メインコンテンツにスキップ

Claude Codeのコンソールからエンタープライズへの移行

Claude Console (API) → Claude Enterprise

概要

このガイドは、コンソールベースのClaude Codeアクセスからエンタープライズへの移行を検討しているチーム向けに作成されています。CLIセッションのセッション履歴は個別ユーザーが移行する必要がないことに注意してください。これらはローカルに保存されています。各ユーザーのClaude Enterpriseアカウントをプロビジョニングするだけで、ユーザーはコンソールからClaude Enterpriseへのログイン方法を切り替える必要があります。

Claude Enterpriseへの移行理由

Console APIのClaude Codeは開発者をすぐに始めるための高速な方法ですが、ガバナンスは各マシンに任されています。Claude Enterpriseは、開発者が既に使用しているのと同じClaude Codeを、セキュリティ、IT、および財務チームが大規模に実行するために必要なコントロールの背後に配置します。既存のIdPを通じた一元化されたアイデンティティとアクセス、MDMなしですべてのクライアントにツール、ファイル、およびMCPポリシーを適用するサーバー管理設定、および組織から個別ユーザーまでカスケードする細かい支出上限が得られます。

Claude Enterpriseは、豊富な分析と監査ログ(PR数やコミット行数などの貢献メトリクスを含む)、カスタムデータ保持コントロール、および追加の製品サーフェス(ウェブ、モバイル、Slack上のClaude Code(Claude Tag)、およびコードレビュー)を追加します。これらはコンソールでは利用できません。また、Claude EnterpriseはAWS Marketplaceを通じて利用可能であるため、調達は既に使用しているチャネルを通じて実行できます。


Claude Enterpriseとコンソールの比較

機能

Claude Console/API

Claude Enterprise

ウェブおよびモバイルアプリ上のClaude Code

Claude Tag

コードレビュー

Claude Codeが使用できるツールを強制する

❌ ネイティブUIなし

*設定はMDM(Jamf、Intune)またはconfig management(Ansible、Puppetなど)を介して開発者マシンにプッシュできます。

✅ managed-settings.jsonの許可/拒否ルールを設定するネイティブUI

特定のbashコマンドをブロック

❌ ネイティブUIなし*

✅ Bash(curl:*)、Bash(sudo:*)など

機密ファイルへのアクセスを防止

❌ ネイティブUIなし*

✅ Read(.env)、Read(./secrets/**)

許可されたMCPサーバーを制御

❌ ネイティブUIなし*

✅ allowedMcpServers / deniedMcpServers

事前承認されたMCPサーバーを組織全体にデプロイ

❌ ネイティブUIなし*

✅ managed-mcp.json

サンドボックスモードを強制

❌ ネイティブUIなし*

✅ sandbox.enabled

--dangerously-skip-permissionsを無効化

❌ ネイティブUIなし*

✅ permissions.disableBypassPermissionsMode: disable

自動モードを無効化

❌ ネイティブUIなし*

✅ disableAutoMode: disable

カスタムロール(RBAC)

✅ グループ別に機能アクセスをスコープし、オーナーロールを付与せずに請求、ユーザー管理、アイデンティティなどの特定の管理領域を委任します。エンタープライズプランでカスタムロールを管理

モデルガバナンス

❌ ネイティブUIなし*

✅ 管理コンソールからチャットおよび Cowork(ベータ版)の組織デフォルトモデルを設定し、マネージド設定の availableModels で Claude Code モデルの選択を制限します。組織のデフォルトモデルを設定する

監査ログ

❌ 監査ログサポートなし

🟡 Claude Code は OpenTelemetry をサポートしています

🟡 監査ログおよび Compliance API(監査ログイベントを含む)。ローカル CLI セッションのトランスクリプトは開発者のマシンに保存され、Compliance API 経由では利用できません。

使用状況分析

✅ 記述されたコード行数、受け入れ率、日次アクティブユーザー、日次支出。

組織設定使用状況で、記述されたコード行数、受け入れ率、日次アクティブユーザー、およびメンバーあたりの月間支出。

プログラマティック使用状況およびコストレポート

Claude Enterprise Analytics API はユーザーごとのエンゲージメントと Claude Code メトリクス(コミット、プルリクエスト、コード行数)に加えて、使用状況とコストエンドポイントを返します。Admin API はプログラマティック組織管理をカバーしています。

貢献メトリクス

✅ Claude Code Analytics API 経由

✅ Claude Code の支援で作成されたプルリクエストとコミットされたコード行数。

きめ細かい支出管理

✅ 組織およびワークスペースの制限、および Claude Code ワークスペースのデベロッパーごとの制限

✅ 組織 → グループ → 個人、RBAC グループと統合


SCIM プロビジョニング

ID チームが実行する必要があることは以下の通りです:

  1. IdP グループマッピングを更新する — ユーザーを Claude Enterprise 組織にマップするために IdP グループを作成または再利用します。グループマッピングを有効にして、シートを自動的に割り当てます。

  2. 十分なシートが購入されていることを確認する — SCIM 同期をトリガーする前に、Claude Enterprise 組織に利用可能なシートが十分にあることを確認します。利用可能なシートがないユーザーは「未割り当て」ステータスに設定されます。

  3. Claude Code アクセスが有効になっていることを確認する — Claude Code が管理設定でエンタープライズ組織に対して有効になっていることを確認し、カスタムロールまたはグループで機能をスコープしている場合は、デベロッパーグループに Claude Code アクセスが付与されていることを確認します。

  4. 同期をトリガーする組織設定 → 組織とアクセスに移動し、ディレクトリ同期(SCIM)を見つけて「同期」をクリックします。これは大規模な同期をトリガーする可能性があるため、遅くなる場合があります。

  5. シート割り当てを確認する — 同期後、組織設定 → 組織とアクセスをチェックして、ユーザーが正しいシートタイプに割り当てられたことを確認します。

  6. オプション: コンソール組織マッピングを調整する — 一部のユーザーがコンソール API アクセスを保持する必要がある場合は、そのグループをコンソール組織にマップしたままにします。ユーザーは両方の組織に同時に属することができます。

注: Microsoft Entra SCIM の変更は約 40 分ごとに同期されます。グループの変更後にオンデマンドでトリガーするには、「同期」ボタンを使用します。

エンタープライズ組織の SSO がログインのみとして構成されている場合、サインインはアカウントを作成しません。ユーザーは手動で招待する必要があります。開発者にログインするよう指示する前に、JIT または SCIM プロビジョニングを有効にしてください。JIT または SCIM プロビジョニングを設定するを参照してください。


支出制限

Claude Enterprise プランは階層的な支出管理システムを提供します。制限はカスケードされます。ユーザーは組織の制限を超えることはできません。

レベル

スコープ

設定者

制御内容

1. 組織

エンタープライズ組織全体

プライマリオーナー / オーナー

すべてのシートと使用状況全体の最大月間支出

2. グループ管理

RBAC を使用したグループ

プライマリオーナー / オーナー

RBAC を使用したグループの支出制限

3. 個人

特定のユーザー

プライマリオーナー / オーナー

単一のチームメンバーの支出制限

支出制限を設定および編集する方法

  1. オーナーまたはプライマリオーナーとしてサインインします。

  2. 組織設定 → 使用状況に移動します。

  3. 組織レベルの制限を設定します。これは、すべての月間支出のグローバル上限です。

  4. グループレベルの制限を設定します。「グループ別」タブの下で設定します。エンタープライズプランでのグループと グループ支出制限の管理を参照してください。

  5. 個別レベルの制限を設定します。「メンバー別」タブの下の支出デフォルトセクションで特定のユーザーを見つけます。

オーナーは制限を「無制限」に設定できますが、すべての使用量は引き続き請求されます。消費シートのユーザーが制限に達した場合、次の請求期間までまたは管理者が制限を増やすまで、ClaudeまたはClaude Codeを使用できません。


新しいシートの発行と再認証

シートの追加

  1. プライマリオーナーまたはオーナーとしてログインします。

  2. 組織設定 → 請求に移動します。

  3. シートの下の鉛筆アイコンをクリックします。

  4. 新しいシート数を入力します。

  5. 確認して「アップグレード」をクリックします。新しいシートは日割り計算されます。

ユーザーをシートに割り当てる

  1. 組織設定 → メンバーに移動します。

  2. 「メンバーを追加」(複数の場合は「一括追加」)をクリックします。

  3. ユーザーの@メールアドレスを入力します。

  4. ロール(ユーザー、管理者、オーナー)を設定して招待を送信します。

SCIM プロビジョニングされたユーザーの場合、シート割り当てはグループマッピングに基づいて自動的に行われます。グループマッピングが設定されていない場合、ユーザーはデフォルトで最高利用可能なシートティアに設定されます。

Claude Code ユーザーの再認証

現在 Console 組織に対して認証されている開発者は、Claude エンタープライズ組織に対して再認証する必要があります。

  1. ログイン前に残っている Console 認証情報を削除します。シェルプロファイル、ドットファイル、CI 設定で ANTHROPIC_API_KEY または ANTHROPIC_AUTH_TOKEN 環境変数をチェックし、apiKeyHelper 設定を削除します。また、CLAUDE_CODE_OAUTH_TOKENANTHROPIC_BASE_URLCLAUDE_CODE_USE_BEDROCK / _VERTEX / _FOUNDRY フラグもチェックしてください。これらは /login をオーバーライドまたはバイパスします。認証情報は Claude Code 自体の設定ファイル(~/.claude/settings.json、およびリポジトリ内の .claude/settings*.json ファイル)の env ブロックに隠れることもあります。これらが残っている場合、新しいログインより優先されます。/login は成功したように見えますが、使用量は引き続き古い Console 組織に請求されます。

