Zum Hauptinhalt springen

Benutzerdefinierte Rollen in Enterprise-Plänen verwalten

Benutzerdefinierte Rollen sind für Enterprise-Plan-Organisationen verfügbar. Inhaber, Primäre Inhaber und benutzerdefinierte Rollen mit der Berechtigung Identität & Zugriff auf "Verwalten" können zu Organisationseinstellungen > Rollen gehen, um benutzerdefinierte Rollen zu verwalten.

Was sind benutzerdefinierte Rollen?

Mit benutzerdefinierten Rollen können Sie definieren, auf welche Funktionen Ihre Mitglieder zugreifen können. Jede benutzerdefinierte Rolle enthält einen Satz von Berechtigungen, die den Zugriff auf spezifische Funktionen wie Chat, Claude Cowork, Claude Code und Websuche sowie die Konnektoren, die Ihre Organisation hinzugefügt hat, wie Slack oder Google Drive, gewähren oder einschränken. Benutzerdefinierte Rollen können auch Admin-Berechtigungen gewähren, die Mitgliedern Zugriff auf spezifische Verwaltungsbereiche wie Abrechnung, Identität oder Datenschutz geben, ohne sie zu Inhabern zu machen.

Benutzerdefinierte Rollen funktionieren zusammen mit Gruppen. Der typische Arbeitsablauf ist: Erstellen Sie benutzerdefinierte Rollen, weisen Sie sie Gruppen zu, und setzen Sie dann die Rollen der Mitglieder auf "Benutzerdefiniert", damit ihr Zugriff vollständig durch die benutzerdefinierten Rollen gesteuert wird, die ihren Gruppen zugewiesen sind.

Hinweis: Benutzerdefinierte Rollen beeinflussen nur Mitglieder, deren Rolle auf "Benutzerdefiniert" gesetzt ist. Mitglieder mit den Rollen Benutzer, Admin oder Inhaber erhalten ihre Berechtigungen direkt von diesen Rollen, nicht von benutzerdefinierten Rollen.


Wie der Funktionszugriff funktioniert

Der Funktionszugriff wird durch eine vierstufige Prioritätskette bestimmt, bei der die restriktivste Stufe gewinnt:

  1. Plattformebenen-Overrides: Einige Funktionen können von Anthropic als Teil Ihres Vertrags für Ihre Organisation erzwungen aktiviert oder deaktiviert werden. Diese können in den Organisationseinstellungen nicht geändert werden.

  2. Organisationsebenen-Einstellung: Ein Inhaber oder Primärer Inhaber kann eine Funktion für die gesamte Organisation ein- oder ausschalten. Wenn eine Funktion auf Organisationsebene deaktiviert ist, kann keine benutzerdefinierte Rolle Zugriff darauf gewähren.

  3. Berechtigungen für benutzerdefinierte Rollen: Wenn die Funktion auf Organisationsebene aktiviert ist, bestimmen die benutzerdefinierten Rollen des Mitglieds, ob es darauf zugreifen kann. Wenn eine der benutzerdefinierten Rollen des Mitglieds die Funktion gewährt, hat es diese.

  4. Benutzereinstellung: Wenn die Funktion auf Rollenebene gewährt wird, ist sie verfügbar, es sei denn, das Mitglied hat sie in seinen eigenen Einstellungen deaktiviert.

Die wichtigste Erkenntnis: Der Organisationsebenen-Schalter ist ein Hauptschalter. Benutzerdefinierte Rollen sind die darunter liegenden Pro-Mitglied-Schalter. Eine Funktion muss auf Organisationsebene aktiviert sein, bevor benutzerdefinierte Rollen kontrollieren können, wer Zugriff erhält.

Hinweis: Diese Prioritätskette gilt für Funktionen. Admin-Berechtigungen werden nicht durch einen Organisationsebenen-Schalter oder die eigenen Einstellungen eines Mitglieds eingeschränkt. Wenn die benutzerdefinierte Rolle eines Mitglieds eine Admin-Berechtigung gewährt, hat es diesen Zugriff.


Verfügbare Funktionen

Jede benutzerdefinierte Rolle kann den Zugriff auf die folgenden Funktionen gewähren oder einschränken:

Funktion

Beschreibung

Chat

Zugriff auf Chat in Web-, Desktop- und Mobile-Apps.

Code-Ausführung und Dateierstellung

Möglichkeit, Code auszuführen und Dateien in Gesprächen zu erstellen.

