Benutzerdefinierte Rollen sind für Enterprise-Plan-Organisationen verfügbar. Inhaber, Primäre Inhaber und benutzerdefinierte Rollen mit der Berechtigung Identität & Zugriff auf "Verwalten" können zu Organisationseinstellungen > Rollen gehen, um benutzerdefinierte Rollen zu verwalten.
Was sind benutzerdefinierte Rollen?
Mit benutzerdefinierten Rollen können Sie definieren, auf welche Funktionen Ihre Mitglieder zugreifen können. Jede benutzerdefinierte Rolle enthält einen Satz von Berechtigungen, die den Zugriff auf spezifische Funktionen wie Chat, Claude Cowork, Claude Code und Websuche sowie die Konnektoren, die Ihre Organisation hinzugefügt hat, wie Slack oder Google Drive, gewähren oder einschränken. Benutzerdefinierte Rollen können auch Admin-Berechtigungen gewähren, die Mitgliedern Zugriff auf spezifische Verwaltungsbereiche wie Abrechnung, Identität oder Datenschutz geben, ohne sie zu Inhabern zu machen.
Benutzerdefinierte Rollen funktionieren zusammen mit Gruppen. Der typische Arbeitsablauf ist: Erstellen Sie benutzerdefinierte Rollen, weisen Sie sie Gruppen zu, und setzen Sie dann die Rollen der Mitglieder auf "Benutzerdefiniert", damit ihr Zugriff vollständig durch die benutzerdefinierten Rollen gesteuert wird, die ihren Gruppen zugewiesen sind.
Hinweis: Benutzerdefinierte Rollen beeinflussen nur Mitglieder, deren Rolle auf "Benutzerdefiniert" gesetzt ist. Mitglieder mit den Rollen Benutzer, Admin oder Inhaber erhalten ihre Berechtigungen direkt von diesen Rollen, nicht von benutzerdefinierten Rollen.
Wie der Funktionszugriff funktioniert
Der Funktionszugriff wird durch eine vierstufige Prioritätskette bestimmt, bei der die restriktivste Stufe gewinnt:
Plattformebenen-Overrides: Einige Funktionen können von Anthropic als Teil Ihres Vertrags für Ihre Organisation erzwungen aktiviert oder deaktiviert werden. Diese können in den Organisationseinstellungen nicht geändert werden.
Organisationsebenen-Einstellung: Ein Inhaber oder Primärer Inhaber kann eine Funktion für die gesamte Organisation ein- oder ausschalten. Wenn eine Funktion auf Organisationsebene deaktiviert ist, kann keine benutzerdefinierte Rolle Zugriff darauf gewähren.
Berechtigungen für benutzerdefinierte Rollen: Wenn die Funktion auf Organisationsebene aktiviert ist, bestimmen die benutzerdefinierten Rollen des Mitglieds, ob es darauf zugreifen kann. Wenn eine der benutzerdefinierten Rollen des Mitglieds die Funktion gewährt, hat es diese.
Benutzereinstellung: Wenn die Funktion auf Rollenebene gewährt wird, ist sie verfügbar, es sei denn, das Mitglied hat sie in seinen eigenen Einstellungen deaktiviert.
Die wichtigste Erkenntnis: Der Organisationsebenen-Schalter ist ein Hauptschalter. Benutzerdefinierte Rollen sind die darunter liegenden Pro-Mitglied-Schalter. Eine Funktion muss auf Organisationsebene aktiviert sein, bevor benutzerdefinierte Rollen kontrollieren können, wer Zugriff erhält.
Hinweis: Diese Prioritätskette gilt für Funktionen. Admin-Berechtigungen werden nicht durch einen Organisationsebenen-Schalter oder die eigenen Einstellungen eines Mitglieds eingeschränkt. Wenn die benutzerdefinierte Rolle eines Mitglieds eine Admin-Berechtigung gewährt, hat es diesen Zugriff.
