Panoramica
Questa guida è stata creata per i team che migrano dall'accesso a Claude Code basato su Console a Claude Enterprise. Nota che gli utenti individuali non hanno bisogno di migrare la cronologia delle sessioni per le sessioni CLI poiché vengono archiviate localmente. Devi solo provisioning degli account Claude Enterprise per ogni utente, quindi gli utenti dovrebbero cambiare il loro metodo di accesso da Console a Claude Enterprise.
Claude Enterprise rispetto a Console
Funzionalità | Claude Console/API | Claude Enterprise |
Claude Code su web e app mobile | ❌ | ✅ |
Claude Code su Slack | ❌ | ✅ |
Revisione del codice | ❌ | ✅ |
Applica restrizioni su quali strumenti Claude Code può utilizzare | ❌ Nessuna interfaccia nativa
*Le impostazioni possono essere distribuite ai computer degli sviluppatori tramite MDM (Jamf, Intune) o gestione della configurazione (Ansible, Puppet, ecc.) | ✅ Interfaccia nativa per impostare le regole di consentimento/negazione di managed-settings.json |
Blocca comandi bash specifici | ❌ Nessuna interfaccia nativa* | ✅ Bash(curl:*), Bash(sudo:*), ecc. |
Impedisci l'accesso ai file sensibili | ❌ Nessuna interfaccia nativa* | ✅ Read(.env), Read(./secrets/**) |
Controlla quali server MCP sono consentiti | ❌ Nessuna interfaccia nativa* | ✅ allowedMcpServers / deniedMcpServers |
Distribuisci server MCP pre-approvati a livello organizzativo | ❌ Nessuna interfaccia nativa* | ✅ managed-mcp.json |
Forza la modalità sandbox | ❌ Nessuna interfaccia nativa* | ✅ sandbox.enabled |
Disabilita --dangerously-skip-permissions | ❌ Nessuna interfaccia nativa* | ✅ permissions.disableBypassPermissionsMode: disable |
Disabilita la modalità automatica | ❌ Nessuna interfaccia nativa* | ✅ disableAutoMode: disable |
Ruoli personalizzati (RBAC) | ❌ | ✅ Limita l'accesso alle funzionalità per gruppo e delega aree amministrative specifiche come fatturazione, gestione degli utenti e identità senza concedere il ruolo di Proprietario. Gestisci ruoli personalizzati nei piani Enterprise |
Governance dei modelli | ❌ Nessuna interfaccia nativa* | ✅ Imposta un modello predefinito dell'organizzazione per chat e Cowork (beta) dalla console di amministrazione e limita la selezione del modello Claude Code con |
Log di audit | ❌ Nessun supporto per log di audit
🟡 Claude Code supporta OpenTelemetry | 🟡 Log di audit e l'API di conformità, che include eventi di log di audit. I transcript delle sessioni CLI locali rimangono sulla macchina dello sviluppatore e non sono disponibili tramite l'API di conformità. |
Analitiche di utilizzo | ✅ Righe di codice scritte, tasso di accettazione, utenti attivi giornalieri, spesa giornaliera.
| ✅ Righe di codice scritte, tasso di accettazione, utenti attivi giornalieri e spesa da inizio mese per membro in Impostazioni organizzazione → Utilizzo.
|
Reportistica programmatica di utilizzo e costi | ✅ L'API di analitiche Claude Enterprise restituisce metriche di engagement per utente e metriche di Claude Code (commit, pull request, righe di codice) più endpoint di utilizzo e costi. L'API di amministrazione copre la gestione programmatica dell'organizzazione. | |
Metriche di contributo | ✅ Tramite l'API di analitiche Claude Code | ✅ PR create e righe di codice sottoposte con assistenza Claude Code. |
Controlli di spesa granulari | ✅ Limiti di organizzazione e workspace, più limiti per sviluppatore nei workspace Claude Code | ✅ Organizzazione → Gruppo → Individuo, integrato con gruppi RBAC |
Documentazione: Ruoli e autorizzazioni, Acquisto e gestione dei posti nei piani Enterprise, Come vengo fatturato per il mio piano Enterprise?, Utilizzo di Claude Code con il tuo piano Enterprise
Provisioning SCIM
Ecco cosa deve fare il tuo team di identità:
Aggiorna i mapping dei gruppi IdP — Crea o riutilizza gruppi IdP per mappare gli utenti all'organizzazione Claude Enterprise. Abilita i mapping dei gruppi per assegnare i posti automaticamente.
