このガイドでは、エンタープライズ組織のロールベースの権限を設定する手順を説明します。これにより、すべてのメンバーに同じ権限を付与するのではなく、特定のチームやメンバーグループがアクセスできる機能を制御できます。
開始する前に、以下について理解していることを確認してください:
エンタープライズプランでグループとグループ支出制限を管理する — グループの作成と管理方法
エンタープライズプランでカスタムロールを管理する — カスタムロールと機能の仕組み
開始する前に
エンタープライズ組織へのオーナーまたはプライマリオーナーアクセス権が必要です。
組織レベルで有効になっている機能を確認します。組織設定に移動して、メンバーが現在アクセスできる機能を確認します。RBACで管理される設定の場合、ユーザーがアクセスするには、組織設定とロール設定の両方がオンになっている必要があります。
メンバーリストをバックアップします。組織設定 > メンバーから現在のメンバーのCSVをエクスポートしてから、変更を加えます。移行中に問題が発生した場合、これはアクセスを復元するための参照になります。チームプランとエンタープライズプランでメンバーを管理するを参照してください。
各機能が必要なチームまたは機能を決定します。たとえば、エンジニアリングはClaude Code + Fast Modeを取得し、マーケティングはCowork + Web Searchを取得します。ここから、カスタムロールを定義します。
デュアルシートプラン。組織がデュアルシートエンタープライズプラン(ChatとChat + Claude Codeシート付き)の場合、カスタムロールはシートレベルの制限をオーバーライドしません。Chatのみのシートに割り当てられたメンバーは、カスタムロールがそれを許可していても、Claude Codeにアクセスできません。逆も同じです。メンバーのカスタムロールがチャット機能を許可していない場合、シートタイプに関係なくチャットアクセスがありません。シート割り当てを念頭に置いてロール構造を計画してください。
注:「Chat + Claude Code」はレガシーデュアルシートプランのシートタイプを指します。カスタムロール内の「チャット」機能は別です。これは、任意のプランで「カスタムロール」に設定されているロールを持つメンバーのチャットアクセスを管理します。
グループの作成方法を決定します。Claudeでグループを手動で作成するか、SCIM経由でアイデンティティプロバイダー(IdP)から同期できます。両方の方法を同時に使用することもできます。OktaやEntra IDなどのプロバイダーからIdPグループを使用する予定がある場合は、SCIM ディレクトリ同期が設定されていることを確認してください。JITまたはSCIMプロビジョニングを設定するを参照してください。
ロール構造の計画
何かを作成する前に、各チームまたはメンバーグループがアクセスすべき機能を決定します。一般的な3つのパターンを以下に示します:
ベースプラス加算ロール
これはほとんどの組織に推奨されるアプローチです。Webサーチ、メモリ、プロジェクトなどの一般的な機能を備えた「標準アクセス」ロールをすべてのユーザー向けに作成します。次に、特定の機能を付与する加算ロールを作成します。たとえば、Coworkのみを追加する「Cowork有効」ロール。「すべてのユーザー」グループを通じてすべてのメンバーをベースロールに割り当て、特定のメンバーを追加の機能を層状に追加するグループに追加します。
このパターンは柔軟です。権限は加算的であり、ベースロールと加算ロールを組み合わせると、競合なくきれいに構成されます。
階層ベースのロール
異なる階層を作成します:すべての機能を備えた「フルアクセス」、ほとんどの機能を備えた「標準アクセス」、最小限の機能を備えた「制限付きアクセス」。各メンバーは、1つの階層に割り当てられた1つのグループに正確に入ります。
部門ベースのロール
部門にマップするロールを作成します:チャット、Cowork、Claude Code、コード実行を備えた「エンジニアリング」。チャット、Webサーチ、メモリ、プロジェクトを備えた「リサーチ」。チャット、Webサーチ、プロジェクトのみを備えた「ビジネス」。各部門グループを対応するロールに割り当てます。
ステップ1:現在の設定を監査する
組織設定 > 機能で、組織レベルで現在有効または無効になっている機能を確認します。
組織設定 > メンバーに移動して、メンバーリストをエクスポートまたは確認します。
各メンバーの現在の組み込みロール(ユーザー、管理者、またはオーナー)をメモします。
各チームまたは部門について、アクセスが必要な機能を決定します。
覚えておいてください:グループごとに制御したい機能は、組織レベルで有効にする必要があります。機能が組織レベルでオフになっている場合、カスタムロールはそれへのアクセスを許可できません。
