Diese Anleitung führt Sie durch die Einrichtung rollenbasierter Berechtigungen für Ihre Enterprise-Organisation. Dies ermöglicht es Ihnen, zu kontrollieren, auf welche Funktionen bestimmte Teams oder Gruppen von Mitgliedern zugreifen können, anstatt allen die gleichen Berechtigungen zu erteilen.
Bevor Sie beginnen, stellen Sie sicher, dass Sie mit Folgendem vertraut sind:
Gruppen und Ausgabenlimits für Gruppen in Enterprise-Plänen verwalten — wie Sie Gruppen erstellen und verwalten
Benutzerdefinierte Rollen in Enterprise-Plänen verwalten — wie benutzerdefinierte Rollen und Funktionen funktionieren
Bevor Sie beginnen
Sie benötigen Eigentümer- oder Primäreigentümer-Zugriff auf Ihre Enterprise-Organisation.
Überprüfen Sie, welche Funktionen auf Organisationsebene aktiviert sind. Gehen Sie zu Organisationseinstellungen und stellen Sie sicher, dass Sie wissen, auf welche Funktionen Mitglieder derzeit zugreifen können. Für Einstellungen, die von RBAC verwaltet werden, müssen sowohl die Organisationseinstellung als auch die Rolleneinstellung aktiviert sein, damit Benutzer Zugriff erhalten.
Sichern Sie Ihre Mitgliederliste. Exportieren Sie eine CSV-Datei Ihrer aktuellen Mitglieder aus Organisationseinstellungen > Mitglieder, bevor Sie Änderungen vornehmen. Falls während der Migration etwas schiefgeht, können Sie damit den Zugriff wiederherstellen. Siehe Mitglieder in Team- und Enterprise-Plänen verwalten.
Bestimmen Sie, welche Teams oder Funktionen jede Funktion benötigen. Beispielsweise erhält Engineering Claude Code + Fast Mode und Marketing erhält Cowork + Web Search. Definieren Sie von hier aus Ihre benutzerdefinierten Rollen.
Dual-Seat-Pläne. Wenn Ihre Organisation einen Dual-Seat-Enterprise-Plan hat (mit Chat- und Chat + Claude Code-Sitzen), überschreiben benutzerdefinierte Rollen die Beschränkungen auf Sitzebene nicht. Ein Mitglied, das einem Chat-only-Sitz zugewiesen ist, kann nicht auf Claude Code zugreifen, auch wenn seine benutzerdefinierte Rolle dies gewährt. Das Gleiche gilt umgekehrt: Wenn die benutzerdefinierte Rolle eines Mitglieds die Chat-Funktion nicht gewährt, hat es keinen Chat-Zugriff, unabhängig von seinem Sitztyp. Planen Sie Ihre Rollenstruktur unter Berücksichtigung der Sitzzuweisungen.
Hinweis: "Chat + Claude Code" bezieht sich auf einen Sitztyp in älteren Dual-Seat-Plänen. Die "Chat"-Funktion in benutzerdefinierten Rollen ist separat – sie regelt den Chat-Zugriff für alle Mitglieder, deren Rolle auf "Benutzerdefinierte Rollen" eingestellt ist, in jedem Plan.
Entscheiden Sie, wie Sie Gruppen erstellen. Sie können Gruppen manuell in Claude erstellen oder sie von Ihrem Identitätsanbieter (IdP) über SCIM synchronisieren. Sie können auch beide Methoden gleichzeitig verwenden. Wenn Sie planen, IdP-Gruppen von Okta, Entra ID oder einem anderen Anbieter zu verwenden, stellen Sie sicher, dass die SCIM-Verzeichnissynchronisierung konfiguriert ist. Siehe JIT- oder SCIM-Bereitstellung einrichten.
Planung Ihrer Rollenstruktur
Bevor Sie etwas erstellen, entscheiden Sie, auf welche Funktionen jedes Team oder jede Gruppe von Mitgliedern Zugriff haben sollte. Hier sind drei häufige Muster:
Basis- plus additive Rollen
Dies ist der empfohlene Ansatz für die meisten Organisationen. Erstellen Sie eine "Standard Access"-Rolle für alle mit gemeinsamen Funktionen wie Web Search, Memory und Projects. Erstellen Sie dann additive Rollen, die spezifische Funktionen gewähren – beispielsweise eine "Cowork Enabled"-Rolle, die nur Cowork hinzufügt. Weisen Sie alle Mitglieder der Basisrolle über eine "All Users"-Gruppe zu und fügen Sie bestimmte Mitglieder zu zusätzlichen Gruppen hinzu, die zusätzliche Funktionen überlagern.
