Les rôles personnalisés sont disponibles pour les organisations disposant d'un plan Enterprise. Les propriétaires, propriétaires principaux et rôles personnalisés avec l'ensemble de permissions Identité et accès défini sur Gérer peuvent gérer les rôles personnalisés dans Paramètres de l'organisation > Rôles.
Que sont les rôles personnalisés ?
Les rôles personnalisés vous permettent de définir les fonctionnalités auxquelles vos membres peuvent accéder. Chaque rôle personnalisé contient un ensemble de permissions qui accordent ou limitent l'accès à des capacités spécifiques comme le chat, Claude Cowork, Claude Code et la recherche web, ainsi que les connecteurs que votre organisation a ajoutés, tels que Slack ou Google Drive. Les rôles personnalisés peuvent également accorder des permissions d'administrateur, qui donnent aux membres l'accès à des zones administratives spécifiques comme la facturation, l'identité ou la confidentialité sans les rendre propriétaires.
Les rôles personnalisés fonctionnent aux côtés des groupes. Le flux de travail typique est : créer des rôles personnalisés, les assigner à des groupes, puis définir les rôles des membres sur « Rôles personnalisés » afin que leur accès soit entièrement régi par les rôles personnalisés assignés à leurs groupes.
Remarque : Les rôles personnalisés n'affectent que les membres dont le rôle est défini sur « Rôles personnalisés ». Les membres ayant les rôles Utilisateur, Administrateur ou Propriétaire obtiennent leurs permissions directement de ces rôles, et non des rôles personnalisés.
Comment fonctionne l'accès aux fonctionnalités
L'accès aux fonctionnalités est déterminé par une chaîne de précédence à quatre niveaux, où le niveau le plus restrictif l'emporte :
Remplacements au niveau de la plateforme : Certaines fonctionnalités peuvent être forcément activées ou désactivées pour votre organisation par Anthropic dans le cadre de votre contrat. Celles-ci ne peuvent pas être modifiées dans les paramètres de l'organisation.
Paramètre au niveau de l'organisation : Un propriétaire ou un propriétaire principal peut activer ou désactiver une fonctionnalité pour l'ensemble de l'organisation. Si une fonctionnalité est désactivée au niveau de l'organisation, aucun rôle personnalisé ne peut accorder l'accès à celle-ci.
Permissions des rôles personnalisés : Si la fonctionnalité est activée au niveau de l'organisation, les rôles personnalisés du membre déterminent s'il peut y accéder. Si l'un des rôles personnalisés du membre accorde la fonctionnalité, il l'a.
Paramètre au niveau de l'utilisateur : Si la fonctionnalité est accordée au niveau du rôle, elle est disponible sauf si le membre l'a désactivée dans ses propres paramètres.
Le point clé : le bouton au niveau de l'organisation est un interrupteur principal. Les rôles personnalisés sont les interrupteurs par membre en dessous. Une fonctionnalité doit être activée au niveau de l'organisation avant que les rôles personnalisés puissent contrôler qui obtient l'accès.
Remarque : Cette chaîne de précédence s'applique aux capacités. Les permissions d'administrateur ne sont pas contrôlées par un bouton au niveau de l'organisation ou par les paramètres propres d'un membre. Si le rôle personnalisé d'un membre accorde une permission d'administrateur, il a cet accès.