Speicher

Möglichkeit, Speicher über Gespräche hinweg zu nutzen.

Websuche

Möglichkeit, Websuche in Gesprächen zu nutzen.

Öffentliche Projekte

Möglichkeit, Projekte mit allen Mitgliedern Ihrer Organisation zu teilen.

Fähigkeiten erstellen

Möglichkeit, benutzerdefinierte Fähigkeiten zu erstellen oder hochzuladen.

Fähigkeiten mit Organisationsmitgliedern teilen

Möglichkeit, Fähigkeiten mit bestimmten Personen in Ihrer Organisation zu teilen.

Fähigkeiten mit der gesamten Organisation teilen

Möglichkeit, Fähigkeiten auf einmal mit allen Mitgliedern Ihrer Organisation zu teilen.

Claude Code

Zugriff auf Claude Code.

Schneller Modus

Zugriff auf schnellere Modelloptionen für Claude Code.

Claude Code dynamische Workflows*

Zugriff auf dynamische Workflows in Claude Code, die es Claude ermöglichen, große Engineering-Aufgaben – Migrationen, Audits, codebase-weite Bug-Jagden – von Anfang bis Ende in einer einzigen Sitzung auszuführen. Diese Läufe können stundenlang dauern und mehr Token verwenden als eine typische Sitzung.

Claude Security

Finden und beheben Sie Sicherheitslücken in Ihrem Code mit Claude.

Claude Code Artefakte

Möglichkeit, Artefakte in Claude Code zu erstellen, die die Arbeit einer Sitzung in eine Live-, teilbare Seite umwandeln, die aus dem Kontext der Sitzung erstellt wurde.

Claude Design

Zugriff auf Claude Design zum Generieren von Design-Artefakten.

Claude Cowork

Zugriff auf Claude Cowork.

Claude für Chrome

Zugriff auf Claude für Chrome, die Browser-Erweiterung, mit der Claude Webseiten im Namen des Benutzers durchsuchen und bearbeiten kann.

*Claude Code dynamische Workflows sind standardmäßig für Ihre gesamte Organisation aktiviert. Da eine einzelne Ausführung Stunden dauern kann und mehr Token verbraucht als eine typische Sitzung, entscheiden Sie, welche Rollen Zugriff haben sollten. Für Mitglieder mit benutzerdefinierten Rollen folgt diese Funktion dem additiven Modell wie jede andere – eine Rolle muss sie gewähren, damit diese Mitglieder sie nutzen können. Um eine bestimmte Gruppe einzuschränken, deaktivieren Sie diese Funktion in ihrer Rolle.

Dies kann organisationsweit über managed-settings.json deaktiviert werden

Ein Eigentümer kann dies für Ihre gesamte Organisation deaktivieren, indem er zu Organisationseinstellungen > Claude Code navigiert und Workflows ausschaltet.

Benutzerdefinierte Rollen regeln auch Admin-Berechtigungen, Konnektoren und Modellzugriff, die auf separaten Registerkarten Berechtigungen, Konnektoren und Modelle im Rollen-Editor konfiguriert werden. Siehe Admin-Berechtigungen, Konnektorberechtigung und Modellzugriff unten.

Hinweis: Chat ist standardmäßig für alle benutzerdefinierten Rollen aktiviert, einschließlich solcher, die vor dem Hinzufügen dieser Funktion erstellt wurden. Wenn Sie den Chat für eine bestimmte Rolle einschränken möchten, schalten Sie ihn beim Bearbeiten der Rolle aus.


Erstellen Sie eine benutzerdefinierte Rolle

  1. Klicken Sie auf „Rolle hinzufügen"."

  2. Geben Sie einen Namen für die Rolle ein (z. B. „Entwickler

  3. Wählen Sie die Gruppen aus, die Sie der Rolle zuweisen möchten.

  4. Schalten Sie jede Funktion ein oder aus, um zu definieren, was diese Rolle gewährt.

  5. Konfigurieren Sie Berechtigungen. Sie können für jede Admin-Einstellung „Kein Zugriff

  6. Konfigurieren Sie Konnektoren. Sie können für alle Konnektoren „Immer zulassen

  7. Konfigurieren Sie Modelle. Wählen Sie, welche Modelle diese Rolle verwenden kann, legen Sie optional eine maximale Aufwandsstufe pro Modell fest, und wählen Sie optional ein Standardmodell für die Rolle.

