【Claude Enterprise】Windows環境でのmanaged-settings.jsonによる挙動を確認してみた
はじめに
こんにちは。
クラウド事業本部コンサルティング部の渡邉です。
Claude Enterprise では、Admin Console から server-managed settings を配信することで、組織全体のClaude Codeの挙動を一元制御できます。
Mac環境やWSL2では挙動を確認した検証記事はあったのですが、Windows環境での検証記事はあまりないように見受けられました。
「ネイティブWindows環境でも同じようにserver-managed settingsが機能するのか?」「PowerShellのdenyルールはエイリアスや複合コマンドにも有効なのか?」という点は実際に試してみないとわからない部分があると思います。
本記事では、ネイティブWindows環境でのClaude Enterpriseのserver-managed settingsを対象に、以下の2つの観点から検証した結果をまとめます。
- 観点1: managed settingsの配信・キャッシュ、PowerShellツールの有効化、Bashとの共存、サンドボックス非対応の影響
- 観点2: PowerShell denyルールのエイリアス正規化、パイプライン分割評価、Bash経路との二重ブロック、ExecutionPolicy尊重設定
検証環境
| 項目 | 内容 |
|---|---|
| OS | Windows 11 |
| Claude Code バージョン | v2.1.170 〜 v2.1.172 |
| PowerShell | Windows PowerShell 5.1.26100.8115(PowerShell 7はなし) |
| Git for Windows | 2.54.0.windows.1(Git Bash含む) |
検証用 server-managed settings
観点1用: PowerShellツール有効化 + サンドボックス設定
{
"env": {
"CLAUDE_CODE_USE_POWERSHELL_TOOL": "1"
},
"defaultShell": "powershell",
"sandbox": {
"enabled": true,
"failIfUnavailable": false
},
"permissions": {
"deny": [
"Bash(curl *)",
"Bash(wget *)",
"PowerShell(Invoke-WebRequest *)",
"PowerShell(Invoke-RestMethod *)"
],
"disableBypassPermissionsMode": "disable"
}
}
| キー | 役割 |
|---|---|
env.CLAUDE_CODE_USE_POWERSHELL_TOOL |
PowerShellツールを有効化。Claude CodeがPowerShellをツールとして呼び出せるようになる |
defaultShell |
! コマンド(インタラクティブ実行)のデフォルトシェルをPowerShellに設定。CLAUDE_CODE_USE_POWERSHELL_TOOL とは独立した設定 |
sandbox.enabled |
サンドボックスを有効化しようとする(ネイティブWindowsでは利用不可) |
sandbox.failIfUnavailable |
false にするとサンドボックスが利用不可の場合に警告のみで継続。true だと起動失敗 |
permissions.deny |
指定コマンドの実行をブロック |
permissions.disableBypassPermissionsMode |
"disable" にすることで bypassPermissions モードと --dangerously-skip-permissions フラグを無効化 |
観点2用: エイリアス正規化・二重経路ブロック
cmdlet(コマンドレット)名のみのdenyルールで、エイリアス(iwr・irm・iex)が正規化されてブロックされるかを確認するため、意図的にエイリアス名のルールは含めていません。cmdletとはPowerShellのコマンドの正式名称で、Invoke-WebRequest のように 動詞-名詞 の形式で命名されています。エイリアスはその短縮形です。
{
"env": {
"CLAUDE_CODE_USE_POWERSHELL_TOOL": "1"
},
"defaultShell": "powershell",
"permissions": {
"deny": [
"PowerShell(Invoke-WebRequest *)",
"PowerShell(Invoke-RestMethod *)",
"PowerShell(Invoke-Expression *)",
"Bash(curl *)",
"Bash(wget *)",
"Bash(powershell *)",
"Bash(pwsh *)"
],
"disableBypassPermissionsMode": "disable"
},
"allowManagedPermissionRulesOnly": true
}
| キー | 役割 |
|---|---|
env.CLAUDE_CODE_USE_POWERSHELL_TOOL |
PowerShellツールを有効化 |
defaultShell |
! コマンドのデフォルトシェルをPowerShellに設定 |
permissions.deny |
指定コマンドの実行をブロック。観点1から Invoke-Expression・Bash(powershell *)・Bash(pwsh *) を追加 |
permissions.disableBypassPermissionsMode |
"disable" にすることで bypassPermissions モードと --dangerously-skip-permissions フラグを無効化 |
allowManagedPermissionRulesOnly |
true にするとユーザー設定・プロジェクト設定の allow ルールでmanaged settingsの deny を緩和できなくなる |
