Vai al contenuto principale

Migrazione di Claude Code da Console a Enterprise

Claude Console (API) → Claude Enterprise

Panoramica

Questa guida è stata creata per i team che migrano dall'accesso a Claude Code basato su Console a Claude Enterprise. Nota che gli utenti individuali non hanno bisogno di migrare la cronologia delle sessioni per le sessioni CLI poiché vengono archiviate localmente. Devi solo provisioning degli account Claude Enterprise per ogni utente, quindi gli utenti dovrebbero cambiare il loro metodo di accesso da Console a Claude Enterprise.


Claude Enterprise rispetto a Console

Funzionalità

Claude Console/API

Claude Enterprise

Claude Code su web e app mobile

Claude Code su Slack

Revisione del codice

Applica restrizioni su quali strumenti Claude Code può utilizzare

❌ Nessuna interfaccia nativa

*Le impostazioni possono essere distribuite ai computer degli sviluppatori tramite MDM (Jamf, Intune) o gestione della configurazione (Ansible, Puppet, ecc.)

✅ Interfaccia nativa per impostare le regole di consentimento/negazione di managed-settings.json

Blocca comandi bash specifici

❌ Nessuna interfaccia nativa*

✅ Bash(curl:*), Bash(sudo:*), ecc.

Impedisci l'accesso ai file sensibili

❌ Nessuna interfaccia nativa*

✅ Read(.env), Read(./secrets/**)

Controlla quali server MCP sono consentiti

❌ Nessuna interfaccia nativa*

✅ allowedMcpServers / deniedMcpServers

Distribuisci server MCP pre-approvati a livello organizzativo

❌ Nessuna interfaccia nativa*

✅ managed-mcp.json

Forza la modalità sandbox

❌ Nessuna interfaccia nativa*

✅ sandbox.enabled

Disabilita --dangerously-skip-permissions

❌ Nessuna interfaccia nativa*

✅ permissions.disableBypassPermissionsMode: disable

Disabilita la modalità automatica

❌ Nessuna interfaccia nativa*

✅ disableAutoMode: disable

Ruoli personalizzati (RBAC)

✅ Limita l'accesso alle funzionalità per gruppo e delega aree amministrative specifiche come fatturazione, gestione degli utenti e identità senza concedere il ruolo di Proprietario. Gestisci ruoli personalizzati nei piani Enterprise

Governance dei modelli

❌ Nessuna interfaccia nativa*

✅ Imposta un modello predefinito dell'organizzazione per chat e Cowork (beta) dalla console di amministrazione e limita la selezione del modello Claude Code con availableModels nelle impostazioni gestite. Imposta un modello predefinito per la tua organizzazione

Log di audit

❌ Nessun supporto per log di audit

🟡 Claude Code supporta OpenTelemetry

🟡 Log di audit e l'API di conformità, che include eventi di log di audit. I transcript delle sessioni CLI locali rimangono sulla macchina dello sviluppatore e non sono disponibili tramite l'API di conformità.

Analitiche di utilizzo

✅ Righe di codice scritte, tasso di accettazione, utenti attivi giornalieri, spesa giornaliera.

✅ Righe di codice scritte, tasso di accettazione, utenti attivi giornalieri e spesa da inizio mese per membro in Impostazioni organizzazioneUtilizzo.

Reportistica programmatica di utilizzo e costi

✅ L'API di analitiche Claude Enterprise restituisce metriche di engagement per utente e metriche di Claude Code (commit, pull request, righe di codice) più endpoint di utilizzo e costi. L'API di amministrazione copre la gestione programmatica dell'organizzazione.

Metriche di contributo

✅ Tramite l'API di analitiche Claude Code

✅ PR create e righe di codice sottoposte con assistenza Claude Code.