Verfügbare Funktionen
Jede benutzerdefinierte Rolle kann den Zugriff auf die folgenden Funktionen gewähren oder einschränken:
Funktion | Beschreibung |
Chat | Zugriff auf Chat in Web-, Desktop- und Mobile-Apps. |
Code-Ausführung und Dateierstellung | Möglichkeit, Code auszuführen und Dateien in Gesprächen zu erstellen. |
Speicher | Möglichkeit, Speicher über Gespräche hinweg zu nutzen. |
Websuche | Möglichkeit, Websuche in Gesprächen zu nutzen. |
Öffentliche Projekte | Möglichkeit, Projekte mit allen Mitgliedern Ihrer Organisation zu teilen. |
Fähigkeiten erstellen | Möglichkeit, benutzerdefinierte Fähigkeiten zu erstellen oder hochzuladen. |
Fähigkeiten mit Organisationsmitgliedern teilen | Möglichkeit, Fähigkeiten mit bestimmten Personen in Ihrer Organisation zu teilen. |
Fähigkeiten mit der gesamten Organisation teilen | Möglichkeit, Fähigkeiten auf einmal mit allen Mitgliedern Ihrer Organisation zu teilen. |
Claude Code | Zugriff auf Claude Code. |
Schneller Modus | Zugriff auf schnellere Modelloptionen für Claude Code. |
Claude Code dynamische Workflows* | Zugriff auf dynamische Workflows in Claude Code, die es Claude ermöglichen, große Engineering-Aufgaben – Migrationen, Audits, codebase-weite Bug-Jagden – von Anfang bis Ende in einer einzigen Sitzung auszuführen. Diese Läufe können stundenlang dauern und mehr Token verwenden als eine typische Sitzung. |
Claude Security | Finden und beheben Sie Sicherheitslücken in Ihrem Code mit Claude. |
Claude Code Artefakte | Möglichkeit, Artefakte in Claude Code zu erstellen, die die Arbeit einer Sitzung in eine Live-, teilbare Seite umwandeln, die aus dem Kontext der Sitzung erstellt wurde. |
Claude Design | Zugriff auf Claude Design zum Generieren von Design-Artefakten. |
Claude Cowork | Zugriff auf Claude Cowork. |
Claude für Chrome | Zugriff auf Claude für Chrome, die Browser-Erweiterung, mit der Claude Webseiten im Namen des Benutzers durchsuchen und bearbeiten kann. |
*Claude Code dynamische Workflows sind standardmäßig für Ihre gesamte Organisation aktiviert. Da eine einzelne Ausführung Stunden dauern kann und mehr Token verbraucht als eine typische Sitzung, entscheiden Sie, welche Rollen Zugriff haben sollten. Für Mitglieder mit benutzerdefinierten Rollen folgt diese Funktion dem additiven Modell wie jede andere – eine Rolle muss sie gewähren, damit diese Mitglieder sie nutzen können. Um eine bestimmte Gruppe einzuschränken, deaktivieren Sie diese Funktion in ihrer Rolle.
Dies kann organisationsweit über managed-settings.json deaktiviert werden
Ein Eigentümer kann dies für Ihre gesamte Organisation deaktivieren, indem er zu Organisationseinstellungen > Claude Code navigiert und Workflows ausschaltet.
Benutzerdefinierte Rollen regeln auch Admin-Berechtigungen, Konnektoren und Modellzugriff, die auf separaten Registerkarten Berechtigungen, Konnektoren und Modelle im Rollen-Editor konfiguriert werden. Siehe Admin-Berechtigungen, Konnektorberechtigung und Modellzugriff unten.
Hinweis: Chat ist standardmäßig für alle benutzerdefinierten Rollen aktiviert, einschließlich solcher, die vor dem Hinzufügen dieser Funktion erstellt wurden. Wenn Sie den Chat für eine bestimmte Rolle einschränken möchten, schalten Sie ihn beim Bearbeiten der Rolle aus.
Erstellen Sie eine benutzerdefinierte Rolle
Navigieren Sie zu Organisationseinstellungen > Rollen.
Klicken Sie auf „Rolle hinzufügen"."
Geben Sie einen Namen für die Rolle ein (z. B. „Entwickler
Wählen Sie die Gruppen aus, die Sie der Rolle zuweisen möchten.
Schalten Sie jede Funktion ein oder aus, um zu definieren, was diese Rolle gewährt.
Konfigurieren Sie Berechtigungen. Sie können für jede Admin-Einstellung „Kein Zugriff
Konfigurieren Sie Konnektoren. Sie können für alle Konnektoren „Immer zulassen
Konfigurieren Sie Modelle. Wählen Sie, welche Modelle diese Rolle verwenden kann, legen Sie optional eine maximale Aufwandsstufe pro Modell fest, und wählen Sie optional ein Standardmodell für die Rolle.
Klicken Sie auf „Rolle speichern"."
