Diese Anleitung führt Sie durch die Einrichtung rollenbasierter Berechtigungen für Ihre Enterprise-Organisation. Dies ermöglicht es Ihnen, zu kontrollieren, auf welche Funktionen und Konnektoren bestimmte Teams oder Gruppen von Mitgliedern zugreifen können, und spezifische Admin-Zugriffe wie Abrechnung oder Benutzerverwaltung zu delegieren, anstatt allen die gleichen Berechtigungen zu geben.
Bevor Sie beginnen, stellen Sie sicher, dass Sie mit Folgendem vertraut sind:
Gruppen und Ausgabenlimits für Gruppen in Enterprise-Plänen verwalten — wie Sie Gruppen erstellen und verwalten
Benutzerdefinierte Rollen in Enterprise-Plänen verwalten — wie benutzerdefinierte Rollen und Funktionen funktionieren
Bevor Sie beginnen
Sie benötigen Owner- oder Primary Owner-Zugriff auf Ihre Enterprise-Organisation oder eine benutzerdefinierte Rolle mit Identität & Zugriff auf Verwalten.
Hinweis: Einige dieser Schritte erfordern mehr als die benutzerdefinierte Rolle Identität & Zugriff: Das Aktivieren von Funktionen auf Organisationsebene erfordert die Owner-Rolle, und das Ändern von Mitgliederrollen erfordert Benutzerverwaltung auf Verwalten.
Überprüfen Sie, welche Funktionen auf Organisationsebene aktiviert sind. Gehen Sie zu Organisationseinstellungen und stellen Sie sicher, dass Sie wissen, auf welche Funktionen Mitglieder derzeit zugreifen können. Für Einstellungen, die von RBAC verwaltet werden, müssen sowohl die Organisationseinstellung als auch die Rolleneinstellung aktiviert sein, damit Benutzer Zugriff erhalten.
Sichern Sie Ihre Mitgliederliste. Exportieren Sie eine CSV-Datei Ihrer aktuellen Mitglieder aus Organisationseinstellungen > Mitglieder, bevor Sie Änderungen vornehmen. Falls während der Migration etwas schiefgeht, können Sie anhand dieser Liste den Zugriff wiederherstellen. Siehe Mitglieder in Team- und Enterprise-Plänen verwalten.
Bestimmen Sie, welche Teams oder Funktionen jede Funktion benötigen. Zum Beispiel erhält Engineering Claude Code + Fast Mode und Marketing erhält Cowork + Web Search. Definieren Sie von hier aus Ihre benutzerdefinierten Rollen.
Dual-Seat-Pläne. Wenn Ihre Organisation einen Dual-Seat-Enterprise-Plan hat (mit Chat- und Chat + Claude Code-Sitzen), überschreiben benutzerdefinierte Rollen nicht die Beschränkungen auf Seat-Ebene. Ein Mitglied, das einem Chat-only-Seat zugewiesen ist, kann nicht auf Claude Code zugreifen, auch wenn seine benutzerdefinierte Rolle dies gewährt. Das Gleiche gilt umgekehrt: Wenn die benutzerdefinierte Rolle eines Mitglieds die Chat-Funktion nicht gewährt, hat es keinen Chat-Zugriff, unabhängig von seinem Seat-Typ. Planen Sie Ihre Rollenstruktur unter Berücksichtigung von Seat-Zuweisungen.
Hinweis: "Chat + Claude Code" bezieht sich auf einen Seat-Typ in älteren Dual-Seat-Plänen. Die "Chat"-Funktion in benutzerdefinierten Rollen ist separat – sie regelt den Chat-Zugriff für alle Mitglieder, deren Rolle auf "Benutzerdefiniert" auf einem beliebigen Plan gesetzt ist.
Entscheiden Sie, wie Sie Gruppen erstellen. Sie können Gruppen manuell in Claude erstellen oder sie von Ihrem Identitätsanbieter (IdP) über SCIM synchronisieren. Sie können auch beide Methoden gleichzeitig verwenden. Wenn Sie planen, IdP-Gruppen von Okta, Entra ID oder einem anderen Anbieter zu verwenden, stellen Sie sicher, dass die SCIM-Verzeichnissynchronisierung konfiguriert ist. Siehe JIT- oder SCIM-Bereitstellung einrichten.
Fügen Sie die Konnektoren hinzu, die Sie verwalten möchten. Konnektorberechtigung deckt nur Konnektoren ab, die ein Owner oder Primary Owner bereits unter Organisationseinstellungen > Konnektoren hinzugefügt und mit Admin-Anmeldedaten verbunden hat. Überprüfen Sie auch Ihre organisationsweite Tool-Richtlinie dort, da Rollenzuweisungen innerhalb dieser eingeengt werden und nicht über diese hinaus erweitert werden können. Siehe Konnektoren verwenden, um Claudes Funktionen zu erweitern.
Planung Ihrer Rollenstruktur
Bevor Sie etwas erstellen, entscheiden Sie, auf welche Funktionen jedes Team oder jede Gruppe von Mitgliedern Zugriff haben sollte. Hier sind vier häufige Muster:
Basis- plus additive Rollen
Dies ist der empfohlene Ansatz für die meisten Organisationen. Erstellen Sie eine "Standard Access"-Rolle für alle mit gemeinsamen Funktionen wie Web Search, Memory und Projects. Erstellen Sie dann additive Rollen, die spezifische Funktionen gewähren – zum Beispiel eine "Cowork Enabled"-Rolle, die nur Cowork hinzufügt. Weisen Sie alle Mitglieder der Basis-Rolle über eine "All Users"-Gruppe zu und fügen Sie bestimmte Mitglieder zu zusätzlichen Gruppen hinzu, die zusätzliche Funktionen überlagern.
