このガイドでは、エンタープライズ組織のロールベースの権限を設定する手順を説明します。これにより、すべてのメンバーに同じ権限を付与するのではなく、特定のチームやメンバーグループがアクセスできる機能を制御できます。
開始する前に、以下について理解していることを確認してください:
エンタープライズプランでグループとグループ支出制限を管理する — グループの作成と管理方法
エンタープライズプランでカスタムロールを管理する — カスタムロールと機能の仕組み
開始する前に
エンタープライズ組織へのオーナーまたはプライマリオーナーアクセス権が必要です。
開始する前に、Claudeアカウントからログアウトして再度ログインしてください。これにより、更新された管理者設定サイドバーが表示され、「ユーザー」の下に新しい「グループ」と「カスタムロール」ページが表示されます。
メンバーリストをバックアップしてください。変更を加える前に、組織設定 > メンバーから現在のメンバーのCSVをエクスポートしてください。移行中に問題が発生した場合、これはアクセスを復元するための参照になります。チームプランとエンタープライズプランでメンバーを管理するを参照してください。
デュアルシートプラン:組織がデュアルシートエンタープライズプラン(チャットとチャット+Claude Codeシート付き)の場合、カスタムロールはシートレベルの制限をオーバーライドしません。チャットのみのシートに割り当てられたメンバーは、カスタムロールがそれを許可していても、Claude Codeにアクセスできません。シート割り当てを念頭に置いてロール構造を計画してください。
Okta、Entra ID、または別のプロバイダーからのアイデンティティプロバイダー(IdP)グループを使用する予定がある場合は、SCIMディレクトリ同期が設定されていることを確認してください。JITまたはSCIMプロビジョニングを設定するを参照してください。
プロビジョニングモードに関する注意:組織が「招待のみ」またはJITプロビジョニングを使用している場合、RBACには手動で作成されたグループのみを使用できます。SCIM同期グループはこれらのモードではサポートされていません。
ロール構造の計画
何かを作成する前に、各チームまたはメンバーグループがアクセスできる機能を決定してください。以下は3つの一般的なパターンです:
ベースプラス加算ロール
これはほとんどの組織に推奨されるアプローチです。ウェブ検索、メモリ、プロジェクトなどの一般的な機能を備えた「標準アクセス」ロールをすべてのユーザー向けに作成します。次に、特定の機能を付与する加算ロールを作成します。たとえば、Coworkのみを追加する「Cowork有効」ロールです。「すべてのユーザー」グループを通じてすべてのメンバーをベースロールに割り当て、特定のメンバーを追加機能をレイヤーする追加グループに追加します。
このパターンは柔軟です。権限は加算的であり、ベースロールと加算ロールを組み合わせると、競合なくきれいに構成されます。
階層ベースのロール
異なる階層を作成します:すべての機能を備えた「フルアクセス」、ほとんどの機能を備えた「標準アクセス」、最小限の機能を備えた「制限付きアクセス」。各メンバーは1つの階層に割り当てられた1つのグループに入ります。
部門ベースのロール
部門にマップするロールを作成します:Cowork、Claude Code、コード実行を備えた「エンジニアリング」、ウェブ検索、メモリ、プロジェクトを備えた「研究」、ウェブ検索とプロジェクトのみを備えた「ビジネス」。各部門グループを対応するロールに割り当てます。
ステップ1:現在の設定を監査する
注意:グループごとに制御したい機能は、組織レベルで有効にする必要があります。機能が組織レベルで無効になっている場合、カスタムロールはそれへのアクセスを許可できません。
重要:ユーザーロールを持つメンバーとは異なり、カスタムロールに割り当てられたメンバーは、組織が有効にした機能を自動的に継承しません。カスタムロールメンバーが必要とするすべての機能は、そのグループの1つに割り当てられたカスタムロールによって明示的に付与される必要があります。
ステップ2:カスタムロールを作成する
機能を有効にしたり、メンバーを移行したりする前に、カスタムロールを作成してください。これにより、機能がオンになった瞬間にアクセスを強制する準備ができます。
組織設定 > カスタムロールに移動してください。
「+ ロールを追加 」をクリックしてください。
ロールに名前を付け、適切な機能を切り替えてください。
「ロールを追加」をクリックしてください。
計画内の各ロールについて繰り返してください。
利用可能な機能の詳細については、エンタープライズプランでカスタムロールを管理するを参照してください。
ステップ3:グループを作成してロールを割り当てる
組織設定 > グループに移動してください。
「グループを追加」をクリックして、計画内の各チームまたは階層のグループを作成してください。
適切なグループにメンバーを追加してください。
各グループをステップ2で作成したカスタムロールに割り当ててください。
SCIMディレクトリ同期を使用する場合は、手動で作成する代わりに、アイデンティティプロバイダーからグループを同期できます。SCIMグループ同期の詳細については、エンタープライズプランでグループとグループ支出制限を管理するを参照してください。
同じ親組織の下にある複数の組織:グループは親組織レベルで管理され、すべての子組織に伝播します。グループに他の組織のメンバーが表示される場合がありますが、これは彼らが組織にアクセスできることを意味しません。グループに割り当てられたカスタムロールは、特定の組織の一部であるメンバーにのみ機能を付与します。
