I ruoli personalizzati sono disponibili per le organizzazioni con piano Enterprise. I proprietari, i proprietari principali e i ruoli personalizzati con il set di autorizzazioni Identity & Access impostato su Gestisci possono gestire i ruoli personalizzati in Impostazioni organizzazione > Ruoli.
Cosa sono i ruoli personalizzati?
I ruoli personalizzati ti permettono di definire quali funzionalità i tuoi membri possono utilizzare. Ogni ruolo personalizzato contiene un set di autorizzazioni che concedono o limitano l'accesso a funzionalità specifiche come chat, Claude Cowork, Claude Code e ricerca web, più i connettori che la tua organizzazione ha aggiunto, come Slack o Google Drive. I ruoli personalizzati possono anche concedere autorizzazioni di amministrazione, che danno ai membri accesso a aree amministrative specifiche come fatturazione, identità o privacy senza renderli proprietari.
I ruoli personalizzati funzionano insieme ai gruppi. Il flusso di lavoro tipico è: creare ruoli personalizzati, assegnarli ai gruppi e quindi impostare i ruoli dei membri su "Ruoli personalizzati" in modo che il loro accesso sia interamente governato dai ruoli personalizzati assegnati ai loro gruppi.
Nota: I ruoli personalizzati influiscono solo sui membri il cui ruolo è impostato su "Ruoli personalizzati". I membri con i ruoli Utente, Amministratore o Proprietario ottengono le loro autorizzazioni da questi ruoli direttamente, non dai ruoli personalizzati.
Come funziona l'accesso alle funzionalità
L'accesso alle funzionalità è determinato da una catena di precedenza a quattro livelli, dove il livello più restrittivo vince:
Override a livello di piattaforma: Alcune funzionalità potrebbero essere forzatamente abilitate o disabilitate per la tua organizzazione da Anthropic come parte del tuo contratto. Questi non possono essere modificati nelle impostazioni dell'organizzazione.
Impostazione a livello di organizzazione: Un proprietario o un proprietario principale può attivare o disattivare una funzionalità per l'intera organizzazione. Se una funzionalità è disabilitata a livello di organizzazione, nessun ruolo personalizzato può concedere l'accesso ad essa.
Autorizzazioni ruolo personalizzato: Se la funzionalità è abilitata a livello di organizzazione, i ruoli personalizzati del membro determinano se possono accedervi. Se uno qualsiasi dei ruoli personalizzati del membro concede la funzionalità, la hanno.
Impostazione a livello di utente: Se la funzionalità è concessa a livello di ruolo, è disponibile a meno che il membro non l'abbia disabilitata nelle proprie impostazioni.
Il concetto chiave: l'interruttore a livello di organizzazione è un interruttore principale. I ruoli personalizzati sono gli interruttori per membro sottostanti. Una funzionalità deve essere abilitata a livello di organizzazione prima che i ruoli personalizzati possano controllare chi ottiene l'accesso.
Nota: Questa catena di precedenza si applica alle funzionalità. Le autorizzazioni di amministrazione non sono controllate da un interruttore a livello di organizzazione o dalle impostazioni personali di un membro. Se il ruolo personalizzato di un membro concede un'autorizzazione di amministrazione, ha quell'accesso.
