Zum Hauptinhalt springen

Claude Code von Console zu Enterprise-Migration

Claude Console (API) → Claude Enterprise

Übersicht

Diese Anleitung ist für Teams konzipiert, die von Console-basiertem Claude Code-Zugriff zu Claude Enterprise migrieren. Beachten Sie, dass einzelne Benutzer die Sitzungsverlauf für CLI-Sitzungen nicht migrieren müssen, da diese lokal gespeichert sind. Sie müssen nur Claude Enterprise-Konten für jeden Benutzer bereitstellen, und dann sollten Benutzer ihre Anmeldemethode von Console zu Claude Enterprise wechseln.


Claude Enterprise im Vergleich zu Console

Funktion

Claude Console/API

Claude Enterprise

Claude Code auf Web und Mobile-App

Claude Code auf Slack

Code-Überprüfung

Erzwingen Sie, welche Tools Claude Code verwenden kann

❌ Keine native Benutzeroberfläche

*Einstellungen können über MDM (Jamf, Intune) oder Konfigurationsverwaltung (Ansible, Puppet usw.) auf Entwicklermaschinen übertragen werden.

✅ Native Benutzeroberfläche zum Festlegen von managed-settings.json Allow/Deny-Regeln

Blockieren Sie bestimmte Bash-Befehle

❌ Keine native Benutzeroberfläche*

✅ Bash(curl:*), Bash(sudo:*) usw.

Verhindern Sie den Zugriff auf vertrauliche Dateien

❌ Keine native Benutzeroberfläche*

✅ Read(.env), Read(./secrets/**)

Kontrollieren Sie, welche MCP-Server zulässig sind

❌ Keine native Benutzeroberfläche*

✅ allowedMcpServers / deniedMcpServers

Stellen Sie vorab genehmigte MCP-Server organisationsweit bereit

❌ Keine native Benutzeroberfläche*

✅ managed-mcp.json

Erzwingen Sie den Sandbox-Modus

❌ Keine native Benutzeroberfläche*

✅ sandbox.enabled

Deaktivieren Sie --dangerously-skip-permissions

❌ Keine native Benutzeroberfläche*

✅ permissions.disableBypassPermissionsMode: disable

Deaktivieren Sie den Auto-Modus

❌ Keine native Benutzeroberfläche*

✅ disableAutoMode: disable

Benutzerdefinierte Rollen (RBAC)

✅ Beschränken Sie den Funktionszugriff nach Gruppe und delegieren Sie spezifische Admin-Bereiche wie Abrechnung, Benutzerverwaltung und Identität, ohne die Rolle „Eigentümer

Modellverwaltung

❌ Keine native Benutzeroberfläche*

✅ Legen Sie ein Standard-Organisationsmodell für Chat und Cowork (Beta) in der Admin-Konsole fest und beschränken Sie die Claude Code-Modellauswahl mit availableModels in verwalteten Einstellungen. Legen Sie ein Standard-Modell für Ihre Organisation fest

Audit-Protokolle

❌ Keine Audit-Log-Unterstützung

🟡 Claude Code hat Unterstützung für OpenTelemetry

🟡 Audit-Protokolle und die Compliance-API, die Audit-Log-Ereignisse enthält. Transkripte lokaler CLI-Sitzungen bleiben auf dem Gerät des Entwicklers und sind nicht über die Compliance-API verfügbar.

Nutzungsanalysen

✅ Geschriebene Codezeilen, Akzeptanzrate, täglich aktive Benutzer, tägliche Ausgaben.

✅ Geschriebene Codezeilen, Akzeptanzrate, täglich aktive Benutzer und Ausgaben im laufenden Monat pro Mitglied in OrganisationseinstellungenNutzung.

Programmgesteuerte Nutzungs- und Kostenberichterstattung

✅ Die Claude Enterprise Analytics API gibt pro Benutzer Engagement- und Claude Code-Metriken (Commits, Pull Requests, Codezeilen) sowie Nutzungs- und Kostenendpunkte zurück. Die Admin API deckt programmgesteuerte Organisationsverwaltung ab.

Beitragskennzahlen

✅ Über die Claude Code Analytics API

✅ Pull Requests erstellt und Codezeilen mit Claude Code-Unterstützung committed.

