Ikhtisar
Panduan ini dirancang untuk tim yang bermigrasi dari akses Claude Code berbasis Console ke Claude Enterprise. Perhatikan bahwa pengguna individual tidak perlu bermigrasi riwayat sesi untuk sesi CLI karena disimpan secara lokal. Anda hanya perlu menyediakan akun Claude Enterprise untuk setiap pengguna, kemudian pengguna harus mengubah metode login mereka dari Console ke Claude Enterprise.
Claude Enterprise dibandingkan dengan Console
Kemampuan | Claude Console/API | Claude Enterprise |
Claude Code di web dan aplikasi mobile | ❌ | ✅ |
Claude Code di Slack | ❌ | ✅ |
Tinjauan Kode | ❌ | ✅ |
Terapkan alat mana yang dapat digunakan Claude Code | ❌ Tidak ada UI asli
*Pengaturan dapat didorong ke mesin pengembang melalui MDM (Jamf, Intune) atau manajemen konfigurasi (Ansible, Puppet, dll.) | ✅ UI asli untuk menetapkan aturan izin/tolak managed-settings.json |
Blokir perintah bash tertentu | ❌ Tidak ada UI asli* | ✅ Bash(curl:*), Bash(sudo:*), dll. |
Cegah akses ke file sensitif | ❌ Tidak ada UI asli* | ✅ Read(.env), Read(./secrets/**) |
Kontrol server MCP mana yang diizinkan | ❌ Tidak ada UI asli* | ✅ allowedMcpServers / deniedMcpServers |
Terapkan server MCP yang telah disetujui sebelumnya di seluruh organisasi | ❌ Tidak ada UI asli* | ✅ managed-mcp.json |
Paksa mode sandbox | ❌ Tidak ada UI asli* | ✅ sandbox.enabled |
Nonaktifkan --dangerously-skip-permissions | ❌ Tidak ada UI asli* | ✅ permissions.disableBypassPermissionsMode: disable |
Nonaktifkan mode otomatis | ❌ Tidak ada UI asli* | ✅ disableAutoMode: disable |
Peran kustom (RBAC) | ❌ | ✅ Cakupan akses fitur berdasarkan grup dan delegasikan area admin tertentu seperti penagihan, manajemen pengguna, dan identitas tanpa memberikan peran Pemilik. Kelola peran kustom pada paket Enterprise |
Tata kelola model | ❌ Tidak ada UI asli* | ✅ Tetapkan model organisasi default untuk obrolan dan Cowork (beta) dari konsol admin, dan batasi pemilihan model Claude Code dengan |
Log audit | ❌ Tidak ada dukungan log audit
🟡 Claude Code memiliki dukungan untuk OpenTelemetry | 🟡 Log audit dan API Kepatuhan, yang mencakup acara log audit. Transkrip sesi CLI lokal tetap berada di mesin pengembang dan tidak tersedia melalui API Kepatuhan. |
Analitik penggunaan | ✅ Baris kode yang ditulis, tingkat penerimaan, pengguna aktif harian, pengeluaran harian.
| ✅ Baris kode yang ditulis, tingkat penerimaan, pengguna aktif harian, dan pengeluaran bulan-ke-tanggal per anggota di Pengaturan Organisasi → Penggunaan.
|
Pelaporan penggunaan dan biaya terprogram | ✅ API Analitik Claude Enterprise mengembalikan metrik keterlibatan per pengguna dan Claude Code (komit, permintaan tarik, baris kode) ditambah titik akhir penggunaan dan biaya. API Admin mencakup manajemen organisasi terprogram. | |
Metrik kontribusi | ✅ Melalui API Analitik Claude Code | ✅ PR yang dibuat dan baris kode yang dikomit dengan bantuan Claude Code. |
Kontrol pengeluaran terperinci | ✅ Batas organisasi dan ruang kerja, ditambah batas per pengembang di ruang kerja Claude Code | ✅ Organisasi → Grup → Individu, terintegrasi dengan grup RBAC |
Dokumentasi: Peran dan izin, Membeli dan mengelola kursi pada paket Enterprise, Bagaimana saya ditagih untuk paket Enterprise saya?, Menggunakan Claude Code dengan paket Enterprise Anda
Penyediaan SCIM
Berikut yang perlu dilakukan tim identitas Anda:
Perbarui pemetaan grup IdP — Buat atau gunakan kembali grup IdP untuk memetakan pengguna ke organisasi Claude Enterprise. Aktifkan pemetaan grup untuk menetapkan kursi secara otomatis.