Dieses Muster ist flexibel, da Berechtigungen additiv sind – die Kombination einer Basis-Rolle mit additiven Rollen setzt sich sauber zusammen, ohne Konflikte zu verursachen.
Tier-basierte Rollen
Erstellen Sie unterschiedliche Tiers: "Full Access" mit allen Funktionen, "Standard Access" mit den meisten Funktionen und "Restricted Access" mit minimalen Funktionen. Jedes Mitglied gehört zu genau einer Gruppe, die einem Tier zugewiesen ist.
Abteilungsbasierte Rollen
Erstellen Sie Rollen, die Abteilungen zuordnen: "Engineering" mit Chat, Cowork, Claude Code und Code-Ausführung; "Research" mit Chat, Web Search, Memory und Projects; "Business" mit Chat, Web Search und nur Projects. Weisen Sie jede Abteilungsgruppe ihrer entsprechenden Rolle zu.
Admin-Delegationsrollen
Erstellen Sie Rollen, die Teile der Verwaltung delegieren, ohne die Owner-Rolle zu gewähren. Eine benutzerdefinierte Rolle mit Admin-Berechtigungen benötigt keine Benutzerfunktionen und umgekehrt. Sie könnten eine "Finance"-Rolle erstellen, die Billing-Zugriff gewährt, aber keine Chat- oder Claude Code-Funktion, oder eine "Engineering Lead"-Rolle, die Claude Code plus Analytics-Ansichtszugriff gewährt. Erfahren Sie mehr über Admin-Berechtigungen für benutzerdefinierte Rollen.
Schritt 1: Überprüfen Sie Ihre aktuellen Einstellungen
Überprüfen Sie, welche Funktionen derzeit auf Organisationsebene in Organisationseinstellungen > Funktionen aktiviert oder deaktiviert sind.
Gehen Sie zu Organisationseinstellungen > Mitglieder, um Ihre Mitgliederliste zu exportieren oder zu überprüfen.
Notieren Sie die aktuelle integrierte Rolle jedes Mitglieds (User, Admin oder Owner).
Entscheiden Sie für jedes Team oder jede Abteilung, auf welche Funktionen sie Zugriff benötigen.
Denken Sie daran: Jede Funktion, die Sie pro Gruppe kontrollieren möchten, muss auf Organisationsebene aktiviert sein. Wenn eine Funktion auf Organisationsebene ausgeschaltet ist, kann keine benutzerdefinierte Rolle Zugriff darauf gewähren.
Wichtig: Im Gegensatz zu Mitgliedern mit der User-Rolle erben Mitglieder, die benutzerdefinierten Rollen zugewiesen sind, nicht automatisch organisationsaktivierte Funktionen. Jede Funktion, die ein "Custom"-Rollenmitglied benötigt, muss explizit durch eine benutzerdefinierte Rolle gewährt werden, die einer ihrer Gruppen zugewiesen ist.
Schritt 2: Erstellen Sie benutzerdefinierte Rollen
Erstellen Sie Ihre benutzerdefinierten Rollen, bevor Sie Funktionen aktivieren oder Mitglieder migrieren. Dies stellt sicher, dass Ihre Rollen bereit sind, den Zugriff durchzusetzen, sobald Funktionen aktiviert werden.
Navigieren Sie zu Organisationseinstellungen > Rollen.
Klicken Sie auf "Rolle hinzufügen ."
Benennen Sie die Rolle und schalten Sie die entsprechenden Funktionen auf der Registerkarte Funktionen ein.
Legen Sie auf der Registerkarte Berechtigungen Admin-Berechtigungen für die Rolle fest. Siehe Schritt 3.
Legen Sie auf der Registerkarte Konnektoren Konnektorberechtigung für die Rolle fest. Siehe Schritt 4.
Legen Sie auf der Registerkarte Modelle Modellzugriff und ein Standardmodell für die Rolle fest. Siehe Schritt 5.
Klicken Sie auf "Rolle speichern."
Wiederholen Sie dies für jede Rolle in Ihrem Plan.
Rollenänderungen können bis zu 15 Minuten dauern, bis sie wirksam werden. Mitglieder müssen möglicherweise ihren Browser aktualisieren, um den aktualisierten Zugriff zu sehen.
Siehe Benutzerdefinierte Rollen in Enterprise-Plänen verwalten für Details zu verfügbaren Funktionen, Admin-Berechtigungen und Konnektoren.
Schritt 3: Konfigurieren Sie Admin-Berechtigungen (optional)
Legen Sie Admin-Berechtigungen für jede Rolle fest, um Zugriff auf Admin-Einstellungen wie Abrechnung, Benutzerverwaltung oder Datenschutz zu delegieren, ohne die Owner-Rolle zu gewähren. Dieser Schritt ist optional. Wenn Sie ihn nicht konfigurieren, gewähren Rollen keinen Admin-Zugriff und die Verwaltung bleibt bei Owners und Primary Owners. Für die Abdeckung jedes Berechtigungsbereichs siehe Benutzerdefinierte Rollen in Enterprise-Plänen verwalten.
Suchen Sie die Registerkarte „Berechtigungen
Navigieren Sie zu Organisationseinstellungen > Rollen.
Öffnen Sie eine vorhandene Rolle, oder klicken Sie auf „Rolle hinzufügen
Wählen Sie die Registerkarte Berechtigungen aus, die sich zwischen Funktionen und Konnektoren befindet.
