Aperçu
Ce guide est conçu pour les équipes migrant de l'accès à Claude Code basé sur Console vers Claude Enterprise. Notez que les utilisateurs individuels n'ont pas besoin de migrer l'historique des sessions pour les sessions CLI, car celles-ci sont stockées localement. Vous devez uniquement provisionner des comptes Claude Enterprise pour chaque utilisateur, puis les utilisateurs doivent changer leur méthode de connexion de Console à Claude Enterprise.
Claude Enterprise comparé à Console
Capacité | Claude Console/API | Claude Enterprise |
Claude Code sur l'application web et mobile | ❌ | ✅ |
Claude Code sur Slack | ❌ | ✅ |
Révision de code | ❌ | ✅ |
Appliquer les outils que Claude Code peut utiliser | ❌ Pas d'interface native
*Les paramètres peuvent être poussés vers les machines des développeurs via MDM (Jamf, Intune) ou gestion de configuration (Ansible, Puppet, etc.) | ✅ Interface native pour définir les règles d'autorisation/refus de managed-settings.json |
Bloquer des commandes bash spécifiques | ❌ Pas d'interface native* | ✅ Bash(curl:*), Bash(sudo:*), etc. |
Empêcher l'accès aux fichiers sensibles | ❌ Pas d'interface native* | ✅ Read(.env), Read(./secrets/**) |
Contrôler les serveurs MCP autorisés | ❌ Pas d'interface native* | ✅ allowedMcpServers / deniedMcpServers |
Déployer des serveurs MCP pré-approuvés à l'échelle de l'organisation | ❌ Pas d'interface native* | ✅ managed-mcp.json |
Forcer le mode sandbox | ❌ Pas d'interface native* | ✅ sandbox.enabled |
Désactiver --dangerously-skip-permissions | ❌ Pas d'interface native* | ✅ permissions.disableBypassPermissionsMode: disable |
Désactiver le mode automatique | ❌ Pas d'interface native* | ✅ disableAutoMode: disable |
Rôles personnalisés (RBAC) | ❌ | ✅ Limitez l'accès aux fonctionnalités par groupe et déléguez des domaines d'administration spécifiques comme la facturation, la gestion des utilisateurs et l'identité sans accorder le rôle Propriétaire. Gérer les rôles personnalisés sur les plans Enterprise |
Gouvernance des modèles | ❌ Pas d'interface native* | ✅ Définissez un modèle par défaut de l'organisation pour le chat et Cowork (bêta) à partir de la console d'administration, et limitez la sélection du modèle Claude Code avec |
Journaux d'audit | ❌ Aucune prise en charge des journaux d'audit
🟡 Claude Code dispose bien d'une prise en charge pour OpenTelemetry | 🟡 Journaux d'audit et API de conformité, qui incluent les événements du journal d'audit. Les transcriptions des sessions CLI locales restent sur la machine du développeur et ne sont pas disponibles via l'API de conformité. |
Analyse d'utilisation | ✅ Lignes de code écrites, taux d'acceptation, utilisateurs actifs quotidiens, dépenses quotidiennes.
| ✅ Lignes de code écrites, taux d'acceptation, utilisateurs actifs quotidiens et dépenses cumulées du mois par membre dans Paramètres de l'organisation → Utilisation.
|
Rapports d'utilisation et de coûts programmatiques | ✅ L'API d'analyse Claude Enterprise retourne les métriques d'engagement par utilisateur et Claude Code (commits, demandes de tirage, lignes de code) ainsi que les points de terminaison d'utilisation et de coûts. L'API Admin couvre la gestion programmatique de l'organisation. | |
Métriques de contribution | ✅ Via l'API d'analyse Claude Code | ✅ Demandes de tirage créées et lignes de code validées avec l'assistance Claude Code. |
Contrôles de dépenses granulaires | ✅ Limites d'organisation et d'espace de travail, plus limites par développeur dans les espaces de travail Claude Code | ✅ Organisation → Groupe → Individu, intégré aux groupes RBAC |
Documentation : Rôles et permissions, Achat et gestion des sièges sur les plans Enterprise, Comment suis-je facturé pour mon plan Enterprise ?, Utilisation de Claude Code avec votre plan Enterprise
Provisionnement SCIM
Voici ce que votre équipe d'identité doit faire :
Mettre à jour les mappages de groupes IdP — Créez ou réutilisez des groupes IdP pour mapper les utilisateurs à l'organisation Claude Enterprise. Activez les mappages de groupes pour attribuer automatiquement les sièges.