Granulare Ausgabenkontrollen

✅ Organisations- und Workspace-Limits sowie Pro-Entwickler-Limits in Claude Code-Workspaces

✅ Organisation → Gruppe → Einzelperson, integriert mit RBAC-Gruppen


SCIM-Bereitstellung

Das muss Ihr Identity-Team tun:

  1. IdP-Gruppenzuordnungen aktualisieren — Erstellen oder verwenden Sie IdP-Gruppen erneut, um Benutzer der Claude Enterprise-Organisation zuzuordnen. Aktivieren Sie Gruppenzuordnungen, um Lizenzen automatisch zuzuweisen.

  2. Ausreichende Lizenzen sicherstellen — Überprüfen Sie vor dem Auslösen einer SCIM-Synchronisierung, dass die Claude Enterprise-Organisation über genügend verfügbare Lizenzen verfügt. Benutzer ohne verfügbare Lizenzen erhalten den Status „Nicht zugewiesen"."

  3. Bestätigen Sie, dass Claude Code-Zugriff aktiviert ist — Bestätigen Sie, dass Claude Code für die Enterprise-Organisation in den Admin-Einstellungen aktiviert ist, und — wenn Sie Features mit benutzerdefinierten Rollen oder Gruppen einschränken — dass Ihre Entwicklergruppen Claude Code-Zugriff erhalten.

  4. Synchronisierung auslösen — Navigieren Sie zu Organisationseinstellungen → Organisation und Zugriff, suchen Sie Verzeichnissynchronisierung (SCIM) und klicken Sie auf „Synchronisieren

  5. Lizenzzzuweisungen überprüfen — Überprüfen Sie nach der Synchronisierung Organisationseinstellungen → Organisation und Zugriff, um zu bestätigen, dass Benutzer dem richtigen Lizenztyp zugeordnet wurden.

  6. Optional: Console-Organisationszuordnungen anpassen — Wenn einige Benutzer Console API-Zugriff behalten sollen, behalten Sie ihre Gruppe der Console-Organisation zugeordnet. Benutzer können gleichzeitig zu beiden Organisationen gehören.

Hinweis: Microsoft Entra SCIM-Änderungen werden alle ~40 Minuten synchronisiert. Verwenden Sie die Schaltfläche „Synchronisieren

Wenn das SSO Ihrer Enterprise-Organisation als „Nur Anmeldung


Ausgabenlimits

Claude Enterprise-Pläne bieten ein hierarchisches Ausgabenkontrollsystem. Limits kaskadieren — ein Benutzer kann die Organisationslimits niemals überschreiten.

Ebene

Umfang

Wer legt es fest

Was es kontrolliert

1. Organisation

Gesamte Enterprise-Organisation

Primärer Eigentümer / Eigentümer

Maximale monatliche Ausgaben für alle Lizenzen und Nutzung

2. Gruppenkontrollen

Gruppen mit RBAC

Primärer Eigentümer / Eigentümer

Ausgabenlimit für eine Gruppe mit RBAC

3. Einzelperson

Spezifischer Benutzer

Primärer Eigentümer / Eigentümer

Ausgabenlimit für ein einzelnes Teammitglied

Ausgabenlimits festlegen und bearbeiten

  1. Melden Sie sich als Eigentümer oder primärer Eigentümer an.

  2. Legen Sie das Limit auf Organisationsebene fest — dies ist die globale Obergrenze für alle monatlichen Ausgaben.

  3. Legen Sie Limits auf Gruppenebene fest — unter der Registerkarte „Nach Gruppe

  4. Individuelle Limits festlegen — suchen Sie bestimmte Benutzer im Abschnitt Ausgabenstandards unter der Registerkarte „Nach Mitglied"."

Besitzer können Limits auf „unbegrenzt


Neue Lizenzen ausstellen und erneute Authentifizierung

Lizenzen hinzufügen

  1. Melden Sie sich als Hauptbesitzer oder Besitzer an.

  2. Klicken Sie auf das Stiftsymbol unter Lizenzen.

  3. Geben Sie die neuen Lizenzanzahlen ein.

  4. Überprüfen Sie und klicken Sie auf „Upgrade

Benutzer zu Lizenzen zuweisen

  1. Klicken Sie auf „Mitglied hinzufügen" (oder „Mehrfach hinzufügen" für mehrere).

  2. Geben Sie die @-E-Mail-Adresse des Benutzers ein.

  3. Legen Sie die Rolle fest (Benutzer, Administrator, Besitzer) und senden Sie die Einladung.

Bei SCIM-bereitgestellten Benutzern erfolgt die Lizenzzuweisung automatisch basierend auf Gruppenzuordnungen. Benutzer werden standardmäßig der höchsten verfügbaren Lizenzstufe zugewiesen, wenn keine Gruppenzuordnung konfiguriert ist.