Administratorberechtigungen festlegen
Die Registerkarte Berechtigungen listet jeden Administratorbereich auf: Identität & Zugriff, Abrechnung, Analytik, Datenschutz, Benutzerverwaltung und Bibliotheken. Legen Sie jeden Administratorbereich auf eine der folgenden Optionen fest:
Kein Zugriff: Das Mitglied sieht diesen Bereich nicht in seinen Organisationseinstellungen.
Kann anzeigen: „Anzeigen
Kann verwalten: „Verwalten" gewährt vollständigen Lese- und Schreibzugriff auf den Bereich und umfasst Anzeigeberechtigungen."
Innerhalb eines Bereichs gewähren Sie entweder alle Anzeigeberechtigungen oder alle Verwaltungsberechtigungen. Sie können einzelne Seiten oder Einstellungen nicht gewähren oder einschränken.
Hinweis: Eine Rolle mit „Identität & Zugriff" auf „Verwalten" kann Gruppen und Rollen erstellen und bearbeiten, einschließlich ihrer eigenen Rollendefinition. Mitglieder mit dieser Berechtigung können ihren eigenen Zugriff erweitern, daher sollten Sie diese Berechtigung nur vertrauenswürdigen Sicherheits- und IT-Administratoren vorbehalten.
Durchsetzung überprüfen
Überprüfen Sie die Administratorberechtigungen, nachdem Sie Mitglieder zu „Benutzerdefinierten
Schritt 4: Konnektorberechtigung konfigurieren (optional)
Legen Sie Konnektorberechtigung für jede Rolle fest, um zu steuern, welche Konnektoren und welche Tools auf diesen Konnektoren die Rolle verwenden kann. Dieser Schritt ist optional. Wenn Sie ihn nicht konfigurieren, greifen Ihre Rollen auf das unten beschriebene Standardverhalten zurück. Informationen zur Funktionsweise des Berechtigungsmodells von Ende zu Ende finden Sie unter Benutzerdefinierte Rollen in Enterprise-Plänen verwalten.
Wichtig: Wenn Anthropic Konnektorberechtigung für Ihre Organisation aktiviert, wird jede vorhandene benutzerdefinierte Rolle mit der Berechtigung „Alle Konnektoren" auf „Immer zulassen" initialisiert. Da „Immer zulassen
Hinweis: Eine neu erstellte Rolle wird standardmäßig auf „Genehmigung erforderlich" für jeden Konnektor gesetzt. Der Workflow zum Erstellen von Rollen führt Sie durch die Registerkarte „Konnektoren", damit Sie diesen Standard vor dem Speichern sehen. Erhöhen Sie einen Konnektor auf „Immer zulassen" oder senken Sie ihn auf „Blockiert" ab, wie erforderlich.
Suchen Sie die Registerkarte „Konnektoren
Navigieren Sie zu Organisationseinstellungen > Rollen.
Öffnen Sie eine vorhandene Rolle, oder klicken Sie auf „Rolle hinzufügen
Wählen Sie die Registerkarte Konnektoren aus, die sich neben Berechtigungen befindet.
Die Standardeinstellungen für neue Rollen sind permissiv. Bestätigen Sie beim Erstellen oder Ändern einer Rolle die Einstellungen auf jeder Registerkarte, um unbeabsichtigte Berechtigungen zu vermeiden.
Konnektorberechtigung auf Konnektor-Ebene festlegen
Die Registerkarte Konnektoren listet oben eine Zeile Alle Konnektoren auf, gefolgt von jedem Konnektor, den Ihre Organisation hinzugefügt hat. Jede Zeile hat ein Dropdown-Menü mit vier Optionen:
Immer zulassen: Jedes Tool auf dem Konnektor ist verfügbar, und Mitglieder können ihre eigene Genehmigung auf „Immer zulassen" setzen."
Genehmigung erforderlich: Jedes Tool ist verfügbar, aber Mitglieder bestätigen jeden Aufruf.
Blockiert: Der Konnektor ist für Mitglieder mit dieser Rolle verborgen.
Benutzerdefiniert: Legen Sie jedes Tool auf dem Konnektor einzeln fest. Siehe „Per-Tool-Berechtigungen festlegen" unten."
Wenn Sie „Immer zulassen
Per-Tool-Berechtigungen festlegen
Legen Sie einen Konnektor auf Benutzerdefiniert fest, um seine Tools als einzelne Zeilen anzuzeigen. Jedes Tool hat sein eigenes Dropdown-Menü: „Immer zulassen
Per-Tool-Berechtigungen ermöglichen es einer Rolle, einen Teil eines Konnektors zu erreichen. Wenn beispielsweise Jira auf Benutzerdefiniert gesetzt ist, sein Tool search_issues auf „Genehmigung erforderlich" gesetzt ist und jedes andere Jira-Tool auf „Blockiert" gesetzt ist, können Mitglieder mit der Rolle Jira durchsuchen, aber nichts anderes. Claude sieht nur die Tools, die Sie gewährt haben, daher gibt die Aufforderung, ein Ticket zu erstellen, „Ich habe kein Tool dafür
Rollenübergreifende Konflikte überprüfen
Da Konnektorberechtigung über Rollen hinweg additiv ist, hat das Blockieren eines Konnektors in einer Rolle keine Auswirkung auf ein Mitglied, das auch eine andere Rolle hält, die ihn gewährt. Jede Konnektor-Zeile zeigt eine Warnung an, wenn andere Rollen denselben Konnektor auf einer anderen Ebene gewähren. Die Warnung nennt diese Rollen und verlinkt zu ihnen, und die permissivste Berechtigung ist diejenige, die gilt.
Wenn Sie ungespeicherte Änderungen haben, wenn Sie eine verlinkte Rolle öffnen, werden Sie aufgefordert, diese zuerst zu verwerfen.
