Ir al contenido principal

Gestionar roles personalizados en planes Enterprise

Los roles personalizados están disponibles para organizaciones con plan Enterprise. Los propietarios, propietarios principales y roles personalizados con el conjunto de permisos Identidad y acceso establecido en "Puede gestionar" pueden ir a Configuración de la organización > Roles para gestionar roles personalizados.

¿Qué son los roles personalizados?

Los roles personalizados te permiten definir a qué funciones pueden acceder tus miembros. Cada rol personalizado contiene un conjunto de permisos que otorgan o restringen el acceso a capacidades específicas como chat, Claude Cowork, Claude Code y búsqueda web, además de los conectores que tu organización ha añadido, como Slack o Google Drive. Los roles personalizados también pueden otorgar permisos de administrador, que dan a los miembros acceso a áreas administrativas específicas como facturación, identidad o privacidad sin convertirlos en propietarios.

Los roles personalizados funcionan junto con grupos. El flujo de trabajo típico es: crear roles personalizados, asignarlos a grupos y luego establecer el rol de los miembros en "Personalizado" para que su acceso esté completamente gobernado por los roles personalizados asignados a sus grupos.

Nota: Los roles personalizados solo afectan a los miembros cuyo rol está establecido en "Personalizado". Los miembros con roles de usuario, administrador o propietario obtienen sus permisos de esos roles directamente, no de roles personalizados.


Cómo funciona el acceso a funciones

El acceso a funciones se determina mediante una cadena de precedencia de cuatro niveles, donde el nivel más restrictivo prevalece:

  1. Anulaciones a nivel de plataforma: Anthropic puede forzar la activación o desactivación de algunas funciones para tu organización como parte de tu contrato. Estos cambios no se pueden modificar en la configuración de la organización.

  2. Configuración a nivel de organización: Un propietario o propietario principal puede activar o desactivar una función para toda la organización. Si una función está desactivada a nivel de organización, ningún rol personalizado puede otorgar acceso a ella.

  3. Permisos de rol personalizado: Si la función está activada a nivel de organización, los roles personalizados del miembro determinan si puede acceder a ella. Si alguno de los roles personalizados del miembro otorga la función, la tiene.

  4. Configuración a nivel de usuario: Si la función se otorga a nivel de rol, está disponible a menos que el miembro la haya desactivado en su propia configuración.

Lo más importante: el interruptor a nivel de organización es el interruptor principal. Los roles personalizados son los interruptores individuales debajo de él. Una función debe estar activada a nivel de organización antes de que los roles personalizados puedan controlar quién obtiene acceso.

Nota: Esta cadena de precedencia se aplica a las capacidades. Los permisos de administrador no están limitados por un interruptor a nivel de organización ni por la configuración propia del miembro. Si el rol personalizado de un miembro otorga un permiso de administrador, tiene ese acceso.


Capacidades disponibles

Cada rol personalizado puede otorgar o restringir el acceso a las siguientes capacidades:

Capacidad

Descripción

Chat

Acceso al chat en aplicaciones web, de escritorio y móviles.

Ejecución de código y creación de archivos

Capacidad de ejecutar código y crear archivos en conversaciones.

Memoria

Capacidad de usar memoria en conversaciones.

Búsqueda web

Capacidad de usar búsqueda web en conversaciones.

Proyectos públicos

Capacidad de compartir proyectos con todos en tu organización.

Crear habilidades

Capacidad de crear o cargar habilidades personalizadas.

Compartir habilidades con miembros de la organización

Capacidad de compartir habilidades con personas específicas en tu organización.

Compartir habilidades con toda la organización

Capacidad de compartir habilidades con todos en tu organización a la vez.

Claude Code

Acceso a Claude Code.

Modo rápido

Acceso a opciones de modelo más rápidas para Claude Code.

Flujos de trabajo dinámicos de Claude Code*

Acceso a flujos de trabajo dinámicos en Claude Code, que permiten a Claude ejecutar tareas de ingeniería a gran escala (migraciones, auditorías, búsquedas de errores en toda la base de código) de principio a fin en una sola sesión. Estas ejecuciones pueden durar horas y usar más tokens que una sesión típica.

