Descripción general
Esta guía está diseñada para equipos que migran del acceso a Claude Code basado en Console a Claude Enterprise. Tenga en cuenta que los usuarios individuales no necesitan migrar el historial de sesiones para sesiones de CLI, ya que se almacenan localmente. Solo necesita aprovisionar cuentas de Claude Enterprise para cada usuario, y luego los usuarios deben cambiar su método de inicio de sesión de Console a Claude Enterprise.
Claude Enterprise comparado con Console
Capacidad | Claude Console/API | Claude Enterprise |
Claude Code en la web y aplicación móvil | ❌ | ✅ |
Claude Code en Slack | ❌ | ✅ |
Revisión de código | ❌ | ✅ |
Aplicar qué herramientas puede usar Claude Code | ❌ Sin interfaz nativa
*La configuración se puede insertar en máquinas de desarrolladores a través de MDM (Jamf, Intune) o gestión de configuración (Ansible, Puppet, etc.) | ✅ Interfaz nativa para establecer reglas de permitir/denegar en managed-settings.json |
Bloquear comandos bash específicos | ❌ Sin interfaz nativa* | ✅ Bash(curl:*), Bash(sudo:*), etc. |
Prevenir acceso a archivos sensibles | ❌ Sin interfaz nativa* | ✅ Read(.env), Read(./secrets/**) |
Controlar qué servidores MCP están permitidos | ❌ Sin interfaz nativa* | ✅ allowedMcpServers / deniedMcpServers |
Implementar servidores MCP preaprobados en toda la organización | ❌ Sin interfaz nativa* | ✅ managed-mcp.json |
Forzar modo sandbox | ❌ Sin interfaz nativa* | ✅ sandbox.enabled |
Deshabilitar --dangerously-skip-permissions | ❌ Sin interfaz nativa* | ✅ permissions.disableBypassPermissionsMode: disable |
Deshabilitar modo automático | ❌ Sin interfaz nativa* | ✅ disableAutoMode: disable |
Roles personalizados (RBAC) | ❌ | ✅ Limitar el acceso a funciones por grupo y delegar áreas de administración específicas como facturación, gestión de usuarios e identidad sin otorgar el rol de Propietario. Gestionar roles personalizados en planes Enterprise |
Gobernanza de modelos | ❌ Sin interfaz nativa* | ✅ Establezca un modelo predeterminado de la organización para chat y Cowork (beta) desde la consola de administración, y restrinja la selección de modelos de Claude Code con |
Registros de auditoría | ❌ Sin soporte de registro de auditoría
🟡 Claude Code sí tiene soporte para OpenTelemetry | 🟡 Registros de auditoría y la API de cumplimiento, que incluye eventos de registro de auditoría. Las transcripciones de sesiones locales de CLI permanecen en la máquina del desarrollador y no están disponibles a través de la API de cumplimiento. |
Análisis de uso | ✅ Líneas de código escritas, tasa de aceptación, usuarios activos diarios, gasto diario.
| ✅ Líneas de código escritas, tasa de aceptación, usuarios activos diarios y gasto acumulado del mes por miembro en Configuración de organización → Uso.
|
Informes de uso y costos programáticos | ✅ La API de análisis empresarial de Claude devuelve métricas de participación por usuario y de Claude Code (confirmaciones, solicitudes de extracción, líneas de código) más puntos finales de uso y costos. La API de administración cubre la gestión programática de organizaciones. | |
Métricas de contribución | ✅ A través de la API de análisis de Claude Code | ✅ Solicitudes de extracción creadas y líneas de código confirmadas con asistencia de Claude Code. |
Controles de gasto granulares | ✅ Límites de organización y espacio de trabajo, más límites por desarrollador en espacios de trabajo de Claude Code | ✅ Organización → Grupo → Individual, integrado con grupos RBAC |
Documentación: Roles y permisos, Compra y gestión de asientos en planes empresariales, ¿Cómo se me factura mi plan empresarial?, Uso de Claude Code con tu plan empresarial
Aprovisionamiento SCIM
Esto es lo que tu equipo de identidad debe hacer:
Actualizar asignaciones de grupos de IdP — Crear o reutilizar grupos de IdP para asignar usuarios a la organización empresarial de Claude. Habilitar asignaciones de grupos para asignar asientos automáticamente.
Asegurar que se compren suficientes asientos — Antes de activar una sincronización SCIM, verifica que la organización empresarial de Claude tenga suficientes asientos disponibles. Los usuarios sin asientos disponibles se establecerán en estado "Sin asignar".