Durchsetzung überprüfen
Überprüfen Sie die Konnektorberechtigung, nachdem Sie Mitglieder zu „Benutzerdefinierten
Wichtig: Wenn Ihre Organisation Claude Code verwendet, wird durch die Aktivierung von Konnektorberechtigung auch Ihre organisationsweite Tool-Richtlinie auf Claude Code angewendet. Dies kann den Tool-Zugriff dort nur einschränken, nie erweitern, und betrifft alle Mitglieder. Überprüfen Sie Ihre organisationsweite Tool-Richtlinie vor der Aktivierung, wenn Claude Code weit verbreitet ist. Konnektorberechtigung und Claude Code Managed Settings werden nach dem restriktivsten Prinzip kombiniert. Siehe Claude Code-Einstellungen.
Schritt 5: Modellzugriff konfigurieren (optional)
Legen Sie den Modellzugriff für jede Rolle fest, um zu steuern, welche Claude-Modelle die Rolle verwenden kann, die maximale Aufwandsstufe pro Modell zu begrenzen und das Modell auszuwählen, auf dem neue Gespräche beginnen. Dieser Schritt ist optional. Wenn Sie ihn nicht konfigurieren, können neue Rollen jedes Modell verwenden, das auf Organisationsebene aktiviert ist, auf jeder Aufwandsstufe, und beginnen auf dem Standardmodell der Organisation.
Informationen zur Funktionsweise der Modellzugriffs- und Standardmodell-Einstellungen von Ende zu Ende finden Sie unter Modellzugriff für Ihre Organisation verwalten und Standardmodell für Ihre Organisation festlegen.
Suchen Sie die Registerkarte „Modelle
Navigieren Sie zu Organisationseinstellungen > Rollen.
Öffnen Sie eine vorhandene Rolle, oder klicken Sie auf „Rolle hinzufügen
Wählen Sie die Registerkarte Modelle aus, die sich neben Konnektoren befindet.
Modellzugriff festlegen
Schalten Sie unter Modellzugriff jedes Modell für diese Rolle ein oder aus. Modelle, die auf Organisationsebene deaktiviert sind, werden angezeigt, können aber hier nicht aktiviert werden, bis Sie sie für die Organisation in Organisationseinstellungen > Modelle aktivieren. Haiku-Modelle sind immer aktiviert und können nicht deaktiviert werden.
Um die Aufwandsstufe zu begrenzen, die eine Rolle auf einem Modell auswählen kann, klicken Sie auf das Zahnradsymbol neben dem Modell und wählen Sie eine Stufe aus.
Wählen Sie unter Standardmodell optional das Modell aus, auf dem neue Gespräche für diese Rolle beginnen. Es können nur Modelle ausgewählt werden, auf die die Rolle Zugriff hat.
Durchsetzung überprüfen
Überprüfen Sie den Modellzugriff, nachdem Sie Mitglieder zu „Benutzerdefinierten
Schritt 6: Gruppen erstellen und Rollen zuweisen
Navigieren Sie zu Organisationseinstellungen > Gruppen.
Klicken Sie auf „Gruppe hinzufügen
Fügen Sie Mitglieder zu den entsprechenden Gruppen hinzu.
Weisen Sie jede Gruppe den benutzerdefinierten Rollen zu, die Sie in Schritt 2 erstellt haben.
Wenn Sie SCIM-Verzeichnissynchronisierung verwenden, können Sie Gruppen von Ihrem Identitätsanbieter synchronisieren, anstatt sie manuell zu erstellen. Weitere Informationen zur SCIM-Gruppensynchronisierung finden Sie unter Gruppen und Ausgabenlimits für Gruppen in Enterprise-Plänen verwalten.
Mehrere Organisationen unter derselben übergeordneten Organisation: Gruppen werden auf der Ebene der übergeordneten Organisation verwaltet und werden an alle untergeordneten Organisationen weitergegeben. Möglicherweise sehen Sie Mitglieder aus anderen Organisationen in einer Gruppe aufgelistet – dies bedeutet nicht, dass sie Zugriff auf Ihre Organisation haben. Benutzerdefinierte Rollen, die einer Gruppe zugewiesen sind, gewähren Funktionen nur Mitgliedern, die Teil Ihrer spezifischen Organisation sind.
Wenn Sie anfordern, eine Organisation von einer übergeordneten Organisation zu einer anderen zu verschieben (dies ist in der Praxis selten), werden Gruppen und Rollen nicht definiert und Sie müssen sie neu erstellen.
Wichtig: Wenn Ihre Organisation „Nur Einladung
Schritt 7: Gruppen- und Rollenzuweisungen überprüfen
Bevor Sie Mitglieder zu benutzerdefinierten Rollen migrieren, bestätigen Sie, dass sich jedes Mitglied, das Sie migrieren möchten, in mindestens einer Gruppe befindet, die einer benutzerdefinierten Rolle zugewiesen ist. Mitglieder, die ohne Gruppen- oder Rollenabdeckung migriert werden, verlieren den Zugriff auf alle verwalteten Funktionen.
Navigieren Sie zu Organisationseinstellungen > Mitglieder.
Verwenden Sie die Filter „Rolle" und „Gruppe", um Mitglieder zu identifizieren, die keiner Gruppe zugewiesen sind.
Alternativ können Sie auf „CSV exportieren
Fügen Sie alle nicht zugewiesenen Mitglieder zu den entsprechenden Gruppen hinzu, bevor Sie fortfahren.
Schritt 8: Mitglieder zu benutzerdefinierten Rollen migrieren
Damit benutzerdefinierte Rollenfunktionen wirksam werden, müssen Mitglieder ihre Rolle auf „Benutzerdefiniert" setzen. Mitglieder mit den Rollen „Benutzer", „Administrator" oder „Eigentümer" erhalten ihre Berechtigungen direkt von diesen Rollen, nicht von benutzerdefinierten Rollen.