Capacités disponibles
Chaque rôle personnalisé peut accorder ou limiter l'accès aux capacités suivantes :
Capacité | Description |
Chat | Accès au chat sur les applications web, de bureau et mobiles. |
Exécution de code et création de fichiers | Capacité à exécuter du code et créer des fichiers dans les conversations. |
Mémoire | Capacité à utiliser la mémoire dans les conversations. |
Recherche web | Capacité à utiliser la recherche web dans les conversations. |
Projets publics | Capacité à partager des projets avec tous les membres de votre organisation. |
Créer des compétences | Capacité à créer ou télécharger des compétences personnalisées. |
Partager des compétences avec les membres de l'équipe | Capacité à partager des compétences avec des personnes spécifiques de votre organisation. |
Partager des compétences avec l'ensemble de l'organisation | Capacité à partager des compétences avec tous les membres de votre organisation à la fois. |
Claude Code | Accès à Claude Code. |
Mode rapide | Accès aux options de modèle plus rapides pour Claude Code. |
Flux de travail dynamiques Claude Code* | Accès aux flux de travail dynamiques dans Claude Code, qui permettent à Claude d'exécuter de grandes tâches d'ingénierie—migrations, audits, chasses aux bugs à l'échelle du code—du début à la fin en une seule session. Ces exécutions peuvent durer des heures et utiliser plus de jetons qu'une session typique. |
Claude Security | Trouvez et corrigez les vulnérabilités de sécurité dans votre code avec Claude. |
Claude Design | Accès à Claude Design pour générer des artefacts de conception. |
Claude Cowork | Accès à Claude Cowork. |
Claude pour Chrome | Accès à Claude pour Chrome, l'extension de navigateur qui permet à Claude de parcourir et d'agir sur les pages web au nom de l'utilisateur. |
*Les flux de travail dynamiques Claude Code s'activent pour l'ensemble de votre organisation par défaut le 8 juin 2026. Comme une seule exécution peut durer des heures et utiliser plus de jetons qu'une session typique, décidez qui devrait avoir accès avant cette date. Pour les membres ayant des rôles personnalisés, cette capacité suit le modèle additif comme toute autre—un rôle doit l'accorder pour que ces membres puissent l'utiliser. Pour limiter un groupe spécifique, laissez cette capacité désactivée dans leur rôle.
Cela peut être désactivé à l'échelle de l'organisation via managed-settings.json en ajoutant "disableWorkflows": true à vos paramètres gérés. Cela s'applique avant et après le 8 juin.
Une fois que cela sera en ligne le 8 juin, un propriétaire pourra le désactiver dans toute votre organisation en accédant à Paramètres de l'organisation > Claude Code et en désactivant Workflows.
Les rôles personnalisés régissent également l'accès aux autorisations d'administrateur et aux connecteurs, qui sont configurés dans les onglets Autorisations et Connecteurs séparés de l'éditeur de rôles. Voir Autorisations d'administrateur et Autorisations de connecteur ci-dessous.
Remarque : Le chat est activé par défaut pour tous les rôles personnalisés, y compris ceux créés avant l'ajout de cette fonctionnalité. Si vous souhaitez restreindre le chat pour un rôle spécifique, désactivez-le lors de la modification du rôle.
Créer un rôle personnalisé
Accédez à Paramètres de l'organisation > Rôles.
Cliquez sur « + Ajouter un rôle ».
Entrez un nom pour le rôle (par exemple, « Développeur », « Accès standard » ou « Accès restreint »).
Sélectionnez les groupes que vous souhaitez assigner au rôle.
Activez ou désactivez chaque fonctionnalité pour définir ce que ce rôle accorde.
Cliquez sur « Suivant : Configurer les autorisations ».
Configurez les autorisations. Vous pouvez choisir Pas d'accès, Peut afficher et Peut gérer pour chaque paramètre d'administrateur.
Cliquez sur « Suivant : Configurer les connecteurs ».
Configurez les connecteurs. Vous pouvez choisir Toujours autorisé, Demander et Bloqué pour tous les connecteurs, ou personnaliser par connecteur ou outil de connecteur.
Cliquez sur « Ajouter un rôle ».
Modifier un rôle personnalisé
Accédez à Paramètres de l'organisation > Rôles.
Cliquez sur le rôle que vous souhaitez modifier.
Mettez à jour le nom et les groupes, ou activez/désactivez les fonctionnalités, les autorisations et les connecteurs selon vos besoins.
Cliquez sur « Modifier le rôle » pour enregistrer vos modifications.
Les modifications de fonctionnalité et de connecteur prennent effet dans une minute. Les modifications d'autorisation d'administrateur peuvent prendre jusqu'à 15 minutes, et les membres peuvent avoir besoin d'actualiser leur navigateur. Tous les membres des groupes assignés à ce rôle sont affectés.