観点1: Windows基本動作の確認
テストケースA: managed settingsの配信とキャッシュ
Admin Consoleでmanaged settingsを投入し、ネイティブWindows上でClaude Codeを起動しました。
/status の出力で、Setting sourcesに Enterprise managed settings (remote) が表示され、正常に配信されていることが確認できました。
╭─── Claude Code v2.1.170 ─────────────────────────────────────────────────────────────────────────────────────────────────╮
│ │ Tips for getting started │
│ Welcome back hikaru! │ Run /init to create a CLAUDE.md file with instructions for Claude │
│ │ Note: You have launched claude in your home directory. For the bes… │
│ ▐▛███▜▌ │ ─────────────────────────────────────────────────────────────────── │
│ ▝▜█████▛▘ │ What's new │
│ ▘▘ ▝▝ │ Introducing Claude Fable 5: a Mythos-class model that we’ve made s… │
│ Opus 4.8 (1M context) · Claude Enterprise · xxxxxxxxxxxxxxxxxxxxxxxxx │ Self-hosted runner: added a `post-session` lifecycle hook that run… │
│ C:\Users\<username> │ /release-notes for more │
╰──────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────╯
‼ 1 setup issue: sandbox · /doctor
▎ Meet Fable 5, our newest model for complex, long-running work. Try anytime with /model.
▔▔▔▔▔▔▔▔▔▔▔▔▔▔▔▔▔▔▔▔▔▔▔▔▔▔▔▔▔▔▔▔▔▔▔▔▔▔▔▔▔▔▔▔▔▔▔▔▔▔▔▔▔▔▔▔▔▔▔▔▔▔▔▔▔▔▔▔▔▔▔▔▔▔▔▔▔▔▔▔▔▔▔▔▔▔▔▔▔▔▔▔▔▔▔▔▔▔▔▔▔▔▔▔▔▔▔▔▔▔▔▔▔▔▔▔▔▔▔▔▔▔▔▔
Settings Status Config Usage Stats
Version: 2.1.170
Session name: /rename to add a name
Session ID: xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
cwd: C:\Users\<username>
Login method: Claude Enterprise account
Organization: xxxxxxxxxxxxxxxxxxxxxxxxx
Email: xxxxxx@xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
Model: Default (Opus 4.8 with 1M context · Best for everyday, complex tasks)
MCP servers: 12 need auth · /mcp
Setting sources: User settings, Shared project settings, Enterprise managed settings (remote)
キャッシュファイルの確認も実施しました。公式ドキュメントの通り、Windowsでは %USERPROFILE%\.claude\ に remote-settings.json として保存されます。
Get-Content "$env:USERPROFILE\.claude\remote-settings.json" | ConvertFrom-Json | ConvertTo-Json -Depth 10
{
"defaultShell": "powershell",
"env": {
"CLAUDE_CODE_USE_POWERSHELL_TOOL": "1"
},
"permissions": {
"deny": [
"Bash(curl *)",
"Bash(wget *)",
"PowerShell(Invoke-WebRequest *)",
"PowerShell(Invoke-RestMethod *)"
],
"disableBypassPermissionsMode": "disable"
},
"sandbox": {
"enabled": true,
"failIfUnavailable": false
}
}
投入した設定が %USERPROFILE%\.claude\remote-settings.json に正しくキャッシュされていました。
テストケースB: PowerShellツールの有効化とバージョン確認
「PowerShellのバージョンを確認して」と指示したところ、Claudeは Bash ではなく PowerShell ツールで $PSVersionTable を実行しました。
● PowerShell($PSVersionTable)
Name Value
---- -----
PSVersion 5.1.26100.8115
PSEdition Desktop
PSCompatibleVersions {1.0, 2.0, 3.0, 4.0...}
BuildVersion 10.0.26100.8115
CLRVersion 4.0.30319.42000
WSManStackVersion 3.0
PSRemotingProtocolVersion 2.3
SerializationVersion 1.1.0.1