Pastikan kursi yang cukup dibeli — Sebelum memicu sinkronisasi SCIM, verifikasi organisasi Claude Enterprise memiliki kursi yang tersedia. Pengguna tanpa kursi yang tersedia akan ditetapkan status "Tidak Ditugaskan".
Konfirmasi akses Claude Code diaktifkan — Konfirmasi Claude Code diaktifkan untuk organisasi Enterprise di pengaturan admin, dan — jika Anda membatasi fitur dengan peran atau grup khusus — bahwa grup pengembang Anda diberi akses Claude Code.
Picu sinkronisasi — Navigasikan ke Pengaturan Organisasi → Organisasi dan akses, temukan Sinkronisasi Direktori (SCIM), dan klik "Sinkronisasi." Perhatikan bahwa ini mungkin lambat karena dapat memicu sinkronisasi besar.
Verifikasi penugasan kursi — Setelah sinkronisasi, periksa Pengaturan Organisasi → Organisasi dan akses untuk mengonfirmasi pengguna mendarat di jenis kursi yang benar.
Opsional: Sesuaikan pemetaan organisasi Konsol — Jika beberapa pengguna harus mempertahankan akses API Konsol, jaga grup mereka dipetakan ke organisasi Konsol. Pengguna dapat termasuk dalam kedua organisasi secara bersamaan.
Catatan: Perubahan SCIM Microsoft Entra disinkronkan setiap ~40 menit. Gunakan tombol "Sinkronisasi" untuk memicu permintaan sesuai kebutuhan setelah perubahan grup.
Jika SSO organisasi Enterprise Anda dikonfigurasi sebagai login-only, masuk tidak membuat akun — pengguna harus diundang secara manual. Aktifkan JIT atau penyediaan SCIM sebelum mengarahkan pengembang untuk masuk. Lihat Siapkan penyediaan JIT atau SCIM.
Batas pengeluaran
Paket Claude Enterprise menawarkan sistem kontrol pengeluaran hierarki. Batas berjenjang—pengguna tidak pernah dapat melampaui batas organisasi.
Tingkat | Cakupan | Siapa yang menetapkannya | Apa yang dikendalikannya |
1. Organisasi | Seluruh organisasi Enterprise | Pemilik Utama / Pemilik | Pengeluaran bulanan maksimum di semua kursi dan penggunaan |
2. Kontrol grup | Grup dengan RBAC | Pemilik Utama / Pemilik | Batas pengeluaran untuk grup menggunakan RBAC |
3. Individu | Pengguna tertentu | Pemilik Utama / Pemilik | Batas pengeluaran untuk anggota tim tunggal |
Cara menetapkan dan mengedit batas pengeluaran
Masuk sebagai Pemilik atau Pemilik Utama.
Navigasikan ke Pengaturan Organisasi → Penggunaan.
Tetapkan batas tingkat Organisasi — ini adalah batas global untuk semua pengeluaran bulanan.
Tetapkan batas tingkat Grup — di bawah tab "Menurut grup". Lihat Kelola grup dan batas pengeluaran grup pada paket Enterprise.
Tetapkan batas tingkat individual — temukan pengguna tertentu di bagian Spending defaults di bawah tab "By member".
Pemilik dapat menetapkan batas ke "unlimited," tetapi semua konsumsi tetap ditagih. Jika pengguna di kursi konsumsi mencapai batasnya, mereka tidak dapat menggunakan Claude atau Claude Code hingga periode penagihan berikutnya atau hingga admin meningkatkan batasnya.