Dieses Muster ist flexibel, da Berechtigungen additiv sind – die Kombination einer Basisrolle mit additiven Rollen setzt sich sauber zusammen, ohne Konflikte zu verursachen.
Tier-basierte Rollen
Erstellen Sie unterschiedliche Ebenen: "Full Access" mit allen Funktionen, "Standard Access" mit den meisten Funktionen und "Restricted Access" mit minimalen Funktionen. Jedes Mitglied geht in genau eine Gruppe, die einer Ebene zugewiesen ist.
Abteilungsbasierte Rollen
Erstellen Sie Rollen, die Abteilungen zuordnen: "Engineering" mit Chat, Cowork, Claude Code und Code-Ausführung; "Research" mit Chat, Web Search, Memory und Projects; "Business" mit Chat, Web Search und nur Projects. Weisen Sie jede Abteilungsgruppe ihrer entsprechenden Rolle zu.
Schritt 1: Überprüfen Sie Ihre aktuellen Einstellungen
Überprüfen Sie, welche Funktionen derzeit auf Organisationsebene in Organisationseinstellungen > Funktionen aktiviert oder deaktiviert sind.
Gehen Sie zu Organisationseinstellungen > Mitglieder, um Ihre Mitgliederliste zu exportieren oder zu überprüfen.
Notieren Sie die aktuelle integrierte Rolle jedes Mitglieds (User, Admin oder Owner).
Entscheiden Sie für jedes Team oder jede Abteilung, auf welche Funktionen sie Zugriff benötigen.
Denken Sie daran: Jede Funktion, die Sie pro Gruppe kontrollieren möchten, muss auf Organisationsebene aktiviert sein. Wenn eine Funktion auf Organisationsebene deaktiviert ist, kann keine benutzerdefinierte Rolle Zugriff darauf gewähren.
Wichtig: Im Gegensatz zu Mitgliedern mit der User-Rolle erben Mitglieder, die benutzerdefinierten Rollen zugewiesen sind, nicht automatisch die auf Organisationsebene aktivierten Funktionen. Jede Funktion, die ein Mitglied mit benutzerdefinierten Rollen benötigt, muss explizit durch eine benutzerdefinierte Rolle gewährt werden, die einer ihrer Gruppen zugewiesen ist.
Schritt 2: Erstellen Sie benutzerdefinierte Rollen
Erstellen Sie Ihre benutzerdefinierten Rollen, bevor Sie Funktionen aktivieren oder Mitglieder migrieren. Dies stellt sicher, dass Ihre Rollen bereit sind, den Zugriff durchzusetzen, sobald Funktionen aktiviert werden.
Navigieren Sie zu Organisationseinstellungen > Benutzerdefinierte Rollen.
Klicken Sie auf "Rolle hinzufügen".
Benennen Sie die Rolle und schalten Sie die entsprechenden Funktionen um.
Klicken Sie auf "Rolle hinzufügen".
Wiederholen Sie dies für jede Rolle in Ihrem Plan.
Änderungen an benutzerdefinierten Rollen können bis zu fünf Minuten dauern, bis sie sich ausbreiten. Mitglieder müssen möglicherweise ihre Browser aktualisieren, um den aktualisierten Zugriff zu sehen.
Siehe Benutzerdefinierte Rollen in Enterprise-Plänen verwalten für Details zu verfügbaren Funktionen.
Schritt 3: Erstellen Sie Gruppen und weisen Sie Rollen zu
Navigieren Sie zu Organisationseinstellungen > Gruppen.
Klicken Sie auf "Gruppe hinzufügen", um eine Gruppe für jedes Team oder jede Ebene in Ihrem Plan zu erstellen.
Fügen Sie Mitglieder zu den entsprechenden Gruppen hinzu.
Weisen Sie jede Gruppe den benutzerdefinierten Rollen zu, die Sie in Schritt 2 erstellt haben.