Assurez-vous que suffisamment de sièges sont achetés — Avant de déclencher une synchronisation SCIM, vérifiez que l'organisation Claude Enterprise dispose de suffisamment de sièges disponibles. Les utilisateurs sans sièges disponibles seront définis sur le statut « Non assigné ».
Confirmez que l'accès à Claude Code est activé — Confirmez que Claude Code est activé pour l'organisation Enterprise dans les paramètres d'administration, et — si vous limitez les fonctionnalités avec des rôles ou des groupes personnalisés — que vos groupes de développeurs ont accès à Claude Code.
Déclenchez une synchronisation — Accédez à Paramètres de l'organisation → Organisation et accès, trouvez Synchronisation d'annuaire (SCIM) et cliquez sur « Synchroniser ». Notez que cela peut être lent car cela peut déclencher une grande synchronisation.
Vérifiez les attributions de sièges — Après la synchronisation, vérifiez Paramètres de l'organisation → Organisation et accès pour confirmer que les utilisateurs ont été attribués au type de siège correct.
Facultatif : Ajustez les mappages de l'organisation Console — Si certains utilisateurs doivent conserver l'accès à l'API Console, gardez leur groupe mappé à l'organisation Console. Les utilisateurs peuvent appartenir aux deux organisations simultanément.
Remarque : Les modifications SCIM de Microsoft Entra se synchronisent tous les ~40 minutes. Utilisez le bouton « Synchroniser » pour déclencher une synchronisation à la demande après les modifications de groupe.
Si l'authentification unique de votre organisation Enterprise est configurée en tant que connexion uniquement, la connexion ne crée pas de comptes — les utilisateurs doivent être invités manuellement. Activez JIT ou le provisionnement SCIM avant de diriger les développeurs vers la connexion. Voir Configurer JIT ou le provisionnement SCIM.
Limites de dépenses
Les plans Claude Enterprise offrent un système de contrôle des dépenses hiérarchique. Les limites en cascade — un utilisateur ne peut jamais dépasser les limites de l'organisation.
Niveau | Portée | Qui le définit | Ce qu'il contrôle |
1. Organisation | Ensemble de l'organisation Enterprise | Propriétaire principal / Propriétaire | Dépenses mensuelles maximales sur tous les sièges et l'utilisation |
2. Contrôles de groupe | Groupes avec RBAC | Propriétaire principal / Propriétaire | Limite de dépenses pour un groupe utilisant RBAC |
3. Individu | Utilisateur spécifique | Propriétaire principal / Propriétaire | Limite de dépenses pour un seul membre de l'équipe |
Comment définir et modifier les limites de dépenses
Connectez-vous en tant que propriétaire ou propriétaire principal.
Accédez à Paramètres de l'organisation → Utilisation.
Définissez la limite au niveau de l'organisation — c'est le plafond global pour toutes les dépenses mensuelles.
Définissez les limites au niveau du groupe — sous l'onglet « Par groupe ». Voir Gérer les groupes et les limites de dépenses des groupes sur les plans Enterprise.
Définir les limites de niveau individuel — trouvez des utilisateurs spécifiques dans la section Paramètres de dépenses sous l'onglet « Par membre ».
Les propriétaires peuvent définir les limites sur « illimité », mais toute consommation est toujours facturée. Si un utilisateur sur un siège de consommation atteint sa limite, il ne peut pas utiliser Claude ou Claude Code jusqu'à la prochaine période de facturation ou jusqu'à ce qu'un administrateur augmente sa limite.
