Passer au contenu principal

Migration de Claude Code de Console à Enterprise

Claude Console (API) → Claude Enterprise

Aperçu

Ce guide est conçu pour les équipes migrant de l'accès à Claude Code basé sur Console vers Claude Enterprise. Notez que les utilisateurs individuels n'ont pas besoin de migrer l'historique des sessions pour les sessions CLI, car celles-ci sont stockées localement. Vous devez uniquement provisionner des comptes Claude Enterprise pour chaque utilisateur, puis les utilisateurs doivent changer leur méthode de connexion de Console à Claude Enterprise.


Claude Enterprise comparé à Console

Capacité

Claude Console/API

Claude Enterprise

Claude Code sur l'application web et mobile

Claude Code sur Slack

Révision de code

Appliquer les outils que Claude Code peut utiliser

❌ Pas d'interface native

*Les paramètres peuvent être poussés vers les machines des développeurs via MDM (Jamf, Intune) ou gestion de configuration (Ansible, Puppet, etc.)

✅ Interface native pour définir les règles d'autorisation/refus de managed-settings.json

Bloquer des commandes bash spécifiques

❌ Pas d'interface native*

✅ Bash(curl:*), Bash(sudo:*), etc.

Empêcher l'accès aux fichiers sensibles

❌ Pas d'interface native*

✅ Read(.env), Read(./secrets/**)

Contrôler les serveurs MCP autorisés

❌ Pas d'interface native*

✅ allowedMcpServers / deniedMcpServers

Déployer des serveurs MCP pré-approuvés à l'échelle de l'organisation

❌ Pas d'interface native*

✅ managed-mcp.json

Forcer le mode sandbox

❌ Pas d'interface native*

✅ sandbox.enabled

Désactiver --dangerously-skip-permissions

❌ Pas d'interface native*

✅ permissions.disableBypassPermissionsMode: disable

Désactiver le mode automatique

❌ Pas d'interface native*

✅ disableAutoMode: disable

Rôles personnalisés (RBAC)

✅ Limitez l'accès aux fonctionnalités par groupe et déléguez des domaines d'administration spécifiques comme la facturation, la gestion des utilisateurs et l'identité sans accorder le rôle Propriétaire. Gérer les rôles personnalisés sur les plans Enterprise

Gouvernance des modèles

❌ Pas d'interface native*

✅ Définissez un modèle par défaut de l'organisation pour le chat et Cowork (bêta) à partir de la console d'administration, et limitez la sélection du modèle Claude Code avec availableModels dans les paramètres gérés. Définir un modèle par défaut pour votre organisation

Journaux d'audit

❌ Aucune prise en charge des journaux d'audit

🟡 Claude Code dispose bien d'une prise en charge pour OpenTelemetry

🟡 Journaux d'audit et API de conformité, qui incluent les événements du journal d'audit. Les transcriptions des sessions CLI locales restent sur la machine du développeur et ne sont pas disponibles via l'API de conformité.

Analyse d'utilisation

✅ Lignes de code écrites, taux d'acceptation, utilisateurs actifs quotidiens, dépenses quotidiennes.

✅ Lignes de code écrites, taux d'acceptation, utilisateurs actifs quotidiens et dépenses cumulées du mois par membre dans Paramètres de l'organisationUtilisation.

Rapports d'utilisation et de coûts programmatiques

✅ L'API d'analyse Claude Enterprise retourne les métriques d'engagement par utilisateur et Claude Code (commits, demandes de tirage, lignes de code) ainsi que les points de terminaison d'utilisation et de coûts. L'API Admin couvre la gestion programmatique de l'organisation.

Métriques de contribution

✅ Via l'API d'analyse Claude Code

✅ Demandes de tirage créées et lignes de code validées avec l'assistance Claude Code.