Wenn Sie die SCIM-Verzeichnissynchronisierung verwenden, können Sie Gruppen von Ihrem Identitätsanbieter synchronisieren, anstatt sie manuell zu erstellen. Weitere Informationen zur SCIM-Gruppensynchronisierung finden Sie unter Gruppen und Ausgabenlimits für Gruppen in Enterprise-Plänen verwalten.
Mehrere Organisationen unter derselben übergeordneten Organisation: Gruppen werden auf der Ebene der übergeordneten Organisation verwaltet und werden an alle untergeordneten Organisationen weitergegeben. Möglicherweise sehen Sie Mitglieder aus anderen Organisationen in einer Gruppe aufgelistet – dies bedeutet nicht, dass sie Zugriff auf Ihre Organisation haben. Benutzerdefinierte Rollen, die einer Gruppe zugewiesen sind, gewähren Funktionen nur Mitgliedern, die Teil Ihrer spezifischen Organisation sind.
Wenn Sie anfordern, eine Organisation von einer übergeordneten zu einer anderen zu verschieben (dies ist in der Praxis selten), werden Gruppen und Rollen nicht definiert und Sie müssen sie neu erstellen.
Wichtig: Wenn Ihre Organisation "Nur Einladung" oder JIT-Bereitstellung verwendet, können Sie nur manuell erstellte Gruppen für RBAC verwenden. SCIM-synchronisierte Gruppen werden in diesen Modi nicht unterstützt.
Schritt 4: Überprüfen Sie Gruppen- und Rollenzuweisungen
Bevor Sie Mitglieder zu benutzerdefinierten Rollen migrieren, bestätigen Sie, dass jedes Mitglied, das Sie migrieren möchten, in mindestens einer Gruppe ist, die einer benutzerdefinierten Rolle zugewiesen ist. Mitglieder, die ohne Gruppen- oder Rollenabdeckung migriert werden, verlieren den Zugriff auf alle verwalteten Funktionen.
Navigieren Sie zu Organisationseinstellungen > Mitglieder.
Verwenden Sie die Filter „Rolle" und „Gruppe", um Mitglieder zu identifizieren, die keiner Gruppe zugewiesen sind.
Alternativ können Sie auf „CSV exportieren
Fügen Sie alle nicht zugewiesenen Mitglieder zu den entsprechenden Gruppen hinzu, bevor Sie fortfahren.
Schritt 5: Mitglieder zu benutzerdefinierten Rollen migrieren
Damit benutzerdefinierte Rollenfunktionen wirksam werden, müssen Mitglieder ihre Rolle auf „Benutzerdefinierte Rollen" setzen. Mitglieder mit den Rollen „Benutzer", „Admin" oder „Eigentümer" erhalten ihre Berechtigungen direkt von diesen Rollen, nicht von benutzerdefinierten Rollen.
Wichtig: Führen Sie diesen Schritt nur aus, nachdem Sie Ihre benutzerdefinierten Rollen erstellt, Ihre Gruppen erstellt und überprüft haben, dass alle Mitglieder Gruppen zugewiesen sind (Schritte 2–4). Mitglieder, die zu benutzerdefinierten Rollen verschoben werden, bevor die Einrichtung abgeschlossen ist, verlieren sofort den Zugriff auf alle verwalteten Funktionen.
Wählen Sie den Migrationspfad basierend darauf, ob Ihre Organisation bereits Gruppenzuordnungen aktiviert hat:
Pfad A: Gruppenzuordnungen aktivieren (nur wenn bereits in Verwendung)
Verwenden Sie diesen Pfad nur, wenn Ihre Organisation bereits Gruppenzuordnungen für die Rollenzuweisung aktiviert hat. Falls Sie diese Einstellung nicht bereits verwenden, fahren Sie mit Pfad B fort.
Navigieren Sie zu Organisationseinstellungen > Organisation und Zugriff.
Weisen Sie im Abschnitt „Rollenzuordnungen
Speichern Sie Ihre Änderungen. Mitglieder in diesen IdP-Gruppen werden bei der nächsten Synchronisierung zu benutzerdefinierten Rollen migriert.