Assicurati che siano acquistati posti sufficienti — Prima di attivare una sincronizzazione SCIM, verifica che l'organizzazione Claude Enterprise abbia posti disponibili sufficienti. Gli utenti senza posti disponibili verranno impostati sullo stato "Non assegnato".
Conferma che l'accesso a Claude Code sia abilitato — Conferma che Claude Code sia abilitato per l'organizzazione Enterprise nelle impostazioni di amministrazione e — se definisci le funzionalità con ruoli personalizzati o gruppi — che i tuoi gruppi di sviluppatori abbiano accesso a Claude Code.
Attiva una sincronizzazione — Vai a Impostazioni organizzazione → Organizzazione e accesso, trova Sincronizzazione directory (SCIM) e fai clic su "Sincronizza". Nota che questo potrebbe essere lento poiché può attivare una sincronizzazione di grandi dimensioni.
Verifica le assegnazioni dei posti — Dopo la sincronizzazione, controlla Impostazioni organizzazione → Organizzazione e accesso per confermare che gli utenti siano stati assegnati al tipo di posto corretto.
Facoltativo: Regola i mapping dell'organizzazione Console — Se alcuni utenti devono mantenere l'accesso all'API Console, mantieni il loro gruppo mappato all'organizzazione Console. Gli utenti possono appartenere a entrambe le organizzazioni contemporaneamente.
Nota: Le modifiche SCIM di Microsoft Entra si sincronizzano ogni ~40 minuti. Usa il pulsante "Sincronizza" per attivare una sincronizzazione su richiesta dopo le modifiche ai gruppi.
Se l'SSO dell'organizzazione Enterprise è configurato come solo accesso, l'accesso non crea account — gli utenti devono essere invitati manualmente. Abilita JIT o il provisioning SCIM prima di indirizzare gli sviluppatori ad accedere. Vedi Configura JIT o provisioning SCIM.
Limiti di spesa
I piani Claude Enterprise offrono un sistema di controllo della spesa gerarchico. I limiti si propagano in cascata — un utente non può mai superare i limiti dell'organizzazione.
Livello | Ambito | Chi lo imposta | Cosa controlla |
1. Organizzazione | Intera organizzazione Enterprise | Proprietario principale / Proprietario | Spesa mensile massima su tutti i posti e l'utilizzo |
2. Controlli di gruppo | Gruppi con RBAC | Proprietario principale / Proprietario | Limite di spesa per un gruppo utilizzando RBAC |
3. Individuo | Utente specifico | Proprietario principale / Proprietario | Limite di spesa per un singolo membro del team |
Come impostare e modificare i limiti di spesa
Accedi come Proprietario o Proprietario principale.
Imposta il limite a livello di organizzazione — questo è il limite massimo globale per tutta la spesa mensile.
Imposta i limiti a livello di gruppo — nella scheda "Per gruppo". Vedi Gestisci gruppi e limiti di spesa dei gruppi nei piani Enterprise.
Imposta limiti di livello individuale — trova utenti specifici nella sezione Impostazioni predefinite di spesa sotto la scheda "Per membro".
I proprietari possono impostare i limiti su "illimitato", ma tutti i consumi vengono comunque fatturati. Se un utente su un posto a consumo raggiunge il suo limite, non può utilizzare Claude o Claude Code fino al prossimo periodo di fatturazione o fino a quando un amministratore non aumenta il suo limite.