Bearbeiten Sie eine benutzerdefinierte Rolle
Navigieren Sie zu Organisationseinstellungen > Rollen.
Klicken Sie auf die Rolle, die Sie bearbeiten möchten.
Aktualisieren Sie den Namen und die Gruppen, oder schalten Sie Funktionen, Berechtigungen, Konnektoren und Modelle nach Bedarf um.
Klicken Sie auf „Rolle speichern
Rollenänderungen können bis zu 15 Minuten dauern, bis sie wirksam werden, und Mitglieder müssen möglicherweise ihren Browser aktualisieren. Alle Mitglieder in Gruppen, die dieser Rolle zugewiesen sind, sind betroffen.
Löschen Sie eine benutzerdefinierte Rolle
Klicken Sie auf die Menüschaltfläche für eine beliebige benutzerdefinierte Rolle und wählen Sie „Rolle löschen
Weisen Sie Gruppen benutzerdefinierten Rollen zu
Benutzerdefinierte Rollen werden Gruppen zugewiesen, nicht direkt einzelnen Mitgliedern. So weisen Sie eine Gruppe einer Rolle zu:
Navigieren Sie zu Organisationseinstellungen > Rollen.
Klicken Sie auf die Rolle, die Sie zuweisen möchten.
Wählen Sie im Gruppenauswahlfeld eine oder mehrere Gruppen aus.
Klicken Sie auf „Rolle speichern"."
Sie können benutzerdefinierte Rollen auch zuweisen, wenn Sie eine Gruppe in Organisationseinstellungen > Gruppen erstellen oder bearbeiten. Siehe Verwalten Sie Gruppen und Ausgabenlimits für Gruppen in Enterprise-Plänen.
Wie Berechtigungen über mehrere Rollen hinweg kombiniert werden
Wenn ein Mitglied mehreren Gruppen mit unterschiedlichen benutzerdefinierten Rollen angehört, sind seine Berechtigungen additiv – es erhält die Vereinigung aller Berechtigungen aus allen Rollen in seiner Kette. Wenn eine Rolle eine Funktion gewährt, hat das Mitglied Zugriff darauf.
Dies bedeutet, dass Sie eine Rolle nicht verwenden können, um eine Berechtigung zu entfernen, die von einer anderen Rolle gewährt wurde. Dies ist beabsichtigt – es ermöglicht einen gestuften Ansatz, bei dem eine Basisrolle allgemeine Funktionen abdeckt und zusätzliche Rollen spezifische Funktionen und Admin-Berechtigungen hinzufügen.
Beispiel: Ein Mitglied gehört zwei Gruppen an. Die Gruppe „Alle Benutzer" hat eine Rolle „Standardzugriff" mit Websuche und Speicher. Die Gruppe „Engineering" hat eine Rolle „Entwickler" mit Cowork und Claude Code. Das Mitglied erhält alle vier: Websuche, Speicher, Cowork und Claude Code.
Sehen Sie die effektive Rolle eines Mitglieds oder einer Gruppe
Wenn ein Mitglied mehreren Gruppen angehört, deren Rollen unterschiedliche Funktionen gewähren, kann es schwierig sein, zu sehen, was es tatsächlich tun kann. Die Option „Effektive Rolle anzeigen
Navigieren Sie zu Organisationseinstellungen > Mitglieder (oder Organisationseinstellungen > Gruppen).
Suchen Sie das Mitglied oder die Gruppe und öffnen Sie das Menü „⋮" auf der rechten Seite ihrer Zeile."
Wählen Sie „Effektive Rolle anzeigen"."
Das Modal zeigt die zugewiesenen Rollen des Mitglieds und drei Registerkarten:
Funktionen: jede Funktion mit einer Bezeichnung „Gewährt von [Rollenname]
Berechtigungen: jeder Admin-Berechtigungsbereich mit seiner effektiven Stufe (Kein Zugriff, Kann anzeigen oder Kann verwalten) und welche Rolle sie gewährt.
Konnektoren: die effektive Berechtigungsstufe jedes Konnektors und welche Rolle sie gewährt.
Diese Ansicht ist schreibgeschützt. Um zu ändern, was ein Mitglied tun kann, bearbeiten Sie die Rollen, die seinen Gruppen zugewiesen sind.
