Übersicht
Diese Anleitung ist für Teams konzipiert, die von Console-basiertem Claude Code-Zugriff zu Claude Enterprise migrieren. Beachten Sie, dass einzelne Benutzer die Sitzungsverlauf für CLI-Sitzungen nicht migrieren müssen, da diese lokal gespeichert sind. Sie müssen nur Claude Enterprise-Konten für jeden Benutzer bereitstellen, und dann sollten Benutzer ihre Anmeldemethode von Console zu Claude Enterprise wechseln.
Claude Enterprise im Vergleich zu Console
Funktion | Claude Console/API | Claude Enterprise |
Claude Code auf Web und Mobile-App | ❌ | ✅ |
Claude Code auf Slack | ❌ | ✅ |
Code-Überprüfung | ❌ | ✅ |
Erzwingen Sie, welche Tools Claude Code verwenden kann | ❌ Keine native Benutzeroberfläche
*Einstellungen können über MDM (Jamf, Intune) oder Konfigurationsverwaltung (Ansible, Puppet usw.) auf Entwicklermaschinen übertragen werden. | ✅ Native Benutzeroberfläche zum Festlegen von managed-settings.json Allow/Deny-Regeln |
Blockieren Sie bestimmte Bash-Befehle | ❌ Keine native Benutzeroberfläche* | ✅ Bash(curl:*), Bash(sudo:*) usw. |
Verhindern Sie den Zugriff auf vertrauliche Dateien | ❌ Keine native Benutzeroberfläche* | ✅ Read(.env), Read(./secrets/**) |
Kontrollieren Sie, welche MCP-Server zulässig sind | ❌ Keine native Benutzeroberfläche* | ✅ allowedMcpServers / deniedMcpServers |
Stellen Sie vorab genehmigte MCP-Server organisationsweit bereit | ❌ Keine native Benutzeroberfläche* | ✅ managed-mcp.json |
Erzwingen Sie den Sandbox-Modus | ❌ Keine native Benutzeroberfläche* | ✅ sandbox.enabled |
Deaktivieren Sie --dangerously-skip-permissions | ❌ Keine native Benutzeroberfläche* | ✅ permissions.disableBypassPermissionsMode: disable |
Deaktivieren Sie den Auto-Modus | ❌ Keine native Benutzeroberfläche* | ✅ disableAutoMode: disable |
Benutzerdefinierte Rollen (RBAC) | ❌ | ✅ Beschränken Sie den Funktionszugriff nach Gruppe und delegieren Sie spezifische Admin-Bereiche wie Abrechnung, Benutzerverwaltung und Identität, ohne die Rolle „Eigentümer |
Modellverwaltung | ❌ Keine native Benutzeroberfläche* | ✅ Legen Sie ein Standard-Organisationsmodell für Chat und Cowork (Beta) in der Admin-Konsole fest und beschränken Sie die Claude Code-Modellauswahl mit |
Audit-Protokolle | ❌ Keine Audit-Log-Unterstützung
🟡 Claude Code hat Unterstützung für OpenTelemetry | 🟡 Audit-Protokolle und die Compliance-API, die Audit-Log-Ereignisse enthält. Transkripte lokaler CLI-Sitzungen bleiben auf dem Gerät des Entwicklers und sind nicht über die Compliance-API verfügbar. |
Nutzungsanalysen | ✅ Geschriebene Codezeilen, Akzeptanzrate, täglich aktive Benutzer, tägliche Ausgaben.
| ✅ Geschriebene Codezeilen, Akzeptanzrate, täglich aktive Benutzer und Ausgaben im laufenden Monat pro Mitglied in Organisationseinstellungen → Nutzung.
|
Programmgesteuerte Nutzungs- und Kostenberichterstattung | ✅ Die Claude Enterprise Analytics API gibt pro Benutzer Engagement- und Claude Code-Metriken (Commits, Pull Requests, Codezeilen) sowie Nutzungs- und Kostenendpunkte zurück. Die Admin API deckt programmgesteuerte Organisationsverwaltung ab. | |
Beitragskennzahlen | ✅ Über die Claude Code Analytics API | ✅ Pull Requests erstellt und Codezeilen mit Claude Code-Unterstützung committed. |
Granulare Ausgabenkontrollen | ✅ Organisations- und Workspace-Limits sowie Pro-Entwickler-Limits in Claude Code-Workspaces | ✅ Organisation → Gruppe → Einzelperson, integriert mit RBAC-Gruppen |
Dokumentation: Rollen und Berechtigungen, Kauf und Verwaltung von Lizenzen in Enterprise-Plänen, Wie wird mir mein Enterprise-Plan berechnet?, Claude Code mit Ihrem Enterprise-Plan verwenden
SCIM-Bereitstellung
Das muss Ihr Identity-Team tun:
IdP-Gruppenzuordnungen aktualisieren — Erstellen oder verwenden Sie IdP-Gruppen erneut, um Benutzer der Claude Enterprise-Organisation zuzuordnen. Aktivieren Sie Gruppenzuordnungen, um Lizenzen automatisch zuzuweisen.