  8. Klicken Sie auf „Rolle speichern"."

Bearbeiten Sie eine benutzerdefinierte Rolle

  1. Klicken Sie auf die Rolle, die Sie bearbeiten möchten.

  2. Aktualisieren Sie den Namen und die Gruppen, oder schalten Sie Funktionen, Berechtigungen, Konnektoren und Modelle nach Bedarf um.

  3. Klicken Sie auf „Rolle speichern

Rollenänderungen können bis zu 15 Minuten dauern, bis sie wirksam werden, und Mitglieder müssen möglicherweise ihren Browser aktualisieren. Alle Mitglieder in Gruppen, die dieser Rolle zugewiesen sind, sind betroffen.

Löschen Sie eine benutzerdefinierte Rolle

Klicken Sie auf die Menüschaltfläche für eine beliebige benutzerdefinierte Rolle und wählen Sie „Rolle löschen


Weisen Sie Gruppen benutzerdefinierten Rollen zu

Benutzerdefinierte Rollen werden Gruppen zugewiesen, nicht direkt einzelnen Mitgliedern. So weisen Sie eine Gruppe einer Rolle zu:

  1. Klicken Sie auf die Rolle, die Sie zuweisen möchten.

  2. Wählen Sie im Gruppenauswahlfeld eine oder mehrere Gruppen aus.

  3. Klicken Sie auf „Rolle speichern"."

Sie können benutzerdefinierte Rollen auch zuweisen, wenn Sie eine Gruppe in Organisationseinstellungen > Gruppen erstellen oder bearbeiten. Siehe Verwalten Sie Gruppen und Ausgabenlimits für Gruppen in Enterprise-Plänen.


Wie Berechtigungen über mehrere Rollen hinweg kombiniert werden

Wenn ein Mitglied mehreren Gruppen mit unterschiedlichen benutzerdefinierten Rollen angehört, sind seine Berechtigungen additiv – es erhält die Vereinigung aller Berechtigungen aus allen Rollen in seiner Kette. Wenn eine Rolle eine Funktion gewährt, hat das Mitglied Zugriff darauf.

Dies bedeutet, dass Sie eine Rolle nicht verwenden können, um eine Berechtigung zu entfernen, die von einer anderen Rolle gewährt wurde. Dies ist beabsichtigt – es ermöglicht einen gestuften Ansatz, bei dem eine Basisrolle allgemeine Funktionen abdeckt und zusätzliche Rollen spezifische Funktionen und Admin-Berechtigungen hinzufügen.

Beispiel: Ein Mitglied gehört zwei Gruppen an. Die Gruppe „Alle Benutzer" hat eine Rolle „Standardzugriff" mit Websuche und Speicher. Die Gruppe „Engineering" hat eine Rolle „Entwickler" mit Cowork und Claude Code. Das Mitglied erhält alle vier: Websuche, Speicher, Cowork und Claude Code.


Sehen Sie die effektive Rolle eines Mitglieds oder einer Gruppe

Wenn ein Mitglied mehreren Gruppen angehört, deren Rollen unterschiedliche Funktionen gewähren, kann es schwierig sein, zu sehen, was es tatsächlich tun kann. Die Option „Effektive Rolle anzeigen

  1. Suchen Sie das Mitglied oder die Gruppe und öffnen Sie das Menü „⋮" auf der rechten Seite ihrer Zeile."

  2. Wählen Sie „Effektive Rolle anzeigen"."

Das Modal zeigt die zugewiesenen Rollen des Mitglieds und drei Registerkarten:

  • Funktionen: jede Funktion mit einer Bezeichnung „Gewährt von [Rollenname]

  • Berechtigungen: jeder Admin-Berechtigungsbereich mit seiner effektiven Stufe (Kein Zugriff, Kann anzeigen oder Kann verwalten) und welche Rolle sie gewährt.

  • Konnektoren: die effektive Berechtigungsstufe jedes Konnektors und welche Rolle sie gewährt.

Diese Ansicht ist schreibgeschützt. Um zu ändern, was ein Mitglied tun kann, bearbeiten Sie die Rollen, die seinen Gruppen zugewiesen sind.