Wichtig: Führen Sie diesen Schritt nur aus, nachdem Sie Ihre benutzerdefinierten Rollen erstellt, Administrator- und Connector-Berechtigungen konfiguriert haben (falls Sie diese verwenden), Ihre Gruppen erstellt und überprüft haben, dass alle Mitglieder Gruppen zugewiesen sind. Mitglieder, die zu benutzerdefinierten Rollen verschoben werden, bevor die Einrichtung abgeschlossen ist, verlieren sofort den Zugriff auf alle verwalteten Funktionen und ihre vorherige Rolle. Das Umschalten eines Eigentümers oder Administrators auf benutzerdefinierte Rollen entfernt seinen Eigentümer- oder Administratorzugriff. Migrieren Sie daher Eigentümer oder Administratoren nur, wenn Sie beabsichtigen, diesen Zugriff durch benutzerdefinierte Rollenberechtigung zu ersetzen.
Wählen Sie den Migrationspfad basierend darauf aus, ob Ihre Organisation bereits Gruppenzuordnungen aktiviert hat:
Pfad A: Gruppenzuordnungen aktivieren (nur wenn bereits in Verwendung)
Verwenden Sie diesen Pfad nur, wenn Ihre Organisation bereits Gruppenzuordnungen für die Rollenzuweisung aktiviert hat. Wenn Sie diese Einstellung nicht bereits verwenden, fahren Sie mit Pfad B fort.
Navigieren Sie zu Organisationseinstellungen > Organisation und Zugriff.
Weisen Sie im Abschnitt „Rollenzuordnungen
Speichern Sie Ihre Änderungen. Mitglieder in diesen IdP-Gruppen werden bei der nächsten Synchronisierung zu Rollen vom Typ „Benutzerdefiniert" migriert."
Mitglieder in IdP-Gruppen, die benutzerdefinierten Rollen zugeordnet sind, folgen den Berechtigungen der benutzerdefinierten Rollen, die ihren Gruppen in Claude zugewiesen sind. Mitglieder in IdP-Gruppen, die dem Benutzer zugeordnet sind, folgen den Organisationsfunktionseinstellungen. Wenn sich ein Mitglied in Gruppen über beide Zuordnungen hinweg befindet, haben „Benutzerdefinierte" Rollen Vorrang."
Pfad B: Massenbearbeitungstool
Verwenden Sie diesen Pfad, wenn Ihre Organisation Gruppenzuordnungen nicht aktiviert hat.
Warnung: Wenn Sie Gruppenzuordnungen nicht bereits aktiviert haben, aktivieren Sie diese nicht während der RBAC-Einrichtung. Das Aktivieren ohne vorherige Zuweisung aller Mitglieder zu zugeordneten Gruppen kann dazu führen, dass Mitglieder den Zugriff auf Ihre Organisation verlieren.
Navigieren Sie zu Organisationseinstellungen > Mitglieder.
Verwenden Sie die Filter „Rolle" und „Gruppe", um die Mitglieder auszuwählen, die Sie migrieren möchten.
Verwenden Sie das Massenbearbeitungstool in der Tabelle „Mitglieder
Wir empfehlen, zunächst eine Pilotgruppe zu migrieren – ein Team oder eine Abteilung – und deren Zugriff zu überprüfen, bevor Sie auf den Rest der Organisation erweitern.
Schrittweise Einführung
Unabhängig davon, welchen Pfad Sie verwenden, empfehlen wir eine schrittweise Migration:
Beginnen Sie mit einer Pilotgruppe aus einem Team oder einer Abteilung.
Überprüfen Sie nach der Migration, ob die Pilotgruppe basierend auf ihren Gruppen- und Rollenzuweisungen den korrekten Funktionszugriff hat.
Wenn etwas nicht stimmt, schalten Sie die betroffenen Mitglieder zurück auf ihre vorherige Rolle, während Sie Anpassungen vornehmen.
Erweitern Sie auf weitere Mitglieder, sobald Sie bestätigt haben, dass die Einrichtung funktioniert.
Schritt 9: Funktionen auf Organisationsebene aktivieren
Aktivieren Sie Funktionen auf Organisationsebene erst, nachdem Rollen, Gruppen und die Mitgliedermigration abgeschlossen sind. Dies stellt sicher, dass benutzerdefinierte Rollenfunktionen bereits vorhanden sind, ohne dass es einen Zeitraum gibt, in dem nicht autorisierte Mitglieder auf eine Funktion zugreifen könnten.
Für jede Funktion, die Sie pro Gruppe steuern möchten:
Navigieren Sie zur Einstellungsseite der Funktion in Organisationseinstellungen (z. B. Organisationseinstellungen > Cowork).
Aktivieren Sie die Funktion auf Organisationsebene.
Das Aktivieren einer Funktion auf Organisationsebene bedeutet nicht, dass jeder sie erhält – benutzerdefinierte Rollenberechtigung ist bereits vorhanden, um zu steuern, wer sie verwenden kann. Denken Sie an den Organisationsebenen-Schalter als „Funktion für rollenbasierte Zuweisung verfügbar machen" statt „für alle aktivieren".
Schritt 10: Ausgabenlimit für Gruppen anwenden (nur nutzungsbasierte Organisationen)
Navigieren Sie zur Seite „Nutzung
Beachten Sie die folgenden Vorrangregeln:
Individuelle Limits überschreiben immer Gruppenlimits, unabhängig davon, welches höher ist.
