Classmethod Claude Enterprise Managed Settings Windows
【Claude Enterprise】Windows環境でのmanaged-settings.jsonによる挙動を確認してみた
- URL: https://dev.classmethod.jp/articles/claude-enterprise-managed-settings-json-windows-behavior/
- 日付: 2026-06-12
- Tier: Tier 3
- 要旨: Claude Enterpriseのserver-managed settingsをネイティブWindows環境で検証。PowerShellツール有効化・サンドボックス設定・denyルールのエイリアス正規化など、Mac/WSL2とは異なるWindows固有の挙動を確認した実験記事。
詳細
検証環境: Windows 11、Claude Code v2.1.170〜v2.1.172、Windows PowerShell 5.1
観点1: Windows基本動作:
/statusでEnterprise managed settings(remote)が正常配信されることを確認CLAUDE_CODE_USE_POWERSHELL_TOOL: "1"でPowerShellツールが有効化defaultShell: "powershell"で!コマンドのデフォルトシェルをPowerShellに設定sandbox.enabled: trueはネイティブWindowsでは利用不可。failIfUnavailable: falseで警告のみで継続disableBypassPermissionsMode: "disable"で--dangerously-skip-permissionsフラグを無効化
観点2: PowerShell denyルールの挙動:
- cmdlet名(
Invoke-WebRequest等)のdenyルールで、エイリアス(iwr・irm)も正規化されてブロックされることを確認 allowManagedPermissionRulesOnly: trueで、ユーザー/プロジェクト設定のallowルールでmanaged settingsのdenyを緩和できなくなることを確認
Windows固有の注意点:
- PowerShell denyルールはエイリアス名でも記述可能だが、cmdlet名のルールだけでもエイリアスが正規化されブロックされる
- Bash経路とPowerShell経路の両方をブロックするには双方へのdenyルールが必要