Confirmar que el acceso a Claude Code está habilitado — Confirma que Claude Code está habilitado para la organización empresarial en la configuración de administración y, si estableces características con roles personalizados o grupos, que tus grupos de desarrolladores tengan acceso a Claude Code.
Activar una sincronización — Navega a Configuración de organización → Organización y acceso, busca Sincronización de directorio (SCIM) y haz clic en "Sincronizar". Ten en cuenta que esto puede ser lento ya que puede activar una sincronización grande.
Verificar asignaciones de asientos — Después de la sincronización, verifica Configuración de organización → Organización y acceso para confirmar que los usuarios se asignaron al tipo de asiento correcto.
Opcional: Ajustar asignaciones de organización de consola — Si algunos usuarios deben conservar el acceso a la API de consola, mantén su grupo asignado a la organización de consola. Los usuarios pueden pertenecer a ambas organizaciones simultáneamente.
Nota: Los cambios de SCIM de Microsoft Entra se sincronizan cada ~40 minutos. Usa el botón "Sincronizar" para activar bajo demanda después de cambios de grupo.
Si el SSO de tu organización empresarial está configurado como solo inicio de sesión, iniciar sesión no crea cuentas — los usuarios deben ser invitados manualmente. Habilita JIT o aprovisionamiento SCIM antes de dirigir a los desarrolladores a iniciar sesión. Consulta Configurar aprovisionamiento JIT o SCIM.
Límites de gasto
Los planes empresariales de Claude ofrecen un sistema jerárquico de control de gastos. Los límites se propagan en cascada: un usuario nunca puede exceder los límites de la organización.
Nivel | Alcance | Quién lo establece | Qué controla |
1. Organización | Organización empresarial completa | Propietario principal / Propietario | Gasto mensual máximo en todos los asientos y uso |
2. Controles de grupo | Grupos con RBAC | Propietario principal / Propietario | Límite de gasto para un grupo usando RBAC |
3. Individual | Usuario específico | Propietario principal / Propietario | Límite de gasto para un miembro del equipo |
Cómo establecer y editar límites de gasto
Inicia sesión como propietario o propietario principal.
Navega a Configuración de organización → Uso.
Establece el límite a nivel de organización — este es el techo global para todo el gasto mensual.
Establece límites a nivel de grupo — en la pestaña "Por grupo". Consulta Gestionar grupos y límites de gasto de grupo en planes empresariales.
Establecer límites de nivel individual — buscar usuarios específicos en la sección Valores predeterminados de gasto en la pestaña "Por miembro".
Los propietarios pueden establecer límites como "ilimitado", pero todo el consumo se sigue facturando. Si un usuario en un asiento de consumo alcanza su límite, no puede usar Claude o Claude Code hasta el próximo período de facturación o hasta que un administrador aumente su límite.
Documentación: Configurar límites de gasto, Administrar grupos y límites de gasto de grupos en planes Enterprise
Emisión de nuevos asientos y reautenticación
Agregar asientos
Inicia sesión como Propietario Principal o Propietario.
Haz clic en el icono de lápiz bajo Asientos.
Ingresa los nuevos números de asientos.
Revisa y haz clic en "Actualizar" para confirmar. Los nuevos asientos se prorratean.
Asignar usuarios a asientos
Haz clic en "Agregar miembro" (o "Agregar en lote" para múltiples).
Ingresa la dirección de correo electrónico @ del usuario.
Establece el rol (Usuario, Administrador, Propietario) y envía la invitación.
Para usuarios aprovisionados por SCIM, la asignación de asientos ocurre automáticamente según las asignaciones de grupos. Los usuarios se asignan por defecto al nivel de asiento más alto disponible si no se configura ninguna asignación de grupo.
Reautenticación para usuarios de Claude Code
Los desarrolladores actualmente autenticados contra la organización Console necesitarán reautenticarse contra la organización Claude Enterprise:
Elimina cualquier credencial de Console restante antes de iniciar sesión. Busca variables de entorno
ANTHROPIC_API_KEYoANTHROPIC_AUTH_TOKENen perfiles de shell, dotfiles y configuraciones de CI, y elimina cualquier configuraciónapiKeyHelper. También buscaCLAUDE_CODE_OAUTH_TOKEN,ANTHROPIC_BASE_URLy los indicadoresCLAUDE_CODE_USE_BEDROCK / _VERTEX / _FOUNDRY— estos también anulan o evitan/login. Las credenciales también pueden ocultarse en el bloque env de los propios archivos de configuración de Claude Code (~/.claude/settings.json y los archivos .claude/settings*.json en repositorios). Si estos permanecen, tienen silenciosamente precedencia sobre el nuevo inicio de sesión:/loginparecerá tener éxito, pero el uso continúa facturando a la organización Console anterior.En la terminal, ejecuta
claudey luego ejecuta/loginpara cambiar el método de autenticación.Selecciona "Cuenta de Claude con suscripción" como método de inicio de sesión.
