カスタムロールはエンタープライズプラン組織で利用できます。オーナー、プライマリオーナー、およびIdentity & Access権限が「管理可能」に設定されたカスタムロールは、Organization settings > Rolesに移動してカスタムロールを管理できます。
カスタムロールとは何ですか?
カスタムロールを使用すると、メンバーがアクセスできる機能を定義できます。各カスタムロールには、チャット、Claude Cowork、Claude Code、ウェブ検索などの特定の機能へのアクセスを許可または制限する権限セットが含まれています。また、組織が追加したSlackやGoogle Driveなどのコネクタも含まれます。カスタムロールは管理者権限も付与でき、メンバーに請求、ID、プライバシーなどの特定の管理領域へのアクセスを与えることができます。ただし、オーナーにはなりません。
カスタムロールはグループと連携して機能します。一般的なワークフローは、カスタムロールを作成し、グループに割り当て、メンバーのロールを「カスタム」に設定して、アクセスがグループに割り当てられたカスタムロールによって完全に管理されるようにすることです。
注:カスタムロールは、ロールが「カスタム」に設定されているメンバーにのみ影響します。ユーザー、管理者、またはオーナーのロールを持つメンバーは、カスタムロールではなく、それらのロールから直接権限を取得します。
機能アクセスの仕組み
機能アクセスは4段階の優先順位チェーンによって決定され、最も制限的なレベルが優先されます:
プラットフォームレベルのオーバーライド:一部の機能は、契約の一部としてAnthropicによって組織に対して強制的に有効または無効にされる場合があります。これらは組織設定で変更することはできません。
組織レベルの設定:オーナーまたはプライマリオーナーは、組織全体の機能をオン/オフに切り替えることができます。機能が組織レベルで無効になっている場合、カスタムロールはそれへのアクセスを許可することはできません。
カスタムロール権限:機能が組織レベルで有効になっている場合、メンバーのカスタムロールがそれにアクセスできるかどうかを決定します。メンバーのカスタムロールのいずれかが機能を許可している場合、メンバーはそれを持っています。
ユーザーレベルの設定:機能がロールレベルで付与されている場合、メンバーが自分の設定で無効にしていない限り、利用可能です。
重要なポイント:組織レベルのトグルはメインスイッチです。カスタムロールはその下のメンバーごとのスイッチです。カスタムロールがアクセスを制御する前に、機能は組織レベルで有効にする必要があります。
注:この優先順位チェーンは機能に適用されます。管理者権限は、組織レベルのトグルやメンバー自身の設定によってゲートされません。メンバーのカスタムロールが管理者権限を付与している場合、メンバーはそのアクセス権を持っています。
利用可能な機能
各カスタムロールは、以下の機能へのアクセスを許可または制限できます:
機能 | 説明 |
チャット | ウェブ、デスクトップ、モバイルアプリでのチャットへのアクセス。 |
コード実行とファイル作成 | 会話でコードを実行し、ファイルを作成する機能。 |
メモリ | 会話全体でメモリを使用する機能。 |
ウェブ検索 | 会話でウェブ検索を使用する機能。 |
公開プロジェクト | 組織内のすべてのユーザーとプロジェクトを共有する機能。 |
スキルを作成 | カスタムスキルを作成またはアップロードする機能。 |
組織メンバーとスキルを共有 | 組織内の特定のユーザーとスキルを共有する機能。 |
組織全体とスキルを共有 | 組織内のすべてのユーザーと一度にスキルを共有する機能。 |
Claude Code | Claude Codeへのアクセス。 |
高速モード | Claude Codeのより高速なモデルオプションへのアクセス。 |
Claude Code動的ワークフロー* | Claude Codeの動的ワークフローへのアクセス。これにより、Claudeは大規模なエンジニアリングタスク(マイグレーション、監査、コードベース全体のバグ検索)を1つのセッションで最初から最後まで実行できます。これらの実行は数時間続く可能性があり、通常のセッションよりも多くのトークンを使用します。 |