Supprimer un rôle personnalisé
Cliquez sur le bouton de menu sur n'importe quel rôle personnalisé et sélectionnez « Supprimer le rôle ». La suppression d'un rôle supprime ses autorisations de tous les groupes auxquels il a été assigné. Les membres de ces groupes perdent les autorisations que le rôle accordait, sauf si un autre rôle dans leur chaîne les accorde également.
Assigner des groupes aux rôles personnalisés
Les rôles personnalisés sont assignés aux groupes, non directement aux membres individuels. Pour assigner un groupe à un rôle :
Accédez à Paramètres de l'organisation > Rôles.
Cliquez sur le rôle que vous souhaitez assigner.
Dans le sélecteur de groupes, sélectionnez un ou plusieurs groupes.
Cliquez sur « Enregistrer ».
Vous pouvez également assigner des rôles personnalisés lors de la création ou de la modification d'un groupe dans Paramètres de l'organisation > Groupes. Voir Gérer les groupes et les limites de dépenses des groupes sur les plans Entreprise.
Comment les autorisations se combinent sur plusieurs rôles
Si un membre appartient à plusieurs groupes avec différents rôles personnalisés, ses autorisations sont additives—il obtient l'union de toutes les autorisations de tous les rôles dans sa chaîne. Si un rôle accorde une fonctionnalité, le membre y a accès.
Cela signifie que vous ne pouvez pas utiliser un rôle pour supprimer une autorisation accordée par un autre rôle. C'est intentionnel—cela permet une approche en couches où un rôle de base couvre les fonctionnalités communes et les rôles supplémentaires ajoutent des fonctionnalités spécifiques et des autorisations d'administrateur.
Exemple : Un membre est dans deux groupes. Le groupe « Tous les utilisateurs » est assigné à un rôle « Accès standard » avec recherche web et mémoire. Le groupe « Ingénierie » est assigné à un rôle « Développeur » avec Cowork et Claude Code. Le membre obtient les quatre : recherche web, mémoire, Cowork et Claude Code.
Autorisations d'administrateur
Les rôles personnalisés peuvent accorder des autorisations d'administrateur en plus des autorisations de fonctionnalité et de connecteur. Les autorisations d'administrateur donnent aux membres l'accès à des zones administratives spécifiques, comme la facturation ou la confidentialité, sans les rendre propriétaires. Vous pouvez configurer les autorisations d'administrateur dans l'onglet Autorisations de l'éditeur de rôles.
Remarque : Les autorisations d'administrateur s'appliquent uniquement aux membres dont le rôle est défini sur « Rôles personnalisés ». Les membres ayant les rôles Utilisateur, Administrateur, Propriétaire ou Propriétaire principal conservent l'accès que ces rôles accordent.
Niveaux d'autorisation d'administrateur
Dans l'onglet Autorisations, vous définissez chaque zone d'autorisation à l'un des trois niveaux :
Pas d'accès : Le membre ne voit pas cette zone dans ses paramètres d'organisation.
Peut afficher : L'affichage accorde l'accès en lecture seule. Le membre voit les mêmes pages et paramètres que quelqu'un qui peut gérer cette zone, mais chaque contrôle est désactivé ou affiché en lecture seule. Utilisez ce niveau d'autorisation pour les auditeurs de conformité, les auditeurs financiers, les équipes de sécurité ou toute personne qui doit voir la configuration sans la modifier.
Peut gérer : Gérer accorde l'accès complet en lecture et écriture à la zone et inclut l'accès à l'affichage.
Dans une zone, vous accordez tout l'affichage ou tout le gestion. Vous ne pouvez pas accorder ou restreindre des pages ou des paramètres individuels.