Docs : Configuration des limites de dépenses, Gérer les groupes et les limites de dépenses des groupes sur les plans Enterprise
Émission de nouveaux sièges et réauthentification
Ajout de sièges
Connectez-vous en tant que propriétaire principal ou propriétaire.
Cliquez sur l'icône de crayon sous Sièges.
Entrez les nouveaux nombres de sièges.
Vérifiez et cliquez sur « Mettre à niveau » pour confirmer. Les nouveaux sièges sont au prorata.
Attribution d'utilisateurs aux sièges
Cliquez sur « Ajouter un membre » (ou « Ajouter en masse » pour plusieurs).
Entrez l'adresse e-mail @ de l'utilisateur.
Définissez le rôle (Utilisateur, Administrateur, Propriétaire) et envoyez l'invitation.
Pour les utilisateurs provisionnés par SCIM, l'attribution de siège se fait automatiquement en fonction des mappages de groupes. Les utilisateurs sont définis par défaut sur le niveau de siège le plus élevé disponible si aucun mappage de groupe n'est configuré.
Réauthentification pour les utilisateurs de Claude Code
Les développeurs actuellement authentifiés auprès de l'organisation Console devront se réauthentifier auprès de l'organisation Claude Enterprise :
Supprimez les identifiants Console restants avant de vous connecter. Vérifiez la présence de variables d'environnement
ANTHROPIC_API_KEYouANTHROPIC_AUTH_TOKENdans les profils shell, les dotfiles et les configurations CI, et supprimez tout paramètreapiKeyHelper. Vérifiez également la présence deCLAUDE_CODE_OAUTH_TOKEN,ANTHROPIC_BASE_URLet des drapeauxCLAUDE_CODE_USE_BEDROCK / _VERTEX / _FOUNDRY— ceux-ci remplacent ou contournent également/login. Les identifiants peuvent également se cacher dans le bloc env des propres fichiers de paramètres de Claude Code (~/.claude/settings.json et les fichiers .claude/settings*.json dans les dépôts). S'ils restent, ils prennent silencieusement la priorité sur la nouvelle connexion :/loginsemblera réussir, mais l'utilisation continue à être facturée à l'ancienne organisation Console.Dans le terminal, exécutez
claudepuis exécutez/loginpour changer la méthode d'authentification.Sélectionnez « Compte Claude avec abonnement » comme méthode de connexion.
Choisissez l'organisation Claude Enterprise (pas l'organisation Console ou un compte personnel).
Autorisez, revenez au terminal et exécutez
/statuspour confirmer que Claude Code affiche votre organisation Enterprise.
CI et automatisation
Les pipelines et les scripts n'utilisent pas /login. Soit conservez une organisation Console (et ses clés API) pour l'automatisation et migrez uniquement les sièges de développeur interactifs, soit basculez CI vers une accréditation Enterprise : exécutez claude setup-token tout en étant connecté à l'organisation Enterprise et définissez le jeton imprimé comme CLAUDE_CODE_OAUTH_TOKEN dans votre environnement CI. Ne supprimez pas les identifiants CI tant que l'un d'eux n'est pas en place.
Conseil pour l'informatique : Déployez les paramètres gérés avec forceLoginOrgUUID défini sur l'UUID de votre organisation Enterprise comme élément standard de chaque migration. Livrez le code PIN en tant que fichier géré par point de terminaison ou politique MDM — les paramètres gérés par serveur n'arrivent qu'après la connexion d'un utilisateur, ils ne peuvent donc pas intercepter une première connexion incorrecte. Si vous utilisez également des paramètres gérés par serveur, définissez forceLoginOrgUUID là aussi : les deux canaux ne fusionnent pas. Cela bloque la connexion à toute autre organisation et transforme le mode de défaillance des identifiants restants ci-dessus d'une facturation silencieuse à une facturation bruyante : Claude Code refuse de démarrer et indique à l'utilisateur qu'un identifiant restant (ANTHROPIC_API_KEY, ANTHROPIC_AUTH_TOKEN ou apiKeyHelper) doit être supprimé.