重要:ユーザーロールを持つメンバーとは異なり、カスタムロールに割り当てられたメンバーは、組織で有効になっている機能を自動的に継承しません。カスタムロールメンバーが必要とするすべての機能は、そのグループの1つに割り当てられたカスタムロールによって明示的に付与される必要があります。
ステップ2:カスタムロールを作成する
機能を有効にしたり、メンバーを移行したりする前に、カスタムロールを作成します。これにより、機能がオンになった瞬間にアクセスを強制するロールの準備ができます。
組織設定 > カスタムロールに移動します。
「ロールを追加」をクリックします。
ロールに名前を付けて、適切な機能を切り替えます。
「ロールを追加」をクリックします。
計画内の各ロールについて繰り返します。
カスタムロールへの変更は、伝播するのに最大5分かかる場合があります。メンバーは、更新されたアクセスを表示するためにブラウザーをリフレッシュする必要がある場合があります。
利用可能な機能の詳細については、エンタープライズプランでカスタムロールを管理するを参照してください。
ステップ3:グループを作成してロールを割り当てる
組織設定 > グループに移動します。
「グループを追加」をクリックして、計画内の各チームまたは階層のグループを作成します。
適切なグループにメンバーを追加します。
各グループをステップ2で作成したカスタムロールに割り当てます。
SCIM ディレクトリ同期を使用する場合は、手動で作成する代わりに、アイデンティティプロバイダーからグループを同期できます。SCIM グループ同期の詳細については、エンタープライズプランでグループとグループ支出制限を管理するを参照してください。
同じ親組織の下にある複数の組織:グループは親組織レベルで管理され、すべての子組織に伝播します。グループにリストされている他の組織のメンバーが表示される場合がありますが、これは彼らが組織にアクセスできることを意味しません。グループに割り当てられたカスタムロールは、特定の組織の一部であるメンバーにのみ機能を付与します。
組織をある親から別の親に移動するようにリクエストした場合(実際にはまれです)、グループとロールは未定義になり、再作成する必要があります。
重要:組織が「招待のみ」またはJITプロビジョニングを使用している場合、RBACには手動で作成されたグループのみを使用できます。SCIM同期グループはこれらのモードではサポートされていません。
ステップ4:グループとロール割り当てを確認する
メンバーをカスタムロールに移行する前に、移行する予定のすべてのメンバーが、カスタムロールに割り当てられた少なくとも1つのグループに属していることを確認します。グループまたはロールカバレッジなしで移行されたメンバーは、管理されているすべての機能へのアクセスを失います。
組織設定 > メンバーに移動します。
ロールとグループフィルターを使用して、グループに割り当てられていないメンバーを特定します。
または、「CSVをエクスポート」をクリックして、ロールとグループ列を含む完全なメンバーリストをダウンロードして確認します。
割り当てられていないメンバーを適切なグループに追加してから、続行します。
ステップ5:メンバーをカスタムロールに移行する
カスタムロール機能を有効にするには、メンバーのロールを「カスタムロール」に設定する必要があります。ユーザー、管理者、またはオーナーロールを持つメンバーは、カスタムロールではなく、これらのロールから直接権限を取得します。
重要:このステップは、カスタムロールを作成し、グループを作成し、すべてのメンバーがグループに割り当てられていることを確認した後(ステップ2~4)にのみ完了してください。セットアップが完了する前にカスタムロールに移動されたメンバーは、すぐに管理対象のすべての機能へのアクセスを失います。
組織がグループマッピングを既に有効にしているかどうかに基づいて、移行パスを選択します。
パスA:グループマッピングを有効にする(既に使用中の場合のみ)
このパスは、組織がロール割り当てのためにグループマッピングを既に有効にしている場合にのみ使用してください。この設定をまだ使用していない場合は、パスBにスキップしてください。
組織設定 > 組織とアクセスに移動します。
ロールマッピングセクションで、カスタムロールで管理したいIdPグループをカスタムロールロールに割り当てます。
変更を保存します。これらのIdPグループ内のメンバーは、次の同期時にカスタムロールに移行されます。
カスタムロールにマップされたIdPグループ内のメンバーは、Claude内のグループに割り当てられたカスタムロールの権限に従います。ユーザーにマップされたIdPグループ内のメンバーは、組織レベルの機能設定に従います。メンバーが両方のマッピング間のグループに属している場合、カスタムロールが優先されます。
パスB:一括割り当てツール