Hinweis: „Effektive Rolle anzeigen


Admin-Berechtigungen

Benutzerdefinierte Rollen können Admin-Berechtigungen zusätzlich zu Funktionen und Konnektorberechtigung gewähren. Admin-Berechtigungen geben Mitgliedern Zugriff auf spezifische Verwaltungsbereiche, wie Abrechnung oder Datenschutz, ohne sie zu Eigentümern zu machen. Sie können Admin-Berechtigungen auf der Registerkarte Berechtigungen des Rollen-Editors konfigurieren.

Hinweis: Admin-Berechtigungen gelten nur für Mitglieder, deren Rolle auf „Benutzerdefiniert

Admin-Berechtigungsstufen

Auf der Registerkarte Berechtigungen legen Sie jede Berechtigungsbereich auf eine von drei Ebenen fest:

  • Kein Zugriff: Das Mitglied sieht diesen Bereich in seinen Organisationseinstellungen nicht.

  • Kann anzeigen: Die Ansicht gewährt Lesezugriff. Das Mitglied sieht die gleichen Seiten und Einstellungen wie jemand, der diesen Bereich verwalten kann, aber jedes Steuerelement ist deaktiviert oder wird als schreibgeschützt angezeigt. Verwenden Sie diese Berechtigungsstufe für Compliance-Prüfer, Finanzprüfer, Sicherheitsteams oder alle, die die Konfiguration sehen müssen, ohne sie zu ändern.

  • Kann verwalten: Verwalten gewährt vollständigen Lese- und Schreibzugriff auf den Bereich und umfasst Zugriff auf die Ansicht.

Innerhalb eines Bereichs gewähren Sie entweder alle Ansicht- oder alle Verwaltungsrechte. Sie können einzelne Seiten oder Einstellungen nicht gewähren oder einschränken.

Verfügbare Admin-Berechtigungen

Es gibt sieben Admin-Berechtigungsbereiche:

Bereich

Ansicht

Verwalten

Identität & Zugriff

SSO- und SAML-Konfiguration, verifizierte Domänen, Domänenmitgliedschaften, IP-Allowlist, Sitzungseinstellungen, Gruppendefinitionen, Rollendefinitionen und Bereitstellungseinstellungen

SSO bearbeiten, Domänen verwalten, IP-Allowlist bearbeiten, Sitzungseinstellungen bearbeiten, Gruppen und Rollen erstellen und bearbeiten sowie Bereitstellung konfigurieren

Abrechnung

Plandetails, Sitzanzahl, Rechnungen, Abrechnungsadressen und Ausgabennutzung

Sitzplätze ändern, Zahlungsmethoden aktualisieren, Abrechnungsadressen bearbeiten und Ausgabenlimits sowie zusätzliche Nutzung konfigurieren

Analytik

Nutzungsanalytik, Claude Code-Analytik und Metriken zur Funktionsadoption

Nicht verfügbar

Datenschutz

Datenspeicherungseinstellungen, Exportkonfiguration, Freigabeeinstellungen, Geolokalisierungseinstellungen, Einstellung nur für USA und Verschlüsselungsschlüssel-Status

Aufbewahrungszeiträume bearbeiten, Datenexporte ausführen, Freigabeeinstellungen ändern und Geolokalisierung, Nur-USA-Inferenz und Verschlüsselung konfigurieren

Benutzerverwaltung

Nicht verfügbar

Mitglieder einladen, Mitgliedsrollen ändern, Mitglieder entfernen und ausstehende Einladungen verwalten

Bibliotheken

Nicht verfügbar

Organisationsweite Fähigkeiten, Plugins und Konnektoren hinzufügen, bearbeiten und entfernen. Umfasst auch die Verzeichnisverwaltung.

Verzeichnisverwaltung

Nicht verfügbar

Verzeichniseinträge einreichen und verwalten sowie Observability für Einträge anzeigen, die Ihre Organisation veröffentlicht hat

Hinweis: Eine Rolle mit Identität & Zugriff auf "Kann verwalten" eingestellt kann Gruppen und Rollen erstellen und bearbeiten, einschließlich ihrer eigenen Rollendefinition. Mitglieder mit dieser Berechtigung können ihren eigenen Zugriff erweitern, daher sollten Sie diese Berechtigung vertrauenswürdigen Sicherheits- und IT-Administratoren vorbehalten.