Hinweis: „Effektive Rolle anzeigen
Admin-Berechtigungen
Benutzerdefinierte Rollen können Admin-Berechtigungen zusätzlich zu Funktionen und Konnektorberechtigung gewähren. Admin-Berechtigungen geben Mitgliedern Zugriff auf spezifische Verwaltungsbereiche, wie Abrechnung oder Datenschutz, ohne sie zu Eigentümern zu machen. Sie können Admin-Berechtigungen auf der Registerkarte Berechtigungen des Rollen-Editors konfigurieren.
Hinweis: Admin-Berechtigungen gelten nur für Mitglieder, deren Rolle auf „Benutzerdefiniert
Admin-Berechtigungsstufen
Auf der Registerkarte Berechtigungen legen Sie jede Berechtigungsbereich auf eine von drei Ebenen fest:
Kein Zugriff: Das Mitglied sieht diesen Bereich in seinen Organisationseinstellungen nicht.
Kann anzeigen: Die Ansicht gewährt Lesezugriff. Das Mitglied sieht die gleichen Seiten und Einstellungen wie jemand, der diesen Bereich verwalten kann, aber jedes Steuerelement ist deaktiviert oder wird als schreibgeschützt angezeigt. Verwenden Sie diese Berechtigungsstufe für Compliance-Prüfer, Finanzprüfer, Sicherheitsteams oder alle, die die Konfiguration sehen müssen, ohne sie zu ändern.
Kann verwalten: Verwalten gewährt vollständigen Lese- und Schreibzugriff auf den Bereich und umfasst Zugriff auf die Ansicht.
Innerhalb eines Bereichs gewähren Sie entweder alle Ansicht- oder alle Verwaltungsrechte. Sie können einzelne Seiten oder Einstellungen nicht gewähren oder einschränken.
Verfügbare Admin-Berechtigungen
Es gibt sieben Admin-Berechtigungsbereiche:
Bereich | Ansicht | Verwalten |
Identität & Zugriff | SSO- und SAML-Konfiguration, verifizierte Domänen, Domänenmitgliedschaften, IP-Allowlist, Sitzungseinstellungen, Gruppendefinitionen, Rollendefinitionen und Bereitstellungseinstellungen | SSO bearbeiten, Domänen verwalten, IP-Allowlist bearbeiten, Sitzungseinstellungen bearbeiten, Gruppen und Rollen erstellen und bearbeiten sowie Bereitstellung konfigurieren |
Abrechnung | Plandetails, Sitzanzahl, Rechnungen, Abrechnungsadressen und Ausgabennutzung | Sitzplätze ändern, Zahlungsmethoden aktualisieren, Abrechnungsadressen bearbeiten und Ausgabenlimits sowie zusätzliche Nutzung konfigurieren |
Analytik | Nutzungsanalytik, Claude Code-Analytik und Metriken zur Funktionsadoption | Nicht verfügbar |
Datenschutz | Datenspeicherungseinstellungen, Exportkonfiguration, Freigabeeinstellungen, Geolokalisierungseinstellungen, Einstellung nur für USA und Verschlüsselungsschlüssel-Status | Aufbewahrungszeiträume bearbeiten, Datenexporte ausführen, Freigabeeinstellungen ändern und Geolokalisierung, Nur-USA-Inferenz und Verschlüsselung konfigurieren |
Benutzerverwaltung | Nicht verfügbar | Mitglieder einladen, Mitgliedsrollen ändern, Mitglieder entfernen und ausstehende Einladungen verwalten |
Bibliotheken | Nicht verfügbar | Organisationsweite Fähigkeiten, Plugins und Konnektoren hinzufügen, bearbeiten und entfernen. Umfasst auch die Verzeichnisverwaltung. |
Verzeichnisverwaltung | Nicht verfügbar | Verzeichniseinträge einreichen und verwalten sowie Observability für Einträge anzeigen, die Ihre Organisation veröffentlicht hat |
Hinweis: Eine Rolle mit Identität & Zugriff auf "Kann verwalten" eingestellt kann Gruppen und Rollen erstellen und bearbeiten, einschließlich ihrer eigenen Rollendefinition. Mitglieder mit dieser Berechtigung können ihren eigenen Zugriff erweitern, daher sollten Sie diese Berechtigung vertrauenswürdigen Sicherheits- und IT-Administratoren vorbehalten.