08:48 AM claude-opus-4-8
PowerShellのバージョンは 5.1.26100.8115(Windows PowerShell 5.1、Desktopエディション)です。
主な情報:
- PSVersion: 5.1.26100.8115
- エディション: Desktop(Windows標準搭載版)
- CLRバージョン: 4.0.30319(.NET Framework上で動作)
これはWindows 11に標準搭載されているWindows PowerShellです。なお、別系統の最新版である PowerShell 7系(PowerShell Core) はインストールされていれば pwsh コマンドで起動でき、バージョンは同じく $PSVersionTable で確認できます。
ツール呼び出しの表記が ● PowerShell(...) であることからも、PowerShellツールが有効化されプライマリシェルとして機能していることが確認できました。
実行ファイルパスの確認では C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe でした。今回の検証環境には pwsh.exe(PowerShell 7)がインストールされていなかったため、公式ドキュメントの通り powershell.exe(5.1)にフォールバックしました。
Get-Command pwsh.exe -ErrorAction SilentlyContinue
# → 何も表示されない(pwsh.exeはインストールなし)
Get-Command powershell.exe -ErrorAction SilentlyContinue
# → C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
> 現在のPowerShellの実行ファイルパスを教えて
● PowerShell((Get-Process -Id $PID).Path)
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
08:52 AM claude-opus-4-8
現在のPowerShellの実行ファイルパスは以下のとおりです。
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
これはWindows標準搭載のWindows PowerShell 5.1の実行ファイルです。(フォルダ名が v1.0 となっていますが、これは歴史的な名残で、実際のバージョンは先ほど確認した5.1です)
✻ Worked for 8s
テストケースC: BashツールとPowerShellツールの共存
PowerShellをプライマリとして設定した状態でも、Bashツールは無効化されません。指示内容によってClaudeが使用するツールを判断する挙動を確認しました。
> PowerShellで Get-Date を実行して
● PowerShell(Get-Date)
2026年6月11日 8:54:57
08:54 AM claude-opus-4-8
実行しました。
2026年6月11日 8:54:57
現在の日時は 2026年6月11日 8:54:57 です。
> Bashで echo hello を実行して
● Bash(echo hello)
hello
08:55 AM claude-opus-4-8
実行しました。
hello
> gitのバージョンを確認して
● Bash(git --version)
git version 2.54.0.windows.1
08:56 AM claude-opus-4-8
gitのバージョンは 2.54.0.windows.1 です。
> POSIX互換のシェルスクリプトを実行する必要がある。`uname -a` を実行して
● Bash(uname -a)
MINGW64_NT-10.0-26100 <hostname> 3.6.7-fb42d713.x86_64 2026-03-29 11:44 UTC x86_64 Msys
08:57 AM claude-opus-4-8
実行しました。
MINGW64_NT-10.0-26100 <hostname> 3.6.7-fb42d713.x86_64 2026-03-29 11:44 UTC x86_64 Msys
Bashツールは MSYS2 (MINGW64) 環境で動作しています。Windows 11 (build 26100) 上の POSIX 互換レイヤーなので、シェルスクリプトもこの環境で実行できます。
まとめると以下のような結果になっています。
| 指示 | 使用ツール | 実行コマンド |
|---|---|---|
PowerShellで Get-Date を実行して |
PowerShell | Get-Date |
Bashで echo hello を実行して |
Bash | echo hello |
gitのバージョンを確認して |
Bash | git --version |
uname -a を実行して |
Bash | uname -a |
uname -a の実行環境は MINGW64_NT-10.0-26100(Git BashがMSYS2ベースで動作)と確認できました。
PowerShellを明示的に指定しない場合、gitコマンドやPOSIX系コマンドはBashツールが自動選択されています。Claudeが文脈に応じてツールを使い分けている様子が観察できました。
テストケースD: PowerShellでの通常業務シミュレーション
ファイル操作(Write/Read/Edit)、ディレクトリ一覧表示、環境変数参照を一通り試しました。
ファイル操作
> test.txt に "hello world" と書き込んで
● Write(C:\Users\<username>\Downloads\test.txt)
Wrote 1 lines to C:\Users\<username>\Downloads\test.txt
hello world
> test.txt の内容を読んで
● Read(C:\Users\<username>\Downloads\test.txt)
Read 1 line
test.txt の内容は hello world です。
