Ir al contenido principal

Migración de Claude Code de Console a Enterprise

Claude Console (API) → Claude Enterprise

Descripción general

Esta guía está diseñada para equipos que migran del acceso a Claude Code basado en Console a Claude Enterprise. Tenga en cuenta que los usuarios individuales no necesitan migrar el historial de sesiones para sesiones de CLI, ya que se almacenan localmente. Solo necesita aprovisionar cuentas de Claude Enterprise para cada usuario, y luego los usuarios deben cambiar su método de inicio de sesión de Console a Claude Enterprise.


Claude Enterprise comparado con Console

Capacidad

Claude Console/API

Claude Enterprise

Claude Code en la web y aplicación móvil

Claude Code en Slack

Revisión de código

Aplicar qué herramientas puede usar Claude Code

❌ Sin interfaz nativa

*La configuración se puede insertar en máquinas de desarrolladores a través de MDM (Jamf, Intune) o gestión de configuración (Ansible, Puppet, etc.)

✅ Interfaz nativa para establecer reglas de permitir/denegar en managed-settings.json

Bloquear comandos bash específicos

❌ Sin interfaz nativa*

✅ Bash(curl:*), Bash(sudo:*), etc.

Prevenir acceso a archivos sensibles

❌ Sin interfaz nativa*

✅ Read(.env), Read(./secrets/**)

Controlar qué servidores MCP están permitidos

❌ Sin interfaz nativa*

✅ allowedMcpServers / deniedMcpServers

Implementar servidores MCP preaprobados en toda la organización

❌ Sin interfaz nativa*

✅ managed-mcp.json

Forzar modo sandbox

❌ Sin interfaz nativa*

✅ sandbox.enabled

Deshabilitar --dangerously-skip-permissions

❌ Sin interfaz nativa*

✅ permissions.disableBypassPermissionsMode: disable

Deshabilitar modo automático

❌ Sin interfaz nativa*

✅ disableAutoMode: disable

Roles personalizados (RBAC)

✅ Limitar el acceso a funciones por grupo y delegar áreas de administración específicas como facturación, gestión de usuarios e identidad sin otorgar el rol de Propietario. Gestionar roles personalizados en planes Enterprise

Gobernanza de modelos

❌ Sin interfaz nativa*

✅ Establezca un modelo predeterminado de la organización para chat y Cowork (beta) desde la consola de administración, y restrinja la selección de modelos de Claude Code con availableModels en la configuración administrada. Establecer un modelo predeterminado para su organización

Registros de auditoría

❌ Sin soporte de registro de auditoría

🟡 Claude Code sí tiene soporte para OpenTelemetry

🟡 Registros de auditoría y la API de cumplimiento, que incluye eventos de registro de auditoría. Las transcripciones de sesiones locales de CLI permanecen en la máquina del desarrollador y no están disponibles a través de la API de cumplimiento.

Análisis de uso

✅ Líneas de código escritas, tasa de aceptación, usuarios activos diarios, gasto diario.

✅ Líneas de código escritas, tasa de aceptación, usuarios activos diarios y gasto acumulado del mes por miembro en Configuración de organizaciónUso.

Informes de uso y costos programáticos

✅ La API de análisis empresarial de Claude devuelve métricas de participación por usuario y de Claude Code (confirmaciones, solicitudes de extracción, líneas de código) más puntos finales de uso y costos. La API de administración cubre la gestión programática de organizaciones.

Métricas de contribución

✅ A través de la API de análisis de Claude Code

✅ Solicitudes de extracción creadas y líneas de código confirmadas con asistencia de Claude Code.

Controles de gasto granulares

✅ Límites de organización y espacio de trabajo, más límites por desarrollador en espacios de trabajo de Claude Code

✅ Organización → Grupo → Individual, integrado con grupos RBAC


Aprovisionamiento SCIM

Esto es lo que tu equipo de identidad debe hacer:

  1. Actualizar asignaciones de grupos de IdP — Crear o reutilizar grupos de IdP para asignar usuarios a la organización empresarial de Claude. Habilitar asignaciones de grupos para asignar asientos automáticamente.

  2. Asegurar que se compren suficientes asientos — Antes de activar una sincronización SCIM, verifica que la organización empresarial de Claude tenga suficientes asientos disponibles. Los usuarios sin asientos disponibles se establecerán en estado "Sin asignar".

  3. Confirmar que el acceso a Claude Code está habilitado — Confirma que Claude Code está habilitado para la organización empresarial en la configuración de administración y, si estableces características con roles personalizados o grupos, que tus grupos de desarrolladores tengan acceso a Claude Code.

