01 / Overview
意思決定は、最初の30分で90%決まる
API プロバイダ → 配布方法 → 強制ポリシー → 観測経路。順番を守ると後戻りが少ない。
- step 1
API プロバイダ選定
Console / Bedrock / Vertex / Foundry。社内クラウド契約に揃える。
- step 2
設定の届け方
Managed file / 端末配布 / Server-managed のいずれか。
- step 3
強制したい範囲
モデル制限、permission モード、テレメトリの強制 ON。
- step 4
可視化と監査
OTel メトリクス → Datadog / Grafana / SIEM へ流す。
02 / Providers
4 プロバイダ早見表
どこに乗せるか。クラウド契約・コンプライアンス要件・モデル可否で決まります。
Console / Pro / Max
Anthropic 直接best for
- 個人〜小規模
- ZDR は要申請
- セットアップ最短
pin
モデル ID は固定なので心配不要
注意
- · 大規模な組織管理機能は限定的
Amazon Bedrock
AWSbest for
- AWS 既存契約
- AWS Guardrails 連携
- 1M context
pin
**inference profile に明示マップ必須**
注意
- · リージョンによりモデル可否が変わる
- · SSO + 企業プロキシで認証ループ事例あり
Google Vertex AI
GCPbest for
- GCP / GKE 上の運用
- Workload Identity Federation
- 1M context
pin
リージョンと model alias の組合せに注意
注意
- · Vertex 上での Claude モデル提供開始時期が US 中心
Microsoft Foundry
Azurebest for
- Azure テナント / Entra ID
- Azure RBAC でアクセス制御
pin
Azure の Provision 単位でクォータ管理
注意
- · 対応モデルは Bedrock/Vertex より少なめ
03 / Managed settings
ユーザーが上書きできない設定
OS レベル管理ファイルを配布するか、サーバから動的に取得するかの 2 方式。
Managed settings はユーザーの settings.json より上位のレイヤー。配列はマージ、スカラーは上位が勝ち。 モデル制限・テレメトリ強制・auto-mode のフォールバック先などを組織で固定したいときに。
{
"model": { "allow": ["claude-sonnet-4-6", "claude-haiku-4-5"], "default": "claude-sonnet-4-6" },
"permissions": {
"deny": ["Bash(rm -rf:*)", "Edit(.env)"],
"managed": true
},
"telemetry": { "exporter": "otlp", "endpoint": "https://otel.corp.example/v1" },
"mcp": { "allowedServers": ["github", "internal-knowledge"] }
}04 / Network
プロキシ・CA・mTLS
社内ネットワークの3 大障壁を順に潰します。
# プロキシ
export HTTPS_PROXY=http://proxy.corp.example:8080
export NO_PROXY=localhost,.corp.example
# 自社 CA を信頼
export NODE_EXTRA_CA_CERTS=/etc/ssl/certs/corp-ca.pem
# mTLS(クライアント証明書)
export CLAUDE_CLIENT_CERT=/etc/ssl/certs/claude.crt
export CLAUDE_CLIENT_KEY=/etc/ssl/private/claude.key05 / LLM Gateway
LiteLLM を間に挟むパターン
複数プロバイダを 1 つのエンドポイントに集約、レート制限・コストコントロール・ロギングを中央化。
model_list:
- model_name: claude-sonnet-4-6
litellm_params:
model: bedrock/anthropic.claude-sonnet-4-6
aws_region_name: us-west-2
aws_role_name: arn:aws:iam::...:role/claude-bedrock
- model_name: claude-haiku-4-5
litellm_params:
model: vertex_ai/claude-haiku-4-5
vertex_project: my-gcp-project
vertex_location: us-east5
general_settings:
master_key: sk-...
database_url: postgresql://...
alerting:
- type: slack
webhook_url: https://hooks.slack.com/...06 / DevContainer
開発環境ごと配布
VS Code DevContainer に Claude Code を同梱、認証はホスト側にマウント。
{
"image": "mcr.microsoft.com/devcontainers/typescript-node:20",
"postCreateCommand": "npm install -g @anthropic-ai/claude-code && claude --version",
"mounts": [
"source=${localEnv:HOME}/.claude,target=/home/node/.claude,type=bind"
],
"containerEnv": {
"ANTHROPIC_BASE_URL": "https://gateway.corp.example",
"MAX_THINKING_TOKENS": "8000"
},
"features": {
"ghcr.io/devcontainers/features/git:1": {}
}
}07 / Observability
OpenTelemetry で「誰が・いつ・いくら使ったか」
40+ 種のメトリクス/イベント。代表的なものだけ覚えればだいたい間に合います。
claude.cost.usdcounter
セッションごとのコスト累計
claude.tokenscounter
input/output/cache 別のトークン
claude.lines_of_codecounter
Claude が編集した LOC
claude.pull_requestscounter
Claude 起点で作られた PR 数
claude.commitscounter
Claude が作ったコミット数
claude.session_countcounter
起動セッション数
claude.active_timegauge
アクティブ時間(採用率)
claude.tool_decisioncounter
ツール承認/拒否の決定
08 / Data
ZDR と「ZDR で無効になる機能」
Zero Data Retention:Anthropic 側にプロンプト・応答を保持しない契約。
ZDR を有効にすると、いくつかの機能(プロンプトキャッシュの一部、フィードバック収集、品質サーベイ等)が 無効になります。「ZDR が必要 = それらが無くて困らない」を組織として確認するのが先です。
09 / Adoption
組織導入:Champion Kit と Communications Kit
技術より、運動を組み立てる。30 日プレイブックの主要素。
Day 1: アナウンス
なぜ導入するか/何ができるか/どこで助けを求めるかを 1 通で。経営層スポンサー版とパイロット版を別文面で
Day 7: ヒント連載
「Project memory」「Connect your tools」「Day-to-day」など7テーマ × 3-5 行のヒントを連載
Day 30: チャンピオン拡張
1 部署 1 人のチャンピオンを置き、観測した良いプロンプトを社内チャットに流す