Claude Security

Encuentra y corrige vulnerabilidades de seguridad en tu código con Claude.

Artefactos de Claude Code

Capacidad de crear artefactos en Claude Code, que convierten el trabajo de una sesión en una página en vivo y compartible construida a partir del contexto de la sesión.

Claude Design

Acceso a Claude Design para generar artefactos de diseño.

Claude Cowork

Acceso a Claude Cowork.

Claude para Chrome

Acceso a Claude para Chrome, la extensión del navegador que permite a Claude navegar y actuar en páginas web en nombre del usuario.

*Los flujos de trabajo dinámicos de Claude Code están activados para toda tu organización de forma predeterminada. Dado que una única ejecución puede durar horas y usar más tokens que una sesión típica, decide qué roles deben tener acceso. Para miembros en roles personalizados, esta capacidad sigue el modelo aditivo como cualquier otro—un rol debe otorgarlo para que esos miembros lo usen. Para restringir un grupo específico, deja esta capacidad desactivada en su rol.

Esto se puede desactivar en toda la organización a través de managed-settings.json agregando "disableWorkflows": true a tu configuración administrada.

Un propietario puede desactivarlo en toda tu organización yendo a Configuración de la organización > Claude Code y desactivando Flujos de trabajo.

Los roles personalizados también rigen los permisos de administrador, conectores y acceso a modelos, que se configuran en pestañas separadas de Permisos, Conectores y Modelos en el editor de roles. Consulta Permisos de administrador, Permisos de conectores y Acceso a modelos a continuación.

Nota: El chat está habilitado de forma predeterminada para todos los roles personalizados, incluidos los creados antes de que se agregara esta capacidad. Si deseas restringir el chat para un rol específico, desactívalo al editar el rol.


Crear un rol personalizado

  1. Haz clic en "Agregar rol".

  2. Ingresa un nombre para el rol (por ejemplo, "Desarrollador", "Acceso estándar" o "Restringido").

  3. Selecciona los grupos que deseas asignar al rol.

  4. Activa o desactiva cada capacidad para definir lo que este rol otorga.

  5. Configura permisos. Puedes elegir Sin acceso, Puede ver y Puede administrar para cada configuración de administrador.

  6. Configura conectores. Puedes elegir Siempre permitir, Necesita aprobación o Bloqueado para todos los conectores, o personalizar por conector o herramienta de conector.

  7. Configura modelos. Selecciona qué modelos puede usar este rol, opcionalmente establece un nivel de esfuerzo máximo por modelo y opcionalmente elige un modelo predeterminado para el rol.

  8. Haz clic en "Guardar rol".

Editar un rol personalizado

  1. Haz clic en el rol que deseas editar.

  2. Actualiza el nombre y los grupos, o activa/desactiva capacidades, permisos, conectores y modelos según sea necesario.

  3. Haz clic en "Guardar rol" para guardar tus cambios.

Los cambios de rol pueden tardar hasta 15 minutos en surtir efecto, y los miembros pueden necesitar actualizar su navegador. Todos los miembros en grupos asignados a este rol se ven afectados.

Eliminar un rol personalizado

Haz clic en el botón de menú en cualquier rol personalizado y selecciona "Eliminar rol". Eliminar un rol quita sus permisos de todos los grupos a los que fue asignado. Los miembros en esos grupos pierden los permisos que el rol otorgaba, a menos que otro rol en su cadena también los otorgue.


Asignar grupos a roles personalizados

Los roles personalizados se asignan a grupos, no directamente a miembros individuales. Para asignar un grupo a un rol:

  1. Haz clic en el rol que deseas asignar.

  2. En el selector de grupos, selecciona uno o más grupos.

  3. Haz clic en "Guardar rol".

También puedes asignar roles personalizados al crear o editar un grupo en Configuración de la organización > Grupos. Consulta Administrar grupos y límites de gasto de grupos en planes Enterprise.