Funzionalità disponibili
Ogni ruolo personalizzato può concedere o limitare l'accesso alle seguenti funzionalità:
Funzionalità | Descrizione |
Chat | Accesso alla chat su app web, desktop e mobile. |
Esecuzione del codice e creazione di file | Capacità di eseguire codice e creare file nelle conversazioni. |
Memoria | Capacità di utilizzare la memoria tra le conversazioni. |
Ricerca web | Capacità di utilizzare la ricerca web nelle conversazioni. |
Progetti pubblici | Capacità di condividere progetti con tutti nella tua organizzazione. |
Creare competenze | Capacità di creare o caricare competenze personalizzate. |
Condividere competenze con i membri del team | Capacità di condividere competenze con persone specifiche nella tua organizzazione. |
Condividere competenze con l'intera organizzazione | Capacità di condividere competenze con tutti nella tua organizzazione contemporaneamente. |
Claude Code | Accesso a Claude Code. |
Modalità veloce | Accesso a opzioni di modello più veloci per Claude Code. |
Flussi di lavoro dinamici di Claude Code* | Accesso ai flussi di lavoro dinamici in Claude Code, che permettono a Claude di eseguire grandi attività di ingegneria—migrazioni, audit, ricerche di bug a livello di codebase—da inizio a fine in una singola sessione. Queste esecuzioni possono durare ore e utilizzare più token di una sessione tipica. |
Claude Security | Trova e correggi le vulnerabilità di sicurezza nel tuo codice con Claude. |
Claude Design | Accesso a Claude Design per generare artefatti di design. |
Claude Cowork | Accesso a Claude Cowork. |
Claude per Chrome | Accesso a Claude per Chrome, l'estensione del browser che permette a Claude di navigare e agire sulle pagine web per conto dell'utente. |
*I flussi di lavoro dinamici di Claude Code si attivano per l'intera organizzazione per impostazione predefinita l'8 giugno 2026. Poiché una singola esecuzione può durare ore e utilizzare più token di una sessione tipica, decidi chi dovrebbe avere accesso prima di quella data. Per i membri con ruoli personalizzati, questa funzionalità segue il modello additivo come qualsiasi altra—un ruolo deve concederla affinché questi membri la utilizzino. Per limitare un gruppo specifico, lascia questa funzionalità disattivata nel loro ruolo.
Questo può essere disabilitato a livello di organizzazione tramite managed-settings.json aggiungendo "disableWorkflows": true alle tue impostazioni gestite. Questo vale prima e dopo l'8 giugno.
Una volta attivato l'8 giugno, un proprietario può disattivarlo in tutta l'organizzazione andando a Impostazioni organizzazione > Claude Code e disattivando Flussi di lavoro.
I ruoli personalizzati controllano anche l'accesso alle autorizzazioni amministrative e ai connettori, che sono configurati nelle schede separate Autorizzazioni e Connettori nell'editor dei ruoli. Vedi Autorizzazioni amministrative e Autorizzazioni connettore di seguito.
Nota: La chat è abilitata per impostazione predefinita per tutti i ruoli personalizzati, inclusi quelli creati prima dell'aggiunta di questa funzionalità. Se desideri limitare la chat per un ruolo specifico, disattivala durante la modifica del ruolo.
Crea un ruolo personalizzato
Fai clic su "+ Aggiungi ruolo".
Inserisci un nome per il ruolo (ad esempio, "Sviluppatore", "Accesso standard" o "Accesso limitato").
Seleziona i gruppi che desideri assegnare al ruolo.
Attiva o disattiva ogni funzionalità per definire cosa concede questo ruolo.
Fai clic su "Avanti: Configura autorizzazioni".
Configura autorizzazioni. Puoi scegliere Nessun accesso, Può visualizzare e Può gestire per ogni impostazione amministrativa.
Fai clic su "Avanti: Configura connettori".
Configura connettori. Puoi scegliere Sempre consentito, Chiedi e Bloccato per tutti i connettori, o personalizzare per connettore o strumento connettore.
Fai clic su "Aggiungi ruolo".
Modifica un ruolo personalizzato
Fai clic sul ruolo che desideri modificare.
Aggiorna il nome e i gruppi, o attiva/disattiva funzionalità, autorizzazioni e connettori secondo necessità.
Fai clic su "Modifica ruolo" per salvare le modifiche.
Le modifiche alle funzionalità e ai connettori hanno effetto entro un minuto. Le modifiche alle autorizzazioni amministrative possono richiedere fino a 15 minuti e i membri potrebbero dover aggiornare il browser. Tutti i membri nei gruppi assegnati a questo ruolo sono interessati.