  2. ターミナルで claude を実行してから /login を実行して、認証方法を切り替えます。

  3. ログイン方法として「サブスクリプション付き Claude アカウント」を選択します。

  4. Claude エンタープライズ組織を選択します(Console 組織または個人アカウントではなく)。

  5. 認可してターミナルに戻り、/status を実行して、Claude Code がエンタープライズ組織を表示していることを確認します。

CI と自動化

パイプラインとスクリプトは /login を使用しません。自動化用に Console 組織(およびその API キー)を保持して対話型開発者シートのみを移行するか、CI をエンタープライズ認証情報に切り替えます。エンタープライズ組織にサインインしている間に claude setup-token を実行し、出力されたトークンを CI 環境で CLAUDE_CODE_OAUTH_TOKEN として設定します。これらのいずれかが配置されるまで、CI 認証情報を削除しないでください。

IT 向けのヒント: forceLoginOrgUUID をエンタープライズ組織 UUID に設定したマネージド設定を、すべての移行の標準部分として展開します。ピンをエンドポイント管理ファイルまたは MDM ポリシーとして配信します。サーバー管理設定はユーザーがサインインした後にのみ到着するため、間違った最初のログインをキャッチできません。サーバー管理設定も使用する場合は、そこにも forceLoginOrgUUID を設定します。2 つのチャネルはマージされません。これにより、他の組織へのログインがブロックされ、上記の残っている認証情報の障害モードが、サイレント請求ミスから大きな障害に変わります。Claude Code は起動を拒否し、残っている認証情報(ANTHROPIC_API_KEYANTHROPIC_AUTH_TOKEN、または apiKeyHelper)を削除する必要があることをユーザーに通知します。

移行の検証後

移行されたデベロッパーを Console 組織から削除するか、キーをローテーションします。削除により、Console ログイントークンが取り消され、Claude Code ワークスペースキーが無効になり、対話型の使用からの Console 請求が停止されます。他の Console ワークスペースで作成した API キーは、削除によって無効になりません。それらを個別に確認して無効にしてください。エンタープライズアクセスが機能することを確認するまで、メンバーを削除しないでください。自動ロールバックはありません。


レポートの改善

Console API から Claude Enterprise に移行すると、Claude Code の使用状況に関するより豊富な分析がロック解除されます。

メトリック

Console API

Claude Enterprise

トークン消費

受け入れられたコード行

提案受け入れ率

Claude Code の支援で作成された PR

✅ Claude Code Analytics API 経由

Claude Code の支援でコミットされたコード行

✅ Claude Code Analytics API経由

支出制限通知

✅ 設定可能な受信者を持つ制限時通知メール

閾値アラート

メンバーあたりの月間支出

管理者設定 → 使用状況

コンプライアンス監査証跡

Compliance APIには監査ログイベントが含まれています。ローカルCLIセッションのトランスクリプトは開発者のマシンに保存され、Compliance API経由では利用できません。

すべてのレポートは、Claude管理パネルのAnalyticsからアクセスできます。プログラマティックアクセスの場合、Claude Enterprise Analytics APIはユーザーあたりのエンゲージメント指標、Claude Codeアクティビティ(コミット、プルリクエスト、コード行数)、および使用状況とコストデータを返します。分析は移行されません。エンタープライズ組織は新しいレポート履歴で開始され、その分析/管理APIはエンタープライズ組織で作成された新しいAPIキーが必要です。コンソールキーは引き継がれません。カットオーバー前に、履歴ダッシュボードに必要なコンソール分析をエクスポートしてください。コンソールAPIキーに残るトラフィック(例えばCI)は、コンソールレポートにのみ表示され続けます。

ドキュメント: Claude Code使用分析


マネージドポリシー設定 — 詳細解説

これはセキュリティおよびITチームにとって最も重要なアップグレードです。サーバー管理設定により、すべての開発者のマシン全体でClaude Codeが実行できることと実行できないことを一元的に制御できます。これらを配信する方法は2つあり、最初の方法を使用するためにMDMは必要ありません。

仕組み

Claude Codeは設定ソースの階層から設定を読み取ります。managed-settings.jsonファイルは最上位にあり、ユーザーまたはプロジェクト設定によってオーバーライドすることはできません。

優先度

ソース

スコープ

制御者

1(最高)

マネージド設定(サーバー管理またはエンドポイント管理)