Ausreichende Lizenzen sicherstellen — Überprüfen Sie vor dem Auslösen einer SCIM-Synchronisierung, dass die Claude Enterprise-Organisation über genügend verfügbare Lizenzen verfügt. Benutzer ohne verfügbare Lizenzen erhalten den Status „Nicht zugewiesen"."
Bestätigen Sie, dass Claude Code-Zugriff aktiviert ist — Bestätigen Sie, dass Claude Code für die Enterprise-Organisation in den Admin-Einstellungen aktiviert ist, und — wenn Sie Features mit benutzerdefinierten Rollen oder Gruppen einschränken — dass Ihre Entwicklergruppen Claude Code-Zugriff erhalten.
Synchronisierung auslösen — Navigieren Sie zu Organisationseinstellungen → Organisation und Zugriff, suchen Sie Verzeichnissynchronisierung (SCIM) und klicken Sie auf „Synchronisieren
Lizenzzzuweisungen überprüfen — Überprüfen Sie nach der Synchronisierung Organisationseinstellungen → Organisation und Zugriff, um zu bestätigen, dass Benutzer dem richtigen Lizenztyp zugeordnet wurden.
Optional: Console-Organisationszuordnungen anpassen — Wenn einige Benutzer Console API-Zugriff behalten sollen, behalten Sie ihre Gruppe der Console-Organisation zugeordnet. Benutzer können gleichzeitig zu beiden Organisationen gehören.
Hinweis: Microsoft Entra SCIM-Änderungen werden alle ~40 Minuten synchronisiert. Verwenden Sie die Schaltfläche „Synchronisieren
Wenn das SSO Ihrer Enterprise-Organisation als „Nur Anmeldung
Ausgabenlimits
Claude Enterprise-Pläne bieten ein hierarchisches Ausgabenkontrollsystem. Limits kaskadieren — ein Benutzer kann die Organisationslimits niemals überschreiten.
Ebene | Umfang | Wer legt es fest | Was es kontrolliert |
1. Organisation | Gesamte Enterprise-Organisation | Primärer Eigentümer / Eigentümer | Maximale monatliche Ausgaben für alle Lizenzen und Nutzung |
2. Gruppenkontrollen | Gruppen mit RBAC | Primärer Eigentümer / Eigentümer | Ausgabenlimit für eine Gruppe mit RBAC |
3. Einzelperson | Spezifischer Benutzer | Primärer Eigentümer / Eigentümer | Ausgabenlimit für ein einzelnes Teammitglied |
Ausgabenlimits festlegen und bearbeiten
Melden Sie sich als Eigentümer oder primärer Eigentümer an.
Navigieren Sie zu Organisationseinstellungen → Nutzung.
Legen Sie das Limit auf Organisationsebene fest — dies ist die globale Obergrenze für alle monatlichen Ausgaben.
Legen Sie Limits auf Gruppenebene fest — unter der Registerkarte „Nach Gruppe
Individuelle Limits festlegen — suchen Sie bestimmte Benutzer im Abschnitt Ausgabenstandards unter der Registerkarte „Nach Mitglied"."
Besitzer können Limits auf „unbegrenzt
Dokumentation: Ausgabenlimits konfigurieren, Gruppen und Gruppausgabenlimits in Enterprise-Plänen verwalten
Neue Lizenzen ausstellen und erneute Authentifizierung
Lizenzen hinzufügen
Melden Sie sich als Hauptbesitzer oder Besitzer an.
Gehen Sie zu Organisationseinstellungen → Abrechnung.
Klicken Sie auf das Stiftsymbol unter Lizenzen.
Geben Sie die neuen Lizenzanzahlen ein.
Überprüfen Sie und klicken Sie auf „Upgrade
Benutzer zu Lizenzen zuweisen
Gehen Sie zu Organisationseinstellungen → Mitglieder.