Controlli di spesa granulari

✅ Limiti di organizzazione e workspace, più limiti per sviluppatore nei workspace Claude Code

✅ Organizzazione → Gruppo → Individuo, integrato con gruppi RBAC


Provisioning SCIM

Ecco cosa deve fare il tuo team di identità:

  1. Aggiorna i mapping dei gruppi IdP — Crea o riutilizza gruppi IdP per mappare gli utenti all'organizzazione Claude Enterprise. Abilita i mapping dei gruppi per assegnare i posti automaticamente.

  2. Assicurati che siano acquistati posti sufficienti — Prima di attivare una sincronizzazione SCIM, verifica che l'organizzazione Claude Enterprise abbia posti disponibili sufficienti. Gli utenti senza posti disponibili verranno impostati sullo stato "Non assegnato".

  3. Conferma che l'accesso a Claude Code sia abilitato — Conferma che Claude Code sia abilitato per l'organizzazione Enterprise nelle impostazioni di amministrazione e — se definisci le funzionalità con ruoli personalizzati o gruppi — che i tuoi gruppi di sviluppatori abbiano accesso a Claude Code.

  4. Attiva una sincronizzazione — Vai a Impostazioni organizzazione → Organizzazione e accesso, trova Sincronizzazione directory (SCIM) e fai clic su "Sincronizza". Nota che questo potrebbe essere lento poiché può attivare una sincronizzazione di grandi dimensioni.

  5. Verifica le assegnazioni dei posti — Dopo la sincronizzazione, controlla Impostazioni organizzazione → Organizzazione e accesso per confermare che gli utenti siano stati assegnati al tipo di posto corretto.

  6. Facoltativo: Regola i mapping dell'organizzazione Console — Se alcuni utenti devono mantenere l'accesso all'API Console, mantieni il loro gruppo mappato all'organizzazione Console. Gli utenti possono appartenere a entrambe le organizzazioni contemporaneamente.

Nota: Le modifiche SCIM di Microsoft Entra si sincronizzano ogni ~40 minuti. Usa il pulsante "Sincronizza" per attivare una sincronizzazione su richiesta dopo le modifiche ai gruppi.

Se l'SSO dell'organizzazione Enterprise è configurato come solo accesso, l'accesso non crea account — gli utenti devono essere invitati manualmente. Abilita JIT o il provisioning SCIM prima di indirizzare gli sviluppatori ad accedere. Vedi Configura JIT o provisioning SCIM.


Limiti di spesa

I piani Claude Enterprise offrono un sistema di controllo della spesa gerarchico. I limiti si propagano in cascata — un utente non può mai superare i limiti dell'organizzazione.

Livello

Ambito

Chi lo imposta

Cosa controlla

1. Organizzazione

Intera organizzazione Enterprise

Proprietario principale / Proprietario

Spesa mensile massima su tutti i posti e l'utilizzo

2. Controlli di gruppo

Gruppi con RBAC

Proprietario principale / Proprietario

Limite di spesa per un gruppo utilizzando RBAC

3. Individuo

Utente specifico

Proprietario principale / Proprietario

Limite di spesa per un singolo membro del team

Come impostare e modificare i limiti di spesa

  1. Accedi come Proprietario o Proprietario principale.

  2. Imposta il limite a livello di organizzazione — questo è il limite massimo globale per tutta la spesa mensile.

  3. Imposta i limiti a livello di gruppo — nella scheda "Per gruppo". Vedi Gestisci gruppi e limiti di spesa dei gruppi nei piani Enterprise.

  4. Imposta limiti di livello individuale — trova utenti specifici nella sezione Impostazioni predefinite di spesa sotto la scheda "Per membro".

I proprietari possono impostare i limiti su "illimitato", ma tutti i consumi vengono comunque fatturati. Se un utente su un posto a consumo raggiunge il suo limite, non può utilizzare Claude o Claude Code fino al prossimo periodo di fatturazione o fino a quando un amministratore non aumenta il suo limite.