Documentazione: Configurazione dei limiti di spesa, Gestione di gruppi e limiti di spesa dei gruppi nei piani Enterprise
Emissione di nuovi posti e ri-autenticazione
Aggiunta di posti
Accedi come Proprietario principale o Proprietario.
Fai clic sull'icona della matita sotto Posti.
Inserisci i nuovi conteggi dei posti.
Rivedi e fai clic su "Aggiorna" per confermare. I nuovi posti sono ripartiti proporzionalmente.
Assegnazione di utenti ai posti
Fai clic su "Aggiungi membro" (o "Aggiungi in blocco" per più utenti).
Inserisci l'indirizzo email @ dell'utente.
Imposta il ruolo (Utente, Amministratore, Proprietario) e invia l'invito.
Per gli utenti forniti tramite SCIM, l'assegnazione dei posti avviene automaticamente in base ai mapping dei gruppi. Gli utenti vengono assegnati per impostazione predefinita al livello di posto più alto disponibile se non è configurato alcun mapping di gruppo.
Ri-autenticazione per gli utenti di Claude Code
Gli sviluppatori attualmente autenticati rispetto all'organizzazione Console dovranno ri-autenticarsi rispetto all'organizzazione Claude Enterprise:
Rimuovi le credenziali Console rimanenti prima di accedere. Verifica la presenza di variabili di ambiente
ANTHROPIC_API_KEYoANTHROPIC_AUTH_TOKENnei profili shell, dotfile e configurazioni CI, e rimuovi qualsiasi impostazioneapiKeyHelper. Verifica anche la presenza diCLAUDE_CODE_OAUTH_TOKEN,ANTHROPIC_BASE_URLe i flagCLAUDE_CODE_USE_BEDROCK / _VERTEX / _FOUNDRY— questi sovrascrivono o bypassano anche/login. Le credenziali possono anche nascondersi nel blocco env dei file di impostazioni di Claude Code (~/.claude/settings.json e i file .claude/settings*.json nei repository). Se rimangono, hanno silenziosamente la precedenza sul nuovo accesso:/loginsembrerà riuscire, ma l'utilizzo continua a fatturare all'organizzazione Console precedente.Nel terminale, esegui
claudee poi esegui/loginper cambiare il metodo di autenticazione.Seleziona "Account Claude con abbonamento" come metodo di accesso.
Scegli l'organizzazione Claude Enterprise (non l'organizzazione Console o un account personale).
Autorizza, torna al terminale ed esegui
/statusper confermare che Claude Code mostra la tua organizzazione Enterprise.
CI e automazione
Le pipeline e gli script non utilizzano /login. Mantieni un'organizzazione Console (e le sue chiavi API) per l'automazione e migra solo i posti degli sviluppatori interattivi, oppure passa CI a una credenziale Enterprise: esegui claude setup-token mentre sei connesso all'organizzazione Enterprise e imposta il token stampato come CLAUDE_CODE_OAUTH_TOKEN nel tuo ambiente CI. Non rimuovere le credenziali CI fino a quando una di queste non è in atto.
Suggerimento per l'IT: Distribuisci le impostazioni gestite con forceLoginOrgUUID impostato sull'UUID dell'organizzazione Enterprise come parte standard di ogni migrazione. Fornisci il pin come file gestito dall'endpoint o criterio MDM — le impostazioni gestite dal server arrivano solo dopo che un utente accede, quindi non possono intercettare un primo accesso errato. Se utilizzi anche impostazioni gestite dal server, imposta forceLoginOrgUUID anche lì: i due canali non si uniscono. Questo blocca l'accesso a qualsiasi altra organizzazione e trasforma la modalità di errore delle credenziali rimanenti da sopra da una fatturazione silenziosa a una rumorosa: Claude Code rifiuta di avviarsi e dice all'utente che una credenziale rimanente (ANTHROPIC_API_KEY, ANTHROPIC_AUTH_TOKEN o apiKeyHelper) deve essere rimossa.