Klicken Sie auf „Mitglied hinzufügen" (oder „Mehrfach hinzufügen" für mehrere).
Geben Sie die @-E-Mail-Adresse des Benutzers ein.
Legen Sie die Rolle fest (Benutzer, Administrator, Besitzer) und senden Sie die Einladung.
Bei SCIM-bereitgestellten Benutzern erfolgt die Lizenzzuweisung automatisch basierend auf Gruppenzuordnungen. Benutzer werden standardmäßig der höchsten verfügbaren Lizenzstufe zugewiesen, wenn keine Gruppenzuordnung konfiguriert ist.
Erneute Authentifizierung für Claude Code-Benutzer
Entwickler, die sich derzeit bei der Console-Organisation authentifizieren, müssen sich erneut bei der Claude Enterprise-Organisation authentifizieren:
Entfernen Sie alle verbleibenden Console-Anmeldedaten, bevor Sie sich anmelden. Suchen Sie nach
ANTHROPIC_API_KEYoderANTHROPIC_AUTH_TOKENUmgebungsvariablen in Shell-Profilen, Dotfiles und CI-Konfigurationen und entfernen Sie alleapiKeyHelperEinstellungen. Überprüfen Sie auch aufCLAUDE_CODE_OAUTH_TOKEN,ANTHROPIC_BASE_URLund dieCLAUDE_CODE_USE_BEDROCK / _VERTEX / _FOUNDRYFlags — diese überschreiben oder umgehen auch/login. Anmeldedaten können sich auch in der env-Sektion von Claude Codes eigenen Einstellungsdateien verstecken (~/.claude/settings.json und die .claude/settings*.json Dateien in Repositories). Falls diese vorhanden sind, haben sie stillschweigend Vorrang vor der neuen Anmeldung:/loginscheint erfolgreich zu sein, aber die Nutzung wird weiterhin der alten Console-Organisation in Rechnung gestellt.Führen Sie im Terminal
claudeaus und führen Sie dann/loginaus, um die Authentifizierungsmethode zu wechseln.Wählen Sie „Claude-Konto mit Abonnement" als Anmeldeverfahren."
Wählen Sie die Claude Enterprise-Organisation (nicht die Console-Organisation oder ein persönliches Konto).
Autorisieren Sie, kehren Sie zum Terminal zurück und führen Sie
/statusaus, um zu bestätigen, dass Claude Code Ihre Enterprise-Organisation anzeigt.
CI und Automatisierung
Pipelines und Skripte verwenden nicht /login. Behalten Sie entweder eine Console-Organisation (und ihre API-Schlüssel) für die Automatisierung bei und migrieren Sie nur interaktive Entwicklersitze, oder wechseln Sie CI zu einer Enterprise-Anmeldedaten: Führen Sie claude setup-token aus, während Sie bei der Enterprise-Organisation angemeldet sind, und legen Sie das gedruckte Token als CLAUDE_CODE_OAUTH_TOKEN in Ihrer CI-Umgebung fest. Entfernen Sie CI-Anmeldedaten nicht, bis eines davon vorhanden ist.
Tipp für IT: Stellen Sie verwaltete Einstellungen mit forceLoginOrgUUID bereit, das auf die UUID Ihrer Enterprise-Organisation eingestellt ist, als Standardteil jeder Migration. Liefern Sie die PIN als endpunktverwaltete Datei oder MDM-Richtlinie — serververwaltete Einstellungen treffen erst ein, nachdem sich ein Benutzer anmeldet, sodass sie eine falsche erste Anmeldung nicht abfangen können. Wenn Sie auch serververwaltete Einstellungen verwenden, legen Sie forceLoginOrgUUID auch dort fest: Die beiden Kanäle werden nicht zusammengeführt. Dies blockiert die Anmeldung bei jeder anderen Organisation und verwandelt den oben beschriebenen Fehler bei verbleibenden Anmeldedaten von stiller Fehlabrechnung in einen lauten: Claude Code weigert sich zu starten und teilt dem Benutzer mit, dass eine verbleibende Anmeldedaten (ANTHROPIC_API_KEY, ANTHROPIC_AUTH_TOKEN oder apiKeyHelper) entfernt werden muss.