Autorisations d'administrateur disponibles
Il y a sept zones d'autorisation d'administrateur :
Zone | Affichage | Gestion |
Identité et accès | Configuration SSO et SAML, domaines vérifiés, appartenances aux domaines, liste d'adresses IP autorisées, paramètres de session, définitions de groupes, définitions de rôles et paramètres de provisionnement | Modifier l'authentification unique, gérer les domaines, modifier la liste d'adresses IP autorisées, modifier les paramètres de session, créer et modifier les groupes et les rôles, et configurer l'approvisionnement |
Facturation | Détails du plan, nombre de sièges, factures, adresses de facturation et dépenses d'utilisation | Modifier les sièges, mettre à jour les modes de paiement, modifier les adresses de facturation et configurer les limites de dépenses et l'utilisation supplémentaire |
Analytique | Analytique d'utilisation, analytique Claude Code et métriques d'adoption des fonctionnalités | Non disponible |
Confidentialité | Paramètres de rétention des données, configuration d'exportation, paramètres de partage, paramètres de géolocalisation, paramètre d'inférence réservé aux États-Unis et statut de la clé de chiffrement | Modifier les périodes de rétention, exécuter les exportations de données, modifier les paramètres de partage et configurer la géolocalisation, l'inférence réservée aux États-Unis et le chiffrement |
Gestion des utilisateurs | Non disponible | Inviter des membres, modifier les rôles des membres, supprimer des membres et gérer les invitations en attente |
Bibliothèques | Non disponible | Ajouter, modifier et supprimer les compétences, les plugins et les connecteurs partagés par l'organisation. Inclut également la gestion du répertoire. |
Gestion du répertoire | Non disponible | Soumettre et gérer les annonces du répertoire, et afficher l'observabilité des annonces que votre organisation a publiées |
Remarque : Un rôle avec Identité et accès défini sur Gérer peut créer et modifier les groupes et les rôles, y compris sa propre définition de rôle. Les membres disposant de cette autorisation peuvent étendre leur propre accès, réservez-la donc aux administrateurs de sécurité et informatiques de confiance.
Pages de paramètres d'organisation disponibles pour chaque autorisation
Page de paramètres d'organisation | Autorisation requise | Remarques |
Facturation | Facturation (Afficher ou Gérer) | Plan, sièges, adresses et factures |
Utilisation | Facturation (Afficher ou Gérer) | Limites de dépenses, crédits et utilisation supplémentaire |
Membres | Gestion des utilisateurs (Gérer) | Aucun mode d'affichage uniquement |
Groupes | Identité et accès (Afficher ou Gérer) |
|
Rôles | Identité et accès (Afficher ou Gérer) |
|
Organisation et accès (partiel) | Identité et accès (Afficher ou Gérer) | Déverrouille l'authentification unique (SSO/SAML, mappages de groupes, approvisionnement), domaines vérifiés et appartenances au domaine, liste d'adresses IP autorisées, paramètres de session, restriction de la création d'organisation et demandes de fusion d'organisation. D'autres sections de cette page, comme le nom de l'organisation, les paramètres de capacité par défaut et l'invite système à l'échelle de l'organisation, nécessitent toujours le rôle Propriétaire |
Données et confidentialité | Confidentialité (Afficher ou Gérer) |
|
Analytique | Analytique (Afficher) | Accessible via Analytique dans le menu utilisateur, pas dans les paramètres d'organisation |
Compétences | Bibliothèques (Gérer) |
|
Plugins | Bibliothèques (Gérer) |
|
Connecteurs | Bibliothèques (Gérer) |
|
Répertoire | Gestion du répertoire (Gérer) |
|
Ce que les autorisations d'administrateur ne couvrent pas
Les éléments suivants restent disponibles uniquement pour les propriétaires et propriétaires principaux, même pour les membres disposant d'autorisations d'administrateur :
Gestion des propriétaires et administrateurs. Les autorisations d'administrateur ne peuvent pas accorder ou révoquer les rôles intégrés Propriétaire, Administrateur ou Propriétaire principal. Seuls les propriétaires peuvent gérer d'autres propriétaires.
Clés API et espaces de travail. La gestion des clés API, les paramètres d'espace de travail et l'administration de la console Claude ne sont pas couverts par les autorisations d'administrateur.
Clés de conformité et de sécurité. Les paramètres de l'API de conformité et l'administration des clés de sécurité restent réservés au propriétaire.
Paramètres de capacité au niveau de l'organisation. Les capacités activées au niveau de l'organisation sont régies séparément et ne font pas partie des autorisations d'administrateur.