Claude Security | Claudeを使用してコード内のセキュリティ脆弱性を検出して修正します。 |
Claude Codeアーティファクト | Claude Codeでアーティファクトを作成する機能。セッションの作業をセッションのコンテキストから構築されたライブで共有可能なページに変換します。 |
Claude Design | デザインアーティファクトを生成するためにClaude Designにアクセスします。 |
Claude Cowork | Claude Coworkへのアクセス。 |
Claude for Chrome | Chrome用のClaudeへのアクセス。ユーザーに代わってClaudeがウェブページを閲覧して操作できるブラウザ拡張機能です。 |
*Claude Codeの動的ワークフローは、デフォルトで組織全体で有効になっています。1回の実行が数時間続き、通常のセッションより多くのトークンを使用する可能性があるため、どのロールがアクセス権を持つべきかを決定してください。カスタムロールのメンバーの場合、この機能は他の機能と同様に加算モデルに従います。ロールがこの機能を付与する必要があります。特定のグループを制限するには、そのロールでこの機能をオフのままにしてください。
これはmanaged-settings.jsonを使用して組織全体で無効にでき、マネージド設定に"disableWorkflows": trueを追加することで実現できます。
オーナーは、組織設定 > Claude Codeに移動して、ワークフローをオフに切り替えることで、組織全体でこれをオフにできます。
カスタムロールは、管理者権限、コネクタ、およびモデルアクセスも管理します。これらはロールエディタの別々の権限、コネクタ、およびモデルタブで設定されます。以下の管理者権限、コネクタ権限、およびモデルアクセスを参照してください。
注:チャットはデフォルトですべてのカスタムロールで有効になっています。この機能が追加される前に作成されたロールを含みます。特定のロールのチャットを制限したい場合は、ロールを編集するときにオフに切り替えてください。
カスタムロールを作成する
組織設定 > ロールに移動します。
「ロールを追加」をクリックします。
ロールの名前を入力します(例:「開発者」、「標準アクセス」、または「制限付き」)。
ロールに割り当てるグループを選択します。
各機能をオンまたはオフに切り替えて、このロールが付与する内容を定義します。
権限を設定します。各管理設定に対して、アクセスなし、表示可能、管理可能から選択できます。
コネクタを設定します。すべてのコネクタに対して常に許可、承認が必要、またはブロックを選択するか、コネクタまたはコネクタツールごとにカスタマイズできます。
モデルを設定します。このロールが使用できるモデルを選択し、必要に応じてモデルごとに最大努力レベルを設定し、必要に応じてロールのデフォルトモデルを選択します。
「ロールを保存」をクリックします。
カスタムロールを編集する
組織設定 > ロールに移動します。
編集するロールをクリックします。
名前とグループを更新するか、必要に応じて機能、権限、コネクタ、およびモデルを切り替えます。
「ロールを保存」をクリックして変更を保存します。
ロールの変更が有効になるまで最大15分かかる場合があり、メンバーはブラウザを更新する必要がある場合があります。このロールに割り当てられたグループ内のすべてのメンバーが影響を受けます。
カスタムロールを削除する
任意のカスタムロールのメニューボタンをクリックして、「ロールを削除」を選択します。ロールを削除すると、そのロールが割り当てられていたすべてのグループからその権限が削除されます。これらのグループ内のメンバーは、ロールが付与した権限を失います。ただし、チェーン内の別のロールもそれらを付与している場合を除きます。
カスタムロールにグループを割り当てる
カスタムロールは個々のメンバーではなくグループに割り当てられます。グループをロールに割り当てるには:
組織設定 > ロールに移動します。
割り当てるロールをクリックします。