Contrôles de dépenses granulaires

✅ Limites d'organisation et d'espace de travail, plus limites par développeur dans les espaces de travail Claude Code

✅ Organisation → Groupe → Individu, intégré aux groupes RBAC


Provisionnement SCIM

Voici ce que votre équipe d'identité doit faire :

  1. Mettre à jour les mappages de groupes IdP — Créez ou réutilisez des groupes IdP pour mapper les utilisateurs à l'organisation Claude Enterprise. Activez les mappages de groupes pour attribuer automatiquement les sièges.

  2. Assurez-vous que suffisamment de sièges sont achetés — Avant de déclencher une synchronisation SCIM, vérifiez que l'organisation Claude Enterprise dispose de suffisamment de sièges disponibles. Les utilisateurs sans sièges disponibles seront définis sur le statut « Non assigné ».

  3. Confirmez que l'accès à Claude Code est activé — Confirmez que Claude Code est activé pour l'organisation Enterprise dans les paramètres d'administration, et — si vous limitez les fonctionnalités avec des rôles ou des groupes personnalisés — que vos groupes de développeurs ont accès à Claude Code.

  4. Déclenchez une synchronisation — Accédez à Paramètres de l'organisation → Organisation et accès, trouvez Synchronisation d'annuaire (SCIM) et cliquez sur « Synchroniser ». Notez que cela peut être lent car cela peut déclencher une grande synchronisation.

  5. Vérifiez les attributions de sièges — Après la synchronisation, vérifiez Paramètres de l'organisation → Organisation et accès pour confirmer que les utilisateurs ont été attribués au type de siège correct.

  6. Facultatif : Ajustez les mappages de l'organisation Console — Si certains utilisateurs doivent conserver l'accès à l'API Console, gardez leur groupe mappé à l'organisation Console. Les utilisateurs peuvent appartenir aux deux organisations simultanément.

Remarque : Les modifications SCIM de Microsoft Entra se synchronisent tous les ~40 minutes. Utilisez le bouton « Synchroniser » pour déclencher une synchronisation à la demande après les modifications de groupe.

Si l'authentification unique de votre organisation Enterprise est configurée en tant que connexion uniquement, la connexion ne crée pas de comptes — les utilisateurs doivent être invités manuellement. Activez JIT ou le provisionnement SCIM avant de diriger les développeurs vers la connexion. Voir Configurer JIT ou le provisionnement SCIM.


Limites de dépenses

Les plans Claude Enterprise offrent un système de contrôle des dépenses hiérarchique. Les limites en cascade — un utilisateur ne peut jamais dépasser les limites de l'organisation.

Niveau

Portée

Qui le définit

Ce qu'il contrôle

1. Organisation

Ensemble de l'organisation Enterprise

Propriétaire principal / Propriétaire

Dépenses mensuelles maximales sur tous les sièges et l'utilisation

2. Contrôles de groupe

Groupes avec RBAC

Propriétaire principal / Propriétaire

Limite de dépenses pour un groupe utilisant RBAC

3. Individu

Utilisateur spécifique

Propriétaire principal / Propriétaire

Limite de dépenses pour un seul membre de l'équipe

Comment définir et modifier les limites de dépenses

  1. Connectez-vous en tant que propriétaire ou propriétaire principal.

  2. Définissez la limite au niveau de l'organisation — c'est le plafond global pour toutes les dépenses mensuelles.

  3. Définissez les limites au niveau du groupe — sous l'onglet « Par groupe ». Voir Gérer les groupes et les limites de dépenses des groupes sur les plans Enterprise.

  4. Définir les limites de niveau individuel — trouvez des utilisateurs spécifiques dans la section Paramètres de dépenses sous l'onglet « Par membre ».

Les propriétaires peuvent définir les limites sur « illimité », mais toute consommation est toujours facturée. Si un utilisateur sur un siège de consommation atteint sa limite, il ne peut pas utiliser Claude ou Claude Code jusqu'à la prochaine période de facturation ou jusqu'à ce qu'un administrateur augmente sa limite.