Elimina un ruolo personalizzato
Fai clic sul pulsante menu su qualsiasi ruolo personalizzato e seleziona "Elimina ruolo". L'eliminazione di un ruolo rimuove le sue autorizzazioni da tutti i gruppi a cui era assegnato. I membri di questi gruppi perdono le autorizzazioni concesse dal ruolo, a meno che un altro ruolo nella loro catena non le conceda anche.
Assegna gruppi a ruoli personalizzati
I ruoli personalizzati sono assegnati ai gruppi, non direttamente ai singoli membri. Per assegnare un gruppo a un ruolo:
Fai clic sul ruolo che desideri assegnare.
Nel selettore di gruppi, seleziona uno o più gruppi.
Fai clic su "Salva".
Puoi anche assegnare ruoli personalizzati quando crei o modifichi un gruppo in Impostazioni organizzazione > Gruppi. Vedi Gestisci gruppi e limiti di spesa dei gruppi nei piani Enterprise.
Come le autorizzazioni si combinano tra più ruoli
Se un membro appartiene a più gruppi con diversi ruoli personalizzati, le sue autorizzazioni sono additive—ottiene l'unione di tutte le autorizzazioni da tutti i ruoli nella sua catena. Se un ruolo concede una funzionalità, il membro ha accesso ad essa.
Ciò significa che non puoi usare un ruolo per rimuovere un'autorizzazione concessa da un altro ruolo. Questo è intenzionale—consente un approccio stratificato in cui un ruolo di base copre le funzionalità comuni e i ruoli aggiuntivi aggiungono funzionalità specifiche e autorizzazioni amministrative.
Esempio: Un membro è in due gruppi. Il gruppo "Tutti gli utenti" è assegnato a un ruolo "Accesso standard" con ricerca web e memoria. Il gruppo "Ingegneria" è assegnato a un ruolo "Sviluppatore" con Cowork e Claude Code. Il membro ottiene tutti e quattro: ricerca web, memoria, Cowork e Claude Code.
Autorizzazioni amministrative
I ruoli personalizzati possono concedere autorizzazioni amministrative oltre alle autorizzazioni di funzionalità e connettore. Le autorizzazioni amministrative danno ai membri accesso ad aree amministrative specifiche, come fatturazione o privacy, senza renderli proprietari. Puoi configurare le autorizzazioni amministrative nella scheda Autorizzazioni dell'editor dei ruoli.
Nota: Le autorizzazioni amministrative si applicano solo ai membri il cui ruolo è impostato su "Ruoli personalizzati". I membri con i ruoli Utente, Amministratore, Proprietario o Proprietario principale mantengono l'accesso che questi ruoli concedono.
Livelli di autorizzazione amministrativa
Nella scheda Autorizzazioni, imposti ogni area di autorizzazione su uno di tre livelli:
Nessun accesso: Il membro non vede questa area nelle impostazioni dell'organizzazione.
Può visualizzare: La visualizzazione concede accesso in sola lettura. Il membro vede le stesse pagine e impostazioni di qualcuno che può gestire quell'area, ma ogni controllo è disabilitato o mostrato come sola lettura. Usa questo livello di autorizzazione per revisori di conformità, revisori finanziari, team di sicurezza o chiunque abbia bisogno di vedere la configurazione senza modificarla.
Può gestire: Gestire concede accesso completo in lettura e scrittura all'area e include accesso di visualizzazione.
All'interno di un'area, concedi tutto di Visualizza o tutto di Gestisci. Non puoi concedere o limitare pagine o impostazioni individuali.