Mitglieder in IdP-Gruppen, die benutzerdefinierten Rollen zugeordnet sind, folgen den Berechtigungen der benutzerdefinierten Rollen, die ihren Gruppen in Claude zugewiesen sind. Mitglieder in IdP-Gruppen, die „Benutzer
Pfad B: Massenbearbeitungstool
Verwenden Sie diesen Pfad, wenn Ihre Organisation Gruppenzuordnungen nicht aktiviert hat.
Warnung: Falls Sie Gruppenzuordnungen nicht bereits aktiviert haben, aktivieren Sie diese nicht während der RBAC-Einrichtung. Das Aktivieren ohne vorherige Zuweisung aller Mitglieder zu zugeordneten Gruppen kann dazu führen, dass Mitglieder den Zugriff auf Ihre Organisation verlieren.
Navigieren Sie zu Organisationseinstellungen > Mitglieder.
Verwenden Sie die Filter „Rolle" und „Gruppe", um die Mitglieder auszuwählen, die Sie migrieren möchten.
Verwenden Sie das Massenbearbeitungstool in der Tabelle „Mitglieder
Wir empfehlen, zunächst eine Pilotgruppe zu migrieren – ein Team oder eine Abteilung – und deren Zugriff zu überprüfen, bevor Sie auf den Rest der Organisation erweitern.
Schrittweise Einführung
Unabhängig davon, welchen Pfad Sie verwenden, empfehlen wir, die Migration in Phasen durchzuführen:
Beginnen Sie mit einer Pilotgruppe aus einem Team oder einer Abteilung.
Überprüfen Sie nach der Migration, ob die Pilotgruppe basierend auf ihren Gruppen- und Rollenzuweisungen den richtigen Funktionszugriff hat.
Falls etwas nicht stimmt, wechseln Sie die betroffenen Mitglieder zurück zu ihrer vorherigen Rolle, während Sie Anpassungen vornehmen.
Erweitern Sie auf weitere Mitglieder, sobald Sie bestätigt haben, dass die Einrichtung funktioniert.
Schritt 6: Funktionen auf Organisationsebene aktivieren
Aktivieren Sie Funktionen auf Organisationsebene nur, nachdem Rollen, Gruppen und die Mitgliedermigration abgeschlossen sind. Dies stellt sicher, dass benutzerdefinierte Rollenfunktionen bereits vorhanden sind, ohne dass es einen Zeitraum gibt, in dem nicht autorisierte Mitglieder auf eine Funktion zugreifen könnten.
Für jede Funktion, die Sie pro Gruppe steuern möchten:
Navigieren Sie zur Einstellungsseite der Funktion in Organisationseinstellungen (z. B. Organisationseinstellungen > Cowork).
Aktivieren Sie die Funktion auf Organisationsebene.
Das Aktivieren einer Funktion auf Organisationsebene bedeutet nicht, dass jeder sie erhält – benutzerdefinierte Rolleneberechtigungen sind bereits vorhanden, um zu steuern, wer sie verwenden kann. Denken Sie des Organisationsebenen-Umschalters als „Funktion für rollenbasierte Zuweisung verfügbar machen" statt „für alle aktivieren".
Schritt 7: Ausgabenlimit pro Gruppe anwenden (nur nutzungsbasierte Organisationen)
Navigieren Sie zur Seite „Nutzung
Beachten Sie die folgenden Vorrangregeln:
Individuelle Limits überschreiben Gruppenlimits, unabhängig davon, welches höher ist.
Wenn ein Benutzer mehreren Gruppen mit unterschiedlichen Limits angehört, kann die Organisation entweder das niedrigste oder das höchste Ausgabenlimit anwenden. Verwenden Sie das Dropdown-Menü unter „Ausgabenstandards
Organisationsweite Limits bleiben die harte Obergrenze.
Mitgliedschaftsänderungen werden automatisch wirksam – Benutzer erben oder verlieren Limits, sobald sich ihre Gruppenmitgliedschaft ändert. Relevant nur für nutzungsbasierte Abrechnungsorganisationen.
Schritt 8: Überprüfen und überwachen
Stichprobenprüfung des Zugriffs: Überprüfen Sie einige Mitglieder aus jeder Gruppe, um zu bestätigen, dass sie die richtigen Funktionen sehen.