Émission de nouveaux sièges et réauthentification

Ajout de sièges

  1. Connectez-vous en tant que propriétaire principal ou propriétaire.

  2. Cliquez sur l'icône de crayon sous Sièges.

  3. Entrez les nouveaux nombres de sièges.

  4. Vérifiez et cliquez sur « Mettre à niveau » pour confirmer. Les nouveaux sièges sont au prorata.

Attribution d'utilisateurs aux sièges

  1. Cliquez sur « Ajouter un membre » (ou « Ajouter en masse » pour plusieurs).

  2. Entrez l'adresse e-mail @ de l'utilisateur.

  3. Définissez le rôle (Utilisateur, Administrateur, Propriétaire) et envoyez l'invitation.

Pour les utilisateurs provisionnés par SCIM, l'attribution de siège se fait automatiquement en fonction des mappages de groupes. Les utilisateurs sont définis par défaut sur le niveau de siège le plus élevé disponible si aucun mappage de groupe n'est configuré.

Réauthentification pour les utilisateurs de Claude Code

Les développeurs actuellement authentifiés auprès de l'organisation Console devront se réauthentifier auprès de l'organisation Claude Enterprise :

  1. Supprimez les identifiants Console restants avant de vous connecter. Vérifiez la présence de variables d'environnement ANTHROPIC_API_KEY ou ANTHROPIC_AUTH_TOKEN dans les profils shell, les dotfiles et les configurations CI, et supprimez tout paramètre apiKeyHelper. Vérifiez également la présence de CLAUDE_CODE_OAUTH_TOKEN, ANTHROPIC_BASE_URL et des drapeaux CLAUDE_CODE_USE_BEDROCK / _VERTEX / _FOUNDRY — ceux-ci remplacent ou contournent également /login. Les identifiants peuvent également se cacher dans le bloc env des propres fichiers de paramètres de Claude Code (~/.claude/settings.json et les fichiers .claude/settings*.json dans les dépôts). S'ils restent, ils prennent silencieusement la priorité sur la nouvelle connexion : /login semblera réussir, mais l'utilisation continue à être facturée à l'ancienne organisation Console.

  2. Dans le terminal, exécutez claude puis exécutez /login pour changer la méthode d'authentification.

  3. Sélectionnez « Compte Claude avec abonnement » comme méthode de connexion.

  4. Choisissez l'organisation Claude Enterprise (pas l'organisation Console ou un compte personnel).

  5. Autorisez, revenez au terminal et exécutez /status pour confirmer que Claude Code affiche votre organisation Enterprise.

CI et automatisation

Les pipelines et les scripts n'utilisent pas /login. Soit conservez une organisation Console (et ses clés API) pour l'automatisation et migrez uniquement les sièges de développeur interactifs, soit basculez CI vers une accréditation Enterprise : exécutez claude setup-token tout en étant connecté à l'organisation Enterprise et définissez le jeton imprimé comme CLAUDE_CODE_OAUTH_TOKEN dans votre environnement CI. Ne supprimez pas les identifiants CI tant que l'un d'eux n'est pas en place.

Conseil pour l'informatique : Déployez les paramètres gérés avec forceLoginOrgUUID défini sur l'UUID de votre organisation Enterprise comme élément standard de chaque migration. Livrez le code PIN en tant que fichier géré par point de terminaison ou politique MDM — les paramètres gérés par serveur n'arrivent qu'après la connexion d'un utilisateur, ils ne peuvent donc pas intercepter une première connexion incorrecte. Si vous utilisez également des paramètres gérés par serveur, définissez forceLoginOrgUUID là aussi : les deux canaux ne fusionnent pas. Cela bloque la connexion à toute autre organisation et transforme le mode de défaillance des identifiants restants ci-dessus d'une facturation silencieuse à une facturation bruyante : Claude Code refuse de démarrer et indique à l'utilisateur qu'un identifiant restant (ANTHROPIC_API_KEY, ANTHROPIC_AUTH_TOKEN ou apiKeyHelper) doit être supprimé.