Autorizzazioni amministrative disponibili
Ci sono sette aree di autorizzazione amministrativa:
Area | Visualizza | Gestisci |
Identità e accesso | Configurazione SSO e SAML, domini verificati, appartenenze a domini, elenco IP consentiti, impostazioni di sessione, definizioni di gruppo, definizioni di ruolo e impostazioni di provisioning | Modifica SSO, gestisci domini, modifica l'elenco IP consentiti, modifica le impostazioni di sessione, crea e modifica gruppi e ruoli, e configura il provisioning |
Fatturazione | Dettagli del piano, conteggi dei posti, fatture, indirizzi di fatturazione e spesa di utilizzo | Modifica posti, aggiorna metodi di pagamento, modifica indirizzi di fatturazione, e configura limiti di spesa e utilizzo aggiuntivo |
Analitiche | Analitiche di utilizzo, analitiche di Claude Code e metriche di adozione delle funzionalità | Non disponibile |
Privacy | Impostazioni di conservazione dei dati, configurazione dell'esportazione, impostazioni di condivisione, impostazioni di geolocalizzazione, impostazione di inferenza solo negli USA e stato della chiave di crittografia | Modifica i periodi di conservazione, esegui esportazioni di dati, modifica le impostazioni di condivisione, e configura la geolocalizzazione, l'inferenza solo negli USA e la crittografia |
Gestione utenti | Non disponibile | Invita membri, modifica i ruoli dei membri, rimuovi membri, e gestisci gli inviti in sospeso |
Librerie | Non disponibile | Aggiungi, modifica e rimuovi competenze, plugin e connettori condivisi dall'organizzazione. Include anche la gestione della directory. |
Gestione della directory | Non disponibile | Invia e gestisci gli elenchi della directory, e visualizza l'osservabilità per gli elenchi pubblicati dalla tua organizzazione |
Nota: Un ruolo con Identità e accesso impostato su Gestisci può creare e modificare gruppi e ruoli, inclusa la propria definizione di ruolo. I membri con questa autorizzazione possono espandere il proprio accesso, quindi riservalo agli amministratori di sicurezza e IT di fiducia.
Pagine delle impostazioni dell'organizzazione disponibili per ogni autorizzazione
Pagina delle impostazioni dell'organizzazione | Autorizzazione richiesta | Note |
Fatturazione | Fatturazione (Visualizza o Gestisci) | Piano, posti, indirizzi e fatture |
Utilizzo | Fatturazione (Visualizza o Gestisci) | Limiti di spesa, crediti e utilizzo aggiuntivo |
Membri | Gestione utenti (Gestisci) | Nessuna modalità di sola visualizzazione |
Gruppi | Identità e accesso (Visualizza o Gestisci) |
|
Ruoli | Identità e accesso (Visualizza o Gestisci) |
|
Organizzazione e accesso (parziale) | Identità e accesso (Visualizza o Gestisci) | Sblocca l'accesso singolo (SSO/SAML, mappature di gruppo, provisioning), domini verificati e appartenenze ai domini, elenco IP consentiti, impostazioni di sessione, limita la creazione di organizzazioni e richieste di fusione di organizzazioni. Altre sezioni di questa pagina, come il nome dell'organizzazione, le impostazioni di funzionalità predefinite e il prompt di sistema a livello di organizzazione, richiedono ancora il ruolo di Proprietario |
Dati e privacy | Privacy (Visualizza o Gestisci) |
|
Analitiche | Analitiche (Visualizza) | Accessibile tramite Analitiche nel menu utente, non dalle impostazioni dell'organizzazione |
Competenze | Librerie (Gestisci) |
|
Plugin | Librerie (Gestisci) |
|
Connettori | Librerie (Gestisci) |
|
Directory | Gestione directory (Gestisci) |
|
Cosa non coprono i permessi di amministratore
I seguenti elementi rimangono disponibili solo per i Proprietari e i Proprietari Primari, anche per i membri con permessi di amministratore:
Gestione di Proprietari e Amministratori. I permessi di amministratore non possono concedere o revocare i ruoli incorporati Proprietario, Amministratore o Proprietario Primario. Solo i Proprietari possono gestire altri Proprietari.
Chiavi API e workspace. La gestione delle chiavi API, le impostazioni dell'area di lavoro e l'amministrazione della Claude Console non sono coperte dai permessi di amministratore.
Chiavi di conformità e sicurezza. Le impostazioni dell'API di conformità e l'amministrazione delle chiavi di sicurezza rimangono solo per il Proprietario.
Impostazioni delle capacità a livello organizzativo. Le capacità abilitate a livello organizzativo sono gestite separatamente e non fanno parte dei permessi di amministratore.