Dopo la convalida della migrazione
Rimuovi gli sviluppatori migrati dall'organizzazione Console (o ruota le loro chiavi). La rimozione revoca i loro token di accesso Console e disabilita la loro chiave dell'area di lavoro Claude Code, interrompendo ulteriori fatturazioni Console dall'uso interattivo. Le chiavi API che hanno creato in altri spazi di lavoro Console non vengono disabilitate dalla rimozione — rivedi e disabilita quelle separatamente. Non rimuovere i membri fino a quando non hai confermato che l'accesso Enterprise funziona; non c'è rollback automatico.
Documentazione: Acquisto e gestione dei posti nei piani Enterprise
Miglioramenti nella segnalazione
Il passaggio dall'API Console a Claude Enterprise sblocca analitiche più ricche per l'utilizzo di Claude Code:
Metrica | API Console | Claude Enterprise |
Consumo di token | ✅ | ✅ |
Righe di codice accettate | ✅ | ✅ |
Tasso di accettazione dei suggerimenti | ✅ | ✅ |
PR creati con l'assistenza di Claude Code | ✅ Tramite l'API Claude Code Analytics | ✅ |
Righe di codice sottoposte a commit con l'assistenza di Claude Code | ✅ Tramite l'API Claude Code Analytics | ✅ |
Notifiche dei limiti di spesa | ✅ Email di notifica al limite con destinatari configurabili | ✅ Avvisi di soglia |
Spesa da inizio mese per membro | ❌ | ✅ Impostazioni amministratore → Utilizzo |
Traccia di audit di conformità | ❌ | ✅ L'API di conformità include eventi del registro di audit. Le trascrizioni delle sessioni CLI locali rimangono sulla macchina dello sviluppatore e non sono disponibili tramite l'API di conformità. |
Tutti i report sono accessibili da Analytics nel pannello di amministrazione di Claude. Per l'accesso programmatico, l'API di Analytics Enterprise di Claude restituisce metriche di coinvolgimento per utente, attività di Claude Code (commit, pull request, righe di codice) e dati di utilizzo e costi. Gli Analytics non migrano: l'organizzazione Enterprise inizia con una cronologia di report nuova, e il suo Analytics/Admin API richiede una nuova chiave API creata nell'organizzazione Enterprise — le chiavi Console non vengono trasferite. Esporta gli analytics Console di cui hai bisogno per i dashboard storici prima della migrazione. Il traffico che rimane sulle chiavi API Console (ad esempio CI) continua a comparire solo nei report Console.
Documentazione: Analytics di utilizzo di Claude Code
Impostazioni dei criteri gestiti — approfondimento
Questo è l'aggiornamento più significativo per i team di sicurezza e IT. Le impostazioni gestite dal server consentono il controllo centralizzato e applicabile su ciò che Claude Code può e non può fare su ogni macchina dello sviluppatore. Ci sono due modi per distribuirle, e non hai bisogno di MDM per usare il primo.
Come funziona
Claude Code legge la configurazione da una gerarchia di fonti di impostazioni. Il file managed-settings.json si trova in cima e non può essere sovrascritto dalle impostazioni utente o di progetto:
Priorità | Fonte | Ambito | Chi la controlla |
1 (Massima) | Impostazioni gestite (gestite dal server o dall'endpoint) | A livello aziendale | Proprietario / Proprietario principale (quando inviato dalla console di amministrazione di claude.ai) o il tuo team IT/MDM (quando distribuito come file). |
2 | Argomenti della riga di comando | Sessione | Sviluppatore |
3 | .claude/settings.local.json | Progetto (personale) | Sviluppatore |
4 | .claude/settings.json | Progetto (condiviso, in Git) | Team |
5 (Minima) | ~/.claude/settings.json | Utente (globale) | Sviluppatore |
Due modi per distribuire le impostazioni gestite
Impostazioni gestite dal server (nessun MDM richiesto): Un proprietario o proprietario principale definisce le impostazioni in Impostazioni organizzazione → Claude Code → Impostazioni gestite nella console di amministrazione. Ogni client Claude Code connesso all'organizzazione le recupera automaticamente all'avvio e le controlla ogni ora per gli aggiornamenti. Questa è la scelta giusta per le organizzazioni senza infrastruttura di gestione dei dispositivi o con utenti su dispositivi non gestiti. Scopri di più sulle impostazioni gestite dal server.
