ze iets proberen te doen dat buiten de gedefinieerde grenzen valt.

6. Hoe kan ik controleren of de instellingen correct zijn geïmplementeerd in het hele wagenpark? 

Voer /status uit in de Claude Code CLI op een beheerd apparaat. De uitvoer toont de actieve instellingenbronnen. Beheerde voorkeuren worden weergegeven als "Enterprise managed settings (plist)", wat bevestigt dat het profiel actief is. Voor Claude voor Desktop worden beperkte functies simpelweg niet in de interface weergegeven.