Erneute Authentifizierung für Claude Code-Benutzer

Entwickler, die sich derzeit bei der Console-Organisation authentifizieren, müssen sich erneut bei der Claude Enterprise-Organisation authentifizieren:

  1. Entfernen Sie alle verbleibenden Console-Anmeldedaten, bevor Sie sich anmelden. Suchen Sie nach ANTHROPIC_API_KEY oder ANTHROPIC_AUTH_TOKEN Umgebungsvariablen in Shell-Profilen, Dotfiles und CI-Konfigurationen und entfernen Sie alle apiKeyHelper Einstellungen. Überprüfen Sie auch auf CLAUDE_CODE_OAUTH_TOKEN, ANTHROPIC_BASE_URL und die CLAUDE_CODE_USE_BEDROCK / _VERTEX / _FOUNDRY Flags — diese überschreiben oder umgehen auch /login. Anmeldedaten können sich auch in der env-Sektion von Claude Codes eigenen Einstellungsdateien verstecken (~/.claude/settings.json und die .claude/settings*.json Dateien in Repositories). Falls diese vorhanden sind, haben sie stillschweigend Vorrang vor der neuen Anmeldung: /login scheint erfolgreich zu sein, aber die Nutzung wird weiterhin der alten Console-Organisation in Rechnung gestellt.

  2. Führen Sie im Terminal claude aus und führen Sie dann /login aus, um die Authentifizierungsmethode zu wechseln.

  3. Wählen Sie „Claude-Konto mit Abonnement" als Anmeldeverfahren."

  4. Wählen Sie die Claude Enterprise-Organisation (nicht die Console-Organisation oder ein persönliches Konto).

  5. Autorisieren Sie, kehren Sie zum Terminal zurück und führen Sie /status aus, um zu bestätigen, dass Claude Code Ihre Enterprise-Organisation anzeigt.

CI und Automatisierung

Pipelines und Skripte verwenden nicht /login. Behalten Sie entweder eine Console-Organisation (und ihre API-Schlüssel) für die Automatisierung bei und migrieren Sie nur interaktive Entwicklersitze, oder wechseln Sie CI zu einer Enterprise-Anmeldedaten: Führen Sie claude setup-token aus, während Sie bei der Enterprise-Organisation angemeldet sind, und legen Sie das gedruckte Token als CLAUDE_CODE_OAUTH_TOKEN in Ihrer CI-Umgebung fest. Entfernen Sie CI-Anmeldedaten nicht, bis eines davon vorhanden ist.

Tipp für IT: Stellen Sie verwaltete Einstellungen mit forceLoginOrgUUID bereit, das auf die UUID Ihrer Enterprise-Organisation eingestellt ist, als Standardteil jeder Migration. Liefern Sie die PIN als endpunktverwaltete Datei oder MDM-Richtlinie — serververwaltete Einstellungen treffen erst ein, nachdem sich ein Benutzer anmeldet, sodass sie eine falsche erste Anmeldung nicht abfangen können. Wenn Sie auch serververwaltete Einstellungen verwenden, legen Sie forceLoginOrgUUID auch dort fest: Die beiden Kanäle werden nicht zusammengeführt. Dies blockiert die Anmeldung bei jeder anderen Organisation und verwandelt den oben beschriebenen Fehler bei verbleibenden Anmeldedaten von stiller Fehlabrechnung in einen lauten: Claude Code weigert sich zu starten und teilt dem Benutzer mit, dass eine verbleibende Anmeldedaten (ANTHROPIC_API_KEY, ANTHROPIC_AUTH_TOKEN oder apiKeyHelper) entfernt werden muss.

Nach Validierung der Migration

Entfernen Sie migrierte Entwickler aus der Console-Organisation (oder rotieren Sie ihre Schlüssel). Das Entfernen widerruft ihre Console-Anmeldemarken und deaktiviert ihren Claude Code-Arbeitsbereichsschlüssel, wodurch weitere Console-Abrechnung durch interaktive Nutzung gestoppt wird. API-Schlüssel, die sie in anderen Console-Arbeitsbereichen erstellt haben, werden durch das Entfernen nicht deaktiviert — überprüfen Sie diese separat und deaktivieren Sie sie. Entfernen Sie Mitglieder nicht, bis Sie bestätigt haben, dass der Enterprise-Zugriff funktioniert; es gibt kein automatisiertes Rollback.