Ce que les membres voient lorsque les autorisations d'administrateur sont restreintes
Si un membre n'a pas accès à une autorisation d'administrateur spécifique, la section n'apparaît pas dans ses paramètres d'organisation. Seules les sections couvertes par ses autorisations sont affichées.
Autorisations de connecteur
Les rôles personnalisés contrôlent également les connecteurs et les outils sur ces connecteurs qu'un rôle peut utiliser. Là où les capacités couvrent les fonctionnalités intégrées de Claude, les autorisations de connecteur couvrent les applications et services que vous avez connectés à votre organisation, tels que Slack, Google Drive ou Jira. Vous les définissez dans l'onglet Connecteurs de l'éditeur de rôles, à côté des onglets Capacités et Autorisations.
Remarque : Les autorisations de connecteur s'appliquent uniquement aux membres dont le rôle est défini sur « Rôles personnalisés ». Les membres ayant les rôles Utilisateur, Administrateur ou Propriétaire voient tous les connecteurs activés pour votre organisation, sous réserve de vos politiques d'outils à l'échelle de l'organisation par connecteur. Les propriétaires et administrateurs voient toujours tous les connecteurs pour pouvoir les configurer, indépendamment des autorisations de connecteur de tout rôle.
Niveaux d'autorisation
Dans l'onglet Connecteurs, vous définissez tous les connecteurs, chaque connecteur ou chaque outil sur un connecteur à l'un des trois niveaux :
Toujours autoriser : Tous les outils du connecteur sont disponibles, et les membres peuvent définir leur propre approbation sur « Toujours autoriser » pour ignorer la confirmation par appel.
Nécessite une approbation : Tous les outils sont disponibles, mais les membres confirment chaque appel. L'option « Toujours autoriser » est supprimée de leur menu d'approbation personnel pour ces outils.
Bloqué : Le connecteur ou l'outil est masqué. Claude ne peut pas le voir ou l'appeler.
Un connecteur peut également être défini sur Personnalisé, ce qui vous permet de définir chacun de ses outils individuellement. Pour la configuration complète, consultez Configurer les autorisations basées sur les rôles sur les plans Entreprise.
Comment l'accès au connecteur est déterminé
Un connecteur ou un outil passe par plusieurs couches avant qu'un membre puisse l'utiliser, évaluées dans cet ordre :
Octroi de rôle. Chaque connecteur ou outil sur un rôle est défini sur « Toujours autoriser », « Nécessite une approbation » ou « Bloqué ».
Entre les rôles du membre. Si les groupes d'un membre lui donnent plus d'un rôle, l'octroi le plus permissif pour chaque outil s'applique. Les autorisations de connecteur sont additives entre les rôles, tout comme les capacités.
Politique d'outil à l'échelle de l'organisation. La politique par outil que vous définissez sous Paramètres d'organisation > Connecteurs par connecteur est le plafond. Pour chaque outil, Claude compare l'octroi de rôle du membre à cette politique et applique le plus restrictif des deux. Les octrois de rôles réduisent l'accès au sein de la politique ; ils ne peuvent pas l'élargir au-delà. En savoir plus sur la définition de l'accès aux outils dans Utiliser les connecteurs pour étendre les capacités de Claude.
Le paramètre personnel du membre. Le résultat des étapes ci-dessus est le plafond effectif du membre. Il limite les options de son menu d'approbation personnel par outil (« Toujours autoriser », « Demander » ou « Jamais »). Un plafond de « Nécessite une approbation » supprime « Toujours autoriser ». Un plafond de « Bloqué » grise l'outil.
Pour les membres utilisant Claude Code, une couche supplémentaire s'applique : les politiques Paramètres gérés et les autorisations de connecteur se composent par la plus restrictive. Un outil est appelable sans invite uniquement lorsque les deux le permettent. Pour plus d'informations, consultez Paramètres de Claude Code.