Cómo se combinan los permisos en múltiples roles

Si un miembro pertenece a múltiples grupos con diferentes roles personalizados, sus permisos son aditivos—obtienen la unión de todos los permisos de todos los roles en su cadena. Si algún rol otorga una función, el miembro tiene acceso a ella.

Esto significa que no puedes usar un rol para eliminar un permiso otorgado por otro rol. Esto es por diseño—permite un enfoque en capas donde un rol base cubre funciones comunes y roles adicionales agregan capacidades específicas y permisos de administrador.

Ejemplo: Un miembro está en dos grupos. El grupo "Todos los usuarios" tiene asignado un rol "Acceso estándar" con búsqueda web y memoria. El grupo "Ingeniería" tiene asignado un rol "Desarrollador" con Cowork y Claude Code. El miembro obtiene los cuatro: búsqueda web, memoria, Cowork y Claude Code.


Ver el rol efectivo de un miembro o grupo

Cuando un miembro pertenece a varios grupos cuyos roles otorgan diferentes capacidades, puede ser difícil saber qué pueden hacer realmente. La opción "Ver rol efectivo" muestra el resultado combinado: cada capacidad, permiso de administrador y conector que tiene el miembro, con el rol que otorga cada uno.

  1. Encuentra el miembro o grupo y abre el menú "⋮" en el lado derecho de su fila.

  2. Selecciona "Ver rol efectivo".

El modal lista los roles asignados del miembro y tres pestañas:

  • Capacidades: cada capacidad con una etiqueta "Otorgado por [nombre del rol]" que muestra qué rol la activó.

  • Permisos: cada área de permiso de administrador con su nivel efectivo (Sin acceso, Puede ver o Puede administrar) y qué rol lo otorga.

  • Conectores: el nivel de permiso efectivo de cada conector y qué rol lo otorga.

Esta vista es de solo lectura. Para cambiar lo que un miembro puede hacer, edita los roles asignados a sus grupos.

Nota: "Ver rol efectivo" aparece solo para miembros cuyo rol está configurado como "Personalizado" y que tienen al menos un rol personalizado asignado a través de un grupo. Los miembros con un rol integrado (Usuario, Administrador, Propietario o Propietario principal) obtienen sus permisos de ese rol directamente, por lo que no hay nada que calcular.


Permisos de administrador

Los roles personalizados pueden otorgar permisos de administrador además de capacidades y permisos de conectores. Los permisos de administrador dan a los miembros acceso a áreas administrativas específicas, como facturación o privacidad, sin convertirlos en Propietarios. Puedes configurar permisos de administrador en la pestaña Permisos del editor de roles.

Nota: Los permisos de administrador solo se aplican a miembros cuyo rol está configurado como "Personalizado". Los miembros con los roles Usuario, Administrador, Propietario o Propietario principal mantienen el acceso que esos roles otorgan.

Niveles de permisos de administrador

En la pestaña Permisos, estableces cada área de permisos en uno de tres niveles:

  • Sin acceso: El miembro no ve esta área en la configuración de su organización.

  • Puede ver: Ver otorga acceso de solo lectura. El miembro ve las mismas páginas y configuraciones que alguien que puede administrar esa área, pero cada control está deshabilitado o se muestra como de solo lectura. Usa este nivel de permiso para revisores de cumplimiento, auditores financieros, equipos de seguridad o cualquiera que necesite ver la configuración sin cambiarla.

  • Puede administrar: Administrar otorga acceso completo de lectura y escritura al área e incluye acceso de visualización.

Dentro de un área, otorgas todo de Ver o todo de Administrar. No puedes otorgar ni restringir páginas o configuraciones individuales.