Wenn ein Benutzer mehreren Gruppen mit unterschiedlichen Limits angehört, steuert die Einstellung Ausgabenlimit für mehrere Gruppen unter Ausgabenstandards, ob das höhere oder niedrigere Limit gilt.
Organisationsweite Limits bleiben die harte Obergrenze.
Mitgliedschaftsänderungen werden automatisch wirksam – Benutzer erhalten oder verlieren Limits, sobald sich ihre Gruppenmitgliedschaft ändert. Nur relevant für nutzungsbasierte Abrechnungsorganisationen.
Schritt 11: Überprüfung und Überwachung
Stichprobenprüfung des Zugriffs: Öffnen Sie das Menü „⋮
Testen Sie den eingeschränkten Status: Melden Sie sich als Mitglied an (oder fragen Sie), das keine Funktion wie Cowork haben sollte. Es sollte ausgegraut angezeigt werden mit der Meldung „Wenden Sie sich an Ihren Administrator, um Zugriff auf diese Funktion anzufordern.
Testen Sie den gewährten Status: Bestätigen Sie, dass ein Mitglied, das die Funktion haben sollte, diese normal funktioniert sieht.
Überprüfen Sie Grenzfälle: Testen Sie Mitglieder in mehreren Gruppen, Mitglieder ohne Gruppe und neue Mitglieder, die sich über SSO anmelden.
Wenn Sie Admin-Berechtigungen konfiguriert haben, überprüfen Sie auch:
Gruppen- und Rollenzuweisungen: Eigentümer können den Zugriff eines Mitglieds überprüfen, indem sie seine Gruppenzuweisungen auf der Seite „Mitglieder
Organisationseinstellungen: In den Organisationseinstellungen sieht das Mitglied nur die Abschnitte, die seine Admin-Berechtigungen abdecken. Alles andere ist in seinen Einstellungen verborgen. Mitglieder mit Anzeigeberechtigung sehen Seiten als schreibgeschützt, mit deaktivierten Steuerelementen.
Analysezugriff: Mitglieder mit Analysezugriff sehen Analysen in Einstellungen > Analysen, nicht in den Organisationseinstellungen.
Wenn Sie Connector-Berechtigungen konfiguriert haben, überprüfen Sie auch:
Connector-Menü: Blockierte Connectors werden nicht angezeigt, und Connectors mit mindestens einem gewährten Tool werden angezeigt.
Connector-Einstellungen: Blockierte Tools sind ausgegraut mit „Dieses Tool ist für Ihre Rolle nicht aktiviert. Wenden Sie sich an Ihren Administrator." Tools mit der Obergrenze „Genehmigung erforderlich" zeigen ein persönliches Genehmigungsmenü, das auf „Fragen" und „Nie" beschränkt ist.
In einem Gespräch: Bitten Sie Claude, ein blockiertes Tool zu verwenden, und es meldet, dass es kein Tool für die Aufgabe hat. Bitten Sie es, ein Tool mit „Genehmigung erforderlich
Wenn Sie Modellzugriff konfiguriert haben, überprüfen Sie auch:
Modellauswahl: Deaktivierte Modelle werden nicht angezeigt, und das Aufwandsmenü stoppt bei der Obergrenze der Rolle.
In einem Gespräch: Bitten Sie das Mitglied, zu einem deaktivierten Modell zu wechseln. Es sollte nicht aufgelistet sein, und in Claude Code CLI gibt /model <disabled-model> einen Fehler zurück.
Rollenänderungen können bis zu 15 Minuten dauern, bis sie auf der gesamten Plattform wirksam werden. Mitglieder müssen möglicherweise ihren Browser aktualisieren, um den aktualisierten Zugriff zu sehen.
Verwendung von SCIM mit rollenbasierten Funktionen
SCIM verbindet sich mit Ihren rollenbasierten Funktionen durch zwei Mechanismen, die zusammenarbeiten.
IdP-Gruppen-zu-Rollen-Zuordnung
Dies steuert, welche integrierte Rolle ein Mitglied erhält, wenn es bereitgestellt wird. Ordnen Sie Ihre IdP-Gruppen „Benutzerdefinierten
Navigieren Sie zu Organisationseinstellungen > Organisation und Zugriff.
Ordnen Sie in der Tabelle der Rollenzuordnungen Ihre IdP-Gruppen „Benutzerdefinierten" Rollen zu."
Gruppensynchronisierung
Dies zieht Ihre IdP-Gruppen in Claude, damit sie benutzerdefinierten Rollen zugewiesen werden können.
Navigieren Sie zu Organisationseinstellungen > Gruppen
Klicken Sie im Abschnitt SCIM-Synchronisierung auf „Nach Updates suchen"."
Wenn Sie aufgefordert werden, Gruppen, Mitglieder oder Beides zu synchronisieren, wählen Sie nur Gruppen. Die Synchronisierung von Mitgliedern kann die Bereitstellung und den Mitgliederzugriff beeinflussen.
Ihre IdP-Gruppen werden als SCIM-gesteuerte Gruppen in der Liste angezeigt.
Weisen Sie SCIM-Gruppen benutzerdefinierten Rollen zu, genau wie manuell erstellte Gruppen.
Pushen Sie in Ihrem IdP nur die Gruppen, die Sie tatsächlich für RBAC oder Ausgabenlimits verwenden möchten. Die Synchronisierung aller IdP-Gruppen kann das Laden von Seiten im Abschnitt „Gruppen" verlangsamen."
Hinweis: Berechtigungen für benutzerdefinierte Rollen gelten nur für Mitglieder mit „Benutzerdefinierten
Laufende Verwaltung mit SCIM
Um einem Mitglied Zugriff auf eine Funktion zu gewähren, fügen Sie es der entsprechenden IdP-Gruppe hinzu. Bei der nächsten Synchronisierung erhält es die benutzerdefinierte Rolle, die dieser Gruppe zugewiesen ist.