Testen Sie den eingeschränkten Status: Melden Sie sich als Mitglied an (oder fragen Sie), das keine Funktion wie Cowork haben sollte. Es sollte ausgegraut angezeigt werden mit der Meldung „Wenden Sie sich an Ihren Administrator, um Zugriff auf diese Funktion anzufordern"."
Testen Sie den gewährten Status: Bestätigen Sie, dass ein Mitglied, das die Funktion haben sollte, sie normal funktionierend sieht.
Überprüfen Sie Grenzfälle: Testen Sie Mitglieder in mehreren Gruppen, Mitglieder ohne Gruppe und neue Mitglieder, die sich über SSO anmelden.
Berechtigungsänderungen können bis zu fünf Minuten dauern, um vollständig über die Plattform synchronisiert zu werden. Mitglieder müssen möglicherweise ihren Browser aktualisieren, um den aktualisierten Zugriff zu sehen.
Verwendung von SCIM mit rollenbasierten Funktionen
SCIM verbindet sich mit Ihren rollenbasierten Funktionen durch zwei Mechanismen, die zusammenarbeiten.
IdP-Gruppen-zu-Rollen-Zuordnung
Dies steuert, welche integrierte Rolle ein Mitglied erhält, wenn es bereitgestellt wird. Ordnen Sie Ihre IdP-Gruppen „Benutzerdefinierten Rollen
Navigieren Sie zu Organisationseinstellungen > Organisation und Zugriff.
Ordnen Sie in der Tabelle der Rollenzuordnungen Ihre IdP-Gruppen den „Benutzerdefinierten Rollen" zu."
Gruppensynchronisierung
Dies importiert Ihre IdP-Gruppen in Claude, damit sie benutzerdefinierten Rollen zugewiesen werden können.
Navigieren Sie zu Organisationseinstellungen > Gruppen
Klicken Sie im Abschnitt SCIM-Synchronisierung auf „Nach Updates suchen"."
Wenn Sie aufgefordert werden, Gruppen, Mitglieder oder beides zu synchronisieren, wählen Sie nur Gruppen aus. Die Synchronisierung von Mitgliedern kann die Bereitstellung und den Mitgliederzugriff beeinträchtigen.
Ihre IdP-Gruppen werden als SCIM-basierte Gruppen in der Liste angezeigt.
Weisen Sie SCIM-Gruppen benutzerdefinierten Rollen genauso zu wie manuell erstellte Gruppen.
Übertragen Sie in Ihrem IdP nur die Gruppen, die Sie tatsächlich für RBAC oder Ausgabenlimits verwenden möchten. Die Synchronisierung aller IdP-Gruppen kann das Laden von Seiten im Abschnitt „Gruppen" verlangsamen."
Hinweis: Berechtigungen für benutzerdefinierte Rollen gelten nur für Mitglieder, bei denen „Benutzerdefinierte Rollen
Laufende Verwaltung mit SCIM
Um einem Mitglied Zugriff auf eine Funktion zu gewähren, fügen Sie es zur entsprechenden IdP-Gruppe hinzu. Bei der nächsten Synchronisierung erhält es die benutzerdefinierte Rolle, die dieser Gruppe zugewiesen ist.
Um den Zugriff zu widerrufen, entfernen Sie das Mitglied aus der IdP-Gruppe. Bei der nächsten Synchronisierung wird die Berechtigung entfernt.
Klicken Sie im Abschnitt „Gruppen" auf „SCIM-Synchronisierung", um eine sofortige Synchronisierung zu erzwingen, anstatt auf die nächste geplante Synchronisierung zu warten.
Rollback-Plan
Wenn Sie feststellen, dass Ihre Rollenstruktur nach der Migration falsch konfiguriert ist:
Deaktivieren Sie alle Funktionen auf Organisationsebene, die im Rahmen der Migration aktiviert wurden.
Ändern Sie betroffene Mitglieder zurück zu ihrer vorherigen integrierten Rolle (z. B. Benutzer).
Sie erhalten sofort die statischen Berechtigungen dieser Rolle zurück, und die Berechtigungen der benutzerdefinierten Rolle werden nicht mehr angewendet.
Passen Sie Rollen und Gruppen nach Bedarf an und führen Sie dann die Migration erneut durch.
