概要
このガイドは、コンソールベースのClaude Codeアクセスからエンタープライズへの移行を検討しているチーム向けに作成されています。CLIセッションのセッション履歴は個別ユーザーが移行する必要がないことに注意してください。これらはローカルに保存されています。各ユーザーのClaude Enterpriseアカウントをプロビジョニングするだけで、ユーザーはコンソールからClaude Enterpriseへのログイン方法を切り替える必要があります。
Claude Enterpriseへの移行理由
Console APIのClaude Codeは開発者をすぐに始めるための高速な方法ですが、ガバナンスは各マシンに任されています。Claude Enterpriseは、開発者が既に使用しているのと同じClaude Codeを、セキュリティ、IT、および財務チームが大規模に実行するために必要なコントロールの背後に配置します。既存のIdPを通じた一元化されたアイデンティティとアクセス、MDMなしですべてのクライアントにツール、ファイル、およびMCPポリシーを適用するサーバー管理設定、および組織から個別ユーザーまでカスケードする細かい支出上限が得られます。
Claude Enterpriseは、豊富な分析と監査ログ(PR数やコミット行数などの貢献メトリクスを含む)、カスタムデータ保持コントロール、および追加の製品サーフェス(ウェブ、モバイル、Slack上のClaude Code(Claude Tag)、およびコードレビュー)を追加します。これらはコンソールでは利用できません。また、Claude EnterpriseはAWS Marketplaceを通じて利用可能であるため、調達は既に使用しているチャネルを通じて実行できます。
Claude Enterpriseとコンソールの比較
機能 | Claude Console/API | Claude Enterprise |
ウェブおよびモバイルアプリ上のClaude Code | ❌ | ✅ |
Claude Tag | ❌ | ✅ |
コードレビュー | ❌ | ✅ |
Claude Codeが使用できるツールを強制する | ❌ ネイティブUIなし
*設定はMDM(Jamf、Intune)またはconfig management(Ansible、Puppetなど)を介して開発者マシンにプッシュできます。 | ✅ managed-settings.jsonの許可/拒否ルールを設定するネイティブUI |
特定のbashコマンドをブロック | ❌ ネイティブUIなし* | ✅ Bash(curl:*)、Bash(sudo:*)など |
機密ファイルへのアクセスを防止 | ❌ ネイティブUIなし* | ✅ Read(.env)、Read(./secrets/**) |
許可されたMCPサーバーを制御 | ❌ ネイティブUIなし* | ✅ allowedMcpServers / deniedMcpServers |
事前承認されたMCPサーバーを組織全体にデプロイ | ❌ ネイティブUIなし* | ✅ managed-mcp.json |
サンドボックスモードを強制 | ❌ ネイティブUIなし* | ✅ sandbox.enabled |
--dangerously-skip-permissionsを無効化 | ❌ ネイティブUIなし* | ✅ permissions.disableBypassPermissionsMode: disable |
自動モードを無効化 | ❌ ネイティブUIなし* | ✅ disableAutoMode: disable |
カスタムロール(RBAC) | ❌ | ✅ グループ別に機能アクセスをスコープし、オーナーロールを付与せずに請求、ユーザー管理、アイデンティティなどの特定の管理領域を委任します。エンタープライズプランでカスタムロールを管理 |
モデルガバナンス | ❌ ネイティブUIなし* | ✅ 管理コンソールからチャットおよび Cowork(ベータ版)の組織デフォルトモデルを設定し、マネージド設定の |
監査ログ | ❌ 監査ログサポートなし
🟡 Claude Code は OpenTelemetry をサポートしています | 🟡 監査ログおよび Compliance API(監査ログイベントを含む)。ローカル CLI セッションのトランスクリプトは開発者のマシンに保存され、Compliance API 経由では利用できません。 |
使用状況分析 | ✅ 記述されたコード行数、受け入れ率、日次アクティブユーザー、日次支出。
| ✅ 組織設定 → 使用状況で、記述されたコード行数、受け入れ率、日次アクティブユーザー、およびメンバーあたりの月間支出。
|
プログラマティック使用状況およびコストレポート | ✅ Claude Enterprise Analytics API はユーザーごとのエンゲージメントと Claude Code メトリクス(コミット、プルリクエスト、コード行数)に加えて、使用状況とコストエンドポイントを返します。Admin API はプログラマティック組織管理をカバーしています。 | |
貢献メトリクス | ✅ Claude Code Analytics API 経由 | ✅ Claude Code の支援で作成されたプルリクエストとコミットされたコード行数。 |
きめ細かい支出管理 | ✅ 組織およびワークスペースの制限、および Claude Code ワークスペースのデベロッパーごとの制限 | ✅ 組織 → グループ → 個人、RBAC グループと統合 |