エンタープライズ全体

所有者/プライマリ所有者(claude.ai管理コンソールからプッシュされた場合)またはIT/MDMチーム(ファイルとしてデプロイされた場合)。

2

コマンドライン引数

セッション

開発者

3

.claude/settings.local.json

プロジェクト(個人用)

開発者

4

.claude/settings.json

プロジェクト(共有、Git内)

チーム

5(最低)

~/.claude/settings.json

ユーザー(グローバル)

開発者

マネージド設定を配信する2つの方法

サーバー管理設定(MDM不要): 所有者またはプライマリ所有者が管理コンソールの組織設定Claude Codeマネージド設定で設定を定義します。組織にサインインしているすべてのClaude Codeクライアントは、起動時に自動的にそれらをフェッチし、1時間ごとに更新をポーリングします。これは、デバイス管理インフラストラクチャがない、または管理されていないデバイス上のユーザーがいる組織に適しています。サーバー管理設定の詳細をご覧ください。

エンドポイント管理設定: ITは、ネイティブOSポリシー(macOS管理設定またはWindowsレジストリ、Jamf、Intune、グループポリシーなど経由)またはシステムパスにプッシュされたmanaged-settings.jsonファイルのいずれかを通じて、設定をデバイスに直接デプロイします。エンドユーザーが変更できないようにOSレベルの権限でファイルを保護してください。登録済みデバイスでは、OSがユーザーの改ざんを防ぐため、サーバー管理配信よりも強力な保証が提供されます。

注: 両方のチャネルは同じ最高優先度層を占め、同じJSON形式を使用しますが、マージされません。最初に空でない設定を配信するソースが優先されます。サーバー管理設定が最初にチェックされ、キーを配信する場合、エンドポイント管理設定は完全に無視されます。/statusを実行して、どのマネージドソースがアクティブかを確認してください。

ファイルの場所(エンドポイント管理)

OS

パス

macOS

/Library/Application Support/ClaudeCode/managed-settings.json

Linux

/etc/claude-code/managed-settings.json

Windows

C:\Program Files\ClaudeCode\managed-settings.json

キー設定リファレンス

これらはConsole-to-Enterpriseマイグレーションに最も関連する設定です。Claude Codeはさらに多くの設定をサポートしています。完全で最新のリストについては、Claude Code設定を参照してください。

設定

目的

permissions.deny

特定のツール/コマンドを組織全体でブロック

Bash(curl:*), Read(.env)

permissions.allow

信頼できるコマンドを明示的に許可

Bash(npm run test:*)

permissions.ask

毎回ユーザーの承認が必要

Bash(rm:*)

permissions.disableBypassPermissionsMode

--dangerously-skip-permissionsを防止

"disable"

forceLoginOrgUUID

ログインを特定のEnterpriseオーグ(複数可)に制限します。1つのオーグUUIDまたは配列を受け入れます。他のオーグへのログインはブロックされます。単一のUUIDはログイン時にそのオーグを自動選択します。

"298e7cb2…"

forceLoginMethod

ログイン方法(claudeai、console、またはgateway)を強制します。forceLoginOrgUUIDと一緒に使用することで、ユーザーはアカウントタイプ選択をスキップできますが、オーグ制限を適用するには必須ではありません。

"claudeai"

allowedMcpServers

承認されたMCPサーバーのみを許可(名前、コマンド、またはURLパターンで照合)

[{"serverName": "github"}]

deniedMcpServers

特定のMCPサーバーをブラックリスト登録

[{"serverName": "filesystem"}]

allowManagedPermissionRulesOnly

マネージド設定からの権限ルールのみが適用されます。ユーザーとプロジェクトは独自のルールを追加できません

true

allowManagedMcpServersOnly

マネージドMCPホワイトリストのみが適用されます。拒否リストはすべてのソースからマージされます

true

allowManagedHooksOnly

マネージドおよび管理者承認済みのフックのみが実行されます

true

enforceAvailableModels

availableModelsホワイトリストをデフォルトモデルオプションに拡張します

true

sandbox.enabled

サンドボックスモードを強制

true

sandbox.allowUnsandboxedCommands

サンドボックス化されていない実行をブロック

false

cleanupPeriodDays

ローカルセッションデータ(トランスクリプトおよび他のアプリケーションファイル)の保持期間。デフォルト:30日

7

companyAnnouncements

すべてのClaude Codeユーザーにメッセージを表示

文字列の配列

デプロイメント: MDMツール(Intune、Jamf、SCCM、Puppet等)を使用して、managed-settings.jsonをすべての開発者マシンにプッシュします。OSレベルの権限でファイルを保護し、エンドユーザーが変更できないようにしてください。

こちらの回答で解決しましたか?