Permisos de administrador disponibles

Hay siete áreas de permisos de administrador:

Área

Ver

Administrar

Identidad y acceso

Configuración de SSO y SAML, dominios verificados, membresías de dominio, lista de permitidos de IP, configuración de sesión, definiciones de grupos, definiciones de roles y configuración de aprovisionamiento

Editar SSO, administrar dominios, editar la lista de permitidos de IP, editar configuración de sesión, crear y editar grupos y roles, y configurar aprovisionamiento

Facturación

Detalles del plan, recuentos de asientos, facturas, direcciones de facturación y gasto de uso

Cambiar asientos, actualizar métodos de pago, editar direcciones de facturación y configurar límites de gasto y uso adicional

Análisis

Análisis de uso, análisis de Claude Code y métricas de adopción de características

No disponible

Privacidad

Configuración de retención de datos, configuración de exportación, configuración de uso compartido, configuración de geolocalización, configuración de inferencia solo para EE.UU. y estado de clave de cifrado

Editar períodos de retención, ejecutar exportaciones de datos, cambiar configuración de uso compartido y configurar geolocalización, inferencia solo para EE.UU. y cifrado

Gestión de usuarios

No disponible

Invitar miembros, cambiar roles de miembros, eliminar miembros y administrar invitaciones pendientes

Bibliotecas

No disponible

Agregar, editar y eliminar habilidades, complementos y conectores compartidos de la organización. También incluye gestión de directorios.

Gestión de directorios

No disponible

Enviar y administrar listados de directorios, y ver observabilidad para listados que tu organización ha publicado

Nota: Un rol con Identidad y acceso establecido en "Puede administrar" puede crear y editar grupos y roles, incluida su propia definición de rol. Los miembros con este permiso pueden expandir su propio acceso, así que resérvalo para administradores de seguridad e IT de confianza.

Páginas de configuración de organización disponibles para cada permiso

Página de configuración de organización

Permiso requerido

Notas

Facturación

Facturación (Ver o Administrar)

Plan, asientos, direcciones y facturas

Uso

Facturación (Ver o Administrar)

Límites de gasto, créditos y uso adicional

Miembros

Gestión de usuarios (Administrar)

Sin modo de solo lectura

Grupos

Identidad y acceso (Ver o Administrar)

Roles

Identidad y acceso (Ver o Administrar)

Modelos

Identidad y acceso (Ver o Administrar)

Modelo predeterminado y acceso al modelo

Organización y acceso (parcial)

Identidad y acceso (Ver o Administrar)

Desbloquea inicio de sesión único (SSO/SAML, asignaciones de grupos, aprovisionamiento), dominios verificados y membresías de dominio, lista blanca de IP, configuración de sesión, restricción de creación de organizaciones y solicitudes de fusión de organizaciones. Otras secciones en esta página, como el nombre de la organización, la configuración de capacidades predeterminadas y el mensaje del sistema de toda la organización, aún requieren el rol de Propietario

Datos y privacidad

Privacidad (Ver o Administrar)

Análisis

Análisis (Ver)

Se accede a través de Análisis en el menú del usuario, no en la configuración de la organización

Habilidades

Bibliotecas (Administrar)

Complementos

Bibliotecas (Administrar)

Conectores

Bibliotecas (Administrar)

Directorio

Gestión de directorio (Administrar)

Lo que los permisos de administrador no cubren

Lo siguiente sigue siendo disponible solo para Propietarios y Propietarios Principales, incluso para miembros con permisos de administrador:

  • Gestión de Propietarios y Administradores. Los permisos de administrador no pueden otorgar ni revocar los roles integrados de Propietario, Administrador o Propietario Principal. Solo los Propietarios pueden administrar otros Propietarios.

  • Claves API y espacios de trabajo. La gestión de claves API, la configuración del espacio de trabajo y la administración de la Consola Claude no están cubiertos por los permisos de administrador.

  • Claves de cumplimiento y seguridad. La configuración de la API de cumplimiento y la administración de claves de seguridad siguen siendo solo para Propietarios.

  • Configuración de capacidades a nivel de organización. Las capacidades habilitadas a nivel de organización se rigen por separado y no forman parte de los permisos de administrador.

Lo que ven los miembros cuando los permisos de administrador están restringidos

Si un miembro no tiene acceso a un permiso de administrador específico, la sección no aparece en su configuración de organización. Solo se muestran las secciones que cubren sus permisos.