Cosa vedono i membri quando i permessi di amministratore sono limitati
Se un membro non ha accesso a un permesso di amministratore specifico, la sezione non appare nelle impostazioni dell'organizzazione. Vengono mostrate solo le sezioni coperte dai loro permessi.
Permessi dei connettori
I ruoli personalizzati controllano anche quali connettori e quali strumenti su quei connettori un ruolo può utilizzare. Mentre le capacità coprono le funzioni integrate di Claude, i permessi dei connettori coprono le app e i servizi che hai collegato alla tua organizzazione, come Slack, Google Drive o Jira. Li imposti nella scheda Connettori dell'editor dei ruoli, accanto alle schede Capacità e Permessi.
Nota: I permessi dei connettori si applicano solo ai membri il cui ruolo è impostato su "Ruoli personalizzati". I membri con i ruoli Utente, Amministratore o Proprietario vedono ogni connettore abilitato per la tua organizzazione, soggetto alle tue politiche degli strumenti a livello organizzativo per connettore. I Proprietari e gli Amministratori vedono sempre ogni connettore in modo da poterlo configurare, indipendentemente dai permessi dei connettori di qualsiasi ruolo.
Livelli di permesso
Nella scheda Connettori, imposti tutti i connettori, ogni connettore o ogni strumento su un connettore a uno di tre livelli:
Consenti sempre: Ogni strumento sul connettore è disponibile e i membri possono impostare la loro approvazione su "Consenti sempre" per saltare la conferma per chiamata.
Richiede approvazione: Ogni strumento è disponibile, ma i membri confermano ogni chiamata. L'opzione "Consenti sempre" viene rimossa dal loro menu di approvazione personale per questi strumenti.
Bloccato: Il connettore o lo strumento è nascosto. Claude non può vederlo o chiamarlo.
Un connettore può anche essere impostato su Personalizzato, che ti consente di impostare ogni suo strumento individualmente. Per la configurazione completa, vedi Configura i permessi basati sui ruoli nei piani Enterprise.
Come viene determinato l'accesso al connettore
Un connettore o uno strumento passa attraverso diversi livelli prima che un membro possa utilizzarlo, valutati in questo ordine:
Concessione del ruolo. Ogni connettore o strumento su un ruolo è impostato su "Consenti sempre", "Richiede approvazione" o "Bloccato".
Tra i ruoli del membro. Se i gruppi di un membro gli assegnano più di un ruolo, si applica la concessione più permissiva per ogni strumento. I permessi dei connettori sono additivi tra i ruoli, come le capacità.
Politica degli strumenti a livello organizzativo. La politica per strumento che imposti in Impostazioni organizzazione > Connettori per connettore è il limite massimo. Per ogni strumento, Claude confronta la concessione del ruolo del membro con questa politica e applica la più restrittiva delle due. Le concessioni dei ruoli restringono l'accesso all'interno della politica; non possono ampliarlo oltre. Scopri di più su come impostare l'accesso agli strumenti in Usa i connettori per estendere le capacità di Claude.
L'impostazione personale del membro. Il risultato dei passaggi precedenti è il limite massimo effettivo del membro. Limita le opzioni nel loro menu di approvazione personale per strumento ("Consenti sempre", "Chiedi" o "Mai"). Un limite massimo di "Richiede approvazione" rimuove "Consenti sempre". Un limite massimo di "Bloccato" disattiva lo strumento.
Per i membri che utilizzano Claude Code, si applica un altro livello: le politiche di Managed Settings e i permessi dei connettori si compongono per il più restrittivo. Uno strumento è richiamabile senza un prompt solo quando entrambi lo consentono. Per ulteriori informazioni, vedi Impostazioni di Claude Code.