Verbesserungen in der Berichterstellung

Der Wechsel von der Console API zu Claude Enterprise ermöglicht umfassendere Analysen für die Claude Code-Nutzung:

Metrik

Console API

Claude Enterprise

Token-Verbrauch

Akzeptierte Codezeilen

Akzeptanzrate von Vorschlägen

PRs erstellt mit Claude Code-Unterstützung

✅ Über die Claude Code Analytics API

Codezeilen mit Claude Code-Unterstützung committed

✅ Über die Claude Code Analytics API

Benachrichtigungen zu Ausgabenlimits

✅ E-Mails bei Grenzwertüberschreitung mit konfigurierbaren Empfängern

Schwellenwert-Warnungen

Ausgaben pro Mitglied im Monat

Admin-Einstellungen → Nutzung

Compliance-Audit-Trail

✅ Die Compliance API enthält Audit-Log-Ereignisse. Transkripte von lokalen CLI-Sitzungen bleiben auf dem Gerät des Entwicklers und sind nicht über die Compliance API verfügbar.

Alle Berichte sind über Analytics im Claude-Admin-Panel zugänglich. Für programmgesteuerten Zugriff gibt die Claude Enterprise Analytics API Metriken zur Benutzerinteraktion, Claude Code-Aktivität (Commits, Pull Requests, Codezeilen) sowie Nutzungs- und Kostendaten zurück. Analytics werden nicht migriert: Die Enterprise-Organisation beginnt mit einer neuen Berichtshistorie, und ihre Analytics/Admin API erfordert einen neuen API-Schlüssel, der in der Enterprise-Organisation erstellt wird – Console-Schlüssel werden nicht übernommen. Exportieren Sie alle Console-Analytics, die Sie für historische Dashboards benötigen, vor der Umstellung. Datenverkehr, der auf Console API-Schlüsseln verbleibt (z. B. CI), wird weiterhin nur in der Console-Berichterstellung angezeigt.


Verwaltete Richtlinieneinstellungen – Tiefenanalyse

Dies ist das bedeutendste Upgrade für Sicherheits- und IT-Teams. Serververwaltete Einstellungen ermöglichen zentrale, durchsetzbare Kontrolle über das, was Claude Code auf jedem Entwicklergerät kann und nicht kann. Es gibt zwei Möglichkeiten, diese bereitzustellen, und Sie benötigen kein MDM für die erste.

Funktionsweise

Claude Code liest die Konfiguration aus einer Hierarchie von Einstellungsquellen. Die Datei managed-settings.json steht an der Spitze und kann nicht durch Benutzer- oder Projekteinstellungen überschrieben werden:

Priorität

Quelle

Umfang

Wer kontrolliert es

1 (Höchste)

Verwaltete Einstellungen (serververwaltete oder endpunktverwaltete)

Unternehmensweite

Besitzer / Primärer Besitzer (wenn von der claude.ai-Admin-Konsole aus übertragen) oder Ihr IT-/MDM-Team (wenn als Datei bereitgestellt).

2

Befehlszeilenargumente

Sitzung

Entwickler

3

.claude/settings.local.json

Projekt (persönlich)

Entwickler

4

.claude/settings.json

Projekt (gemeinsam, in Git)

Team

5 (Niedrigste)

~/.claude/settings.json

Benutzer (global)

Entwickler

Zwei Möglichkeiten zur Bereitstellung verwalteter Einstellungen

Serververwaltete Einstellungen (kein MDM erforderlich): Ein Besitzer oder Primärer Besitzer definiert Einstellungen in Organisationseinstellungen Claude Code Verwaltete Einstellungen in der Admin-Konsole. Jeder Claude Code-Client, der bei der Organisation angemeldet ist, ruft sie beim Start automatisch ab und fragt stündlich nach Updates. Dies ist die richtige Wahl für Organisationen ohne Geräteverwaltungsinfrastruktur oder mit Benutzern auf nicht verwalteten Geräten. Erfahren Sie mehr über serververwaltete Einstellungen.