Penerbitan kursi baru dan re-autentikasi
Menambahkan kursi
Masuk sebagai Primary Owner atau Owner.
Klik ikon pensil di bawah Seats.
Masukkan jumlah kursi baru.
Tinjau dan klik "Upgrade" untuk mengonfirmasi. Kursi baru diperhitungkan secara proporsional.
Menetapkan pengguna ke kursi
Klik "Add member" (atau "Bulk add" untuk beberapa).
Masukkan alamat email @ pengguna.
Tetapkan peran (User, Admin, Owner) dan kirim undangan.
Untuk pengguna yang disediakan SCIM, penugasan kursi terjadi secara otomatis berdasarkan pemetaan grup. Pengguna default ke tingkat kursi tertinggi yang tersedia jika tidak ada pemetaan grup yang dikonfigurasi.
Re-autentikasi untuk pengguna Claude Code
Pengembang yang saat ini diautentikasi terhadap organisasi Console perlu re-autentikasi terhadap organisasi Claude Enterprise:
Hapus kredensial Console yang tersisa sebelum masuk. Periksa variabel lingkungan
ANTHROPIC_API_KEYatauANTHROPIC_AUTH_TOKENdi profil shell, dotfiles, dan konfigurasi CI, dan hapus pengaturanapiKeyHelperapa pun. Juga periksaCLAUDE_CODE_OAUTH_TOKEN,ANTHROPIC_BASE_URL, dan flagCLAUDE_CODE_USE_BEDROCK / _VERTEX / _FOUNDRY— ini juga mengganti atau melewati/login. Kredensial juga dapat bersembunyi di blok env file pengaturan Claude Code sendiri (~/.claude/settings.json, dan file .claude/settings*.json di repo). Jika ini tetap ada, mereka secara diam-diam mengambil alih login baru:/loginakan tampak berhasil, tetapi penggunaan terus menagih ke organisasi Console lama.Di terminal, jalankan
claudedan kemudian jalankan/loginuntuk beralih metode autentikasi.Pilih "Claude account with subscription" sebagai metode login.
Pilih organisasi Claude Enterprise (bukan organisasi Console atau akun pribadi).
Otorisasi, kembali ke terminal, dan jalankan
/statusuntuk mengonfirmasi Claude Code menampilkan organisasi Enterprise Anda.
CI dan otomasi
Pipeline dan skrip tidak menggunakan /login. Baik pertahankan organisasi Console (dan kunci API-nya) untuk otomasi dan migrasikan hanya kursi pengembang interaktif, atau alihkan CI ke kredensial Enterprise: jalankan claude setup-token saat masuk ke organisasi Enterprise dan tetapkan token yang dicetak sebagai CLAUDE_CODE_OAUTH_TOKEN di lingkungan CI Anda. Jangan hapus kredensial CI sampai salah satu dari ini ada.
Tip untuk IT: Terapkan pengaturan terkelola dengan forceLoginOrgUUID diatur ke UUID organisasi Enterprise Anda sebagai bagian standar dari setiap migrasi. Berikan pin sebagai file yang dikelola endpoint atau kebijakan MDM — pengaturan yang dikelola server hanya tiba setelah pengguna masuk, jadi mereka tidak dapat menangkap login pertama yang salah. Jika Anda juga menggunakan pengaturan yang dikelola server, atur forceLoginOrgUUID di sana juga: dua saluran tidak bergabung. Ini memblokir login ke organisasi lain mana pun, dan mengubah mode kegagalan kredensial sisa di atas dari penagihan diam-diam menjadi yang keras: Claude Code menolak untuk memulai dan memberi tahu pengguna bahwa kredensial sisa (ANTHROPIC_API_KEY, ANTHROPIC_AUTH_TOKEN, atau apiKeyHelper) harus dihapus.