Nach Validierung der Migration
Entfernen Sie migrierte Entwickler aus der Console-Organisation (oder rotieren Sie ihre Schlüssel). Das Entfernen widerruft ihre Console-Anmeldemarken und deaktiviert ihren Claude Code-Arbeitsbereichsschlüssel, wodurch weitere Console-Abrechnung durch interaktive Nutzung gestoppt wird. API-Schlüssel, die sie in anderen Console-Arbeitsbereichen erstellt haben, werden durch das Entfernen nicht deaktiviert — überprüfen Sie diese separat und deaktivieren Sie sie. Entfernen Sie Mitglieder nicht, bis Sie bestätigt haben, dass der Enterprise-Zugriff funktioniert; es gibt kein automatisiertes Rollback.
Dokumentation: Kauf und Verwaltung von Lizenzen in Enterprise-Plänen
Verbesserungen in der Berichterstellung
Der Wechsel von der Console API zu Claude Enterprise ermöglicht umfassendere Analysen für die Claude Code-Nutzung:
Metrik | Console API | Claude Enterprise |
Token-Verbrauch | ✅ | ✅ |
Akzeptierte Codezeilen | ✅ | ✅ |
Akzeptanzrate von Vorschlägen | ✅ | ✅ |
PRs erstellt mit Claude Code-Unterstützung | ✅ Über die Claude Code Analytics API | ✅ |
Codezeilen mit Claude Code-Unterstützung committed | ✅ Über die Claude Code Analytics API | ✅ |
Benachrichtigungen zu Ausgabenlimits | ✅ E-Mails bei Grenzwertüberschreitung mit konfigurierbaren Empfängern | ✅ Schwellenwert-Warnungen |
Ausgaben pro Mitglied im Monat | ❌ | ✅ Admin-Einstellungen → Nutzung |
Compliance-Audit-Trail | ❌ | ✅ Die Compliance API enthält Audit-Log-Ereignisse. Transkripte von lokalen CLI-Sitzungen bleiben auf dem Gerät des Entwicklers und sind nicht über die Compliance API verfügbar. |
Alle Berichte sind über Analytics im Claude-Admin-Panel zugänglich. Für programmgesteuerten Zugriff gibt die Claude Enterprise Analytics API Metriken zur Benutzerinteraktion, Claude Code-Aktivität (Commits, Pull Requests, Codezeilen) sowie Nutzungs- und Kostendaten zurück. Analytics werden nicht migriert: Die Enterprise-Organisation beginnt mit einer neuen Berichtshistorie, und ihre Analytics/Admin API erfordert einen neuen API-Schlüssel, der in der Enterprise-Organisation erstellt wird – Console-Schlüssel werden nicht übernommen. Exportieren Sie alle Console-Analytics, die Sie für historische Dashboards benötigen, vor der Umstellung. Datenverkehr, der auf Console API-Schlüsseln verbleibt (z. B. CI), wird weiterhin nur in der Console-Berichterstellung angezeigt.
Dokumentation: Claude Code Nutzungsanalysen
Verwaltete Richtlinieneinstellungen – Tiefenanalyse
Dies ist das bedeutendste Upgrade für Sicherheits- und IT-Teams. Serververwaltete Einstellungen ermöglichen zentrale, durchsetzbare Kontrolle über das, was Claude Code auf jedem Entwicklergerät kann und nicht kann. Es gibt zwei Möglichkeiten, diese bereitzustellen, und Sie benötigen kein MDM für die erste.
Funktionsweise
Claude Code liest die Konfiguration aus einer Hierarchie von Einstellungsquellen. Die Datei managed-settings.json steht an der Spitze und kann nicht durch Benutzer- oder Projekteinstellungen überschrieben werden:
Priorität | Quelle | Umfang | Wer kontrolliert es |
1 (Höchste) | Verwaltete Einstellungen (serververwaltete oder endpunktverwaltete) | Unternehmensweite | Besitzer / Primärer Besitzer (wenn von der claude.ai-Admin-Konsole aus übertragen) oder Ihr IT-/MDM-Team (wenn als Datei bereitgestellt). |
2 | Befehlszeilenargumente | Sitzung | Entwickler |
3 | .claude/settings.local.json | Projekt (persönlich) | Entwickler |
4 | .claude/settings.json | Projekt (gemeinsam, in Git) | Team |
5 (Niedrigste) | ~/.claude/settings.json | Benutzer (global) | Entwickler |
Zwei Möglichkeiten zur Bereitstellung verwalteter Einstellungen
Serververwaltete Einstellungen (kein MDM erforderlich): Ein Besitzer oder Primärer Besitzer definiert Einstellungen in Organisationseinstellungen → Claude Code → Verwaltete Einstellungen in der Admin-Konsole. Jeder Claude Code-Client, der bei der Organisation angemeldet ist, ruft sie beim Start automatisch ab und fragt stündlich nach Updates. Dies ist die richtige Wahl für Organisationen ohne Geräteverwaltungsinfrastruktur oder mit Benutzern auf nicht verwalteten Geräten. Erfahren Sie mehr über serververwaltete Einstellungen.