  4. Activar una sincronización — Navega a Configuración de organización → Organización y acceso, busca Sincronización de directorio (SCIM) y haz clic en "Sincronizar". Ten en cuenta que esto puede ser lento ya que puede activar una sincronización grande.

  5. Verificar asignaciones de asientos — Después de la sincronización, verifica Configuración de organización → Organización y acceso para confirmar que los usuarios se asignaron al tipo de asiento correcto.

  6. Opcional: Ajustar asignaciones de organización de consola — Si algunos usuarios deben conservar el acceso a la API de consola, mantén su grupo asignado a la organización de consola. Los usuarios pueden pertenecer a ambas organizaciones simultáneamente.

Nota: Los cambios de SCIM de Microsoft Entra se sincronizan cada ~40 minutos. Usa el botón "Sincronizar" para activar bajo demanda después de cambios de grupo.

Si el SSO de tu organización empresarial está configurado como solo inicio de sesión, iniciar sesión no crea cuentas — los usuarios deben ser invitados manualmente. Habilita JIT o aprovisionamiento SCIM antes de dirigir a los desarrolladores a iniciar sesión. Consulta Configurar aprovisionamiento JIT o SCIM.


Límites de gasto

Los planes empresariales de Claude ofrecen un sistema jerárquico de control de gastos. Los límites se propagan en cascada: un usuario nunca puede exceder los límites de la organización.

Nivel

Alcance

Quién lo establece

Qué controla

1. Organización

Organización empresarial completa

Propietario principal / Propietario

Gasto mensual máximo en todos los asientos y uso

2. Controles de grupo

Grupos con RBAC

Propietario principal / Propietario

Límite de gasto para un grupo usando RBAC

3. Individual

Usuario específico

Propietario principal / Propietario

Límite de gasto para un miembro del equipo

Cómo establecer y editar límites de gasto

  1. Inicia sesión como propietario o propietario principal.

  2. Establece el límite a nivel de organización — este es el techo global para todo el gasto mensual.

  3. Establece límites a nivel de grupo — en la pestaña "Por grupo". Consulta Gestionar grupos y límites de gasto de grupo en planes empresariales.

  4. Establecer límites de nivel individual — buscar usuarios específicos en la sección Valores predeterminados de gasto en la pestaña "Por miembro".

Los propietarios pueden establecer límites como "ilimitado", pero todo el consumo se sigue facturando. Si un usuario en un asiento de consumo alcanza su límite, no puede usar Claude o Claude Code hasta el próximo período de facturación o hasta que un administrador aumente su límite.


Emisión de nuevos asientos y reautenticación

Agregar asientos

  1. Inicia sesión como Propietario Principal o Propietario.

  2. Haz clic en el icono de lápiz bajo Asientos.

  3. Ingresa los nuevos números de asientos.

  4. Revisa y haz clic en "Actualizar" para confirmar. Los nuevos asientos se prorratean.

Asignar usuarios a asientos

  1. Haz clic en "Agregar miembro" (o "Agregar en lote" para múltiples).

  2. Ingresa la dirección de correo electrónico @ del usuario.

  3. Establece el rol (Usuario, Administrador, Propietario) y envía la invitación.

Para usuarios aprovisionados por SCIM, la asignación de asientos ocurre automáticamente según las asignaciones de grupos. Los usuarios se asignan por defecto al nivel de asiento más alto disponible si no se configura ninguna asignación de grupo.

Reautenticación para usuarios de Claude Code

Los desarrolladores actualmente autenticados contra la organización Console necesitarán reautenticarse contra la organización Claude Enterprise:

  1. Elimina cualquier credencial de Console restante antes de iniciar sesión. Busca variables de entorno ANTHROPIC_API_KEY o ANTHROPIC_AUTH_TOKEN en perfiles de shell, dotfiles y configuraciones de CI, y elimina cualquier configuración apiKeyHelper. También busca CLAUDE_CODE_OAUTH_TOKEN, ANTHROPIC_BASE_URL y los indicadores CLAUDE_CODE_USE_BEDROCK / _VERTEX / _FOUNDRY — estos también anulan o evitan /login. Las credenciales también pueden ocultarse en el bloque env de los propios archivos de configuración de Claude Code (~/.claude/settings.json y los archivos .claude/settings*.json en repositorios). Si estos permanecen, tienen silenciosamente precedencia sobre el nuevo inicio de sesión: /login parecerá tener éxito, pero el uso continúa facturando a la organización Console anterior.