Elige la organización Claude Enterprise (no la organización Console ni una cuenta personal).
Autoriza, regresa a la terminal y ejecuta
/statuspara confirmar que Claude Code muestra tu organización Enterprise.
CI y automatización
Los pipelines y scripts no usan /login. Mantén una organización Console (y sus claves API) para automatización y migra solo asientos de desarrollador interactivos, o cambia CI a una credencial Enterprise: ejecuta claude setup-token mientras estés conectado a la organización Enterprise y establece el token impreso como CLAUDE_CODE_OAUTH_TOKEN en tu entorno de CI. No elimines credenciales de CI hasta que uno de estos esté en su lugar.
Consejo para TI: Implementa configuraciones administradas con forceLoginOrgUUID establecido en el UUID de tu organización Enterprise como parte estándar de cada migración. Entrega el pin como un archivo administrado por endpoint o política MDM — las configuraciones administradas por servidor solo llegan después de que un usuario inicia sesión, por lo que no pueden detectar un primer inicio de sesión incorrecto. Si también usas configuraciones administradas por servidor, establece forceLoginOrgUUID allí también: los dos canales no se fusionan. Esto bloquea el inicio de sesión en cualquier otra organización y convierte el modo de fallo de credencial restante anterior de facturación silenciosa a uno ruidoso: Claude Code se niega a iniciarse y le dice al usuario que se debe eliminar una credencial restante (ANTHROPIC_API_KEY, ANTHROPIC_AUTH_TOKEN o apiKeyHelper).
Después de validar la migración
Elimina desarrolladores migrados de la organización Console (o rota sus claves). La eliminación revoca sus tokens de inicio de sesión de Console y desactiva su clave de espacio de trabajo de Claude Code, deteniendo la facturación adicional de Console por uso interactivo. Las claves API que crearon en otros espacios de trabajo de Console no se desactivan por eliminación — revisa y desactiva esas por separado. No elimines miembros hasta que hayas confirmado que el acceso Enterprise funciona; no hay reversión automatizada.
Documentación: Compra y administración de asientos en planes Enterprise
Mejoras en los informes
Pasar de Console API a Claude Enterprise desbloquea análisis más ricos para el uso de Claude Code:
Métrica | Console API | Claude Enterprise |
Consumo de tokens | ✅ | ✅ |
Líneas de código aceptadas | ✅ | ✅ |
Tasa de aceptación de sugerencias | ✅ | ✅ |
PRs creados con asistencia de Claude Code | ✅ A través de la API de Claude Code Analytics | ✅ |
Líneas de código confirmadas con asistencia de Claude Code | ✅ A través de la API de Claude Code Analytics | ✅ |
Notificaciones de límite de gasto | ✅ Correos electrónicos de notificación al límite con destinatarios configurables | ✅ Alertas de umbral |
Gasto mensual acumulado por miembro | ❌ | ✅ Configuración de administrador → Uso |
Registro de auditoría de cumplimiento | ❌ | ✅ La API de cumplimiento incluye eventos de registro de auditoría. Las transcripciones de sesiones locales de CLI permanecen en la máquina del desarrollador y no están disponibles a través de la API de cumplimiento. |
Todos los informes son accesibles desde Analytics en el panel de administración de Claude. Para acceso programático, la API de Analytics de Claude Enterprise devuelve métricas de participación por usuario, actividad de Claude Code (confirmaciones, solicitudes de extracción, líneas de código) y datos de uso y costo. Los análisis no se migran: la organización Enterprise comienza con un historial de informes nuevo, y su API de Analytics/Admin requiere una nueva clave de API creada en la organización Enterprise — las claves de Console no se transfieren. Exporte cualquier análisis de Console que necesite para paneles históricos antes de la migración. El tráfico que permanece en las claves de API de Console (por ejemplo CI) continúa apareciendo solo en los informes de Console.
Documentación: Análisis de uso de Claude Code
Configuración de políticas administradas — análisis profundo
Esta es la actualización más significativa para los equipos de seguridad e IT. Configuración administrada por servidor permite control centralizado y exigible sobre lo que Claude Code puede y no puede hacer en la máquina de cada desarrollador. Hay dos formas de entregarlas, y no necesitas MDM para usar la primera.