Permisos de conectores

Los roles personalizados también controlan qué conectores y qué herramientas en esos conectores puede usar un rol. Donde las capacidades cubren las características integradas de Claude, los permisos de conectores cubren las aplicaciones y servicios que ha conectado a su organización, como Slack, Google Drive o Jira. Los establece en la pestaña Conectores del editor de roles, junto a las pestañas Capacidades y Permisos.

Nota: Los permisos de conectores se aplican solo a miembros cuyo rol está configurado como "Personalizado". Los miembros con los roles Usuario, Administrador o Propietario ven todos los conectores habilitados para su organización, sujeto a sus políticas de herramientas de toda la organización por conector. Los Propietarios y Administradores siempre ven todos los conectores para poder configurarlos, independientemente de los permisos de conectores de cualquier rol.

Niveles de permisos

En la pestaña Conectores, establece todos los conectores, cada conector o cada herramienta en un conector en uno de tres niveles:

  • Siempre permitir: Todas las herramientas del conector están disponibles y los miembros pueden establecer su propia aprobación en "Siempre permitir" para omitir la confirmación por llamada.

  • Necesita aprobación: Todas las herramientas están disponibles, pero los miembros confirman cada llamada. La opción "Siempre permitir" se elimina de su menú de aprobación personal para estas herramientas.

  • Bloqueado: El conector o la herramienta está oculto. Claude no puede verlo ni llamarlo.

Un conector también se puede establecer en Personalizado, lo que le permite establecer cada una de sus herramientas individualmente. Para la configuración completa, consulte Configurar permisos basados en roles en planes Enterprise.

Cómo se determina el acceso al conector

Un conector o herramienta pasa por varias capas antes de que un miembro pueda usarlo, evaluadas en este orden:

  1. Concesión de rol. Cada conector o herramienta en un rol se establece en "Siempre permitir", "Necesita aprobación" o "Bloqueado".

  2. En los roles del miembro. Si los grupos de un miembro le dan más de un rol, se aplica la concesión más permisiva para cada herramienta. Los permisos de conectores son aditivos en todos los roles, igual que las capacidades.

  3. Política de herramientas de toda la organización. La política por herramienta que establece en Configuración de organización > Conectores por conector es el límite máximo. Para cada herramienta, Claude compara la concesión de rol del miembro con esta política y aplica la más restrictiva de las dos. Las concesiones de rol reducen el acceso dentro de la política; no pueden ampliarlo más allá. Obtenga más información sobre cómo establecer el acceso a herramientas en Usar conectores para ampliar las capacidades de Claude.

  4. La configuración personal del miembro. El resultado de los pasos anteriores es el límite máximo efectivo del miembro. Limita las opciones en su menú de aprobación personal por herramienta ("Siempre permitir", "Preguntar" o "Nunca"). Un límite máximo de "Necesita aprobación" elimina "Siempre permitir". Un límite máximo de "Bloqueado" desactiva la herramienta.

Para miembros que usan Claude Code, se aplica una capa más: las políticas de Configuración Administrada y los permisos de conectores se componen por la más restrictiva. Una herramienta es invocable sin un mensaje solo cuando ambas lo permiten. Para obtener más información, consulte Configuración de Claude Code.

Esta tabla muestra cómo se combinan la política de herramientas de toda la organización y la concesión de rol de un miembro:

Política de herramientas de toda la organización

Concesión de rol más alta en los roles del miembro

Límite máximo efectivo

Opciones personales del miembro

Siempre permitir

Siempre permitir

Siempre permitir

Siempre permitir, Preguntar, Nunca

Siempre permitir

Requiere aprobación

Requiere aprobación

Preguntar, Nunca

Siempre permitir

Bloqueado

Bloqueado

Herramienta deshabilitada

Requiere aprobación

Siempre permitir

Requiere aprobación

Preguntar, Nunca

Requiere aprobación

Bloqueado

Bloqueado

Herramienta deshabilitada

Bloqueado

Cualquiera

Bloqueado

Herramienta deshabilitada

Dónde se aplican los permisos del conector

Los permisos del conector se aplican en los servidores de Anthropic, por lo que se aplican en todas las superficies de Claude que enrutan el tráfico del conector a través de Anthropic:

Superficie

Cobertura

Claude en web y escritorio

Aplicación completa. Los conectores bloqueados están ocultos, las herramientas bloqueadas están deshabilitadas y el menú de aprobación personal se limita a lo que permite el límite.