Verfügbare Organisationseinstellungsseiten für jede Berechtigung

Organisationseinstellungsseite

Erforderliche Berechtigung

Hinweise

Abrechnung

Abrechnung (Ansicht oder Verwalten)

Plan, Sitzplätze, Adressen und Rechnungen

Nutzung

Abrechnung (Ansicht oder Verwalten)

Ausgabenlimits, Guthaben und zusätzliche Nutzung

Mitglieder

Benutzerverwaltung (Verwalten)

Kein Nur-Ansicht-Modus

Gruppen

Identität & Zugriff (Ansicht oder Verwalten)

Rollen

Identität & Zugriff (Ansicht oder Verwalten)

Modelle

Identität & Zugriff (Anzeigen oder Verwalten)

Standardmodell und Modellzugriff

Organisation und Zugriff (teilweise)

Identität & Zugriff (Anzeigen oder Verwalten)

Entsperrt Single Sign-On (SSO/SAML, Gruppenzuordnungen, Bereitstellung), verifizierte Domänen und Domänenmitgliedschaften, IP-Allowlist, Sitzungseinstellungen, Organisationserstellung einschränken und Organisationsfusionsanfragen. Andere Abschnitte auf dieser Seite, wie der Organisationsname, Standardfunktionseinstellungen und die organisationsweite Systemaufforderung, erfordern weiterhin die Rolle „Eigentümer

Daten und Datenschutz

Datenschutz (Anzeigen oder Verwalten)

Analytik

Analytik (Anzeigen)

Erreichbar über Analytik im Benutzermenü, nicht über Organisationseinstellungen

Fähigkeiten

Bibliotheken (Verwalten)

Plugins

Bibliotheken (Verwalten)

Konnektoren

Bibliotheken (Verwalten)

Verzeichnis

Verzeichnisverwaltung (Verwalten)

Was Admin-Berechtigungen nicht abdecken

Folgende Optionen bleiben nur für Eigentümer und Primäre Eigentümer verfügbar, auch für Mitglieder mit Admin-Berechtigungen:

  • Verwaltung von Eigentümern und Administratoren. Admin-Berechtigungen können die integrierten Rollen „Eigentümer

  • API-Schlüssel und Arbeitsbereiche. API-Schlüsselverwaltung, Arbeitsbereichseinstellungen und Claude Console-Verwaltung werden nicht durch Admin-Berechtigungen abgedeckt.

  • Compliance- und Sicherheitsschlüssel. Compliance-API-Einstellungen und Sicherheitsschlüsselverwaltung bleiben nur für Eigentümer verfügbar.

  • Organisationsweite Funktionseinstellungen. Welche Funktionen auf Organisationsebene aktiviert sind, wird separat gesteuert und ist nicht Teil der Admin-Berechtigungen.

Was Mitglieder sehen, wenn Admin-Berechtigungen eingeschränkt sind

Wenn ein Mitglied keinen Zugriff auf eine bestimmte Admin-Berechtigung hat, wird der Abschnitt in seinen Organisationseinstellungen nicht angezeigt. Es werden nur Abschnitte angezeigt, die seine Berechtigungen abdecken.


Konnektor-Berechtigungen

Benutzerdefinierte Rollen steuern auch, welche Konnektoren und welche Tools auf diesen Konnektoren eine Rolle verwenden kann. Während Funktionen Claudes integrierte Funktionen abdecken, decken Konnektor-Berechtigungen die Apps und Dienste ab, die Sie mit Ihrer Organisation verbunden haben, wie Slack, Google Drive oder Jira. Sie legen diese auf der Registerkarte Konnektoren des Rollen-Editors neben den Registerkarten Funktionen und Berechtigungen fest.

Hinweis: Konnektor-Berechtigungen gelten nur für Mitglieder, deren Rolle auf „Benutzerdefiniert" eingestellt ist. Mitglieder mit den Rollen „Benutzer", „Administrator" oder „Eigentümer" sehen jeden Konnektor, der für Ihre Organisation aktiviert ist, vorbehaltlich Ihrer organisationsweiten Tool-Richtlinien pro Konnektor. Eigentümer und Administratoren sehen immer jeden Konnektor, damit sie ihn konfigurieren können, unabhängig von den Konnektor-Berechtigungen einer Rolle.