組織がグループマッピングを有効にしていない場合は、このパスを使用してください。
警告:グループマッピングをまだ有効にしていない場合は、RBAC設定中に有効にしないでください。最初にすべてのメンバーをマップされたグループに割り当てずに有効にすると、メンバーが組織へのアクセスを失う可能性があります。
組織設定 > メンバーに移動します。
ロールとグループフィルターを使用して、移行したいメンバーを選択します。
メンバーテーブルの一括割り当てツールを使用して、選択したメンバーのロールをカスタムロールに変更します。
まずパイロットグループ(1つのチームまたは部門)を移行し、アクセスが正しいことを確認してから、組織の残りの部分に拡大することをお勧めします。
段階的なロールアウト
どのパスを使用する場合でも、段階的に移行することをお勧めします。
1つのチームまたは部門のパイロットグループから始めます。
移行後、パイロットグループが、グループとロール割り当てに基づいて正しい機能アクセスを持っていることを確認します。
何か問題がある場合は、調整中に影響を受けたメンバーを以前のロールに戻します。
セットアップが機能することを確認したら、より多くのメンバーに拡大します。
ステップ6:組織レベルで機能を有効にする
ロール、グループ、およびメンバー移行が完了した後にのみ、組織レベルの機能を有効にしてください。これにより、カスタムロール機能が既に配置されており、権限のないメンバーが機能にアクセスできるウィンドウがありません。
グループごとに制御したい機能の場合:
組織設定内の機能の設定ページに移動します(例:組織設定 > Cowork)。
組織レベルで機能を有効にします。
組織レベルで機能を有効にすることは、すべてのユーザーがそれを取得することを意味しません。カスタムロール権限は既に配置されており、誰がそれを使用できるかを制御します。組織レベルのトグルを「すべてのユーザーに対してオン」ではなく「ロールベースの割り当てに利用可能」と考えてください。
ステップ7:グループ支出制限を適用する(使用量ベースの組織のみ)
「使用量」ページに移動して、任意のグループにユーザーあたりの月間支出制限を割り当てます。
次の優先順位ルールに注意してください。
個別制限は常にグループ制限をオーバーライドします。どちらが高いかに関わらず。
ユーザーが異なる制限を持つ複数のグループに属している場合、組織は最低または最高の支出制限を適用できます。「支出デフォルト」の下のドロップダウンを使用して、適用する優先順位を決定します。
組織全体の制限は、ハードシーリングのままです。
メンバーシップの変更は自動的に有効になります。ユーザーは、グループメンバーシップが変更されるとすぐに制限を継承または失います。使用量ベースの請求組織にのみ関連します。
ステップ8:確認と監視
スポットチェックアクセス:各グループから数人のメンバーをチェックして、正しい機能が表示されていることを確認します。
制限された状態をテストする:Coworkなどの機能を持つべきではないメンバーとしてログインします(またはそのメンバーに依頼します)。グレーアウトされた状態で「この機能へのアクセスをリクエストするには管理者に連絡してください」というメッセージが表示されるはずです。
付与された状態をテストする:機能を持つべきメンバーが正常に機能しているのを確認します。
エッジケースをチェックする:複数のグループに属するメンバー、グループに属さないメンバー、SSOを介して参加する新しいメンバーをテストします。
権限の変更は、プラットフォーム全体で完全に同期されるまでに最大5分かかります。メンバーは、更新されたアクセスを確認するためにブラウザーをリフレッシュする必要がある場合があります。
ロールベースの機能でSCIMを使用する
SCIMは、一緒に機能する2つのメカニズムを通じてロールベースの機能に接続します。
IdPグループからロールへのマッピング
これは、メンバーがプロビジョニングされるときに取得する組み込みロールを制御します。IdPグループを「カスタムロール」にマップして、新しいメンバーのアクセスがカスタムロール機能によって自動的に管理されるようにします。
組織設定 > 組織とアクセスに移動します。
ロールマッピングテーブルで、IdP グループを「カスタムロール」にマップします。
グループ同期
IdP グループを Claude に取り込み、カスタムロールに割り当てることができます。
組織設定 > グループに移動します。
SCIM 同期セクションで「更新を確認」をクリックします。
グループ、メンバー、または両方を同期するよう求められたら、グループのみを選択します。メンバーの同期はプロビジョニングとメンバーアクセスに影響を与える可能性があります。
IdP グループはリスト内に SCIM ソースのグループとして表示されます。