Questa tabella mostra come la politica degli strumenti a livello organizzativo e la concessione del ruolo di un membro si combinano:
Politica degli strumenti a livello organizzativo | Concessione del ruolo più elevata tra i ruoli del membro | Limite massimo effettivo | Opzioni personali del membro |
Consenti sempre | Consenti sempre | Consenti sempre | Consenti sempre, Chiedi, Mai |
Consenti sempre | Richiede approvazione | Richiede approvazione | Chiedi, Mai |
Consenti sempre | Bloccato | Bloccato | Strumento disattivato |
Richiede approvazione | Consenti sempre | Richiede approvazione | Chiedi, Mai |
Richiede approvazione | Bloccato | Bloccato | Strumento disabilitato |
Bloccato | Qualsiasi | Bloccato | Strumento disabilitato |
Dove si applicano i permessi del connettore
I permessi del connettore vengono applicati sui server di Anthropic, quindi si applicano su ogni superficie Claude che instrada il traffico del connettore attraverso Anthropic:
Superficie | Copertura |
Claude su web e desktop | Applicazione completa. I connettori bloccati sono nascosti, gli strumenti bloccati sono disabilitati e il menu di approvazione personale è limitato a ciò che il limite consente. |
Claude Mobile (iOS e Android) | Applicato. Gli strumenti bloccati vengono rimossi dalla vista di Claude e le chiamate ad essi vengono rifiutate. Uno strumento bloccato potrebbe ancora apparire attivo nelle impostazioni del connettore mobile fino all'arrivo degli aggiornamenti dell'interfaccia, ma non può essere utilizzato. |
Claude Cowork (cloud e desktop) | Come sul web. |
Claude Code | Applicato. Gli strumenti bloccati vengono rifiutati e appaiono come disabilitati. Vedi impostazioni di Claude Code. |
I permessi del connettore governano i connettori che la tua organizzazione ha aggiunto in Impostazioni organizzazione > Connettori. Non governano i connettori che un membro esegue localmente sulla propria macchina, e non governano Claude Cowork quando viene distribuito su una piattaforma di terze parti. Per le distribuzioni Cowork di terze parti, utilizza MDM. Vedi Cowork su 3P: MCP, plugin, skill e hook.
Cosa vedono i membri quando un connettore è limitato
Limitazione | Cosa vede il membro |
Un connettore è bloccato per il loro ruolo | Il connettore non appare nel loro menu dei connettori. |
Uno strumento è bloccato su un connettore visibile | Lo strumento è disabilitato nelle loro impostazioni del connettore, con il messaggio "Questo strumento non è abilitato per il tuo ruolo. Contatta il tuo amministratore." |
Uno strumento è limitato a "Richiede approvazione" | Lo strumento funziona, ma il menu di approvazione personale offre solo "Chiedi" e "Mai", e Claude chiede prima di ogni chiamata. |
I permessi del connettore non riescono a caricarsi brevemente | Un banner segnala che i connettori non hanno potuto caricarsi, con un tentativo. Nessuno strumento bloccato raggiunge mai il servizio connesso. L'accesso fallisce verso il rifiuto, mai verso la concessione. |
I membri non possono dire quale livello ha limitato uno strumento. Il messaggio è lo stesso indipendentemente dal fatto che il limite provenga dalla politica degli strumenti a livello di organizzazione, da una concessione di ruolo o da entrambi. Per trovare l'origine, confronta la politica a livello di organizzazione con le concessioni di ruolo del membro.
Cosa vedono i membri quando l'accesso alle capacità è limitato
Quando una capacità è limitata, ecco cosa vedono i membri. Per le limitazioni di connettore e strumento, vedi Permessi del connettore sopra.
Motivo | Cosa vede il membro |
La funzione è disabilitata a livello di organizzazione | La funzione appare disabilitata o nascosta, con il messaggio "Questa funzione è disabilitata per la tua organizzazione." |
I ruoli del membro non concedono la funzione | La funzione appare disabilitata o nascosta, con il messaggio "Contatta il tuo amministratore per richiedere l'accesso a questa funzione." |
I ruoli del membro non concedono alcun accesso al prodotto | Il membro arriva alla sua pagina di impostazioni quando accede, senza prodotti disponibili da utilizzare. |