グループセレクタで、1つ以上のグループを選択します。
「ロールを保存」をクリックします。
組織設定 > グループでグループを作成または編集するときに、カスタムロールを割り当てることもできます。エンタープライズプランでグループとグループ支出制限を管理するを参照してください。
複数のロール間で権限がどのように組み合わされるか
メンバーが異なるカスタムロールを持つ複数のグループに属している場合、その権限は加算的です。チェーン内のすべてのロールからのすべての権限の和集合を取得します。いずれかのロールが機能を付与する場合、メンバーはそれにアクセスできます。
これは、別のロールによって付与された権限を削除するために1つのロールを使用できないことを意味します。これは設計上の意図です。ベースロールが共通機能をカバーし、追加のロールが特定の機能と管理者権限をレイヤーする階層化されたアプローチを可能にします。
例:メンバーは2つのグループに属しています。「すべてのユーザー」グループには、ウェブ検索とメモリを備えた「標準アクセス」ロールが割り当てられています。「エンジニアリング」グループには、Coworkとclaude Codeを備えた「開発者」ロールが割り当てられています。メンバーは4つすべてを取得します:ウェブ検索、メモリ、Cowork、およびClaude Code。
メンバーまたはグループの有効なロールを表示する
メンバーが異なる機能を付与するロールを持つ複数のグループに属している場合、実際に何ができるかを判断するのは難しい場合があります。「有効なロールを表示」オプションは、結合された結果を表示します。メンバーが持つすべての機能、管理者権限、およびコネクタと、それぞれを付与するロール。
組織設定 > メンバー(または組織設定 > グループ)に移動します。
メンバーまたはグループを見つけて、その行の右側にある「⋮」メニューを開きます。
「有効なロールを表示」を選択します。
モーダルにはメンバーの割り当てられたロールと3つのタブが表示されます:
機能:各機能に「[ロール名]によって付与」ラベルが付いており、どのロールがそれをオンにしたかを示しています。
権限:各管理権限エリアとその有効レベル(アクセスなし、表示可能、または管理可能)およびそれを付与するロール。
コネクタ:各コネクタの有効な権限レベルとそれを付与するロール。
このビューは読み取り専用です。メンバーが何ができるかを変更するには、そのグループに割り当てられたロールを編集します。
注:「有効なロールを表示」は、ロールが「カスタム」に設定されており、グループを通じて少なくとも1つのカスタムロールが割り当てられているメンバーにのみ表示されます。組み込みロール(ユーザー、管理者、オーナー、またはプライマリオーナー)を持つメンバーは、そのロールから直接権限を取得するため、計算するものはありません。
管理者権限
カスタムロールは、機能とコネクタ権限に加えて、管理者権限を付与できます。管理者権限は、メンバーに請求やプライバシーなどの特定の管理領域へのアクセスを提供し、オーナーにする必要はありません。ロールエディタの権限タブで管理者権限を設定できます。
注:管理者権限は、ロールが「カスタム」に設定されているメンバーにのみ適用されます。ユーザー、管理者、オーナー、またはプライマリオーナーロールを持つメンバーは、これらのロールが付与するアクセスを保持します。
管理者権限レベル
権限タブで、各権限エリアを3つのレベルのいずれかに設定します。
アクセスなし: メンバーは組織設定でこのエリアを表示されません。
表示可能: 表示は読み取り専用アクセスを付与します。メンバーは、そのエリアを管理できるユーザーと同じページと設定を表示しますが、すべてのコントロールは無効化されるか読み取り専用として表示されます。このアクセス権限レベルは、コンプライアンスレビュアー、財務監査人、セキュリティチーム、または設定を変更せずに確認する必要があるユーザーに使用してください。
管理可能: 管理はエリアへの完全な読み取り・書き込みアクセスを付与し、表示アクセスも含みます。
エリア内では、表示または管理のすべてを付与します。個別のページまたは設定を付与または制限することはできません。