Um den Zugriff zu widerrufen, entfernen Sie ihn aus der IdP-Gruppe. Bei der nächsten Synchronisierung wird die Berechtigung entfernt.
Klicken Sie im Abschnitt „Gruppen" auf „SCIM-Synchronisierung", um eine sofortige Synchronisierung zu erzwingen, anstatt auf die nächste geplante Synchronisierung zu warten.
Rollback-Plan
Wenn Sie feststellen, dass Ihre Rollenstruktur nach der Migration falsch konfiguriert ist:
Deaktivieren Sie alle Funktionen auf Organisationsebene, die als Teil der Migration aktiviert wurden.
Ändern Sie betroffene Mitglieder zurück zu ihrer vorherigen integrierten Rolle (z. B. Benutzer).
Sie erhalten sofort die statischen Berechtigungen von dieser Rolle zurück, und die Berechtigungen der benutzerdefinierten Rolle werden nicht mehr angewendet.
Passen Sie Rollen und Gruppen nach Bedarf an und migrieren Sie dann erneut.
Wenn Sie während des Setups Gruppenzuordnungen aktiviert haben und den Admin-Zugriff verloren haben, führen Sie die Wiederherstellungsschritte in JIT- oder SCIM-Bereitstellung einrichten unter „Ich habe Admin-/Eigentümerzugriff verloren, nachdem ich Gruppenzuordnungen aktiviert habe" durch."
Häufig gestellte Fragen
Muss ich eine Funktion auf Organisationsebene aktivieren, wenn ich sie nur einigen Mitgliedern geben möchte?
Ja. Der Schalter auf Organisationsebene muss aktiviert sein, damit benutzerdefinierte Rollen den Zugriff pro Mitglied steuern können. Wenn eine Funktion auf Organisationsebene deaktiviert ist, kann niemand darauf zugreifen, unabhängig von seiner Rolle. Stellen Sie sich das als Hauptschalter vor – benutzerdefinierte Rollen steuern, wer darunter Zugriff erhält.
Was passiert, wenn ein Mitglied, dessen Rolle auf „Benutzerdefinierten
Es hat keine Berechtigungen für benutzerdefinierte Rollen, daher sind alle Funktionen, die Berechtigungen erfordern, ausgegraut oder verborgen. Stellen Sie sicher, dass jedes Mitglied, dessen Rolle auf „Benutzerdefinierten
Ein Modell fehlt in der Modellauswahl eines Mitglieds.
Entweder ist das Modell auf Organisationsebene deaktiviert (Organisationseinstellungen > Modelle) oder keine der benutzerdefinierten Rollen des Mitglieds gewährt es. Deaktivierungen auf Organisationsebene wirken sich auf alle aus, einschließlich Eigentümer und Administratoren.
Was ist, wenn eine benutzerdefinierte Rolle keinen Chat-Zugriff gewährt?
Mitglieder in dieser Rolle sehen die Chat-Schnittstelle von Claude nicht. Sie landen auf ihrer Einstellungsseite, wenn sie sich anmelden. Wenn ihre Rolle andere Produkte wie Cowork oder Claude Code gewährt, bleiben diese über ihre Einstellungsseite und über die relevanten Apps zugänglich.
Chat ist standardmäßig in allen benutzerdefinierten Rollen aktiviert, daher müssen Sie sich nur darum kümmern, wenn Sie Chat für eine Rolle absichtlich deaktiviert haben.
Kann ich sowohl integrierte als auch benutzerdefinierte Rollen verwenden?
Ja. Mitglieder mit den Rollen Benutzer, Administrator oder Eigentümer sind nicht von benutzerdefinierten Rollenberechtigung betroffen, da sie ihre Berechtigungen direkt von diesen Rollen erhalten. Nur Mitglieder mit einer auf „Benutzerdefiniert" eingestellten Rolle werden vom Gruppen- und Rollensystem gesteuert. Dies ermöglicht eine schrittweise Migration."
Was ist, wenn ein Mitglied in zwei Gruppen mit unterschiedlichen Rollen ist?
Berechtigungen sind additiv. Wenn eine Rolle in der Kette eines Mitglieds ein Feature gewährt, hat es dieses. Sie können eine Rolle nicht verwenden, um eine Berechtigung zu entfernen, die von einer anderen Rolle gewährt wurde.
Kann ich SCIM-Gruppen und manuelle Gruppen zusammen verwenden?
Ja. Beide Typen können benutzerdefinierten Rollen zugewiesen werden. Der Unterschied besteht darin, dass die SCIM-Gruppenmitgliedschaft in Ihrem Identitätsanbieter verwaltet wird, während die manuelle Gruppenmitgliedschaft in Claudes Organisationseinstellungen verwaltet wird.
Sind Eigentümer und Primäre Eigentümer von benutzerdefinierten Rollenberechtigung betroffen?
Nein. Eigentümer und Primäre Eigentümer haben immer vollständigen Zugriff auf alle Features.
Wie funktioniert dies über übergeordnete und untergeordnete Organisationen hinweg?
Gruppen und SCIM-Synchronisierung werden auf der Ebene der übergeordneten Organisation verwaltet und über alle untergeordneten Organisationen hinweg freigegeben. Rollen- und Ausgabenlimitierungszuweisungen werden unabhängig in jeder untergeordneten Organisation konfiguriert – Änderungen in einer untergeordneten Organisation beeinflussen andere nicht. Änderungen der Gruppenmitgliedschaft und SCIM-Neusynchronisierungen werden über alle untergeordneten Organisationen unter derselben übergeordneten Organisation hinweg verbreitet.