Endpunktverwaltete Einstellungen: Die IT stellt Einstellungen direkt auf Geräten bereit, entweder über native Betriebssystemrichtlinien (macOS verwaltete Einstellungen oder die Windows-Registrierung, über Jamf, Intune, Gruppenrichtlinie usw.) oder als verwaltete Datei managed-settings.json, die auf die unten aufgeführten Systempfade übertragen wird. Schützen Sie die Datei mit Berechtigungen auf Betriebssystemebene, damit Endbenutzer sie nicht ändern können. Auf registrierten Geräten bietet dies stärkere Garantien als serververwaltete Bereitstellung, da das Betriebssystem Benutzereingriffe verhindert.
Hinweis: Beide Kanäle belegen die gleiche höchste Prioritätsstufe und verwenden das gleiche JSON-Format, aber sie werden nicht zusammengeführt. Die erste Quelle, die eine nicht leere Konfiguration bereitstellt, gewinnt: Serververwaltete Einstellungen werden zuerst überprüft, und wenn sie überhaupt Schlüssel bereitstellen, werden endpunktverwaltete Einstellungen vollständig ignoriert. Führen Sie /status aus, um zu sehen, welche verwaltete Quelle aktiv ist.
Dateispeicherorte (endpunktverwaltete)
Betriebssystem | Pfad |
macOS | /Library/Application Support/ClaudeCode/managed-settings.json |
Linux | /etc/claude-code/managed-settings.json |
Windows | C:\Program Files\ClaudeCode\managed-settings.json |
Referenz für Schlüsseleinstellungen
Dies sind die Einstellungen, die für eine Console-to-Enterprise-Migration am relevantesten sind. Claude Code unterstützt viele weitere: Die vollständige aktuelle Liste finden Sie unter Claude Code-Einstellungen.
Einstellung | Zweck | Beispiel |
| Bestimmte Tools/Befehle organisationsweit blockieren | Bash(curl:*), Read(.env) |
| Vertrauenswürdige Befehle explizit zulassen | Bash(npm run test:*) |
| Benutzerbestätigung jedes Mal erforderlich | Bash(rm:*) |
| --dangerously-skip-permissions verhindern | "disable" |
| Anmeldung auf bestimmte Enterprise-Organisation(en) beschränken. Akzeptiert eine Organisations-UUID oder ein Array; die Anmeldung bei einer anderen Organisation wird blockiert. Eine einzelne UUID wählt diese Organisation auch automatisch bei der Anmeldung aus. | "298e7cb2…" |
| Erzwingt die Anmeldemethode (claudeai, console oder gateway). Wird zusammen mit | "claudeai" |
| Nur genehmigte MCP-Server zulassen, abgeglichen nach Name, Befehl oder URL-Muster | [{"serverName": "github"}] |
| Bestimmte MCP-Server auf die schwarze Liste setzen | [{"serverName": "filesystem"}] |
| Nur Berechtigungsregeln aus verwalteten Einstellungen gelten; Benutzer und Projekte können keine eigenen hinzufügen | true |
| Nur die verwaltete MCP-Zulassungsliste gilt; Ablehnungslisten werden weiterhin aus allen Quellen zusammengeführt | true |
| Nur verwaltete und von Administratoren genehmigte Hooks werden ausgeführt | true |
| Erweitert die | true |
| Sandbox-Modus erzwingen | true |
| Nicht-Sandbox-Ausführung blockieren | false |
| Aufbewahrungszeitraum für lokale Sitzungsdaten (Transkripte und andere Anwendungsdateien). Standard: 30 Tage | 7 |
| Nachrichten für alle Claude Code-Benutzer anzeigen | Array von Zeichenketten |
Bereitstellung: Verwenden Sie Ihr MDM-Tool (Intune, Jamf, SCCM, Puppet usw.), um managed-settings.json auf alle Entwicklermaschinen zu übertragen. Schützen Sie die Datei mit Berechtigungen auf Betriebssystemebene, damit Endbenutzer sie nicht ändern können.
Dokumentation: Claude Code-Einstellungen, Verwaltete Einstellungen, MCP-Installationsbereiche