利用可能な管理者権限
7つの管理者権限エリアがあります。
エリア | 表示 | 管理 |
ID & アクセス | SSO と SAML 設定、確認済みドメイン、ドメインメンバーシップ、IP許可リスト、セッション設定、グループ定義、ロール定義、およびプロビジョニング設定 | SSO を編集、ドメインを管理、IP許可リストを編集、セッション設定を編集、グループとロールを作成・編集、およびプロビジョニングを設定 |
請求 | プラン詳細、シート数、請求書、請求先住所、および使用支出 | シートを変更、支払い方法を更新、請求先住所を編集、および支出制限と追加使用を設定 |
分析 | 使用分析、Claude Code 分析、および機能採用メトリクス | 利用不可 |
プライバシー | データ保持設定、エクスポート設定、共有設定、地理的位置情報設定、US のみ推論設定、および暗号化キーステータス | 保持期間を編集、データエクスポートを実行、共有設定を変更、および地理的位置情報、US のみ推論、および暗号化を設定 |
ユーザー管理 | 利用不可 | メンバーを招待、メンバーロールを変更、メンバーを削除、および保留中の招待を管理 |
ライブラリ | 利用不可 | 組織共有スキル、プラグイン、およびコネクタを追加・編集・削除します。ディレクトリ管理も含みます。 |
ディレクトリ管理 | 利用不可 | ディレクトリリスティングを送信・管理し、組織が公開したリスティングの可観測性を表示 |
注: ID & アクセスが「管理可能」に設定されたロールは、グループとロール(独自のロール定義を含む)を作成・編集できます。このアクセス権限を持つメンバーは独自のアクセスを拡張できるため、信頼できるセキュリティおよび IT 管理者に限定してください。
各権限で利用可能な組織設定ページ
組織設定ページ | 必要な権限 | 注 |
請求 | 請求(表示または管理) | プラン、シート、住所、および請求書 |
使用 | 請求(表示または管理) | 支出制限、クレジット、および追加使用 |
メンバー | ユーザー管理(管理) | 表示のみモードなし |
グループ | ID & アクセス(表示または管理) |
|
ロール | ID & アクセス(表示または管理) |
|
モデル | アイデンティティとアクセス(表示または管理) | デフォルトモデルとモデルアクセス |
組織とアクセス(部分的) | アイデンティティとアクセス(表示または管理) | シングルサインオン(SSO/SAML、グループマッピング、プロビジョニング)、検証済みドメインとドメインメンバーシップ、IPアローリスト、セッション設定、組織作成の制限、および組織マージリクエストのロック解除。このページの他のセクション(組織名、デフォルト機能設定、組織全体のシステムプロンプトなど)には、引き続きオーナーロールが必要です |
データとプライバシー | プライバシー(表示または管理) |
|
分析 | 分析(表示) | ユーザーメニューの分析からアクセスでき、組織設定からはアクセスできません |
スキル | ライブラリ(管理) |
|
プラグイン | ライブラリ(管理) |
|
コネクタ | ライブラリ(管理) |
|
ディレクトリ | ディレクトリ管理(管理) |
|
管理者権限でカバーされていないもの
以下は、管理者権限を持つメンバーであっても、オーナーとプライマリオーナーのみが利用できます:
オーナーと管理者の管理。管理者権限では、オーナー、管理者、またはプライマリオーナーの組み込みロールを付与または取り消すことはできません。オーナーのみが他のオーナーを管理できます。
APIキーとワークスペース。APIキー管理、ワークスペース設定、およびClaudeコンソール管理は、管理者権限でカバーされていません。
コンプライアンスとセキュリティキー。コンプライアンスAPI設定とセキュリティキー管理はオーナーのみです。
組織レベルの機能設定。組織レベルで有効になっている機能は別途管理され、管理者権限の一部ではありません。
管理者権限が制限されている場合、メンバーに表示される内容
メンバーが特定の管理者権限にアクセスできない場合、そのセクションは組織設定に表示されません。権限でカバーされているセクションのみが表示されます。