  2. En la terminal, ejecuta claude y luego ejecuta /login para cambiar el método de autenticación.

  3. Selecciona "Cuenta de Claude con suscripción" como método de inicio de sesión.

  4. Elige la organización Claude Enterprise (no la organización Console ni una cuenta personal).

  5. Autoriza, regresa a la terminal y ejecuta /status para confirmar que Claude Code muestra tu organización Enterprise.

CI y automatización

Los pipelines y scripts no usan /login. Mantén una organización Console (y sus claves API) para automatización y migra solo asientos de desarrollador interactivos, o cambia CI a una credencial Enterprise: ejecuta claude setup-token mientras estés conectado a la organización Enterprise y establece el token impreso como CLAUDE_CODE_OAUTH_TOKEN en tu entorno de CI. No elimines credenciales de CI hasta que uno de estos esté en su lugar.

Consejo para TI: Implementa configuraciones administradas con forceLoginOrgUUID establecido en el UUID de tu organización Enterprise como parte estándar de cada migración. Entrega el pin como un archivo administrado por endpoint o política MDM — las configuraciones administradas por servidor solo llegan después de que un usuario inicia sesión, por lo que no pueden detectar un primer inicio de sesión incorrecto. Si también usas configuraciones administradas por servidor, establece forceLoginOrgUUID allí también: los dos canales no se fusionan. Esto bloquea el inicio de sesión en cualquier otra organización y convierte el modo de fallo de credencial restante anterior de facturación silenciosa a uno ruidoso: Claude Code se niega a iniciarse y le dice al usuario que se debe eliminar una credencial restante (ANTHROPIC_API_KEY, ANTHROPIC_AUTH_TOKEN o apiKeyHelper).

Después de validar la migración

Elimina desarrolladores migrados de la organización Console (o rota sus claves). La eliminación revoca sus tokens de inicio de sesión de Console y desactiva su clave de espacio de trabajo de Claude Code, deteniendo la facturación adicional de Console por uso interactivo. Las claves API que crearon en otros espacios de trabajo de Console no se desactivan por eliminación — revisa y desactiva esas por separado. No elimines miembros hasta que hayas confirmado que el acceso Enterprise funciona; no hay reversión automatizada.


Mejoras en los informes

Pasar de Console API a Claude Enterprise desbloquea análisis más ricos para el uso de Claude Code:

Métrica

Console API

Claude Enterprise

Consumo de tokens

Líneas de código aceptadas

Tasa de aceptación de sugerencias

PRs creados con asistencia de Claude Code

✅ A través de la API de Claude Code Analytics

Líneas de código confirmadas con asistencia de Claude Code

✅ A través de la API de Claude Code Analytics

Notificaciones de límite de gasto

✅ Correos electrónicos de notificación al límite con destinatarios configurables

Alertas de umbral

Gasto mensual acumulado por miembro

Configuración de administrador → Uso

Registro de auditoría de cumplimiento

✅ La API de cumplimiento incluye eventos de registro de auditoría. Las transcripciones de sesiones locales de CLI permanecen en la máquina del desarrollador y no están disponibles a través de la API de cumplimiento.

Todos los informes son accesibles desde Analytics en el panel de administración de Claude. Para acceso programático, la API de Analytics de Claude Enterprise devuelve métricas de participación por usuario, actividad de Claude Code (confirmaciones, solicitudes de extracción, líneas de código) y datos de uso y costo. Los análisis no se migran: la organización Enterprise comienza con un historial de informes nuevo, y su API de Analytics/Admin requiere una nueva clave de API creada en la organización Enterprise — las claves de Console no se transfieren. Exporte cualquier análisis de Console que necesite para paneles históricos antes de la migración. El tráfico que permanece en las claves de API de Console (por ejemplo CI) continúa apareciendo solo en los informes de Console.


Configuración de políticas administradas — análisis profundo

Esta es la actualización más significativa para los equipos de seguridad e IT. Configuración administrada por servidor permite control centralizado y exigible sobre lo que Claude Code puede y no puede hacer en la máquina de cada desarrollador. Hay dos formas de entregarlas, y no necesitas MDM para usar la primera.

Cómo funciona

Claude Code lee la configuración de una jerarquía de fuentes de configuración. El archivo managed-settings.json está en la parte superior y no puede ser anulado por la configuración del usuario o del proyecto:

Prioridad

Fuente

Alcance

Quién lo controla

1 (Más alta)

Configuración administrada (administrada por servidor o por punto final)

En toda la empresa

Propietario / Propietario principal (cuando se envía desde la consola de administración de claude.ai) o tu equipo de IT/MDM (cuando se implementa como archivo).