SCIM プロビジョニング
ID チームが実行する必要があることは以下の通りです:
IdP グループマッピングを更新する — ユーザーを Claude Enterprise 組織にマップするために IdP グループを作成または再利用します。グループマッピングを有効にして、シートを自動的に割り当てます。
十分なシートが購入されていることを確認する — SCIM 同期をトリガーする前に、Claude Enterprise 組織に利用可能なシートが十分にあることを確認します。利用可能なシートがないユーザーは「未割り当て」ステータスに設定されます。
Claude Code アクセスが有効になっていることを確認する — Claude Code が管理設定でエンタープライズ組織に対して有効になっていることを確認し、カスタムロールまたはグループで機能をスコープしている場合は、デベロッパーグループに Claude Code アクセスが付与されていることを確認します。
同期をトリガーする — 組織設定 → 組織とアクセスに移動し、ディレクトリ同期(SCIM)を見つけて「同期」をクリックします。これは大規模な同期をトリガーする可能性があるため、遅くなる場合があります。
シート割り当てを確認する — 同期後、組織設定 → 組織とアクセスをチェックして、ユーザーが正しいシートタイプに割り当てられたことを確認します。
オプション: コンソール組織マッピングを調整する — 一部のユーザーがコンソール API アクセスを保持する必要がある場合は、そのグループをコンソール組織にマップしたままにします。ユーザーは両方の組織に同時に属することができます。
注: Microsoft Entra SCIM の変更は約 40 分ごとに同期されます。グループの変更後にオンデマンドでトリガーするには、「同期」ボタンを使用します。
エンタープライズ組織の SSO がログインのみとして構成されている場合、サインインはアカウントを作成しません。ユーザーは手動で招待する必要があります。開発者にログインするよう指示する前に、JIT または SCIM プロビジョニングを有効にしてください。JIT または SCIM プロビジョニングを設定するを参照してください。
支出制限
Claude Enterprise プランは階層的な支出管理システムを提供します。制限はカスケードされます。ユーザーは組織の制限を超えることはできません。
レベル | スコープ | 設定者 | 制御内容 |
1. 組織 | エンタープライズ組織全体 | プライマリオーナー / オーナー | すべてのシートと使用状況全体の最大月間支出 |
2. グループ管理 | RBAC を使用したグループ | プライマリオーナー / オーナー | RBAC を使用したグループの支出制限 |
3. 個人 | 特定のユーザー | プライマリオーナー / オーナー | 単一のチームメンバーの支出制限 |
支出制限を設定および編集する方法
オーナーまたはプライマリオーナーとしてサインインします。
組織設定 → 使用状況に移動します。
組織レベルの制限を設定します。これは、すべての月間支出のグローバル上限です。
グループレベルの制限を設定します。「グループ別」タブの下で設定します。エンタープライズプランでのグループと グループ支出制限の管理を参照してください。
個別レベルの制限を設定します。「メンバー別」タブの下の支出デフォルトセクションで特定のユーザーを見つけます。
オーナーは制限を「無制限」に設定できますが、すべての使用量は引き続き請求されます。消費シートのユーザーが制限に達した場合、次の請求期間までまたは管理者が制限を増やすまで、ClaudeまたはClaude Codeを使用できません。
ドキュメント: 支出制限の設定、エンタープライズプランでのグループとグループ支出制限の管理
新しいシートの発行と再認証
シートの追加
プライマリオーナーまたはオーナーとしてログインします。
組織設定 → 請求に移動します。
シートの下の鉛筆アイコンをクリックします。
新しいシート数を入力します。
確認して「アップグレード」をクリックします。新しいシートは日割り計算されます。
ユーザーをシートに割り当てる
組織設定 → メンバーに移動します。
「メンバーを追加」(複数の場合は「一括追加」)をクリックします。
ユーザーの@メールアドレスを入力します。
ロール(ユーザー、管理者、オーナー)を設定して招待を送信します。
SCIM プロビジョニングされたユーザーの場合、シート割り当てはグループマッピングに基づいて自動的に行われます。グループマッピングが設定されていない場合、ユーザーはデフォルトで最高利用可能なシートティアに設定されます。
Claude Code ユーザーの再認証
現在 Console 組織に対して認証されている開発者は、Claude エンタープライズ組織に対して再認証する必要があります。
ログイン前に残っている Console 認証情報を削除します。シェルプロファイル、ドットファイル、CI 設定で
ANTHROPIC_API_KEYまたはANTHROPIC_AUTH_TOKEN環境変数をチェックし、apiKeyHelper設定を削除します。また、CLAUDE_CODE_OAUTH_TOKEN、ANTHROPIC_BASE_URL、CLAUDE_CODE_USE_BEDROCK / _VERTEX / _FOUNDRYフラグもチェックしてください。これらは/loginをオーバーライドまたはバイパスします。認証情報は Claude Code 自体の設定ファイル(~/.claude/settings.json、およびリポジトリ内の .claude/settings*.json ファイル)の env ブロックに隠れることもあります。これらが残っている場合、新しいログインより優先されます。/loginは成功したように見えますが、使用量は引き続き古い Console 組織に請求されます。ターミナルで