コネクタ権限
カスタムロールは、ロールが使用できるコネクタと、それらのコネクタ上のツールも制御します。機能がClaudeの組み込み機能をカバーする場合、コネクタ権限は、Slack、Google Drive、Jiraなど、組織に接続したアプリとサービスをカバーします。ロールエディタのコネクタタブで、機能タブと権限タブの隣に設定します。
注:コネクタ権限は、ロールが「カスタム」に設定されているメンバーにのみ適用されます。ユーザー、管理者、またはオーナーロールを持つメンバーは、組織全体のツールポリシーに従い、組織で有効になっているすべてのコネクタを表示します。オーナーと管理者は、ロールのコネクタ権限に関係なく、設定できるようにすべてのコネクタを常に表示します。
権限レベル
コネクタタブで、すべてのコネクタ、各コネクタ、またはコネクタ上の各ツールを、3つのレベルのいずれかに設定します:
常に許可:コネクタ上のすべてのツールが利用可能で、メンバーは個人の承認を「常に許可」に設定して、呼び出しごとの確認をスキップできます。
承認が必要:すべてのツールが利用可能ですが、メンバーは各呼び出しを確認します。これらのツールの個人承認メニューから「常に許可」オプションが削除されます。
ブロック:コネクタまたはツールは非表示です。Claudeはそれを表示または呼び出すことはできません。
コネクタはカスタムに設定することもでき、各ツールを個別に設定できます。完全なセットアップについては、エンタープライズプランでロールベースの権限を設定するを参照してください。
コネクタアクセスの決定方法
コネクタまたはツールがメンバーによって使用される前に、複数のレイヤーを通過し、この順序で評価されます:
ロール付与。ロール上の各コネクタまたはツールは、「常に許可」、「承認が必要」、または「ブロック」に設定されます。
メンバーのロール全体。メンバーのグループが複数のロールを与える場合、各ツールの最も許可的な付与が適用されます。コネクタ権限は機能と同じようにロール全体で加算されます。
組織全体のツールポリシー。組織設定 > コネクタの下で設定するコネクタごとのツールポリシーは上限です。各ツールについて、Claudeはメンバーのロール付与をこのポリシーと比較し、より厳しい方を適用します。ロール付与はポリシー内でアクセスを制限します。ポリシーを超えて拡大することはできません。ツールアクセスの設定の詳細については、コネクタを使用してClaudeの機能を拡張するを参照してください。
メンバー自身の設定。上記のステップの結果は、メンバーの有効な上限です。個人のツールごとの承認メニュー(「常に許可」、「確認」、または「許可しない」)のオプションを制限します。「承認が必要」の上限は「常に許可」を削除します。「ブロック」の上限はツールをグレーアウトします。
Claude Codeを使用しているメンバーの場合、さらに1つのレイヤーが適用されます:管理設定ポリシーとコネクタ権限は最も制限的なもので構成されます。ツールは両方が許可する場合にのみプロンプトなしで呼び出し可能です。詳細については、Claude Code設定を参照してください。
この表は、組織全体のツールポリシーとメンバーのロール付与がどのように組み合わされるかを示しています:
組織全体のツールポリシー | メンバーのロール全体での最高ロール付与 | 有効な上限 | メンバーの個人オプション |
常に許可 | 常に許可 | 常に許可 | 常に許可、確認、禁止 |
常に許可 | 承認が必要 | 承認が必要 | 確認、禁止 |
常に許可 | ブロック | ブロック | ツールがグレーアウト |
承認が必要 | 常に許可 | 承認が必要 | 確認、禁止 |
承認が必要 | ブロック | ブロック | ツールがグレーアウト |
ブロック | 任意 | ブロック | ツールがグレーアウト |
コネクタ権限が適用される場所
コネクタ権限はAnthropicのサーバーで実行されるため、Anthropicを通じてコネクタトラフィックをルーティングするすべてのClaudeサーフェスに適用されます:
サーフェス | カバレッジ |