2

Argumentos de línea de comandos

Sesión

Desarrollador

3

.claude/settings.local.json

Proyecto (personal)

Desarrollador

4

.claude/settings.json

Proyecto (compartido, en Git)

Equipo

5 (Más baja)

~/.claude/settings.json

Usuario (global)

Desarrollador

Dos formas de entregar configuración administrada

Configuración administrada por servidor (sin MDM requerido): Un propietario o propietario principal define la configuración en Configuración de la organización Claude Code Configuración administrada en la consola de administración. Cada cliente de Claude Code que inicia sesión en la organización las obtiene automáticamente al iniciar y consulta actualizaciones cada hora. Esta es la opción correcta para organizaciones sin infraestructura de administración de dispositivos o con usuarios en dispositivos no administrados. Obtén más información sobre configuración administrada por servidor.

Configuración administrada por punto final: IT implementa la configuración directamente en dispositivos, ya sea a través de políticas nativas del SO (preferencias administradas de macOS o el registro de Windows, mediante Jamf, Intune, Group Policy, etc.) o como un archivo managed-settings.json enviado a las rutas del sistema a continuación. Protege el archivo con permisos a nivel del SO para que los usuarios finales no puedan modificarlo. En dispositivos inscritos, esto proporciona garantías más sólidas que la entrega administrada por servidor porque el SO evita la manipulación del usuario.

Nota: Ambos canales ocupan el mismo nivel de prioridad más alto y utilizan el mismo formato JSON, pero no se fusionan. La primera fuente que entrega una configuración no vacía gana: la configuración administrada por servidor se verifica primero, y si entrega alguna clave, la configuración administrada por punto final se ignora completamente. Ejecuta /status para ver qué fuente administrada está activa.

Ubicaciones de archivo (administrada por punto final)

SO

Ruta

macOS

/Library/Application Support/ClaudeCode/managed-settings.json

Linux

/etc/claude-code/managed-settings.json

Windows

C:\Program Files\ClaudeCode\managed-settings.json

Referencia de configuración clave

Estas son las configuraciones más relevantes para una migración de Console a Enterprise. Claude Code admite muchas más: para la lista completa y actual, consulte Configuración de Claude Code.

Configuración

Propósito

Ejemplo

permissions.deny

Bloquear herramientas/comandos específicos en toda la organización

Bash(curl:*), Read(.env)

permissions.allow

Permitir explícitamente comandos de confianza

Bash(npm run test:*)

permissions.ask

Requerir aprobación del usuario cada vez

Bash(rm:*)

permissions.disableBypassPermissionsMode

Prevenir --dangerously-skip-permissions

"disable"

forceLoginOrgUUID

Restringir el inicio de sesión a organizaciones Enterprise específicas. Acepta un UUID de organización o una matriz; el inicio de sesión en cualquier otra organización se bloquea. Un UUID único también selecciona automáticamente esa organización al iniciar sesión.

"298e7cb2…"

forceLoginMethod

Forzar el método de inicio de sesión (claudeai, console o gateway). Se recomienda junto con forceLoginOrgUUID para que los usuarios omitan el selector de tipo de cuenta, pero no es necesario para que se aplique la restricción de organización.

"claudeai"

allowedMcpServers

Permitir solo servidores MCP aprobados, coincidentes por nombre, comando o patrón de URL

[{"serverName": "github"}]

deniedMcpServers

Lista negra de servidores MCP específicos

[{"serverName": "filesystem"}]

allowManagedPermissionRulesOnly

Solo se aplican las reglas de permisos de la configuración administrada; los usuarios y proyectos no pueden agregar los suyos

true

allowManagedMcpServersOnly

Solo se aplica la lista de permitidos de MCP administrada; las listas de denegación aún se fusionan de todas las fuentes

true

allowManagedHooksOnly

Solo se ejecutan hooks administrados y aprobados por administrador

true

enforceAvailableModels

Extiende la lista de permitidos availableModels a la opción de modelo predeterminado

true

sandbox.enabled

Forzar modo sandbox

true

sandbox.allowUnsandboxedCommands

Bloquear ejecución sin sandbox

false

cleanupPeriodDays

Período de retención para datos de sesión local (transcripciones y otros archivos de aplicación). Predeterminado: 30 días

7

companyAnnouncements

Mostrar mensajes a todos los usuarios de Claude Code

Matriz de cadenas

Implementación: Utiliza tu herramienta MDM (Intune, Jamf, SCCM, Puppet, etc.) para enviar managed-settings.json a todas las máquinas de desarrolladores. Protege el archivo con permisos a nivel del sistema operativo para que los usuarios finales no puedan modificarlo.

¿Ha quedado contestada tu pregunta?