Was passiert mit meinen vorhandenen benutzerdefinierten Rollen, wenn Connector-Berechtigungen aktiviert werden?
Jede vorhandene Rolle wird mit der Berechtigung „Alle Connectors" auf „Immer zulassen" initialisiert, sodass sich der Zugriff der Mitglieder bei der Aktivierung nicht ändert. Sie schränken den Zugriff von dort aus ein.
Welche ist die Standard-Connector-Berechtigung für eine neue Rolle?
„Genehmigung erforderlich" für jeden Connector. Der Workflow zum Erstellen von Rollen führt Sie durch die Registerkarte „Connectors", damit Sie dies vor dem Speichern sehen.
Was passiert, wenn ich einen neuen Connector hinzufüge, nachdem meine Rollen vorhanden sind?
Eine Rolle, deren Zeile „Alle Connectors" auf „Immer zulassen", „Genehmigung erforderlich" oder „Blockiert" eingestellt ist, deckt den neuen Connector automatisch auf dieser Ebene ab. Eine Rolle, deren Zeile „Alle Connectors" auf „Benutzerdefiniert" eingestellt ist, behandelt den neuen Connector als „Blockiert
Ich habe einen Connector in einer Rolle blockiert, aber ein Mitglied mit dieser Rolle kann ihn immer noch verwenden. Warum?
Überprüfen Sie, ob das Mitglied eine andere Rolle hat, die es gewährt, da die permissivste Berechtigung über Rollen hinweg gewinnt. Die Konfliktwarnung in der Connector-Zeile listet diese Rollen auf. Bestätigen Sie auch, dass die Rolle des Mitglieds auf „Benutzerdefiniert" eingestellt ist."
Meine organisationsweite Tool-Richtlinie blockiert bereits ein Tool. Muss ich es in jeder Rolle blockieren?
Nein. Die organisationsweite Richtlinie ist die Obergrenze. Ein dort blockiertes Tool ist für alle blockiert, unabhängig von Rollenberechtigung.
Kann eine Rolle ein Tool gewähren, das die organisationsweite Richtlinie auf „Genehmigung erforderlich" setzt?"
Die Rolle kann es gewähren, aber die strengere Einstellung gewinnt, daher sehen Mitglieder es auf „Genehmigung erforderlich" begrenzt. Um Mitgliedern „Immer zulassen" zu ermöglichen, erhöhen Sie zunächst die organisationsweite Richtlinie auf „Immer zulassen"."
Kann ich ein Tool auf einem Connector gewähren, ohne den gesamten Connector zu gewähren?
Ja. Stellen Sie den Connector auf „Benutzerdefiniert
Gelten Connector-Berechtigungen für integrierte Tools wie Websuche oder Code-Ausführung?
Nein. Integrierte Features werden auf der Registerkarte „Funktionen" gesteuert. Die Registerkarte „Connectors" steuert Connectors, die Ihre Organisation hinzugefügt hat.
Wie schnell werden Änderungen der Connector-Berechtigung wirksam?
Rollenänderungen können bis zu 15 Minuten dauern, bis sie wirksam werden. Mitglieder müssen möglicherweise ihren Browser aktualisieren.
Kann sich jemand in einer benutzerdefinierten Rolle mit Berechtigungen selbst mehr Zugriff geben?
Nur wenn ihre Rolle „Identität und Zugriff" auf „Verwalten" eingestellt hat, was das Bearbeiten von Rollen und Gruppen abdeckt. Reservieren Sie diese Berechtigung für vertrauenswürdige Sicherheits- und IT-Administratoren, da sie verwendet werden kann, um Rollendefinitionen einschließlich ihrer eigenen zu ändern.
Kann ich einem Mitglied Admin-Berechtigungen für die Rolle „Benutzer
Nein. Admin-Berechtigungen gelten nur für Mitglieder in einer benutzerdefinierten Rolle. Mitglieder mit einer integrierten Rolle behalten den Zugriff, den diese Rolle gewährt. Um jemandem spezifische Admin-Berechtigungen zu geben, ändern Sie das Mitglied in eine benutzerdefinierte Rolle und fügen Sie es einer Gruppe hinzu, die einer Rolle mit den benötigten Berechtigungen zugewiesen ist. Beachten Sie, dass dies ihren vorherigen integrierten Rollenzugriff entfernt.
Was sieht jemand, wenn er keine Berechtigungen für eine bestimmte Einstellung hat?
Organisationseinstellungen zeigen nur die Abschnitte, die ihre Berechtigungen abdecken. Abschnitte, auf die sie keinen Zugriff haben, sind vollständig aus ihren Organisationseinstellungen ausgeblendet.
Wie überprüfe ich, wer Admin-Zugriff hat?
Organisationseinstellungen > Rollen zeigt die Admin-Berechtigungen, die jede benutzerdefinierte Rolle gewährt, und Organisationseinstellungen > Gruppen zeigt, welche Gruppen jeder Rolle zugewiesen sind und wer zu ihnen gehört. Um ein bestimmtes Mitglied zu überprüfen, suchen Sie seine Gruppen auf Organisationseinstellungen > Mitglieder auf, dann die Rollen, denen diese Gruppen zugewiesen sind.
Was ist, wenn jemand Berechtigungen über mehrere Bereiche hinweg benötigt?
Erstellen Sie eine Rolle, die Zugriff auf mehrere Bereiche gewährt, oder fügen Sie das Mitglied zu mehreren Gruppen hinzu, deren Rollen die benötigten Bereiche abdecken. Berechtigungen werden additiv kombiniert.