Après validation de la migration
Supprimez les développeurs migrés de l'organisation Console (ou faites pivoter leurs clés). La suppression révoque leurs jetons de connexion Console et désactive leur clé d'espace de travail Claude Code, arrêtant la facturation Console supplémentaire due à l'utilisation interactive. Les clés API qu'ils ont créées dans d'autres espaces de travail Console ne sont pas désactivées par la suppression — examinez et désactivez-les séparément. Ne supprimez pas les membres tant que vous n'avez pas confirmé que l'accès Enterprise fonctionne ; il n'y a pas de restauration automatisée.
Améliorations dans les rapports
Le passage de l'API Console à Claude Enterprise déverrouille des analyses plus riches pour l'utilisation de Claude Code :
Métrique | API Console | Claude Enterprise |
Consommation de jetons | ✅ | ✅ |
Lignes de code acceptées | ✅ | ✅ |
Taux d'acceptation des suggestions | ✅ | ✅ |
Demandes de tirage créées avec l'assistance de Claude Code | ✅ Via l'API Claude Code Analytics | ✅ |
Lignes de code validées avec l'assistance de Claude Code | ✅ Via l'API Claude Code Analytics | ✅ |
Notifications de limite de dépenses | ✅ E-mails de notification à la limite avec destinataires configurables | ✅ Alertes de seuil |
Dépenses mensuelles par membre | ❌ | ✅ Paramètres d'administration → Utilisation |
Piste d'audit de conformité | ❌ | ✅ L'API de conformité inclut les événements du journal d'audit. Les transcriptions des sessions CLI locales restent sur la machine du développeur et ne sont pas disponibles via l'API de conformité. |
Tous les rapports sont accessibles à partir d'Analytics dans le panneau d'administration Claude. Pour un accès programmatique, l'API Claude Enterprise Analytics retourne les métriques d'engagement par utilisateur, l'activité Claude Code (commits, demandes de tirage, lignes de code) et les données d'utilisation et de coûts. Les analyses ne migrent pas : l'organisation Enterprise commence avec un historique de rapports vierge, et son API Analytics/Admin nécessite une nouvelle clé API créée dans l'organisation Enterprise — les clés Console ne sont pas transférées. Exportez les analyses Console dont vous avez besoin pour les tableaux de bord historiques avant la transition. Le trafic qui reste sur les clés API Console (par exemple CI) continue à n'apparaître que dans les rapports Console.
Documentation : Analyse d'utilisation de Claude Code
Paramètres de politique gérée — approfondissement
Il s'agit de la mise à niveau la plus importante pour les équipes de sécurité et informatique. Les paramètres gérés par le serveur permettent un contrôle centralisé et applicable de ce que Claude Code peut et ne peut pas faire sur la machine de chaque développeur. Il existe deux façons de les fournir, et vous n'avez pas besoin de MDM pour utiliser la première.
Fonctionnement
Claude Code lit la configuration à partir d'une hiérarchie de sources de paramètres. Le fichier managed-settings.json se trouve au sommet et ne peut pas être remplacé par les paramètres utilisateur ou projet :
Priorité | Source | Portée | Qui le contrôle |
1 (Plus élevée) | Paramètres gérés (gérés par le serveur ou gérés par le point de terminaison) | À l'échelle de l'entreprise | Propriétaire / Propriétaire principal (lorsqu'il est envoyé à partir de la console d'administration claude.ai) ou votre équipe informatique/MDM (lorsqu'il est déployé en tant que fichier). |
2 | Arguments de ligne de commande | Session | Développeur |
3 | .claude/settings.local.json | Projet (personnel) | Développeur |
4 | .claude/settings.json | Projet (partagé, dans Git) | Équipe |
5 (Plus basse) | ~/.claude/settings.json | Utilisateur (global) | Développeur |
Deux façons de fournir des paramètres gérés
Paramètres gérés par le serveur (aucun MDM requis) : Un propriétaire ou propriétaire principal définit les paramètres dans Paramètres de l'organisation → Claude Code → Paramètres gérés dans la console d'administration. Chaque client Claude Code connecté à l'organisation les récupère automatiquement au démarrage et interroge les mises à jour toutes les heures. C'est le bon choix pour les organisations sans infrastructure de gestion d'appareils ou avec des utilisateurs sur des appareils non gérés. En savoir plus sur les paramètres gérés par le serveur.