Emissione di nuovi posti e ri-autenticazione

Aggiunta di posti

  1. Accedi come Proprietario principale o Proprietario.

  2. Fai clic sull'icona della matita sotto Posti.

  3. Inserisci i nuovi conteggi dei posti.

  4. Rivedi e fai clic su "Aggiorna" per confermare. I nuovi posti sono ripartiti proporzionalmente.

Assegnazione di utenti ai posti

  1. Fai clic su "Aggiungi membro" (o "Aggiungi in blocco" per più utenti).

  2. Inserisci l'indirizzo email @ dell'utente.

  3. Imposta il ruolo (Utente, Amministratore, Proprietario) e invia l'invito.

Per gli utenti forniti tramite SCIM, l'assegnazione dei posti avviene automaticamente in base ai mapping dei gruppi. Gli utenti vengono assegnati per impostazione predefinita al livello di posto più alto disponibile se non è configurato alcun mapping di gruppo.

Ri-autenticazione per gli utenti di Claude Code

Gli sviluppatori attualmente autenticati rispetto all'organizzazione Console dovranno ri-autenticarsi rispetto all'organizzazione Claude Enterprise:

  1. Rimuovi le credenziali Console rimanenti prima di accedere. Verifica la presenza di variabili di ambiente ANTHROPIC_API_KEY o ANTHROPIC_AUTH_TOKEN nei profili shell, dotfile e configurazioni CI, e rimuovi qualsiasi impostazione apiKeyHelper. Verifica anche la presenza di CLAUDE_CODE_OAUTH_TOKEN, ANTHROPIC_BASE_URL e i flag CLAUDE_CODE_USE_BEDROCK / _VERTEX / _FOUNDRY — questi sovrascrivono o bypassano anche /login. Le credenziali possono anche nascondersi nel blocco env dei file di impostazioni di Claude Code (~/.claude/settings.json e i file .claude/settings*.json nei repository). Se rimangono, hanno silenziosamente la precedenza sul nuovo accesso: /login sembrerà riuscire, ma l'utilizzo continua a fatturare all'organizzazione Console precedente.

  2. Nel terminale, esegui claude e poi esegui /login per cambiare il metodo di autenticazione.

  3. Seleziona "Account Claude con abbonamento" come metodo di accesso.

  4. Scegli l'organizzazione Claude Enterprise (non l'organizzazione Console o un account personale).

  5. Autorizza, torna al terminale ed esegui /status per confermare che Claude Code mostra la tua organizzazione Enterprise.

CI e automazione

Le pipeline e gli script non utilizzano /login. Mantieni un'organizzazione Console (e le sue chiavi API) per l'automazione e migra solo i posti degli sviluppatori interattivi, oppure passa CI a una credenziale Enterprise: esegui claude setup-token mentre sei connesso all'organizzazione Enterprise e imposta il token stampato come CLAUDE_CODE_OAUTH_TOKEN nel tuo ambiente CI. Non rimuovere le credenziali CI fino a quando una di queste non è in atto.

Suggerimento per l'IT: Distribuisci le impostazioni gestite con forceLoginOrgUUID impostato sull'UUID dell'organizzazione Enterprise come parte standard di ogni migrazione. Fornisci il pin come file gestito dall'endpoint o criterio MDM — le impostazioni gestite dal server arrivano solo dopo che un utente accede, quindi non possono intercettare un primo accesso errato. Se utilizzi anche impostazioni gestite dal server, imposta forceLoginOrgUUID anche lì: i due canali non si uniscono. Questo blocca l'accesso a qualsiasi altra organizzazione e trasforma la modalità di errore delle credenziali rimanenti da sopra da una fatturazione silenziosa a una rumorosa: Claude Code rifiuta di avviarsi e dice all'utente che una credenziale rimanente (ANTHROPIC_API_KEY, ANTHROPIC_AUTH_TOKEN o apiKeyHelper) deve essere rimossa.