Setelah memvalidasi migrasi
Hapus pengembang yang dimigrasikan dari organisasi Console (atau putar kunci mereka). Penghapusan mencabut token login Console mereka dan menonaktifkan kunci ruang kerja Claude Code mereka, menghentikan penagihan Console lebih lanjut dari penggunaan interaktif. Kunci API yang mereka buat di ruang kerja Console lain tidak dinonaktifkan oleh penghapusan — tinjau dan nonaktifkan secara terpisah. Jangan hapus anggota sampai Anda telah mengonfirmasi akses Enterprise berfungsi; tidak ada rollback otomatis.
Peningkatan dalam pelaporan
Pindah dari Console API ke Claude Enterprise membuka analitik yang lebih kaya untuk penggunaan Claude Code:
Metrik | Console API | Claude Enterprise |
Konsumsi token | ✅ | ✅ |
Baris kode yang diterima | ✅ | ✅ |
Tingkat penerimaan saran | ✅ | ✅ |
PR dibuat dengan bantuan Claude Code | ✅ Melalui Claude Code Analytics API | ✅ |
Baris kode yang dikomit dengan bantuan Claude Code | ✅ Melalui Claude Code Analytics API | ✅ |
Notifikasi batas pengeluaran | ✅ Email notifikasi batas dengan penerima yang dapat dikonfigurasi | ✅ Peringatan ambang batas |
Pengeluaran bulan hingga saat ini per anggota | ❌ | ✅ Pengaturan Admin → Penggunaan |
Jejak audit kepatuhan | ❌ | ✅ API Kepatuhan mencakup acara log audit. Transkrip sesi CLI lokal tetap berada di mesin pengembang dan tidak tersedia melalui API Kepatuhan. |
Semua pelaporan dapat diakses dari Analytics di panel admin Claude. Untuk akses terprogram, Claude Enterprise Analytics API mengembalikan metrik keterlibatan per pengguna, aktivitas Claude Code (komit, permintaan tarik, baris kode), dan data penggunaan serta biaya. Analytics tidak bermigrasi: organisasi Enterprise dimulai dengan riwayat pelaporan segar, dan Analytics/Admin API-nya memerlukan kunci API baru yang dibuat di organisasi Enterprise — kunci Console tidak terbawa. Ekspor analytics Console apa pun yang Anda butuhkan untuk dasbor historis sebelum cutover. Lalu lintas yang tetap di kunci Console API (misalnya CI) terus muncul hanya dalam pelaporan Console.
Pengaturan kebijakan terkelola — pendalaman
Ini adalah peningkatan paling signifikan untuk tim keamanan dan IT. Pengaturan yang dikelola server memungkinkan kontrol terpusat dan dapat ditegakkan atas apa yang dapat dan tidak dapat dilakukan Claude Code di setiap mesin pengembang. Ada dua cara untuk menyampaikannya, dan Anda tidak perlu MDM untuk menggunakan yang pertama.
Cara kerjanya
Claude Code membaca konfigurasi dari hierarki sumber pengaturan. File managed-settings.json berada di puncak dan tidak dapat ditimpa oleh pengaturan pengguna atau proyek:
Prioritas | Sumber | Cakupan | Siapa yang mengendalikannya |
1 (Tertinggi) | Pengaturan terkelola (dikelola server atau dikelola endpoint) | Di seluruh Enterprise | Pemilik / Pemilik Utama (saat didorong dari konsol admin claude.ai) atau tim IT/MDM Anda (saat digunakan sebagai file). |
2 | Argumen baris perintah | Sesi | Pengembang |
3 | .claude/settings.local.json | Proyek (pribadi) | Pengembang |
4 | .claude/settings.json | Proyek (bersama, di Git) | Tim |
5 (Terendah) | ~/.claude/settings.json | Pengguna (global) | Pengembang |
Dua cara untuk menyampaikan pengaturan terkelola
Pengaturan yang dikelola server (tidak diperlukan MDM): Pemilik atau Pemilik Utama menentukan pengaturan di Pengaturan Organisasi → Claude Code → Pengaturan terkelola di konsol admin. Setiap klien Claude Code yang masuk ke organisasi mengambilnya secara otomatis saat startup dan melakukan polling setiap jam untuk pembaruan. Ini adalah pilihan yang tepat untuk organisasi tanpa infrastruktur manajemen perangkat atau dengan pengguna di perangkat yang tidak dikelola. Pelajari lebih lanjut tentang pengaturan yang dikelola server.