Cómo funciona
Claude Code lee la configuración de una jerarquía de fuentes de configuración. El archivo managed-settings.json está en la parte superior y no puede ser anulado por la configuración del usuario o del proyecto:
Prioridad | Fuente | Alcance | Quién lo controla |
1 (Más alta) | Configuración administrada (administrada por servidor o por punto final) | En toda la empresa | Propietario / Propietario principal (cuando se envía desde la consola de administración de claude.ai) o tu equipo de IT/MDM (cuando se implementa como archivo). |
2 | Argumentos de línea de comandos | Sesión | Desarrollador |
3 | .claude/settings.local.json | Proyecto (personal) | Desarrollador |
4 | .claude/settings.json | Proyecto (compartido, en Git) | Equipo |
5 (Más baja) | ~/.claude/settings.json | Usuario (global) | Desarrollador |
Dos formas de entregar configuración administrada
Configuración administrada por servidor (sin MDM requerido): Un propietario o propietario principal define la configuración en Configuración de la organización → Claude Code → Configuración administrada en la consola de administración. Cada cliente de Claude Code que inicia sesión en la organización las obtiene automáticamente al iniciar y consulta actualizaciones cada hora. Esta es la opción correcta para organizaciones sin infraestructura de administración de dispositivos o con usuarios en dispositivos no administrados. Obtén más información sobre configuración administrada por servidor.
Configuración administrada por punto final: IT implementa la configuración directamente en dispositivos, ya sea a través de políticas nativas del SO (preferencias administradas de macOS o el registro de Windows, mediante Jamf, Intune, Group Policy, etc.) o como un archivo managed-settings.json enviado a las rutas del sistema a continuación. Protege el archivo con permisos a nivel del SO para que los usuarios finales no puedan modificarlo. En dispositivos inscritos, esto proporciona garantías más sólidas que la entrega administrada por servidor porque el SO evita la manipulación del usuario.
Nota: Ambos canales ocupan el mismo nivel de prioridad más alto y utilizan el mismo formato JSON, pero no se fusionan. La primera fuente que entrega una configuración no vacía gana: la configuración administrada por servidor se verifica primero, y si entrega alguna clave, la configuración administrada por punto final se ignora completamente. Ejecuta /status para ver qué fuente administrada está activa.
Ubicaciones de archivo (administrada por punto final)
SO | Ruta |
macOS | /Library/Application Support/ClaudeCode/managed-settings.json |
Linux | /etc/claude-code/managed-settings.json |
Windows | C:\Program Files\ClaudeCode\managed-settings.json |
Referencia de configuración clave
Estas son las configuraciones más relevantes para una migración de Console a Enterprise. Claude Code admite muchas más: para la lista completa y actual, consulte Configuración de Claude Code.
Configuración | Propósito | Ejemplo |
| Bloquear herramientas/comandos específicos en toda la organización | Bash(curl:*), Read(.env) |
| Permitir explícitamente comandos de confianza | Bash(npm run test:*) |
| Requerir aprobación del usuario cada vez | Bash(rm:*) |
| Prevenir --dangerously-skip-permissions | "disable" |
| Restringir el inicio de sesión a organizaciones Enterprise específicas. Acepta un UUID de organización o una matriz; el inicio de sesión en cualquier otra organización se bloquea. Un UUID único también selecciona automáticamente esa organización al iniciar sesión. | "298e7cb2…" |
| Forzar el método de inicio de sesión (claudeai, console o gateway). Se recomienda junto con | "claudeai" |
| Permitir solo servidores MCP aprobados, coincidentes por nombre, comando o patrón de URL | [{"serverName": "github"}] |
| Lista negra de servidores MCP específicos | [{"serverName": "filesystem"}] |
| Solo se aplican las reglas de permisos de la configuración administrada; los usuarios y proyectos no pueden agregar los suyos | true |
| Solo se aplica la lista de permitidos de MCP administrada; las listas de denegación aún se fusionan de todas las fuentes | true |
| Solo se ejecutan hooks administrados y aprobados por administrador | true |
| Extiende la lista de permitidos | true |
| Forzar modo sandbox | true |
| Bloquear ejecución sin sandbox | false |
| Período de retención para datos de sesión local (transcripciones y otros archivos de aplicación). Predeterminado: 30 días | 7 |
| Mostrar mensajes a todos los usuarios de Claude Code | Matriz de cadenas |
Implementación: Utiliza tu herramienta MDM (Intune, Jamf, SCCM, Puppet, etc.) para enviar managed-settings.json a todas las máquinas de desarrolladores. Protege el archivo con permisos a nivel del sistema operativo para que los usuarios finales no puedan modificarlo.