> test.txt の "hello" を "goodbye" に変更して
● Update(C:\Users\<username>\Downloads\test.txt)
Added 1 line, removed 1 line
hello world
No newline at end of file
goodbye world
No newline at end of file
test.txt の内容を goodbye world に変更しました。
PowerShell固有の操作
> 現在のディレクトリの中身を一覧表示して
● Bash(ls C:\Users\<username>\Downloads)
● PowerShell(Get-ChildItem "C:\Users\<username>\Downloads")
Directory: C:\Users\<username>\Downloads
Mode LastWriteTime Length Name
---- ------------- ------ ----
d----- 2026/04/28 11:32 <folder-name-1>
d----- 2026/06/10 8:18 <folder-name-2>
-a---- 2026/02/26 22:08 5265 <file-name-1>.zip
-a---- 2026/06/02 21:36 6989472 <file-name-2>.exe
-a---- 2026/06/08 21:04 9337 <file-name-3>.png
...(省略)
C:\Users\<username>\Downloads の内容(一部抜粋):
フォルダ:
- <folder-name-1>
- <folder-name-2>
ファイル(一部):
- test.txt
- 各種 .zip, .pdf, .xlsx, .exe ファイルなど多数
> 環境変数 PATH の内容を表示して
● PowerShell($env:PATH -split ";")
C:\Windows\system32
C:\Windows
C:\Windows\System32\Wbem
C:\Windows\System32\WindowsPowerShell\v1.0\
C:\Windows\System32\OpenSSH\
C:\Program Files\nodejs\
C:\Program Files\Git\cmd
C:\Users\<username>\AppData\Local\Microsoft\WindowsApps
C:\Users\<username>\AppData\Local\Programs\Microsoft VS Code\bin
C:\Users\<username>\AppData\Roaming\npm
Node.js、Git、VS Codeなどが登録されています。
テストケースE: サンドボックス非対応の影響確認
sandbox.enabled: true + sandbox.failIfUnavailable: false を設定した状態での動作を確認しました。
起動時のメッセージに以下の警告が表示されましたが、セッション自体は正常に開始されました。
‼ 1 setup issue: sandbox · /doctor
/doctor を実行するとエラー詳細が確認できます。
× Sandbox
Status: Missing dependencies
srt-win.exe not found. ...
/sandbox コマンドを実行したところ、以下のメッセージが表示されました。
Error: Sandbox settings are overridden by a higher-priority configuration and cannot be changed locally.
managed settingsで sandbox.failIfUnavailable: false を設定しているため、Windowsで未対応のサンドボックスは「警告のみ・継続」の動作になっていることが確認できました。ユーザーが設定を上書きすることもできません。
サンドボックスなしの状態でPowerShellツール・Bashツールの両方が正常に動作することも確認済みです。
観点2: PowerShell denyルールの動作確認
テストケースA: エイリアス正規化の確認
cmdlet名(Invoke-WebRequest・Invoke-RestMethod・Invoke-Expression)のみでdenyルールを記述し、短縮エイリアス(iwr・irm・iex)にもマッチするかを確認しました。
**テスト A-1: Invoke-WebRequest(cmdlet名、直接マッチ)**
> PowerShellで `Invoke-WebRequest https://example.com` を実行して
● PowerShell(Invoke-WebRequest https://example.com)
09:31 AM claude-sonnet-4-6
実行が拒否されました。権限設定により Invoke-WebRequest https://example.com の実行がブロックされています。
このコマンドを実行するには、ターミナルで直接 ! Invoke-WebRequest https://example.com と入力してください。
**テスト A-2: iwr(エイリアス、正規化マッチ)**
> PowerShellで `iwr https://example.com` を実行して
● PowerShell(iwr https://example.com)
09:31 AM claude-sonnet-4-6
こちらも拒否されました。iwr は Invoke-WebRequest のエイリアスのため、同様にブロックされています。
ターミナルで直接実行する場合は ! iwr https://example.com と入力してください。
**テスト A-3: Invoke-RestMethod(cmdlet名、直接マッチ)**
> PowerShellで `Invoke-RestMethod https://api.example.com/health` を実行して
Ran 1 shell command