Dopo la convalida della migrazione

Rimuovi gli sviluppatori migrati dall'organizzazione Console (o ruota le loro chiavi). La rimozione revoca i loro token di accesso Console e disabilita la loro chiave dell'area di lavoro Claude Code, interrompendo ulteriori fatturazioni Console dall'uso interattivo. Le chiavi API che hanno creato in altri spazi di lavoro Console non vengono disabilitate dalla rimozione — rivedi e disabilita quelle separatamente. Non rimuovere i membri fino a quando non hai confermato che l'accesso Enterprise funziona; non c'è rollback automatico.


Miglioramenti nella segnalazione

Il passaggio dall'API Console a Claude Enterprise sblocca analitiche più ricche per l'utilizzo di Claude Code:

Metrica

API Console

Claude Enterprise

Consumo di token

Righe di codice accettate

Tasso di accettazione dei suggerimenti

PR creati con l'assistenza di Claude Code

✅ Tramite l'API Claude Code Analytics

Righe di codice sottoposte a commit con l'assistenza di Claude Code

✅ Tramite l'API Claude Code Analytics

Notifiche dei limiti di spesa

✅ Email di notifica al limite con destinatari configurabili

Avvisi di soglia

Spesa da inizio mese per membro

Impostazioni amministratore → Utilizzo

Traccia di audit di conformità

✅ L'API di conformità include eventi del registro di audit. Le trascrizioni delle sessioni CLI locali rimangono sulla macchina dello sviluppatore e non sono disponibili tramite l'API di conformità.

Tutti i report sono accessibili da Analytics nel pannello di amministrazione di Claude. Per l'accesso programmatico, l'API di Analytics Enterprise di Claude restituisce metriche di coinvolgimento per utente, attività di Claude Code (commit, pull request, righe di codice) e dati di utilizzo e costi. Gli Analytics non migrano: l'organizzazione Enterprise inizia con una cronologia di report nuova, e il suo Analytics/Admin API richiede una nuova chiave API creata nell'organizzazione Enterprise — le chiavi Console non vengono trasferite. Esporta gli analytics Console di cui hai bisogno per i dashboard storici prima della migrazione. Il traffico che rimane sulle chiavi API Console (ad esempio CI) continua a comparire solo nei report Console.


Impostazioni dei criteri gestiti — approfondimento

Questo è l'aggiornamento più significativo per i team di sicurezza e IT. Le impostazioni gestite dal server consentono il controllo centralizzato e applicabile su ciò che Claude Code può e non può fare su ogni macchina dello sviluppatore. Ci sono due modi per distribuirle, e non hai bisogno di MDM per usare il primo.

Come funziona

Claude Code legge la configurazione da una gerarchia di fonti di impostazioni. Il file managed-settings.json si trova in cima e non può essere sovrascritto dalle impostazioni utente o di progetto:

Priorità

Fonte

Ambito

Chi la controlla

1 (Massima)

Impostazioni gestite (gestite dal server o dall'endpoint)

A livello aziendale

Proprietario / Proprietario principale (quando inviato dalla console di amministrazione di claude.ai) o il tuo team IT/MDM (quando distribuito come file).

2

Argomenti della riga di comando

Sessione

Sviluppatore

3

.claude/settings.local.json

Progetto (personale)

Sviluppatore

4

.claude/settings.json

Progetto (condiviso, in Git)

Team

5 (Minima)

~/.claude/settings.json

Utente (globale)

Sviluppatore

Due modi per distribuire le impostazioni gestite

Impostazioni gestite dal server (nessun MDM richiesto): Un proprietario o proprietario principale definisce le impostazioni in Impostazioni organizzazione Claude Code Impostazioni gestite nella console di amministrazione. Ogni client Claude Code connesso all'organizzazione le recupera automaticamente all'avvio e le controlla ogni ora per gli aggiornamenti. Questa è la scelta giusta per le organizzazioni senza infrastruttura di gestione dei dispositivi o con utenti su dispositivi non gestiti. Scopri di più sulle impostazioni gestite dal server.