Après validation de la migration

Supprimez les développeurs migrés de l'organisation Console (ou faites pivoter leurs clés). La suppression révoque leurs jetons de connexion Console et désactive leur clé d'espace de travail Claude Code, arrêtant la facturation Console supplémentaire due à l'utilisation interactive. Les clés API qu'ils ont créées dans d'autres espaces de travail Console ne sont pas désactivées par la suppression — examinez et désactivez-les séparément. Ne supprimez pas les membres tant que vous n'avez pas confirmé que l'accès Enterprise fonctionne ; il n'y a pas de restauration automatisée.


Améliorations dans les rapports

Le passage de l'API Console à Claude Enterprise déverrouille des analyses plus riches pour l'utilisation de Claude Code :

Métrique

API Console

Claude Enterprise

Consommation de jetons

Lignes de code acceptées

Taux d'acceptation des suggestions

Demandes de tirage créées avec l'assistance de Claude Code

✅ Via l'API Claude Code Analytics

Lignes de code validées avec l'assistance de Claude Code

✅ Via l'API Claude Code Analytics

Notifications de limite de dépenses

✅ E-mails de notification à la limite avec destinataires configurables

Alertes de seuil

Dépenses mensuelles par membre

Paramètres d'administration → Utilisation

Piste d'audit de conformité

✅ L'API de conformité inclut les événements du journal d'audit. Les transcriptions des sessions CLI locales restent sur la machine du développeur et ne sont pas disponibles via l'API de conformité.

Tous les rapports sont accessibles à partir d'Analytics dans le panneau d'administration Claude. Pour un accès programmatique, l'API Claude Enterprise Analytics retourne les métriques d'engagement par utilisateur, l'activité Claude Code (commits, demandes de tirage, lignes de code) et les données d'utilisation et de coûts. Les analyses ne migrent pas : l'organisation Enterprise commence avec un historique de rapports vierge, et son API Analytics/Admin nécessite une nouvelle clé API créée dans l'organisation Enterprise — les clés Console ne sont pas transférées. Exportez les analyses Console dont vous avez besoin pour les tableaux de bord historiques avant la transition. Le trafic qui reste sur les clés API Console (par exemple CI) continue à n'apparaître que dans les rapports Console.


Paramètres de politique gérée — approfondissement

Il s'agit de la mise à niveau la plus importante pour les équipes de sécurité et informatique. Les paramètres gérés par le serveur permettent un contrôle centralisé et applicable de ce que Claude Code peut et ne peut pas faire sur la machine de chaque développeur. Il existe deux façons de les fournir, et vous n'avez pas besoin de MDM pour utiliser la première.

Fonctionnement

Claude Code lit la configuration à partir d'une hiérarchie de sources de paramètres. Le fichier managed-settings.json se trouve au sommet et ne peut pas être remplacé par les paramètres utilisateur ou projet :

Priorité

Source

Portée

Qui le contrôle

1 (Plus élevée)

Paramètres gérés (gérés par le serveur ou gérés par le point de terminaison)

À l'échelle de l'entreprise

Propriétaire / Propriétaire principal (lorsqu'il est envoyé à partir de la console d'administration claude.ai) ou votre équipe informatique/MDM (lorsqu'il est déployé en tant que fichier).

2

Arguments de ligne de commande

Session

Développeur

3

.claude/settings.local.json

Projet (personnel)

Développeur

4

.claude/settings.json

Projet (partagé, dans Git)

Équipe

5 (Plus basse)

~/.claude/settings.json

Utilisateur (global)

Développeur

Deux façons de fournir des paramètres gérés

Paramètres gérés par le serveur (aucun MDM requis) : Un propriétaire ou propriétaire principal définit les paramètres dans Paramètres de l'organisation Claude Code Paramètres gérés dans la console d'administration. Chaque client Claude Code connecté à l'organisation les récupère automatiquement au démarrage et interroge les mises à jour toutes les heures. C'est le bon choix pour les organisations sans infrastructure de gestion d'appareils ou avec des utilisateurs sur des appareils non gérés. En savoir plus sur les paramètres gérés par le serveur.