Paramètres gérés par le point de terminaison : L'informatique déploie les paramètres directement sur les appareils, soit via des stratégies de système d'exploitation natives (préférences gérées macOS ou registre Windows, via Jamf, Intune, Group Policy, etc.), soit en tant que fichier managed-settings.json envoyé aux chemins système ci-dessous. Protégez le fichier avec des autorisations au niveau du système d'exploitation afin que les utilisateurs finaux ne puissent pas le modifier. Sur les appareils inscrits, cela fournit des garanties plus fortes que la livraison gérée par le serveur car le système d'exploitation empêche la manipulation par l'utilisateur.
Remarque : Les deux canaux occupent le même niveau de priorité le plus élevé et utilisent le même format JSON, mais ils ne fusionnent pas. La première source qui fournit une configuration non vide gagne : les paramètres gérés par le serveur sont vérifiés en premier, et s'ils fournissent des clés, les paramètres gérés par le point de terminaison sont complètement ignorés. Exécutez /status pour voir quelle source gérée est active.
Emplacements des fichiers (gérés par le point de terminaison)
Système d'exploitation | Chemin |
macOS | /Library/Application Support/ClaudeCode/managed-settings.json |
Linux | /etc/claude-code/managed-settings.json |
Windows | C:\Program Files\ClaudeCode\managed-settings.json |
Référence des paramètres clés
Voici les paramètres les plus pertinents pour une migration Console vers Enterprise. Claude Code en supporte bien d'autres : pour la liste complète et actuelle, consultez Paramètres Claude Code.
Paramètre | Objectif | Exemple |
| Bloquer des outils/commandes spécifiques à l'échelle de l'organisation | Bash(curl:*), Read(.env) |
| Autoriser explicitement les commandes de confiance | Bash(npm run test:*) |
| Exiger l'approbation de l'utilisateur à chaque fois | Bash(rm:*) |
| Empêcher --dangerously-skip-permissions | "disable" |
| Restreindre la connexion à une ou plusieurs organisations Enterprise spécifiques. Accepte un UUID d'organisation ou un tableau ; la connexion à toute autre organisation est bloquée. Un UUID unique sélectionne également automatiquement cette organisation à la connexion. | "298e7cb2…" |
| Forcer la méthode de connexion (claudeai, console ou gateway). Recommandé avec | "claudeai" |
| Autoriser uniquement les serveurs MCP approuvés, identifiés par nom, commande ou modèle d'URL | [{"serverName": "github"}] |
| Mettre en liste noire des serveurs MCP spécifiques | [{"serverName": "filesystem"}] |
| Seules les règles de permissions des paramètres gérés s'appliquent ; les utilisateurs et les projets ne peuvent pas ajouter les leurs | true |
| Seule la liste d'autorisation MCP gérée s'applique ; les listes de refus fusionnent toujours à partir de toutes les sources | true |
| Seuls les hooks gérés et approuvés par l'administrateur s'exécutent | true |
| Étend la liste d'autorisation | true |
| Forcer le mode sandbox | true |
| Bloquer l'exécution non sandboxée | false |
| Période de rétention des données de session locales (transcriptions et autres fichiers d'application). Par défaut : 30 jours | 7 |
| Afficher les messages à tous les utilisateurs de Claude Code | Tableau de chaînes |
Déploiement : Utilisez votre outil MDM (Intune, Jamf, SCCM, Puppet, etc.) pour envoyer managed-settings.json à toutes les machines de développement. Protégez le fichier avec les autorisations au niveau du système d'exploitation afin que les utilisateurs finaux ne puissent pas le modifier.
Documentation : Paramètres Claude Code, Paramètres gérés, Portées d'installation MCP