claudeを実行してから/loginを実行して、認証方法を切り替えます。ログイン方法として「サブスクリプション付き Claude アカウント」を選択します。
Claude エンタープライズ組織を選択します(Console 組織または個人アカウントではなく)。
認可してターミナルに戻り、
/statusを実行して、Claude Code がエンタープライズ組織を表示していることを確認します。
CI と自動化
パイプラインとスクリプトは /login を使用しません。自動化用に Console 組織(およびその API キー)を保持して対話型開発者シートのみを移行するか、CI をエンタープライズ認証情報に切り替えます。エンタープライズ組織にサインインしている間に claude setup-token を実行し、出力されたトークンを CI 環境で CLAUDE_CODE_OAUTH_TOKEN として設定します。これらのいずれかが配置されるまで、CI 認証情報を削除しないでください。
IT 向けのヒント: forceLoginOrgUUID をエンタープライズ組織 UUID に設定したマネージド設定を、すべての移行の標準部分として展開します。ピンをエンドポイント管理ファイルまたは MDM ポリシーとして配信します。サーバー管理設定はユーザーがサインインした後にのみ到着するため、間違った最初のログインをキャッチできません。サーバー管理設定も使用する場合は、そこにも forceLoginOrgUUID を設定します。2 つのチャネルはマージされません。これにより、他の組織へのログインがブロックされ、上記の残っている認証情報の障害モードが、サイレント請求ミスから大きな障害に変わります。Claude Code は起動を拒否し、残っている認証情報(ANTHROPIC_API_KEY、ANTHROPIC_AUTH_TOKEN、または apiKeyHelper)を削除する必要があることをユーザーに通知します。
移行の検証後
移行されたデベロッパーを Console 組織から削除するか、キーをローテーションします。削除により、Console ログイントークンが取り消され、Claude Code ワークスペースキーが無効になり、対話型の使用からの Console 請求が停止されます。他の Console ワークスペースで作成した API キーは、削除によって無効になりません。それらを個別に確認して無効にしてください。エンタープライズアクセスが機能することを確認するまで、メンバーを削除しないでください。自動ロールバックはありません。
ドキュメント: エンタープライズプランでのシートの購入と管理
レポートの改善
Console API から Claude Enterprise に移行すると、Claude Code の使用状況に関するより豊富な分析がロック解除されます。
メトリック | Console API | Claude Enterprise |
トークン消費 | ✅ | ✅ |
受け入れられたコード行 | ✅ | ✅ |
提案受け入れ率 | ✅ | ✅ |
Claude Code の支援で作成された PR | ✅ Claude Code Analytics API 経由 | ✅ |
Claude Code の支援でコミットされたコード行 | ✅ Claude Code Analytics API経由 | ✅ |
支出制限通知 | ✅ 設定可能な受信者を持つ制限時通知メール | ✅ 閾値アラート |
メンバーあたりの月間支出 | ❌ | ✅ 管理者設定 → 使用状況 |
コンプライアンス監査証跡 | ❌ | ✅ Compliance APIには監査ログイベントが含まれています。ローカルCLIセッションのトランスクリプトは開発者のマシンに保存され、Compliance API経由では利用できません。 |
すべてのレポートは、Claude管理パネルのAnalyticsからアクセスできます。プログラマティックアクセスの場合、Claude Enterprise Analytics APIはユーザーあたりのエンゲージメント指標、Claude Codeアクティビティ(コミット、プルリクエスト、コード行数)、および使用状況とコストデータを返します。分析は移行されません。エンタープライズ組織は新しいレポート履歴で開始され、その分析/管理APIはエンタープライズ組織で作成された新しいAPIキーが必要です。コンソールキーは引き継がれません。カットオーバー前に、履歴ダッシュボードに必要なコンソール分析をエクスポートしてください。コンソールAPIキーに残るトラフィック(例えばCI)は、コンソールレポートにのみ表示され続けます。
ドキュメント: Claude Code使用分析
マネージドポリシー設定 — 詳細解説
これはセキュリティおよびITチームにとって最も重要なアップグレードです。サーバー管理設定により、すべての開発者のマシン全体でClaude Codeが実行できることと実行できないことを一元的に制御できます。これらを配信する方法は2つあり、最初の方法を使用するためにMDMは必要ありません。
仕組み