ウェブおよびデスクトップ上のClaude | 完全に実行されます。ブロックされたコネクタは非表示になり、ブロックされたツールはグレーアウトされ、個人承認メニューは上限で許可されたものに制限されます。 |
Claude Mobile (iOSおよびAndroid) | 実行されます。ブロックされたツールはClaudeのビューから削除され、それらへの呼び出しは拒否されます。ブロックされたツールはインターフェースの更新が配信されるまでモバイルコネクタ設定でアクティブに見える場合がありますが、使用することはできません。 |
Claude Cowork (クラウドおよびデスクトップ) | ウェブと同じです。 |
Claude Code | 実行されます。ブロックされたツールは拒否され、無効として表示されます。Claude Code設定を参照してください。 |
コネクタ権限は、組織設定 > コネクタの下に組織が追加したコネクタを管理します。メンバーが自分のマシンでローカルに実行するコネクタを管理することはなく、サードパーティプラットフォームにデプロイされたClaude Coworkを管理することもありません。サードパーティのCoworkデプロイメントの場合は、代わりにMDMを使用してください。Cowork on 3P: MCP、プラグイン、スキル、フックを参照してください。
コネクタが制限されている場合にメンバーが見るもの
制限 | メンバーが見るもの |
コネクタが自分のロールに対してブロックされている | コネクタはコネクタメニューに表示されません。 |
表示されているコネクタ上のツールがブロックされている | ツールはコネクタ設定でグレーアウトされ、「このツールはあなたのロールに対して有効になっていません。管理者に連絡してください。」というメッセージが表示されます。 |
ツールが「承認が必要」に制限されている | ツールは機能しますが、個人承認メニューは「確認」と「禁止」のみを提供し、Claudeは各呼び出しの前に確認します。 |
コネクタ権限が一時的に読み込めない | バナーはコネクタが読み込めなかったことを報告し、再試行します。ブロックされたツールが接続されたサービスに到達することはありません。アクセスは許可に向かってではなく、拒否に向かって失敗します。 |
メンバーはどのレイヤーがツールを制限したかを判断できません。制限が組織全体のツールポリシー、ロール付与、またはその両方から来ているかどうかに関わらず、メッセージは同じです。ソースを見つけるには、組織全体のポリシーとメンバーのロール付与を比較してください。
モデルアクセス
カスタムロールは、ロールが使用できるClaudeモデルと、メンバーが各モデルで選択できる最大努力レベルも制御します。これらはロールエディターのモデルタブで、ロールのデフォルトモデルと一緒に設定します。
組織レベルのモデル設定が上限です。ロールは組織レベルで無効になっているモデルを付与することはできません。メンバーのロール全体では、モデルアクセスは加算的であり、努力制限はいずれかのロールが許可する最高の上限を取ります。Haikuモデルは常に利用可能であり、無効にすることはできません。
セットアップ手順とメンバーが見るものについては、組織のモデルアクセスを管理するを参照してください。デフォルトモデルの動作については、組織のデフォルトモデルを設定するを参照してください。
メンバーが機能アクセスを制限されたときに表示される内容
機能が制限されている場合、メンバーに表示される内容は以下の通りです。コネクタとツールの制限については、上記のコネクタ権限を参照してください。
理由 | メンバーに表示される内容 |
機能が組織レベルで無効になっている | 機能がグレーアウトまたは非表示になり、「この機能は組織では無効になっています。」というメッセージが表示されます。 |
メンバーのロールがこの機能へのアクセス権を付与していない | 機能がグレーアウトまたは非表示になり、「この機能へのアクセスをリクエストするには、管理者に連絡してください。」というメッセージが表示されます。 |
メンバーのロールが製品へのアクセス権を付与していない | メンバーがサインインすると設定ページに移動し、使用可能な製品がありません。 |