Paramètres gérés par le point de terminaison : L'informatique déploie les paramètres directement sur les appareils, soit via des stratégies de système d'exploitation natives (préférences gérées macOS ou registre Windows, via Jamf, Intune, Group Policy, etc.), soit en tant que fichier managed-settings.json envoyé aux chemins système ci-dessous. Protégez le fichier avec des autorisations au niveau du système d'exploitation afin que les utilisateurs finaux ne puissent pas le modifier. Sur les appareils inscrits, cela fournit des garanties plus fortes que la livraison gérée par le serveur car le système d'exploitation empêche la manipulation par l'utilisateur.

Remarque : Les deux canaux occupent le même niveau de priorité le plus élevé et utilisent le même format JSON, mais ils ne fusionnent pas. La première source qui fournit une configuration non vide gagne : les paramètres gérés par le serveur sont vérifiés en premier, et s'ils fournissent des clés, les paramètres gérés par le point de terminaison sont complètement ignorés. Exécutez /status pour voir quelle source gérée est active.

Emplacements des fichiers (gérés par le point de terminaison)

Système d'exploitation

Chemin

macOS

/Library/Application Support/ClaudeCode/managed-settings.json

Linux

/etc/claude-code/managed-settings.json

Windows

C:\Program Files\ClaudeCode\managed-settings.json

Référence des paramètres clés

Voici les paramètres les plus pertinents pour une migration Console vers Enterprise. Claude Code en supporte bien d'autres : pour la liste complète et actuelle, consultez Paramètres Claude Code.

Paramètre

Objectif

Exemple

permissions.deny

Bloquer des outils/commandes spécifiques à l'échelle de l'organisation

Bash(curl:*), Read(.env)

permissions.allow

Autoriser explicitement les commandes de confiance

Bash(npm run test:*)

permissions.ask

Exiger l'approbation de l'utilisateur à chaque fois

Bash(rm:*)

permissions.disableBypassPermissionsMode

Empêcher --dangerously-skip-permissions

"disable"

forceLoginOrgUUID

Restreindre la connexion à une ou plusieurs organisations Enterprise spécifiques. Accepte un UUID d'organisation ou un tableau ; la connexion à toute autre organisation est bloquée. Un UUID unique sélectionne également automatiquement cette organisation à la connexion.

"298e7cb2…"

forceLoginMethod

Forcer la méthode de connexion (claudeai, console ou gateway). Recommandé avec forceLoginOrgUUID pour que les utilisateurs ignorent le sélecteur de type de compte, mais non obligatoire pour que la restriction d'organisation s'applique.

"claudeai"

allowedMcpServers

Autoriser uniquement les serveurs MCP approuvés, identifiés par nom, commande ou modèle d'URL

[{"serverName": "github"}]

deniedMcpServers

Mettre en liste noire des serveurs MCP spécifiques

[{"serverName": "filesystem"}]

allowManagedPermissionRulesOnly

Seules les règles de permissions des paramètres gérés s'appliquent ; les utilisateurs et les projets ne peuvent pas ajouter les leurs

true

allowManagedMcpServersOnly

Seule la liste d'autorisation MCP gérée s'applique ; les listes de refus fusionnent toujours à partir de toutes les sources

true

allowManagedHooksOnly

Seuls les hooks gérés et approuvés par l'administrateur s'exécutent

true

enforceAvailableModels

Étend la liste d'autorisation availableModels à l'option Modèle par défaut

true

sandbox.enabled

Forcer le mode sandbox

true

sandbox.allowUnsandboxedCommands

Bloquer l'exécution non sandboxée

false

cleanupPeriodDays

Période de rétention des données de session locales (transcriptions et autres fichiers d'application). Par défaut : 30 jours

7

companyAnnouncements

Afficher les messages à tous les utilisateurs de Claude Code

Tableau de chaînes

Déploiement : Utilisez votre outil MDM (Intune, Jamf, SCCM, Puppet, etc.) pour envoyer managed-settings.json à toutes les machines de développement. Protégez le fichier avec les autorisations au niveau du système d'exploitation afin que les utilisateurs finaux ne puissent pas le modifier.

Avez-vous trouvé la réponse à votre question ?