Endpunktverwaltete Einstellungen: Die IT stellt Einstellungen direkt auf Geräten bereit, entweder über native Betriebssystemrichtlinien (macOS verwaltete Einstellungen oder die Windows-Registrierung, über Jamf, Intune, Gruppenrichtlinie usw.) oder als verwaltete Datei managed-settings.json, die auf die unten aufgeführten Systempfade übertragen wird. Schützen Sie die Datei mit Berechtigungen auf Betriebssystemebene, damit Endbenutzer sie nicht ändern können. Auf registrierten Geräten bietet dies stärkere Garantien als serververwaltete Bereitstellung, da das Betriebssystem Benutzereingriffe verhindert.

Hinweis: Beide Kanäle belegen die gleiche höchste Prioritätsstufe und verwenden das gleiche JSON-Format, aber sie werden nicht zusammengeführt. Die erste Quelle, die eine nicht leere Konfiguration bereitstellt, gewinnt: Serververwaltete Einstellungen werden zuerst überprüft, und wenn sie überhaupt Schlüssel bereitstellen, werden endpunktverwaltete Einstellungen vollständig ignoriert. Führen Sie /status aus, um zu sehen, welche verwaltete Quelle aktiv ist.

Dateispeicherorte (endpunktverwaltete)

Betriebssystem

Pfad

macOS

/Library/Application Support/ClaudeCode/managed-settings.json

Linux

/etc/claude-code/managed-settings.json

Windows

C:\Program Files\ClaudeCode\managed-settings.json

Referenz für Schlüsseleinstellungen

Dies sind die Einstellungen, die für eine Console-to-Enterprise-Migration am relevantesten sind. Claude Code unterstützt viele weitere: Die vollständige aktuelle Liste finden Sie unter Claude Code-Einstellungen.

Einstellung

Zweck

Beispiel

permissions.deny

Bestimmte Tools/Befehle organisationsweit blockieren

Bash(curl:*), Read(.env)

permissions.allow

Vertrauenswürdige Befehle explizit zulassen

Bash(npm run test:*)

permissions.ask

Benutzerbestätigung jedes Mal erforderlich

Bash(rm:*)

permissions.disableBypassPermissionsMode

--dangerously-skip-permissions verhindern

"disable"

forceLoginOrgUUID

Anmeldung auf bestimmte Enterprise-Organisation(en) beschränken. Akzeptiert eine Organisations-UUID oder ein Array; die Anmeldung bei einer anderen Organisation wird blockiert. Eine einzelne UUID wählt diese Organisation auch automatisch bei der Anmeldung aus.

"298e7cb2…"

forceLoginMethod

Erzwingt die Anmeldemethode (claudeai, console oder gateway). Wird zusammen mit forceLoginOrgUUID empfohlen, damit Benutzer die Kontotypauswahl überspringen, ist aber nicht erforderlich, damit die Organisationsbeschränkung gilt.

"claudeai"

allowedMcpServers

Nur genehmigte MCP-Server zulassen, abgeglichen nach Name, Befehl oder URL-Muster

[{"serverName": "github"}]

deniedMcpServers

Bestimmte MCP-Server auf die schwarze Liste setzen

[{"serverName": "filesystem"}]

allowManagedPermissionRulesOnly

Nur Berechtigungsregeln aus verwalteten Einstellungen gelten; Benutzer und Projekte können keine eigenen hinzufügen

true

allowManagedMcpServersOnly

Nur die verwaltete MCP-Zulassungsliste gilt; Ablehnungslisten werden weiterhin aus allen Quellen zusammengeführt

true

allowManagedHooksOnly

Nur verwaltete und von Administratoren genehmigte Hooks werden ausgeführt

true

enforceAvailableModels

Erweitert die availableModels-Zulassungsliste auf die Option Standardmodell

true

sandbox.enabled

Sandbox-Modus erzwingen

true

sandbox.allowUnsandboxedCommands

Nicht-Sandbox-Ausführung blockieren

false

cleanupPeriodDays

Aufbewahrungszeitraum für lokale Sitzungsdaten (Transkripte und andere Anwendungsdateien). Standard: 30 Tage

7

companyAnnouncements

Nachrichten für alle Claude Code-Benutzer anzeigen

Array von Zeichenketten

Bereitstellung: Verwenden Sie Ihr MDM-Tool (Intune, Jamf, SCCM, Puppet usw.), um managed-settings.json auf alle Entwicklermaschinen zu übertragen. Schützen Sie die Datei mit Berechtigungen auf Betriebssystemebene, damit Endbenutzer sie nicht ändern können.

Hat dies deine Frage beantwortet?