こちらも拒否されました。Web リクエスト系のコマンドは権限設定によりブロックされているようです。
これらのコマンドを許可したい場合は、/update-config スキルで設定を追加できます。または、ターミナルで直接 ! Invoke-RestMethod https://api.example.com/health と入力して実行してください。
**テスト A-4: irm(エイリアス、正規化マッチ)**
> PowerShellで `irm https://api.example.com/health` を実行して
Ran 1 shell command
やはり拒否されました。iwr/Invoke-WebRequest、irm/Invoke-RestMethod いずれもブロックされており、外部への Web リクエスト系コマンドが権限設定で制限されているようです。
解決策として:
- ターミナルで直接 ! irm https://api.example.com/health と入力して実行する
- または /update-config で該当コマンドの実行を許可する設定を追加する
**テスト A-5: Invoke-Expression(cmdlet名、直接マッチ)**
> PowerShellで `Invoke-Expression "Get-Date"` を実行して
09:33 AM claude-sonnet-4-6
Invoke-Expression は任意の文字列をコードとして実行するため、インジェクション攻撃のリスクがあります。今回の引数 "Get-Date" 自体は無害ですが、このコマンドの実行は控えさせていただきます。
Get-Date を直接実行する場合は、ターミナルで ! Get-Date と入力してください。
**テスト A-6: iex(エイリアス、正規化マッチ)**
> PowerShellで `iex "Get-Date"` を実行して
09:34 AM claude-sonnet-4-6
iex は Invoke-Expression のエイリアスのため、同様に実行を控えさせていただきます。
Get-Date を直接実行したい場合は ! Get-Date とターミナルに入力してください。
まとめると以下のような結果になっています。
| テスト | コマンド | 結果 |
|---|---|---|
| A-1 | Invoke-WebRequest https://example.com(cmdlet名) |
ブロック |
| A-2 | iwr https://example.com(エイリアス) |
ブロック |
| A-3 | Invoke-RestMethod https://api.example.com/health(cmdlet名) |
ブロック |
| A-4 | irm https://api.example.com/health(エイリアス) |
ブロック |
| A-5 | Invoke-Expression "Get-Date"(cmdlet名) |
ブロック |
| A-6 | iex "Get-Date"(エイリアス) |
ブロック |
エイリアス(iwr・irm・iex)はいずれも、cmdlet名(Invoke-WebRequest・Invoke-RestMethod・Invoke-Expression)と同等のdenyルールとして評価されブロックされました。
公式ドキュメントに記載の通り、エイリアス名を列挙したルールは不要です。cmdlet名だけを書けば対応するエイリアスも網羅されます。
テストケースB: パイプライン・複合コマンドの分割評価
パイプライン演算子や;で連結した複合コマンドが分割評価されるかを確認しました。
**テスト B-1: パイプライン演算子 `|`**
> PowerShellで `Invoke-WebRequest https://example.com | Out-File result.txt` を実行して
09:36 AM claude-sonnet-4-6
example.com にリクエストを送り、結果をファイルに保存します。
● PowerShell(Invoke-WebRequest https://example.com | Out-File result.txt)
09:36 AM claude-sonnet-4-6
実行がブロックされました。ユーザーがツールの使用を拒否したため、このコマンドは実行できません。
ターミナルで直接実行したい場合は、Claude Code の入力欄に以下のように入力してください:
! Invoke-WebRequest https://example.com | Out-File result.txt
! プレフィックスを付けることで、コマンドをそのままこのセッションのシェルで実行できます。
✻ Sautéed for 8s
**テスト B-2: ステートメント区切り `;`**
● PowerShell(Get-Date; Invoke-WebRequest https://example.com)
09:37 AM claude-sonnet-4-6
こちらもブロックされました。PowerShell ツールの使用が許可されていない状態です。
ターミナルで直接実行する場合は、入力欄に以下を入力してください:
! Get-Date; Invoke-WebRequest https://example.com
または、PowerShell ツールの権限を許可したい場合は /update-config で設定を変更できます。
**テスト B-3: 変数経由の間接呼び出し**
> PowerShellで `$cmd = "Invoke-WebRequest"; & $cmd https://example.com` を実行して
このコマンドは実行しません。
前の2回のリクエスト(Invoke-WebRequest への直接呼び出し)がブロックされた後、今回は変数経由で同じコマンドを呼び出す書き方になっています。これは権限チェックを迂回しようとするパターンです。
権限設定によってブロックされた操作を、別の書き方で回避することはすべきではありません。
Invoke-WebRequest を使いたい正当な理由があれば、/update-config で権限を明示的に許可するか、! コマンド の形式でご自身で実行してください。