Impostazioni gestite dall'endpoint: L'IT distribuisce le impostazioni direttamente ai dispositivi, tramite criteri OS nativi (preferenze gestite macOS o il registro di Windows, tramite Jamf, Intune, Criteri di gruppo, ecc.) o come file managed-settings.json inviato ai percorsi di sistema di seguito. Proteggi il file con autorizzazioni a livello di OS in modo che gli utenti finali non possano modificarlo. Su dispositivi registrati, questo fornisce garanzie più forti rispetto alla distribuzione gestita dal server perché il sistema operativo impedisce la manomissione da parte dell'utente.
Nota: Entrambi i canali occupano lo stesso livello di priorità più alto e utilizzano lo stesso formato JSON, ma non si uniscono. La prima fonte che fornisce una configurazione non vuota vince: le impostazioni gestite dal server vengono controllate per prime, e se forniscono qualsiasi chiave, le impostazioni gestite dall'endpoint vengono ignorate completamente. Esegui /status per vedere quale fonte gestita è attiva.
Percorsi dei file (gestiti dall'endpoint)
Sistema operativo | Percorso |
macOS | /Library/Application Support/ClaudeCode/managed-settings.json |
Linux | /etc/claude-code/managed-settings.json |
Windows | C:\Program Files\ClaudeCode\managed-settings.json |
Riferimento impostazioni chiave
Queste sono le impostazioni più rilevanti per una migrazione da Console a Enterprise. Claude Code supporta molte altre: per l'elenco completo e aggiornato, consulta Impostazioni di Claude Code.
Impostazione | Scopo | Esempio |
| Blocca strumenti/comandi specifici a livello organizzativo | Bash(curl:*), Read(.env) |
| Consenti esplicitamente comandi affidabili | Bash(npm run test:*) |
| Richiedi approvazione dell'utente ogni volta | Bash(rm:*) |
| Impedisci --dangerously-skip-permissions | "disable" |
| Limita l'accesso a organizzazioni Enterprise specifiche. Accetta un UUID organizzativo o un array; l'accesso a qualsiasi altra organizzazione è bloccato. Un singolo UUID seleziona automaticamente anche tale organizzazione al login. | "298e7cb2…" |
| Forza il metodo di accesso (claudeai, console o gateway). Consigliato insieme a | "claudeai" |
| Consenti solo server MCP approvati, abbinati per nome, comando o pattern URL | [{"serverName": "github"}] |
| Blocca server MCP specifici | [{"serverName": "filesystem"}] |
| Solo le regole di autorizzazione dalle impostazioni gestite si applicano; utenti e progetti non possono aggiungere le proprie | true |
| Solo l'elenco consentito MCP gestito si applica; gli elenchi di negazione si uniscono comunque da tutte le fonti | true |
| Solo gli hook gestiti e approvati dall'amministratore vengono eseguiti | true |
| Estende l'elenco consentito | true |
| Forza la modalità sandbox | true |
| Blocca l'esecuzione non sandbox | false |
| Periodo di conservazione per i dati di sessione locali (trascritti e altri file dell'applicazione). Predefinito: 30 giorni | 7 |
| Visualizza messaggi a tutti gli utenti di Claude Code | Array di stringhe |
Distribuzione: Utilizza il tuo strumento MDM (Intune, Jamf, SCCM, Puppet, ecc.) per distribuire managed-settings.json a tutte le macchine degli sviluppatori. Proteggi il file con autorizzazioni a livello di sistema operativo in modo che gli utenti finali non possano modificarlo.
Documentazione: Impostazioni di Claude Code, Impostazioni gestite, Ambiti di installazione MCP
