Ir para conteúdo principal

Gerenciar funções personalizadas em planos Enterprise

Funções personalizadas estão disponíveis para organizações com plano Enterprise. Proprietários, Proprietários Primários e funções personalizadas com a permissão Identidade & Acesso definida como "Pode gerenciar" podem ir para Configurações da organização > Funções para gerenciar funções personalizadas.

O que são funções personalizadas?

Funções personalizadas permitem que você defina quais recursos seus membros podem acessar. Cada função personalizada contém um conjunto de permissões que concedem ou restringem o acesso a recursos específicos como chat, Claude Cowork, Claude Code e busca na web, além dos conectores que sua organização adicionou, como Slack ou Google Drive. Funções personalizadas também podem conceder permissões de administrador, que dão aos membros acesso a áreas administrativas específicas como faturamento, identidade ou privacidade sem torná-los Proprietários.

Funções personalizadas funcionam junto com grupos. O fluxo de trabalho típico é: criar funções personalizadas, atribuí-las a grupos e depois definir as funções dos membros como "Personalizado" para que seu acesso seja governado inteiramente pelas funções personalizadas atribuídas aos seus grupos.

Observação: Funções personalizadas afetam apenas membros cuja função está definida como "Personalizado". Membros com as funções Usuário, Administrador ou Proprietário obtêm suas permissões dessas funções diretamente, não de funções personalizadas.


Como o acesso a recursos funciona

O acesso a recursos é determinado por uma cadeia de precedência de quatro níveis, onde o nível mais restritivo vence:

  1. Substituições no nível da plataforma: Alguns recursos podem ser forçadamente ativados ou desativados para sua organização pela Anthropic como parte de seu contrato. Estes não podem ser alterados nas configurações da organização.

  2. Configuração no nível da organização: Um Proprietário ou Proprietário Primário pode ativar ou desativar um recurso para toda a organização. Se um recurso estiver desativado no nível da organização, nenhuma função personalizada pode conceder acesso a ele.

  3. Permissões de função personalizada: Se o recurso estiver ativado no nível da organização, as funções personalizadas do membro determinam se ele pode acessá-lo. Se qualquer uma das funções personalizadas do membro conceder o recurso, ele o terá.

  4. Configuração no nível do usuário: Se o recurso for concedido no nível da função, ele estará disponível a menos que o membro o tenha desativado em suas próprias configurações.

A conclusão principal: a alternância no nível da organização é um interruptor principal. Funções personalizadas são os interruptores por membro abaixo dela. Um recurso deve estar ativado no nível da organização antes que as funções personalizadas possam controlar quem obtém acesso.

Observação: Esta cadeia de precedência se aplica a recursos. Permissões de administrador não são controladas por uma alternância no nível da organização ou pelas configurações do próprio membro. Se a função personalizada de um membro conceder uma permissão de administrador, ele terá esse acesso.


Recursos disponíveis

Cada função personalizada pode conceder ou restringir o acesso aos seguintes recursos:

Recurso

Descrição

Chat

Acesso ao chat na web, aplicativos desktop e móveis.

Execução de código e criação de arquivos

Capacidade de executar código e criar arquivos em conversas.

Memória

Capacidade de usar memória em conversas.

Busca na web

Capacidade de usar busca na web em conversas.

Projetos públicos

Capacidade de compartilhar projetos com todos na sua organização.

Criar habilidades

Capacidade de criar ou fazer upload de habilidades personalizadas.

Compartilhar habilidades com membros da organização

Capacidade de compartilhar habilidades com pessoas específicas na sua organização.

Compartilhar habilidades com toda a organização

Capacidade de compartilhar habilidades com todos na sua organização de uma vez.

Claude Code

Acesso ao Claude Code.

Modo rápido

Acesso a opções de modelo mais rápidas para Claude Code.

Fluxos de trabalho dinâmicos do Claude Code*

Acesso a fluxos de trabalho dinâmicos no Claude Code, que permitem que Claude execute grandes tarefas de engenharia—migrações, auditorias, buscas de bugs em toda a base de código—do início ao fim em uma única sessão. Essas execuções podem durar horas e usar mais tokens do que uma sessão típica.

Claude Security

Encontre e corrija vulnerabilidades de segurança no seu código com Claude.