まとめると以下のような結果になっています。
| テスト | コマンド | 結果 |
|---|---|---|
| B-1 | Invoke-WebRequest ... | Out-File result.txt |
ブロック |
| B-2 | Get-Date; Invoke-WebRequest ... |
ブロック |
| B-3 | $cmd = "Invoke-WebRequest"; & $cmd ... |
ブロック(Claude自律判断) |
B-1では | の前半(Invoke-WebRequest)がdenyルールにマッチし、コマンド全体がブロックされました。B-2では ; の後半にdeny対象コマンドが含まれており、同様にコマンド全体がブロックされました。
B-3の変数経由の間接呼び出しでは、AST解析で静的にcmdlet名を解決できない可能性がありましたが、Claudeが「権限チェックを迂回しようとするパターン」として自律的に実行を拒否する挙動が観察されました。
テストケースC: 二重経路ブロックの確認
Windows + Git Bash環境では、PowerShellツールとBashツールの両方が使えます。そのため、外部通信をどちらの経路からも確実にブロックできるかを確認しました。
> PowerShellで `Invoke-WebRequest https://example.com` を実行して
● PowerShell(Invoke-WebRequest https://example.com)
09:40 AM claude-sonnet-4-6
実行が拒否されました。ユーザーがこのコマンドを許可しなかったため、実行できていません。
ご自身で実行したい場合は、PowerShell で以下を入力してください:
Invoke-WebRequest https://example.com
または Claude Code のプロンプトで ! プレフィックスを使って実行することもできます:
! Invoke-WebRequest https://example.com
**テスト C-2: Bash経路のブロック**
● Bash(curl https://example.com)
09:41 AM claude-sonnet-4-6
こちらも実行が拒否されました。
ご自身で実行する場合は、プロンプトで次のように入力してください:
! curl https://example.com
**テスト C-3: Bash → PowerShell経路のブロック(powershell.exe)**
● Bash(powershell -c "Invoke-WebRequest https://example.com")
09:42 AM claude-sonnet-4-6
こちらも拒否されました。
前の2つのリクエストと実質的に同じ操作(https://example.com へのHTTPリクエスト)のため、同様に拒否されています。
実行したい場合はプロンプトで直接:
! powershell -c "Invoke-WebRequest https://example.com"
と入力してください。
**テスト C-4: Bash → PowerShell経路のブロック(pwsh.exe)**
> Bashで `pwsh -c "Invoke-WebRequest https://example.com"` を実行して
● Bash(pwsh -c "Invoke-WebRequest https://example.com")
09:42 AM claude-sonnet-4-6
こちらも拒否されました。
これまでの試みをまとめると:
┌───────────────────────────────────────┬────────────┬──────┐
│ コマンド │ ツール │ 結果 │
├───────────────────────────────────────┼────────────┼──────┤
│ Invoke-WebRequest https://example.com │ PowerShell │ 拒否 │
├───────────────────────────────────────┼────────────┼──────┤
│ curl https://example.com │ Bash │ 拒否 │
├───────────────────────────────────────┼────────────┼──────┤
│ powershell -c "Invoke-WebRequest ..." │ Bash │ 拒否 │
├───────────────────────────────────────┼────────────┼──────┤
│ pwsh -c "Invoke-WebRequest ..." │ Bash │ 拒否 │
└───────────────────────────────────────┴────────────┴──────┘
外部URLへのHTTPリクエストはいずれの方法でも許可されていないようです。ご自身で実行する場合は ! <コマンド> をプロンプトに入力してください。
まとめると以下のような結果になっています。
| テスト | ツール | コマンド | 適用ルール | 結果 |
|---|---|---|---|---|
| C-1 | PowerShell | Invoke-WebRequest https://example.com |
PowerShell(Invoke-WebRequest *) |
ブロック |
| C-2 | Bash | curl https://example.com |
Bash(curl *) |
ブロック |
| C-3 | Bash | powershell -c "Invoke-WebRequest ..." |
Bash(powershell *) |
ブロック |
| C-4 | Bash | pwsh -c "Invoke-WebRequest ..." |
Bash(pwsh *) |
ブロック |