Berechtigungsstufen

Auf der Registerkarte Konnektoren legen Sie alle Konnektoren, jeden Konnektor oder jedes Tool auf einem Konnektor auf eine von drei Stufen fest:

  • Immer zulassen: Jedes Tool auf dem Konnektor ist verfügbar, und Mitglieder können ihre eigene Genehmigung auf „Immer zulassen

  • Genehmigung erforderlich: Jedes Tool ist verfügbar, aber Mitglieder bestätigen jeden Aufruf. Die Option „Immer zulassen" wird aus ihrem persönlichen Genehmigungsmenü für diese Tools entfernt."

  • Blockiert: Der Konnektor oder das Tool ist verborgen. Claude kann es nicht sehen oder aufrufen.

Ein Konnektor kann auch auf Benutzerdefiniert eingestellt werden, wodurch Sie jedes seiner Tools einzeln einstellen können. Für die vollständige Einrichtung siehe Rollenbasierte Berechtigungen in Enterprise-Plänen einrichten.

Wie der Konnektor-Zugriff bestimmt wird

Ein Konnektor oder Tool durchläuft mehrere Ebenen, bevor ein Mitglied ihn verwenden kann, bewertet in dieser Reihenfolge:

  1. Rollenzuweisung. Jeder Konnektor oder jedes Tool auf einer Rolle ist auf „Immer zulassen

  2. Über die Rollen des Mitglieds. Wenn die Gruppen eines Mitglieds ihm mehr als eine Rolle geben, gilt die permissivste Zuweisung für jedes Tool. Konnektor-Berechtigungen sind über Rollen hinweg additiv, genau wie Funktionen.

  3. Organisationsweite Tool-Richtlinie. Die Pro-Tool-Richtlinie, die Sie unter Organisationseinstellungen > Konnektoren pro Konnektor festlegen, ist die Obergrenze. Für jedes Tool vergleicht Claude die Rollenzuweisung des Mitglieds mit dieser Richtlinie und wendet die strengere der beiden an. Rollenzuweisungen schränken den Zugriff innerhalb der Richtlinie ein; sie können nicht über sie hinaus erweitert werden. Weitere Informationen zum Festlegen des Tool-Zugriffs finden Sie unter Verwenden Sie Konnektoren, um Claudes Funktionen zu erweitern.

  4. Die eigene Einstellung des Mitglieds. Das Ergebnis der obigen Schritte ist die effektive Obergrenze des Mitglieds. Sie begrenzt die Optionen in seinem persönlichen Pro-Tool-Genehmigungsmenü („Immer zulassen

Für Mitglieder, die Claude Code verwenden, gilt eine weitere Ebene: Verwaltete Einstellungsrichtlinien und Konnektor-Berechtigungen werden nach dem restriktivsten Prinzip kombiniert. Ein Tool ist nur aufrufbar, wenn beide es zulassen. Weitere Informationen finden Sie unter Claude Code-Einstellungen.

Diese Tabelle zeigt, wie die organisationsweite Tool-Richtlinie und die Rollenzuweisung eines Mitglieds kombiniert werden:

Organisationsweite Tool-Richtlinie

Höchste Rollenzuweisung über die Rollen des Mitglieds

Effektive Obergrenze

Persönliche Optionen des Mitglieds

Immer zulassen

Immer zulassen

Immer zulassen

Immer erlauben, Fragen, Nie

Immer erlauben

Genehmigung erforderlich

Genehmigung erforderlich

Fragen, Nie

Immer erlauben

Blockiert

Blockiert

Tool ausgegraut

Genehmigung erforderlich

Immer erlauben

Genehmigung erforderlich

Fragen, Nie

Genehmigung erforderlich

Blockiert

Blockiert

Tool ausgegraut

Blockiert

Beliebig

Blockiert

Tool ausgegraut

Wo Connector-Berechtigungen gelten

Connector-Berechtigungen werden auf Anthropics Servern durchgesetzt, daher gelten sie auf jeder Claude-Oberfläche, die Connector-Datenverkehr über Anthropic leitet:

Oberfläche

Abdeckung

Claude im Web und auf dem Desktop

Vollständige Durchsetzung. Blockierte Connectors sind verborgen, blockierte Tools sind ausgegraut, und das Menü für persönliche Genehmigungen ist auf das beschränkt, was die Obergrenze erlaubt.

Claude Mobile (iOS und Android)

Durchgesetzt. Blockierte Tools werden aus Claudes Ansicht entfernt und Aufrufe an sie werden abgelehnt. Ein blockiertes Tool kann in den mobilen Connector-Einstellungen noch aktiv aussehen, bis Interface-Updates ausgeliefert werden, aber es kann nicht verwendet werden.