SCIM グループを手動で作成したグループと同じようにカスタムロールに割り当てます。
IdP では、RBAC またはスペンド制限に実際に使用するグループのみをプッシュします。すべての IdP グループを同期すると、グループセクションのページ読み込みが遅くなる可能性があります。
注: カスタムロール権限は、組織設定 > メンバーで「カスタムロール」が選択されているメンバーにのみ適用されます。グループ間ロールマッピングを通じて IdP グループを別のロール(ユーザーなど)にマップしても、同じ SCIM グループをカスタムロールに割り当てた場合、カスタムロール権限は効果がありません。メンバーは割り当てられたロールから権限を取得します。カスタムロールを使用するには、IdP グループが「カスタムロール」にマップされていることを確認してください。
SCIM による継続的な管理
メンバーに機能へのアクセスを付与するには、適切な IdP グループに追加します。次の同期時に、そのグループに割り当てられたカスタムロールを取得します。
アクセスを取り消すには、IdP グループから削除します。次の同期時に、権限が削除されます。
グループセクションで「SCIM 同期」をクリックして、次のスケジュール済み同期を待つのではなく、即座に同期を強制します。
ロールバックプラン
移行後にロール構造が誤って設定されていることに気付いた場合:
移行の一部として有効にされた組織レベルの機能をすべてオフにします。
影響を受けたメンバーを以前の組み込みロール(例:ユーザー)に変更します。
そのロールから静的権限がすぐに復元され、カスタムロール権限の適用が停止されます。
必要に応じてロールとグループを調整してから、再度移行します。
セットアップ中にグループマッピングを有効にして管理者アクセスを失った場合は、JIT または SCIM プロビジョニングの設定の「グループマッピングを有効にした後に管理者/所有者アクセスを失いました」の回復手順に従ってください。
よくある質問
一部のメンバーのみが機能を使用したい場合、組織レベルで機能を有効にする必要がありますか?
はい。カスタムロールがメンバーごとのアクセスを制御するには、組織レベルのトグルがオンになっている必要があります。機能が組織レベルでオフの場合、ロールに関係なく誰もアクセスできません。メインスイッチと考えてください。カスタムロールはその下でアクセスできるユーザーを制御します。
「カスタムロール」に設定されたメンバーがどのグループにも属していない場合はどうなりますか?
カスタムロール権限がないため、権限が必要なすべての機能がグレーアウトまたは非表示になります。「カスタムロール」に設定されたすべてのメンバーが、カスタムロールに割り当てられた少なくとも 1 つのグループに属していることを確認してください。
カスタムロールがチャットアクセスを付与しない場合はどうなりますか?
そのロールのメンバーは Claude のチャットインターフェースを表示しません。サインイン時に設定ページに移動します。ロールが Cowork や Claude Code などの他の製品を付与する場合、それらは設定ページと関連アプリからアクセス可能なままです。
チャットはすべてのカスタムロールでデフォルトで有効になっているため、ロールのチャットを意図的にオフにした場合のみこれについて心配する必要があります。
組み込みロールとカスタムロールの両方を使用できますか?
はい。ユーザー、管理者、または所有者ロールを持つメンバーは、それらのロールから直接権限を取得するため、カスタムロール権限の影響を受けません。カスタムロールに設定されたメンバーのみがグループとロールシステムによって制御されます。これにより段階的な移行が可能になります。
メンバーが異なるロールを持つ 2 つのグループに属している場合はどうなりますか?
権限は加算的です。メンバーのチェーン内のいずれかのロールが機能を付与する場合、メンバーはそれを持っています。ロールを使用して別のロールによって付与された権限を削除することはできません。
SCIM グループと手動グループを一緒に使用できますか?
はい。両方のタイプをカスタムロールに割り当てることができます。違いは、SCIM グループメンバーシップはアイデンティティプロバイダーで管理され、手動グループメンバーシップは Claude の組織設定で管理されることです。
所有者とプライマリ所有者はカスタムロール権限の影響を受けますか?
いいえ。所有者とプライマリ所有者は常にすべての機能へのフルアクセスを持っています。
これは親組織と子組織全体でどのように機能しますか?
グループと SCIM 同期は親組織レベルで管理され、すべての子組織全体で共有されます。ロールとスペンド制限の割り当ては各子組織で独立して設定されます。1 つの子組織での変更は他に影響しません。グループメンバーシップの変更と SCIM 再同期は同じ親の下のすべての子組織全体に伝播します。