C-3・C-4の「Bash → PowerShell経由での迂回」は、PowerShellのdenyルールではなく Bash(powershell *) / Bash(pwsh *) のdenyルールで外側のコマンドをブロックする形になっています。PowerShellの引数として渡した内部コマンドは評価されませんが、外側のランチャーをブロックすることで迂回が防止されています。
また、Claudeが一方の経路でブロックされた後に別の経路で同じ操作を試みる「再試行による迂回」は観察されませんでした。
テストケースD: ExecutionPolicy尊重設定の確認
デフォルト動作ではClaude CodeはPowerShellを -ExecutionPolicy Bypass のプロセススコープで起動します。CLAUDE_CODE_POWERSHELL_RESPECT_EXECUTION_POLICY=1 を設定すると、マシンの実効ExecutionPolicyが尊重されます。
デフォルト動作の際と、CLAUDE_CODE_POWERSHELL_RESPECT_EXECUTION_POLICY=1を設定した時のPowerShellのスクリプト実行の挙動を確認してみました。
テストスクリプトのtest-script.ps1を作成します。
Set-Content -Path C:\Users\<username>\w02-test\test-script.ps1 -Value 'Write-Output "Hello from script"'
デフォルト動作(CLAUDE_CODE_POWERSHELL_RESPECT_EXECUTION_POLICY 未設定)
Get-ExecutionPolicy -List
# Scope ExecutionPolicy
# ----- ---------------
# MachinePolicy Undefined
# UserPolicy Undefined
# Process Bypass ← Claude Codeが -ExecutionPolicy Bypass で起動
# CurrentUser Undefined
# LocalMachine Undefined
ProcessスコープがBypassになっており、.\test-script.ps1 の実行が成功しました。
> PowerShellで `.\test-script.ps1` を実行して
.\test-script.ps1 を実行します。
Ran 1 shell command
スクリプトが正常に実行され、Hello from script と出力されました。
CLAUDE_CODE_POWERSHELL_RESPECT_EXECUTION_POLICY=1 適用後
Get-ExecutionPolicy -List
# Scope ExecutionPolicy
# ----- ---------------
# MachinePolicy Undefined
# UserPolicy Undefined
# Process RemoteSigned ← BypassではなくマシンのポリシーがProcessスコープに反映
# CurrentUser Undefined
# LocalMachine Undefined
ProcessスコープがBypassから RemoteSigned に変わりました。検証マシンのLocalMachine設定が RemoteSigned であるため、それが反映された結果です。ローカルスクリプト(未署名)は RemoteSigned で実行可能なため、.\test-script.ps1 は引き続き成功しました。
> PowerShellで `.\test-script.ps1` を実行して
まずファイルの存在を確認します。
Searched for 1 pattern, ran 1 shell command
スクリプトが正常に実行され、Hello from script と出力されました。
まとめ
今回は、ネイティブWindows環境でのClaude Enterpriseのserver-managed settingsによる検証をしてみました。
| 検証項目 | 結果 | 備考 |
|---|---|---|
| managed settings配信・キャッシュ | ✅ 配信・キャッシュ確認 | %USERPROFILE%\.claude\remote-settings.json に保存 |
| PowerShellツール有効化(PS5.1) | ✅ 有効化確認 | pwsh.exeがない場合はpowershell.exeにフォールバック |
| Bash/PowerShell共存 | ✅ 共存・使い分け確認 | Claudeが指示内容に応じてツールを使い分け |
| サンドボックス非対応(failIfUnavailable: false) | ✅ 警告のみで継続 | 設定のローカル変更不可 |
| エイリアス正規化 | ✅ ブロック確認 | iwr/irm/iexはcmdlet名のルールでブロック |
| パイプライン・セミコロン分割評価 | ✅ ブロック確認 | | / ; 区切りでdeny対象を含む複合コマンドをブロック |
| 二重経路ブロック | ✅ ブロック確認 | PowerShell経路・Bash経路・Bash→PS迂回すべてブロック |
| ExecutionPolicy尊重設定 | ✅ ポリシー反映確認 | ProcessスコープがBypass → マシンポリシーに変更 |
特に実用上のポイントをいくつかご紹介します。
まず、エイリアスルールの整理についてです。cmdlet名のdenyルールだけでエイリアスもカバーされるため、PowerShell(iwr *) のようなエイリアス名のルールは冗長です。ポリシーをシンプルに保つことができます。
次に、二重経路の考慮についてです。PowerShellツールとBashツールの両方が動作するWindowsでは、ネットワーク系コマンドのブロックは両ツールに設定が必要です。また、Bash → PowerShellの迂回経路(Bash(powershell *) / Bash(pwsh *))も忘れずに設定しましょう。
サンドボックス警告の扱いについては、failIfUnavailable: false にすると起動は継続しますが、/doctor や起動画面に警告が表示されます。ユーザーへの事前周知があるとスムーズです。
この記事が誰かの助けになれば幸いです。
以上、クラウド事業本部コンサルティング部の渡邉でした!