ステップ4:グループとロール割り当てを確認する
メンバーをカスタムロールに移行する前に、移行を計画しているすべてのメンバーが、カスタムロールに割り当てられた少なくとも1つのグループに属していることを確認してください。グループまたはロールカバレッジなしで移行されたメンバーは、管理されているすべての機能へのアクセスを失います。
組織設定 > メンバーに移動してください。
ロールとグループフィルターを使用して、グループに割り当てられていないメンバーを特定してください。
または、「CSVをエクスポート」をクリックして、ロールとグループ列を含む完全なメンバーリストをダウンロードして確認してください。
続行する前に、割り当てられていないメンバーを適切なグループに追加してください。
ステップ5:メンバーをカスタムロールに移行する
カスタムロール機能を有効にするには、メンバーのロールを「カスタムロール」に設定する必要があります。ユーザー、管理者、またはオーナーロールを持つメンバーは、カスタムロールではなく、これらのロールから直接権限を取得します。
重要: このステップは、カスタムロールを作成し、グループを作成し、すべてのメンバーがグループに割り当てられていることを確認した後(ステップ2~4)にのみ完了してください。セットアップが完了する前にカスタムロールに移行されたメンバーは、すべての管理対象機能へのアクセスを即座に失います。
組織がグループマッピングを既に有効にしているかどうかに基づいて、移行パスを選択してください:
パスA:グループマッピングを有効にする(既に使用中の場合のみ)
このパスは、組織がロール割り当てのためにグループマッピングを既に有効にしている場合にのみ使用してください。この設定をまだ使用していない場合は、パスBにスキップしてください。
「組織設定」>「ID とアクセス」に移動します。
ロールマッピングセクションで、カスタムロールで管理する IdP グループを「カスタムロール」ロールに割り当てます。
変更を保存します。これらの IdP グループ内のメンバーは、次の同期時にカスタムロールに移行されます。
カスタムロールにマップされた IdP グループ内のメンバーは、Claude 内のグループに割り当てられたカスタムロールの権限に従います。ユーザーにマップされた IdP グループ内のメンバーは、組織レベルの機能設定に従います。メンバーが両方のマッピング全体のグループに属している場合、カスタムロールが優先されます。
パスB:一括割り当てツール
組織がグループマッピングを有効にしていない場合は、このパスを使用してください。
警告: グループマッピングをまだ有効にしていない場合は、RBAC セットアップ中に有効にしないでください。マップされたグループにすべてのメンバーを最初に割り当てずに有効にすると、メンバーが組織へのアクセスを失う可能性があります。
「組織設定」>「メンバー」に移動します。
「ロール」フィルターと「グループ」フィルターを使用して、移行するメンバーを選択します。
メンバーテーブルの一括割り当てツールを使用して、選択したメンバーのロールを「カスタムロール」に変更します。
まずパイロットグループ(1つのチームまたは部門)を移行し、組織の残りの部分に拡大する前にアクセスが正しいことを確認することをお勧めします。
段階的なロールアウト
どのパスを使用する場合でも、段階的に移行することをお勧めします:
1つのチームまたは部門のパイロットグループから始めます。
移行後、パイロットグループが、グループとロール割り当てに基づいて正しい機能アクセスを持っていることを確認します。
何か問題がある場合は、調整中に影響を受けたメンバーを以前のロールに戻します。
セットアップが機能することを確認したら、より多くのメンバーに拡大します。
ステップ6:組織レベルで機能を有効にする
ロール、グループ、およびメンバー移行が完了した後にのみ、組織レベルの機能を有効にしてください。これにより、カスタムロール機能が既に配置されており、権限のないメンバーが機能にアクセスできるウィンドウがないことが保証されます。
グループごとに制御する機能の場合:
「組織設定」内の機能の設定ページに移動します(例:「組織設定」>「Cowork」)。
組織レベルで機能を有効にします。
組織レベルで機能を有効にすることは、すべてのユーザーがそれを取得することを意味しません。カスタムロール権限は既に配置されており、誰がそれを使用できるかを制御します。組織レベルのトグルを「すべてのユーザーに対してオン」ではなく「ロールベースの割り当てに利用可能」と考えてください。
ステップ7:確認と監視
スポットチェックアクセス:各グループから数人のメンバーをチェックして、正しい機能が表示されていることを確認します。
制限された状態をテストする:Cowork などの機能を持つべきではないメンバーとしてログインします(またはそのメンバーに依頼します)。「このフィーチャーへのアクセスをリクエストするには、管理者に連絡してください」というメッセージが表示されて、グレーアウトされているはずです。
付与された状態をテストする:機能を持つべきメンバーが正常に機能しているのを確認します。
エッジケースをチェックする:複数のグループに属するメンバー、グループを持たないメンバー、SSO 経由で参加する新しいメンバーをテストします。
権限の変更がプラットフォーム全体で完全に同期されるまでに最大5分かかります。メンバーは、更新されたアクセスを確認するためにブラウザーをリフレッシュする必要がある場合があります。