Pengaturan yang dikelola endpoint: IT menerapkan pengaturan langsung ke perangkat, baik melalui kebijakan OS asli (preferensi terkelola macOS atau registri Windows, melalui Jamf, Intune, Group Policy, dll.) atau sebagai file managed-settings.json yang didorong ke jalur sistem di bawah. Lindungi file dengan izin tingkat OS sehingga pengguna akhir tidak dapat memodifikasinya. Pada perangkat yang terdaftar, ini memberikan jaminan yang lebih kuat daripada pengiriman yang dikelola server karena OS mencegah gangguan pengguna.
Catatan: Kedua saluran menempati tingkat prioritas tertinggi yang sama dan menggunakan format JSON yang sama, tetapi mereka tidak bergabung. Sumber pertama yang memberikan konfigurasi non-kosong menang: pengaturan yang dikelola server diperiksa terlebih dahulu, dan jika mereka memberikan kunci apa pun, pengaturan yang dikelola endpoint sepenuhnya diabaikan. Jalankan /status untuk melihat sumber terkelola mana yang aktif.
Lokasi file (dikelola endpoint)
OS | Jalur |
macOS | /Library/Application Support/ClaudeCode/managed-settings.json |
Linux | /etc/claude-code/managed-settings.json |
Windows | C:\Program Files\ClaudeCode\managed-settings.json |
Referensi pengaturan kunci
Ini adalah pengaturan yang paling relevan untuk migrasi Console-to-Enterprise. Claude Code mendukung banyak lagi: untuk daftar lengkap dan terkini, lihat pengaturan Claude Code.
Pengaturan | Tujuan | Contoh |
| Blokir alat/perintah tertentu di seluruh organisasi | Bash(curl:*), Read(.env) |
| Izinkan secara eksplisit perintah yang dipercaya | Bash(npm run test:*) |
| Memerlukan persetujuan pengguna setiap kali | Bash(rm:*) |
| Cegah --dangerously-skip-permissions | "disable" |
| Batasi login ke organisasi Enterprise tertentu. Menerima satu UUID organisasi atau larik; login ke organisasi lain diblokir. UUID tunggal juga memilih organisasi tersebut secara otomatis saat login. | "298e7cb2…" |
| Paksa metode login (claudeai, console, atau gateway). Direkomendasikan bersama | "claudeai" |
| Izinkan hanya server MCP yang disetujui, cocok dengan nama, perintah, atau pola URL | [{"serverName": "github"}] |
| Daftar hitam server MCP tertentu | [{"serverName": "filesystem"}] |
| Hanya aturan izin dari pengaturan terkelola yang berlaku; pengguna dan proyek tidak dapat menambahkan milik mereka sendiri | true |
| Hanya daftar izin MCP terkelola yang berlaku; daftar penolakan masih digabungkan dari semua sumber | true |
| Hanya hook yang dikelola dan disetujui admin yang berjalan | true |
| Memperluas daftar izin | true |
| Paksa mode sandbox | true |
| Blokir eksekusi tanpa sandbox | false |
| Periode retensi untuk data sesi lokal (transkrip dan file aplikasi lainnya). Default: 30 hari | 7 |
| Tampilkan pesan kepada semua pengguna Claude Code | Array string |
Deployment: Gunakan alat MDM Anda (Intune, Jamf, SCCM, Puppet, dll.) untuk mendorong managed-settings.json ke semua mesin pengembang. Lindungi file dengan izin tingkat OS sehingga pengguna akhir tidak dapat memodifikasinya.