Claude Mobile (iOS y Android)

Aplicado. Las herramientas bloqueadas se eliminan de la vista de Claude y se rechazan las llamadas a ellas. Una herramienta bloqueada aún puede parecer activa en la configuración del conector móvil hasta que se envíen actualizaciones de interfaz, pero no se puede usar.

Claude Cowork (nube y escritorio)

Igual que en web.

Claude Code

Aplicado. Las herramientas bloqueadas se rechazan y aparecen como deshabilitadas. Consulta Configuración de Claude Code.

Los permisos del conector rigen los conectores que tu organización ha añadido en Configuración de la organización > Conectores. No rigen los conectores que un miembro ejecuta localmente en su propia máquina, ni rigen Claude Cowork cuando se implementa en una plataforma de terceros. Para implementaciones de Cowork de terceros, usa MDM en su lugar. Consulta Cowork en 3P: MCP, plugins, skills y hooks.

Lo que ven los miembros cuando se restringe un conector

Restricción

Lo que ve el miembro

Un conector está bloqueado para su rol

El conector no aparece en su menú de conectores.

Una herramienta está bloqueada en un conector visible

La herramienta está deshabilitada en su configuración del conector, con el mensaje "Esta herramienta no está habilitada para tu rol. Contacta a tu administrador."

Una herramienta está limitada a "Requiere aprobación"

La herramienta funciona, pero el menú de aprobación personal solo ofrece "Preguntar" y "Nunca", y Claude pregunta antes de cada llamada.

Los permisos del conector no se pueden cargar brevemente

Un banner informa que los conectores no se pudieron cargar, con un reintento. Ninguna herramienta bloqueada llega al servicio conectado. El acceso falla hacia la denegación, nunca hacia la concesión.

Los miembros no pueden saber qué capa restringió una herramienta. El mensaje es el mismo si el límite proviene de la política de herramientas de toda la organización, de una concesión de rol o de ambas. Para encontrar la fuente, compara la política de toda la organización con las concesiones de rol del miembro.


Acceso al modelo

Los roles personalizados también controlan qué modelos de Claude puede usar un rol y el nivel de esfuerzo máximo que los miembros pueden seleccionar en cada uno. Estableces estos en la pestaña Modelos del editor de roles, junto con el modelo predeterminado del rol.

La configuración del modelo a nivel de organización es el límite. Un rol no puede otorgar un modelo que esté deshabilitado a nivel de organización. En los roles de un miembro, el acceso al modelo es aditivo y los límites de esfuerzo toman el límite más alto que permite cualquier rol. Los modelos Haiku siempre están disponibles y no se pueden deshabilitar.

Para pasos de configuración y lo que ven los miembros, consulta Administrar el acceso al modelo para tu organización. Para el comportamiento del modelo predeterminado, consulta Establecer un modelo predeterminado para tu organización.


Lo que ven los miembros cuando el acceso a funciones está restringido

Cuando una función está restringida, esto es lo que ven los miembros. Para restricciones de conectores y herramientas, consulta Permisos de conectores arriba.

Motivo

Lo que ve el miembro

La función está deshabilitada a nivel de organización

La función aparece atenuada u oculta, con el mensaje "Esta función está deshabilitada para tu organización."

Los roles del miembro no otorgan acceso a la función

La función aparece atenuada u oculta, con el mensaje "Contacta a tu administrador para solicitar acceso a esta función."

Los roles del miembro no otorgan acceso a ningún producto

El miembro llega a su página de configuración cuando inicia sesión, sin productos disponibles para usar.

¿Ha quedado contestada tu pregunta?