Claude Codeは設定ソースの階層から設定を読み取ります。managed-settings.jsonファイルは最上位にあり、ユーザーまたはプロジェクト設定によってオーバーライドすることはできません。
優先度 | ソース | スコープ | 制御者 |
1(最高) | マネージド設定(サーバー管理またはエンドポイント管理) | エンタープライズ全体 | 所有者/プライマリ所有者(claude.ai管理コンソールからプッシュされた場合)またはIT/MDMチーム(ファイルとしてデプロイされた場合)。 |
2 | コマンドライン引数 | セッション | 開発者 |
3 | .claude/settings.local.json | プロジェクト(個人用) | 開発者 |
4 | .claude/settings.json | プロジェクト(共有、Git内) | チーム |
5(最低) | ~/.claude/settings.json | ユーザー(グローバル) | 開発者 |
マネージド設定を配信する2つの方法
サーバー管理設定(MDM不要): 所有者またはプライマリ所有者が管理コンソールの組織設定→Claude Code→マネージド設定で設定を定義します。組織にサインインしているすべてのClaude Codeクライアントは、起動時に自動的にそれらをフェッチし、1時間ごとに更新をポーリングします。これは、デバイス管理インフラストラクチャがない、または管理されていないデバイス上のユーザーがいる組織に適しています。サーバー管理設定の詳細をご覧ください。
エンドポイント管理設定: ITは、ネイティブOSポリシー(macOS管理設定またはWindowsレジストリ、Jamf、Intune、グループポリシーなど経由)またはシステムパスにプッシュされたmanaged-settings.jsonファイルのいずれかを通じて、設定をデバイスに直接デプロイします。エンドユーザーが変更できないようにOSレベルの権限でファイルを保護してください。登録済みデバイスでは、OSがユーザーの改ざんを防ぐため、サーバー管理配信よりも強力な保証が提供されます。
注: 両方のチャネルは同じ最高優先度層を占め、同じJSON形式を使用しますが、マージされません。最初に空でない設定を配信するソースが優先されます。サーバー管理設定が最初にチェックされ、キーを配信する場合、エンドポイント管理設定は完全に無視されます。/statusを実行して、どのマネージドソースがアクティブかを確認してください。
ファイルの場所(エンドポイント管理)
OS | パス |
macOS | /Library/Application Support/ClaudeCode/managed-settings.json |
Linux | /etc/claude-code/managed-settings.json |
Windows | C:\Program Files\ClaudeCode\managed-settings.json |
キー設定リファレンス
これらはConsole-to-Enterpriseマイグレーションに最も関連する設定です。Claude Codeはさらに多くの設定をサポートしています。完全で最新のリストについては、Claude Code設定を参照してください。
設定 | 目的 | 例 |
| 特定のツール/コマンドを組織全体でブロック | Bash(curl:*), Read(.env) |
| 信頼できるコマンドを明示的に許可 | Bash(npm run test:*) |
| 毎回ユーザーの承認が必要 | Bash(rm:*) |
| --dangerously-skip-permissionsを防止 | "disable" |
| ログインを特定のEnterpriseオーグ(複数可)に制限します。1つのオーグUUIDまたは配列を受け入れます。他のオーグへのログインはブロックされます。単一のUUIDはログイン時にそのオーグを自動選択します。 | "298e7cb2…" |
| ログイン方法(claudeai、console、またはgateway)を強制します。 | "claudeai" |
| 承認されたMCPサーバーのみを許可(名前、コマンド、またはURLパターンで照合) | [{"serverName": "github"}] |
| 特定のMCPサーバーをブラックリスト登録 | [{"serverName": "filesystem"}] |
| マネージド設定からの権限ルールのみが適用されます。ユーザーとプロジェクトは独自のルールを追加できません | true |
| マネージドMCPホワイトリストのみが適用されます。拒否リストはすべてのソースからマージされます | true |
| マネージドおよび管理者承認済みのフックのみが実行されます | true |
|
| true |
| サンドボックスモードを強制 | true |
| サンドボックス化されていない実行をブロック | false |
| ローカルセッションデータ(トランスクリプトおよび他のアプリケーションファイル)の保持期間。デフォルト:30日 | 7 |
| すべてのClaude Codeユーザーにメッセージを表示 | 文字列の配列 |
デプロイメント: MDMツール(Intune、Jamf、SCCM、Puppet等)を使用して、managed-settings.jsonをすべての開発者マシンにプッシュします。OSレベルの権限でファイルを保護し、エンドユーザーが変更できないようにしてください。
ドキュメント: Claude Code設定、マネージド設定、MCPインストールスコープ