Wenn Sie während der Einrichtung Gruppenzuordnungen aktiviert haben und den Admin-Zugriff verloren haben, führen Sie die Wiederherstellungsschritte in SCIM-Bereitstellung einrichten unter „Ich habe den Admin-/Eigentümerzugriff nach der Aktivierung von Gruppenzuordnungen verloren" durch."
Häufig gestellte Fragen
Muss ich eine Funktion auf Organisationsebene aktivieren, wenn ich sie nur einigen Mitgliedern zur Verfügung stellen möchte?
Ja. Der Schalter auf Organisationsebene muss aktiviert sein, damit benutzerdefinierte Rollen den Zugriff pro Mitglied steuern können. Wenn eine Funktion auf Organisationsebene deaktiviert ist, kann niemand darauf zugreifen, unabhängig von seiner Rolle. Stellen Sie sich das als Hauptschalter vor – benutzerdefinierte Rollen steuern, wer darunter Zugriff erhält.
Was passiert, wenn ein Mitglied, das auf „Benutzerdefinierte Rollen
Es hat keine Berechtigungen für benutzerdefinierte Rollen, daher sind alle Funktionen, die Berechtigungen erfordern, ausgegraut oder verborgen. Stellen Sie sicher, dass jedes Mitglied, das auf „Benutzerdefinierte Rollen
Was ist, wenn eine benutzerdefinierte Rolle keinen Chat-Zugriff gewährt?
Mitglieder in dieser Rolle sehen die Chat-Schnittstelle von Claude nicht. Sie landen auf ihrer Einstellungsseite, wenn sie sich anmelden. Wenn ihre Rolle andere Produkte wie Cowork oder Claude Code gewährt, bleiben diese über ihre Einstellungsseite und über die relevanten Apps zugänglich.
Chat ist standardmäßig in allen benutzerdefinierten Rollen aktiviert, daher müssen Sie sich nur darum kümmern, wenn Sie Chat für eine Rolle absichtlich deaktiviert haben.
Kann ich sowohl integrierte als auch benutzerdefinierte Rollen verwenden?
Ja. Mitglieder mit den Rollen Benutzer, Admin oder Eigentümer sind nicht von Berechtigungen für benutzerdefinierte Rollen betroffen, da sie ihre Berechtigungen direkt von diesen Rollen erhalten. Nur Mitglieder, die auf Benutzerdefinierte Rollen eingestellt sind, werden vom Gruppen- und Rollensystem gesteuert. Dies ermöglicht eine schrittweise Migration.
Was ist, wenn ein Mitglied in zwei Gruppen mit unterschiedlichen Rollen ist?
Berechtigungen sind additiv. Wenn eine Rolle in der Kette eines Mitglieds eine Funktion gewährt, hat es diese. Sie können eine Rolle nicht verwenden, um eine Berechtigung zu entfernen, die von einer anderen Rolle gewährt wurde.
Kann ich SCIM-Gruppen und manuelle Gruppen zusammen verwenden?
Ja. Beide Typen können benutzerdefinierten Rollen zugewiesen werden. Der Unterschied besteht darin, dass die SCIM-Gruppenmitgliedschaft in Ihrem Identitätsanbieter verwaltet wird, während die manuelle Gruppenmitgliedschaft in Claudes Organisationseinstellungen verwaltet wird.
Sind Eigentümer und Primäre Eigentümer von Berechtigungen für benutzerdefinierte Rollen betroffen?
Nein. Eigentümer und Primäre Eigentümer haben immer vollständigen Zugriff auf alle Funktionen.
Wie funktioniert dies über übergeordnete und untergeordnete Organisationen hinweg?
Gruppen und SCIM-Synchronisierung werden auf der Ebene der übergeordneten Organisation verwaltet und sind für alle untergeordneten Organisationen freigegeben. Rollen- und Ausgabenlimit-Zuweisungen werden in jeder untergeordneten Organisation unabhängig konfiguriert – Änderungen in einer untergeordneten Organisation beeinflussen andere nicht. Änderungen der Gruppenmitgliedschaft und SCIM-Neusynchronisierungen werden auf alle untergeordneten Organisationen unter derselben übergeordneten Organisation übertragen.