Claude Managed Agents 是 Anthropic 在 Claude Code 中推出的企业级多智能体管理体系,允许 IT 管理员通过统一配置将专属 AI 子代理(Subagent)部署至整个组织,并通过权限分层、工具隔离、上下文独立等机制确保安全可控。它是 Claude Code v2 时代企业 AI 落地的核心基础设施,于 2025 年底进入稳定版并随 Claude Code 加速普及。
本文从系统架构、部署方式、使用场景三个维度展开,适合企业 IT 负责人与开发者快速建立认知体系。
核心概念:三层结构一次读懂
Claude Managed Agents 由三个层次构成,理解这三层是掌握整套体系的前提。
第一层:Subagent(子代理) Subagent 是最小的执行单元——一个具有独立上下文窗口、专属系统提示词和受限工具集的 AI 助手。每当 Claude 主会话遇到匹配描述的任务时,会自动将该任务委托给相应 Subagent 独立执行,完成后汇报结果。Subagent 与主会话上下文隔离,有效防止"上下文污染",同时通过模型降级(如为轻量任务指定 Haiku 模型)显著降低成本。
第二层:Agent Teams(代理团队) Agent Teams 是 2026 年初进入实验性支持的进阶能力,允许多个 Claude Code 实例并行工作。其核心在于:各 Teammate 拥有独立上下文,可通过共享任务列表自我协调,并通过邮件系统(Mailbox)直接互发消息,无需经过主 Lead 中转。
第三层:Managed Settings(托管配置)
Managed Settings 是企业级控制平面,IT 管理员通过 managed-settings.json、MDM 配置文件(如 Jamf/Kandji)或 Anthropic 管理后台,将 Subagent 定义、工具权限、MCP 服务器列表等策略下发至组织内所有机器,且优先级最高、不可被用户覆盖。
Subagent vs Agent Teams:如何选择?
两者在架构上有本质区别,选错会造成资源浪费:
| 维度 | Subagent | Agent Teams |
|---|---|---|
| 通信方式 | 仅向主 Agent 汇报结果 | Teammate 间可直接通信 |
| 上下文 | 独立窗口,结果摘要回传 | 各自独立,互不继承 |
| Token 开销 | 较低(摘要回传) | 较高(每个 Teammate 独立消耗) |
| 协调机制 | 主 Agent 全权调度 | 共享任务列表,支持自我认领 |
| 适用场景 | 专注任务、只需最终结果 | 需要讨论、交叉验证、并行探索 |
| 稳定性 | 正式发布,稳定可用 | 实验性功能,需手动开启 |
选择建议: 对于绝大多数企业自动化需求,优先使用 Subagent;仅当任务需要多角色协商(如多视角代码审查、竞争假设调试)时,再考虑 Agent Teams。
Managed Agents 的三大内置子代理
Claude Code 开箱即带三个官方内置 Subagent,企业无需额外配置即可使用:
- Explore:只读探索代理,使用 Haiku 模型,专注文件搜索与代码库分析。将探索任务委托至此,可避免分析过程污染主会话上下文。
- Plan:规划代理,在 Plan Mode 下执行代码库研究,防止无限嵌套(子代理不能再派生子代理)。
- General-purpose:通用代理,继承主会话所有工具,适合复杂多步骤操作任务。
此外,还有 statusline-setup(状态栏配置)和 Claude Code Guide(内置问答)等专用内置代理,均自动按场景触发。
如何部署 Managed Agent:三种路径
路径一:交互式创建(推荐个人或团队试用)
在 Claude Code 中运行 /agents 命令,通过引导界面选择:创建位置(用户级 ~/.claude/agents/ 或项目级 .claude/agents/)→ 生成系统提示词 → 选择工具权限 → 指定模型 → 启用持久记忆。保存后立即生效。
路径二:手写 Markdown 文件(推荐纳入版本控制)
Subagent 定义为带 YAML frontmatter 的 Markdown 文件:
---
name: security-reviewer
description: 审查代码安全漏洞,专注认证、注入、权限三类风险
tools: Read, Grep, Glob
model: sonnet
memory: project
---
你是资深安全审计工程师。每次审查时,先读取内存目录中的历史审计记录,
再扫描目标代码,最后按严重程度(Critical / High / Medium / Low)分类输出。
将此文件提交至 .claude/agents/,团队所有成员共享同一配置。
路径三:Managed Settings 组织级推送(推荐企业 IT 管理员)
通过 managed-settings.json 将 Subagent 定义部署至组织所有机器,用户无法覆盖:
{
"permissions": {
"allow": ["Agent(security-reviewer)", "Agent(doc-writer)"],
"deny": ["Agent(general-purpose)"]
}
}
支持通过 macOS MDM(Jamf、Kandji)、Windows 组策略、Anthropic 管理后台三种方式下发,管理粒度可细化至"仅允许使用特定 Subagent 组合"。
权限与安全控制机制
Managed Agents 的安全体系分四个维度:
① 工具级隔离:在 Subagent 定义中使用 tools(白名单)或 disallowedTools(黑名单)精确限制可用工具。例如只读审查代理只需 Read, Grep, Glob,杜绝写入操作。
② 权限模式分层:permissionMode 支持六档设置,从 plan(只读探索)到 bypassPermissions(跳过所有确认)。企业建议默认使用 acceptEdits 或 auto,高风险操作保留 default 手动确认。
③ 钩子(Hooks)前置拦截:通过 PreToolUse Hook 在工具执行前运行校验脚本。例如数据库查询代理可在每次 Bash 执行前拦截 INSERT / UPDATE / DELETE 命令:
# validate-readonly-query.sh
INPUT=$(cat)
COMMAND=$(echo "$INPUT" | jq -r '.tool_input.command // empty')
if echo "$COMMAND" | grep -iE '\b(INSERT|UPDATE|DELETE|DROP)\b' > /dev/null; then
echo "已拦截写操作" >&2; exit 2
fi
exit 0
④ 组织级策略锁定:在 Managed Settings 中设置 allowManagedPermissionRulesOnly: true,可完全禁止用户和项目级别修改权限规则,仅执行管理员下发策略。
企业典型应用场景
场景一:多视角并行代码审查
将 PR 审查拆分为三个独立 Subagent 并发执行:安全审查(检查注入、认证漏洞)、性能审查(识别 N+1 查询、无效缓存)、测试覆盖审查(验证边界条件),三路结果汇总后由主会话合并输出,审查时间相较串行方式降低约 60%。
场景二:DevOps 流水线嵌入
在 CI/CD 中调用专用 Subagent 完成:代码风格检查 → 安全扫描 → 变更日志生成 → 文档同步更新。每个 Subagent 工具权限最小化,只读代理无法意外修改生产文件。
场景三:合规文档处理
金融和医疗行业可部署只读 Subagent 处理敏感文档分析,配合 memory: project 积累历史审查知识,避免每次重复"重新理解"合规框架。通过 MCP 接入企业内部知识库,实现基于私有数据的合规问答。
场景四:组织级 AI 助手标准化
IT 管理员通过 Managed Settings 统一下发「代码助手」「文档撰写助手」「数据查询助手」三类标准 Subagent,明确每类助手的工具权限边界,避免员工自建 Subagent 带来的安全隐患。例如,七牛云推出的 Linclaw 桌面版 AI 助手正是类似的思路——将预配置的 AI 能力以零部署方式交付给非技术用户,降低企业推广 AI 工具的门槛。
与竞品的核心差异
| 能力点 | Claude Managed Agents | OpenAI Assistants | Microsoft Copilot Studio |
|---|---|---|---|
| 上下文隔离 | 每个 Subagent 独立窗口 | 共享 Thread | 取决于配置 |
| 企业策略下发 | Managed Settings(MDM 兼容) | 无统一企业部署方案 | 需 Azure AD 集成 |
| 工具权限粒度 | 工具级白/黑名单 | Function 级别 | Connector 级别 |
| Agent 间通信 | Agent Teams 支持直接 P2P | 不支持 | 有限支持 |
| 模型灵活选择 | 每个 Agent 独立指定模型 | 绑定 OpenAI 模型 | 绑定 GPT-4 系列 |
| 开源生态 | 兼容 MCP 协议 | 有限 | 有限 |
常见问题
Q:Subagent 能不能再派生 Subagent(嵌套)? 不能。这是设计上的硬性限制:Subagent 只能向主会话汇报,无法派生新的 Subagent。这一设计防止了不受控的任务扩散和 Token 爆炸。如果需要多层协作,请改用 Agent Teams。
Q:Managed Settings 通过什么方式下发到 Windows 设备?
支持两种方式:一是将 managed-settings.json 部署至 C:\Program Files\ClaudeCode\managed-settings.json(v2.1.75+ 路径);二是通过 Windows 组策略(GPO)写入注册表 HKLM\Software\Policies\Anthropic\ClaudeCode。两者均无法被用户修改。
Q:Subagent 的持久记忆(memory)会不会泄露跨项目信息?
不会。memory: user 将记忆存储于 ~/.claude/agent-memory/<agent-name>/,memory: project 存储于 .claude/agent-memory/<agent-name>/,两者物理隔离。Project 记忆可纳入 .gitignore 防止提交。
Q:Agent Teams 目前是否适合生产环境?
尚不建议。截至 2026 年 4 月,Agent Teams 仍为实验性功能(需手动设置 CLAUDE_CODE_EXPERIMENTAL_AGENT_TEAMS=1 开启),存在任务状态滞后、无法恢复会话等已知限制。稳定性关键路径建议继续使用 Subagent 架构。
Q:如何控制 Subagent 的 Token 成本?
三个主要手段:① 为轻量任务指定 model: haiku 降低单价;② 通过工具白名单缩小 Subagent 操作范围,减少工具定义 Token;③ 合理设置 maxTurns 避免任务失控循环。
小结
Claude Managed Agents 提供了一套从个人开发者到大型企业均可落地的 AI 代理管理框架。核心价值在于:通过上下文隔离保护主会话质量、通过工具权限最小化降低安全风险、通过组织级部署实现 AI 能力的标准化交付。
据 Anthropic 官方文档(2026 年 4 月),Managed Settings 机制已支持与 Jamf、Kandji 等主流 MDM 系统集成,使得企业 IT 团队无需依赖员工自觉配置,即可通过现有设备管理体系统一管控 Claude Code 行为。随着 Agent Teams 逐步稳定,多代理协作的生产级应用场景将进一步扩展。
延伸资源:
- Claude Code 官方文档 Subagents:code.claude.com/docs/en/sub…
- Agent Teams 指南:code.claude.com/docs/en/age…
- 多模型 API 对比与接入:www.qiniu.com/ai/models
本文内容基于 2026 年 4 月 Anthropic 官方文档数据,建议每季度核实功能变更,特别是 Agent Teams 实验性功能的稳定性更新。