Impostazioni gestite dall'endpoint: L'IT distribuisce le impostazioni direttamente ai dispositivi, tramite criteri OS nativi (preferenze gestite macOS o il registro di Windows, tramite Jamf, Intune, Criteri di gruppo, ecc.) o come file managed-settings.json inviato ai percorsi di sistema di seguito. Proteggi il file con autorizzazioni a livello di OS in modo che gli utenti finali non possano modificarlo. Su dispositivi registrati, questo fornisce garanzie più forti rispetto alla distribuzione gestita dal server perché il sistema operativo impedisce la manomissione da parte dell'utente.

Nota: Entrambi i canali occupano lo stesso livello di priorità più alto e utilizzano lo stesso formato JSON, ma non si uniscono. La prima fonte che fornisce una configurazione non vuota vince: le impostazioni gestite dal server vengono controllate per prime, e se forniscono qualsiasi chiave, le impostazioni gestite dall'endpoint vengono ignorate completamente. Esegui /status per vedere quale fonte gestita è attiva.

Percorsi dei file (gestiti dall'endpoint)

Sistema operativo

Percorso

macOS

/Library/Application Support/ClaudeCode/managed-settings.json

Linux

/etc/claude-code/managed-settings.json

Windows

C:\Program Files\ClaudeCode\managed-settings.json

Riferimento impostazioni chiave

Queste sono le impostazioni più rilevanti per una migrazione da Console a Enterprise. Claude Code supporta molte altre: per l'elenco completo e aggiornato, consulta Impostazioni di Claude Code.

Impostazione

Scopo

Esempio

permissions.deny

Blocca strumenti/comandi specifici a livello organizzativo

Bash(curl:*), Read(.env)

permissions.allow

Consenti esplicitamente comandi affidabili

Bash(npm run test:*)

permissions.ask

Richiedi approvazione dell'utente ogni volta

Bash(rm:*)

permissions.disableBypassPermissionsMode

Impedisci --dangerously-skip-permissions

"disable"

forceLoginOrgUUID

Limita l'accesso a organizzazioni Enterprise specifiche. Accetta un UUID organizzativo o un array; l'accesso a qualsiasi altra organizzazione è bloccato. Un singolo UUID seleziona automaticamente anche tale organizzazione al login.

"298e7cb2…"

forceLoginMethod

Forza il metodo di accesso (claudeai, console o gateway). Consigliato insieme a forceLoginOrgUUID affinché gli utenti saltino il selettore del tipo di account, ma non è obbligatorio per applicare la restrizione organizzativa.

"claudeai"

allowedMcpServers

Consenti solo server MCP approvati, abbinati per nome, comando o pattern URL

[{"serverName": "github"}]

deniedMcpServers

Blocca server MCP specifici

[{"serverName": "filesystem"}]

allowManagedPermissionRulesOnly

Solo le regole di autorizzazione dalle impostazioni gestite si applicano; utenti e progetti non possono aggiungere le proprie

true

allowManagedMcpServersOnly

Solo l'elenco consentito MCP gestito si applica; gli elenchi di negazione si uniscono comunque da tutte le fonti

true

allowManagedHooksOnly

Solo gli hook gestiti e approvati dall'amministratore vengono eseguiti

true

enforceAvailableModels

Estende l'elenco consentito availableModels all'opzione Modello predefinito

true

sandbox.enabled

Forza la modalità sandbox

true

sandbox.allowUnsandboxedCommands

Blocca l'esecuzione non sandbox

false

cleanupPeriodDays

Periodo di conservazione per i dati di sessione locali (trascritti e altri file dell'applicazione). Predefinito: 30 giorni

7

companyAnnouncements

Visualizza messaggi a tutti gli utenti di Claude Code

Array di stringhe

Distribuzione: Utilizza il tuo strumento MDM (Intune, Jamf, SCCM, Puppet, ecc.) per distribuire managed-settings.json a tutte le macchine degli sviluppatori. Proteggi il file con autorizzazioni a livello di sistema operativo in modo che gli utenti finali non possano modificarlo.

Hai ricevuto la risposta alla tua domanda?