Claude Cowork (Cloud und Desktop)

Wie im Web.

Claude Code

Durchgesetzt. Blockierte Tools werden abgelehnt und erscheinen als deaktiviert. Siehe Claude Code-Einstellungen.

Connector-Berechtigungen regeln Connectors, die Ihre Organisation unter Organisationseinstellungen > Connectors hinzugefügt hat. Sie regeln nicht Connectors, die ein Mitglied lokal auf seinem eigenen Computer ausführt, und sie regeln nicht Claude Cowork, wenn es auf einer Drittanbieter-Plattform bereitgestellt wird. Verwenden Sie für Cowork-Bereitstellungen von Drittanbietern stattdessen MDM. Siehe Cowork auf 3P: MCP, Plugins, Skills und Hooks.

Was Mitglieder sehen, wenn ein Connector eingeschränkt ist

Einschränkung

Was das Mitglied sieht

Ein Connector ist für ihre Rolle blockiert

Der Connector wird nicht in ihrem Connector-Menü angezeigt.

Ein Tool ist auf einem sichtbaren Connector blockiert

Das Tool ist in ihren Connector-Einstellungen ausgegraut, mit der Meldung „Dieses Tool ist für Ihre Rolle nicht aktiviert. Wenden Sie sich an Ihren Administrator.

Ein Tool ist auf „Genehmigung erforderlich" begrenzt"

Das Tool funktioniert, aber das Menü für persönliche Genehmigungen bietet nur „Fragen" und „Nie", und Claude fragt vor jedem Aufruf.

Connector-Berechtigungen können kurzzeitig nicht geladen werden

Ein Banner meldet, dass Connectors nicht geladen werden konnten, mit einer Wiederholung. Kein blockiertes Tool erreicht jemals den verbundenen Service. Der Zugriff schlägt fehl und verweigert, nie gewährt.

Mitglieder können nicht erkennen, welche Ebene ein Tool eingeschränkt hat. Die Meldung ist gleich, ob die Beschränkung aus der organisationsweiten Tool-Richtlinie, einer Rollenzuweisung oder beiden stammt. Um die Quelle zu finden, vergleichen Sie die organisationsweite Richtlinie mit den Rollenzuweisungen des Mitglieds.


Modellzugriff

Benutzerdefinierte Rollen steuern auch, welche Claude-Modelle eine Rolle verwenden kann, und die maximale Aufwandsstufe, die Mitglieder für jedes Modell auswählen können. Sie legen diese auf der Registerkarte Modelle des Rollen-Editors fest, neben dem Standardmodell der Rolle.

Die Modelleinstellung auf Organisationsebene ist die Obergrenze. Eine Rolle kann kein Modell gewähren, das auf Organisationsebene deaktiviert ist. Über die Rollen eines Mitglieds hinweg ist der Modellzugriff additiv und Aufwandsgrenzen nehmen die höchste Obergrenze an, die eine Rolle erlaubt. Haiku-Modelle sind immer verfügbar und können nicht deaktiviert werden.

Für Einrichtungsschritte und was Mitglieder sehen, siehe Modellzugriff für Ihre Organisation verwalten. Für das Standardmodellverhalten siehe Legen Sie ein Standardmodell für Ihre Organisation fest.


Was Mitglieder sehen, wenn der Zugriff auf Funktionen eingeschränkt ist

Wenn eine Funktion eingeschränkt ist, sehen Mitglieder Folgendes. Informationen zu Connector- und Tool-Einschränkungen finden Sie unter Connector-Berechtigungen oben.

Grund

Was das Mitglied sieht

Funktion ist auf Organisationsebene deaktiviert

Die Funktion wird ausgegraut oder ausgeblendet angezeigt, mit der Meldung "Diese Funktion ist für Ihre Organisation deaktiviert."

Die Rollen des Mitglieds gewähren keinen Zugriff auf die Funktion

Die Funktion wird ausgegraut oder ausgeblendet angezeigt, mit der Meldung "Wenden Sie sich an Ihren Administrator, um Zugriff auf diese Funktion anzufordern."

Die Rollen des Mitglieds gewähren keinen Produktzugriff

Das Mitglied landet auf seiner Einstellungsseite, wenn es sich anmeldet, ohne dass Produkte zur Verwendung verfügbar sind.

Hat dies deine Frage beantwortet?