Verfügbare Organisationseinstellungsseiten für jede Berechtigung
Organisationseinstellungsseite | Erforderliche Berechtigung | Hinweise |
Abrechnung | Abrechnung (Ansicht oder Verwalten) | Plan, Sitzplätze, Adressen und Rechnungen |
Nutzung | Abrechnung (Ansicht oder Verwalten) | Ausgabenlimits, Guthaben und zusätzliche Nutzung |
Mitglieder | Benutzerverwaltung (Verwalten) | Kein Nur-Ansicht-Modus |
Gruppen | Identität & Zugriff (Ansicht oder Verwalten) |
|
Rollen | Identität & Zugriff (Ansicht oder Verwalten) |
|
Modelle | Identität & Zugriff (Anzeigen oder Verwalten) | Standardmodell und Modellzugriff |
Organisation und Zugriff (teilweise) | Identität & Zugriff (Anzeigen oder Verwalten) | Entsperrt Single Sign-On (SSO/SAML, Gruppenzuordnungen, Bereitstellung), verifizierte Domänen und Domänenmitgliedschaften, IP-Allowlist, Sitzungseinstellungen, Organisationserstellung einschränken und Organisationsfusionsanfragen. Andere Abschnitte auf dieser Seite, wie der Organisationsname, Standardfunktionseinstellungen und die organisationsweite Systemaufforderung, erfordern weiterhin die Rolle „Eigentümer |
Daten und Datenschutz | Datenschutz (Anzeigen oder Verwalten) |
|
Analytik | Analytik (Anzeigen) | Erreichbar über Analytik im Benutzermenü, nicht über Organisationseinstellungen |
Fähigkeiten | Bibliotheken (Verwalten) |
|
Plugins | Bibliotheken (Verwalten) |
|
Konnektoren | Bibliotheken (Verwalten) |
|
Verzeichnis | Verzeichnisverwaltung (Verwalten) |
|
Was Admin-Berechtigungen nicht abdecken
Folgende Optionen bleiben nur für Eigentümer und Primäre Eigentümer verfügbar, auch für Mitglieder mit Admin-Berechtigungen:
Verwaltung von Eigentümern und Administratoren. Admin-Berechtigungen können die integrierten Rollen „Eigentümer
API-Schlüssel und Arbeitsbereiche. API-Schlüsselverwaltung, Arbeitsbereichseinstellungen und Claude Console-Verwaltung werden nicht durch Admin-Berechtigungen abgedeckt.
Compliance- und Sicherheitsschlüssel. Compliance-API-Einstellungen und Sicherheitsschlüsselverwaltung bleiben nur für Eigentümer verfügbar.
Organisationsweite Funktionseinstellungen. Welche Funktionen auf Organisationsebene aktiviert sind, wird separat gesteuert und ist nicht Teil der Admin-Berechtigungen.
Was Mitglieder sehen, wenn Admin-Berechtigungen eingeschränkt sind
Wenn ein Mitglied keinen Zugriff auf eine bestimmte Admin-Berechtigung hat, wird der Abschnitt in seinen Organisationseinstellungen nicht angezeigt. Es werden nur Abschnitte angezeigt, die seine Berechtigungen abdecken.
Konnektor-Berechtigungen
Benutzerdefinierte Rollen steuern auch, welche Konnektoren und welche Tools auf diesen Konnektoren eine Rolle verwenden kann. Während Funktionen Claudes integrierte Funktionen abdecken, decken Konnektor-Berechtigungen die Apps und Dienste ab, die Sie mit Ihrer Organisation verbunden haben, wie Slack, Google Drive oder Jira. Sie legen diese auf der Registerkarte Konnektoren des Rollen-Editors neben den Registerkarten Funktionen und Berechtigungen fest.
Hinweis: Konnektor-Berechtigungen gelten nur für Mitglieder, deren Rolle auf „Benutzerdefiniert" eingestellt ist. Mitglieder mit den Rollen „Benutzer", „Administrator" oder „Eigentümer" sehen jeden Konnektor, der für Ihre Organisation aktiviert ist, vorbehaltlich Ihrer organisationsweiten Tool-Richtlinien pro Konnektor. Eigentümer und Administratoren sehen immer jeden Konnektor, damit sie ihn konfigurieren können, unabhängig von den Konnektor-Berechtigungen einer Rolle.