Ce tableau montre comment la politique d'outil à l'échelle de l'organisation et l'octroi de rôle d'un membre se combinent :
Politique d'outil à l'échelle de l'organisation | Octroi de rôle le plus élevé entre les rôles du membre | Plafond effectif | Options personnelles du membre |
Toujours autoriser | Toujours autoriser | Toujours autoriser | Toujours autoriser, Demander, Jamais |
Toujours autoriser | Nécessite une approbation | Nécessite une approbation | Demander, Jamais |
Toujours autoriser | Bloqué | Bloqué | Outil grisé |
Nécessite une approbation | Toujours autoriser | Nécessite une approbation | Demander, Jamais |
Nécessite une approbation | Bloqué | Bloqué | Outil grisé |
Bloqué | Tous | Bloqué | Outil grisé |
Où s'appliquent les autorisations de connecteur
Les autorisations de connecteur sont appliquées sur les serveurs d'Anthropic, elles s'appliquent donc sur chaque surface Claude qui achemine le trafic des connecteurs via Anthropic :
Surface | Couverture |
Claude sur web et bureau | Application complète. Les connecteurs bloqués sont masqués, les outils bloqués sont grisés, et le menu d'approbation personnelle est limité à ce que le plafond autorise. |
Claude Mobile (iOS et Android) | Appliquée. Les outils bloqués sont supprimés de la vue de Claude et les appels à ceux-ci sont rejetés. Un outil bloqué peut toujours sembler actif dans les paramètres du connecteur mobile jusqu'à ce que les mises à jour de l'interface soient déployées, mais il ne peut pas être utilisé. |
Claude Cowork (cloud et bureau) | Identique au web. |
Claude Code | Appliquée. Les outils bloqués sont rejetés et apparaissent comme désactivés. Voir Paramètres Claude Code. |
Les autorisations de connecteur régissent les connecteurs que votre organisation a ajoutés sous Paramètres de l'organisation > Connecteurs. Elles ne régissent pas les connecteurs qu'un membre exécute localement sur sa propre machine, et elles ne régissent pas Claude Cowork lorsqu'il est déployé sur une plateforme tierce. Pour les déploiements Cowork tiers, utilisez MDM à la place. Voir Cowork sur 3P : MCP, plugins, compétences et hooks.
Ce que les membres voient quand un connecteur est restreint
Restriction | Ce que le membre voit |
Un connecteur est bloqué pour son rôle | Le connecteur n'apparaît pas dans leur menu de connecteur. |
Un outil est bloqué sur un connecteur visible | L'outil est grisé dans leurs paramètres de connecteur, avec le message « Cet outil n'est pas activé pour votre rôle. Contactez votre administrateur. » |
Un outil est limité à « Approbation requise » | L'outil fonctionne, mais le menu d'approbation personnelle n'offre que « Demander » et « Jamais », et Claude demande avant chaque appel. |
Les autorisations de connecteur ne peuvent pas se charger brièvement | Une bannière signale que les connecteurs n'ont pas pu se charger, avec une nouvelle tentative. Aucun outil bloqué n'atteint jamais le service connecté. L'accès échoue en refusant, jamais en accordant. |
Les membres ne peuvent pas dire quelle couche a restreint un outil. Le message est le même que la limite provienne de la politique d'outil à l'échelle de l'organisation, d'une attribution de rôle, ou des deux. Pour trouver la source, comparez la politique à l'échelle de l'organisation avec les attributions de rôle du membre.
Ce que les membres voient quand l'accès aux capacités est restreint
Quand une capacité est restreinte, voici ce que les membres voient. Pour les restrictions de connecteur et d'outil, voir Autorisations de connecteur ci-dessus.
Raison | Ce que le membre voit |
La fonctionnalité est désactivée au niveau de l'organisation | La fonctionnalité apparaît grisée ou masquée, avec le message « Cette fonctionnalité est désactivée pour votre organisation. » |
Les rôles du membre ne lui accordent pas la fonctionnalité | La fonctionnalité apparaît grisée ou masquée, avec le message « Contactez votre administrateur pour demander l'accès à cette fonctionnalité. » |
Les rôles du membre ne lui accordent aucun accès au produit | Le membre accède à sa page de paramètres lors de la connexion, sans aucun produit disponible à utiliser. |