ロールベースの機能で SCIM を使用する
SCIM は、一緒に機能する2つのメカニズムを通じてロールベースの機能に接続します。
IdP グループからロールへのマッピング
これは、メンバーがプロビジョニングされるときに取得する組み込みロールを制御します。IdP グループを「カスタムロール」にマップして、新しいメンバーのアクセスがカスタムロール機能によって自動的に管理されるようにします。
「組織設定」>「ID とアクセス」に移動します。
ロールマッピングテーブルで、IdP グループを「カスタムロール」にマップします。
グループ同期
これにより、IdP グループが Claude に取り込まれ、カスタムロールに割り当てることができます。
「組織設定」>「グループ」に移動します
SCIM 同期セクションで「更新を確認」をクリックします。
グループ、メンバー、または両方を同期するよう求められたら、グループのみを選択します。メンバーの同期は、プロビジョニングとメンバーアクセスに影響を与える可能性があります。
IdP グループはリストに SCIM ソース グループとして表示されます。
手動で作成されたグループと同じように、SCIM グループをカスタムロールに割り当てます。
IdP では、RBAC または支出制限に実際に使用する予定のグループのみをプッシュしてください。すべての IdP グループを同期すると、グループセクションのページ読み込みが遅くなる可能性があります。
注: カスタムロール権限は、「組織設定」>「組織」で「カスタムロール」が選択されているメンバーにのみ適用されます。グループからロールへのマッピングを通じて IdP グループを別のロール(ユーザーなど)にマップしても、同じ SCIM グループをカスタムロールに割り当てた場合、カスタムロールの権限は効果がありません。メンバーは、割り当てられたロールから権限を取得します。カスタムロールを使用するには、IdP グループが「カスタムロール」にマップされていることを確認してください。
SCIMによる継続的な管理
メンバーに機能へのアクセスを許可するには、適切なIdPグループに追加します。次の同期時に、そのグループに割り当てられたカスタムロールを取得します。
アクセスを取り消すには、IdPグループから削除します。次の同期時に、権限が削除されます。
グループセクションの「SCIM同期」をクリックして、次のスケジュール済み同期を待つのではなく、即座に同期を強制します。
ロールバック計画
移行後にロール構造が誤って設定されていることに気付いた場合:
移行の一部として有効にされた組織レベルの機能をすべてオフにします。
影響を受けたメンバーを以前の組み込みロール(例:ユーザー)に変更します。
そのロールから静的権限が即座に復元され、カスタムロール権限の適用が停止されます。
必要に応じてロールとグループを調整してから、再度移行します。
セットアップ中にグループマッピングを有効にしてから管理者アクセスを失った場合は、JITまたはSCIMプロビジョニングの設定の「グループマッピングを有効にした後、管理者/所有者アクセスを失いました。」の回復手順に従ってください。
よくある質問
一部のメンバーだけが機能を持つようにしたい場合、組織レベルで機能を有効にする必要がありますか?
はい。カスタムロールがメンバーごとのアクセスを制御するには、組織レベルのトグルがオンになっている必要があります。機能が組織レベルでオフの場合、ロールに関係なく誰もアクセスできません。メインスイッチと考えてください。カスタムロールはその下でアクセスを取得する人を制御します。
「カスタムロール」に設定されたメンバーがどのグループにも属していない場合はどうなりますか?
カスタムロール権限がないため、権限が必要なすべての機能がグレーアウトまたは非表示になります。「カスタムロール」に設定されたすべてのメンバーが、カスタムロールに割り当てられた少なくとも1つのグループに属していることを確認してください。
組み込みロールとカスタムロールの両方を使用できますか?
はい。ユーザー、管理者、または所有者のロールを持つメンバーは、それらのロールから直接権限を取得するため、カスタムロール権限の影響を受けません。カスタムロールに設定されたメンバーのみがグループとロールシステムによって制御されます。これにより段階的な移行が可能になります。
メンバーが異なるロールを持つ2つのグループに属している場合はどうなりますか?
権限は加算的です。メンバーのチェーン内のいずれかのロールが機能を付与する場合、メンバーはそれを持っています。別のロールによって付与された権限を削除するためにロールを使用することはできません。
SCIMグループと手動グループを一緒に使用できますか?
はい。両方のタイプをカスタムロールに割り当てることができます。違いは、SCIMグループメンバーシップはアイデンティティプロバイダーで管理され、手動グループメンバーシップはClaudeの組織設定で管理されることです。
所有者とプライマリ所有者はカスタムロール権限の影響を受けますか?
いいえ。所有者とプライマリ所有者は常にすべての機能へのフルアクセスを持っています。
これは親組織と子組織全体でどのように機能しますか?
グループとSCIM同期は親組織レベルで管理され、すべての子組織全体で共有されます。ロールと支出制限の割り当ては各子組織で独立して設定されます。1つの子組織での変更は他の組織に影響しません。グループメンバーシップの変更とSCIM再同期は、同じ親の下のすべての子組織全体に伝播します。