Berechtigungsstufen
Auf der Registerkarte Konnektoren legen Sie alle Konnektoren, jeden Konnektor oder jedes Tool auf einem Konnektor auf eine von drei Stufen fest:
Immer zulassen: Jedes Tool auf dem Konnektor ist verfügbar, und Mitglieder können ihre eigene Genehmigung auf „Immer zulassen
Genehmigung erforderlich: Jedes Tool ist verfügbar, aber Mitglieder bestätigen jeden Aufruf. Die Option „Immer zulassen" wird aus ihrem persönlichen Genehmigungsmenü für diese Tools entfernt."
Blockiert: Der Konnektor oder das Tool ist verborgen. Claude kann es nicht sehen oder aufrufen.
Ein Konnektor kann auch auf Benutzerdefiniert eingestellt werden, wodurch Sie jedes seiner Tools einzeln einstellen können. Für die vollständige Einrichtung siehe Rollenbasierte Berechtigungen in Enterprise-Plänen einrichten.
Wie der Konnektor-Zugriff bestimmt wird
Ein Konnektor oder Tool durchläuft mehrere Ebenen, bevor ein Mitglied ihn verwenden kann, bewertet in dieser Reihenfolge:
Rollenzuweisung. Jeder Konnektor oder jedes Tool auf einer Rolle ist auf „Immer zulassen
Über die Rollen des Mitglieds. Wenn die Gruppen eines Mitglieds ihm mehr als eine Rolle geben, gilt die permissivste Zuweisung für jedes Tool. Konnektor-Berechtigungen sind über Rollen hinweg additiv, genau wie Funktionen.
Organisationsweite Tool-Richtlinie. Die Pro-Tool-Richtlinie, die Sie unter Organisationseinstellungen > Konnektoren pro Konnektor festlegen, ist die Obergrenze. Für jedes Tool vergleicht Claude die Rollenzuweisung des Mitglieds mit dieser Richtlinie und wendet die strengere der beiden an. Rollenzuweisungen schränken den Zugriff innerhalb der Richtlinie ein; sie können nicht über sie hinaus erweitert werden. Weitere Informationen zum Festlegen des Tool-Zugriffs finden Sie unter Verwenden Sie Konnektoren, um Claudes Funktionen zu erweitern.
Die eigene Einstellung des Mitglieds. Das Ergebnis der obigen Schritte ist die effektive Obergrenze des Mitglieds. Sie begrenzt die Optionen in seinem persönlichen Pro-Tool-Genehmigungsmenü („Immer zulassen
Für Mitglieder, die Claude Code verwenden, gilt eine weitere Ebene: Verwaltete Einstellungsrichtlinien und Konnektor-Berechtigungen werden nach dem restriktivsten Prinzip kombiniert. Ein Tool ist nur aufrufbar, wenn beide es zulassen. Weitere Informationen finden Sie unter Claude Code-Einstellungen.
Diese Tabelle zeigt, wie die organisationsweite Tool-Richtlinie und die Rollenzuweisung eines Mitglieds kombiniert werden:
Organisationsweite Tool-Richtlinie | Höchste Rollenzuweisung über die Rollen des Mitglieds | Effektive Obergrenze | Persönliche Optionen des Mitglieds |
Immer zulassen | Immer zulassen | Immer zulassen | Immer erlauben, Fragen, Nie |
Immer erlauben | Genehmigung erforderlich | Genehmigung erforderlich | Fragen, Nie |
Immer erlauben | Blockiert | Blockiert | Tool ausgegraut |
Genehmigung erforderlich | Immer erlauben | Genehmigung erforderlich | Fragen, Nie |
Genehmigung erforderlich | Blockiert | Blockiert | Tool ausgegraut |
Blockiert | Beliebig | Blockiert | Tool ausgegraut |
Wo Connector-Berechtigungen gelten
Connector-Berechtigungen werden auf Anthropics Servern durchgesetzt, daher gelten sie auf jeder Claude-Oberfläche, die Connector-Datenverkehr über Anthropic leitet:
Oberfläche | Abdeckung |
Claude im Web und auf dem Desktop | Vollständige Durchsetzung. Blockierte Connectors sind verborgen, blockierte Tools sind ausgegraut, und das Menü für persönliche Genehmigungen ist auf das beschränkt, was die Obergrenze erlaubt. |
Claude Mobile (iOS und Android) | Durchgesetzt. Blockierte Tools werden aus Claudes Ansicht entfernt und Aufrufe an sie werden abgelehnt. Ein blockiertes Tool kann in den mobilen Connector-Einstellungen noch aktiv aussehen, bis Interface-Updates ausgeliefert werden, aber es kann nicht verwendet werden. |
Claude Cowork (Cloud und Desktop) | Wie im Web. |
Claude Code | Durchgesetzt. Blockierte Tools werden abgelehnt und erscheinen als deaktiviert. Siehe Claude Code-Einstellungen. |
Connector-Berechtigungen regeln Connectors, die Ihre Organisation unter Organisationseinstellungen > Connectors hinzugefügt hat. Sie regeln nicht Connectors, die ein Mitglied lokal auf seinem eigenen Computer ausführt, und sie regeln nicht Claude Cowork, wenn es auf einer Drittanbieter-Plattform bereitgestellt wird. Verwenden Sie für Cowork-Bereitstellungen von Drittanbietern stattdessen MDM. Siehe Cowork auf 3P: MCP, Plugins, Skills und Hooks.
Was Mitglieder sehen, wenn ein Connector eingeschränkt ist
Einschränkung | Was das Mitglied sieht |
Ein Connector ist für ihre Rolle blockiert | Der Connector wird nicht in ihrem Connector-Menü angezeigt. |
Ein Tool ist auf einem sichtbaren Connector blockiert | Das Tool ist in ihren Connector-Einstellungen ausgegraut, mit der Meldung „Dieses Tool ist für Ihre Rolle nicht aktiviert. Wenden Sie sich an Ihren Administrator. |
Ein Tool ist auf „Genehmigung erforderlich" begrenzt" | Das Tool funktioniert, aber das Menü für persönliche Genehmigungen bietet nur „Fragen" und „Nie", und Claude fragt vor jedem Aufruf. |
Connector-Berechtigungen können kurzzeitig nicht geladen werden | Ein Banner meldet, dass Connectors nicht geladen werden konnten, mit einer Wiederholung. Kein blockiertes Tool erreicht jemals den verbundenen Service. Der Zugriff schlägt fehl und verweigert, nie gewährt. |
Mitglieder können nicht erkennen, welche Ebene ein Tool eingeschränkt hat. Die Meldung ist gleich, ob die Beschränkung aus der organisationsweiten Tool-Richtlinie, einer Rollenzuweisung oder beiden stammt. Um die Quelle zu finden, vergleichen Sie die organisationsweite Richtlinie mit den Rollenzuweisungen des Mitglieds.
Modellzugriff
Benutzerdefinierte Rollen steuern auch, welche Claude-Modelle eine Rolle verwenden kann, und die maximale Aufwandsstufe, die Mitglieder für jedes Modell auswählen können. Sie legen diese auf der Registerkarte Modelle des Rollen-Editors fest, neben dem Standardmodell der Rolle.
Die Modelleinstellung auf Organisationsebene ist die Obergrenze. Eine Rolle kann kein Modell gewähren, das auf Organisationsebene deaktiviert ist. Über die Rollen eines Mitglieds hinweg ist der Modellzugriff additiv und Aufwandsgrenzen nehmen die höchste Obergrenze an, die eine Rolle erlaubt. Haiku-Modelle sind immer verfügbar und können nicht deaktiviert werden.
Für Einrichtungsschritte und was Mitglieder sehen, siehe Modellzugriff für Ihre Organisation verwalten. Für das Standardmodellverhalten siehe Legen Sie ein Standardmodell für Ihre Organisation fest.
Was Mitglieder sehen, wenn der Zugriff auf Funktionen eingeschränkt ist
Wenn eine Funktion eingeschränkt ist, sehen Mitglieder Folgendes. Informationen zu Connector- und Tool-Einschränkungen finden Sie unter Connector-Berechtigungen oben.
Grund | Was das Mitglied sieht |
Funktion ist auf Organisationsebene deaktiviert | Die Funktion wird ausgegraut oder ausgeblendet angezeigt, mit der Meldung "Diese Funktion ist für Ihre Organisation deaktiviert." |
Die Rollen des Mitglieds gewähren keinen Zugriff auf die Funktion | Die Funktion wird ausgegraut oder ausgeblendet angezeigt, mit der Meldung "Wenden Sie sich an Ihren Administrator, um Zugriff auf diese Funktion anzufordern." |
Die Rollen des Mitglieds gewähren keinen Produktzugriff | Das Mitglied landet auf seiner Einstellungsseite, wenn es sich anmeldet, ohne dass Produkte zur Verwendung verfügbar sind. |