Artefatos do Claude Code

Capacidade de criar artefatos no Claude Code, que transformam o trabalho de uma sessão em uma página ao vivo e compartilhável construída a partir do contexto da sessão.

Claude Design

Acesso ao Claude Design para gerar artefatos de design.

Claude Cowork

Acesso ao Claude Cowork.

Claude para Chrome

Acesso ao Claude para Chrome, a extensão do navegador que permite que o Claude navegue e atue em páginas da web em nome do usuário.

*Os fluxos de trabalho dinâmicos do Claude Code estão ativados para toda a sua organização por padrão. Como uma única execução pode durar horas e usar mais tokens do que uma sessão típica, decida quais funções devem ter acesso. Para membros em funções personalizadas, essa capacidade segue o modelo aditivo como qualquer outra—uma função deve concedê-la para que esses membros a usem. Para restringir um grupo específico, deixe essa capacidade desativada em sua função.

Isso pode ser desativado em toda a organização via managed-settings.json adicionando "disableWorkflows": true às suas configurações gerenciadas.

Um proprietário pode desativá-lo em toda a sua organização acessando Configurações da organização > Claude Code e alternando Fluxos de trabalho para desativado.

As funções personalizadas também governam permissões de administrador, conectores e acesso a modelos, que são configurados em abas separadas Permissões, Conectores e Modelos no editor de funções. Consulte Permissões de administrador, Permissões de conectores e Acesso a modelos abaixo.

Observação: O Chat está ativado por padrão para todas as funções personalizadas, incluindo as criadas antes dessa capacidade ser adicionada. Se você quiser restringir o chat para uma função específica, desative-o ao editar a função.


Criar uma função personalizada

  1. Clique em "Adicionar função."

  2. Digite um nome para a função (por exemplo, "Desenvolvedor", "Acesso Padrão" ou "Restrito").

  3. Selecione os grupos que você deseja atribuir à função.

  4. Alterne cada capacidade para ativar ou desativar para definir o que essa função concede.

  5. Configure permissões. Você pode escolher Sem acesso, Pode visualizar e Pode gerenciar para cada configuração de administrador.

  6. Configure conectores. Você pode escolher Sempre permitir, Precisa de aprovação ou Bloqueado para todos os conectores, ou personalizar por conector ou ferramenta de conector.

  7. Configure modelos. Selecione quais modelos essa função pode usar, opcionalmente defina um nível de esforço máximo por modelo e opcionalmente escolha um modelo padrão para a função.

  8. Clique em "Salvar função."

Editar uma função personalizada

  1. Clique na função que você deseja editar.

  2. Atualize o nome e grupos, ou alterne capacidades, permissões, conectores e modelos conforme necessário.

  3. Clique em "Salvar função" para salvar suas alterações.

As alterações de função podem levar até 15 minutos para entrar em vigor, e os membros podem precisar atualizar o navegador. Todos os membros em grupos atribuídos a essa função são afetados.

Excluir uma função personalizada

Clique no botão de menu em qualquer função personalizada e selecione "Excluir função." Excluir uma função remove suas permissões de todos os grupos aos quais foi atribuída. Os membros nesses grupos perdem as permissões que a função concedeu, a menos que outra função em sua cadeia também as conceda.


Atribuir grupos a funções personalizadas

As funções personalizadas são atribuídas a grupos, não diretamente a membros individuais. Para atribuir um grupo a uma função:

  1. Clique na função que você deseja atribuir.

  2. No seletor de grupos, selecione um ou mais grupos.

  3. Clique em "Salvar função."

Você também pode atribuir funções personalizadas ao criar ou editar um grupo em Configurações da organização > Grupos. Consulte Gerenciar grupos e limites de gastos de grupo em planos Enterprise.


Como as permissões se combinam em várias funções

Se um membro pertence a vários grupos com diferentes funções personalizadas, suas permissões são aditivas—ele obtém a união de todas as permissões de todas as funções em sua cadeia. Se qualquer função conceder um recurso, o membro terá acesso a ele.

Isso significa que você não pode usar uma função para remover uma permissão concedida por outra função. Isso é intencional — permite uma abordagem em camadas onde uma função base cobre recursos comuns e funções adicionais adicionam capacidades específicas e permissões de administrador.

Exemplo: Um membro está em dois grupos. O grupo "Todos os Usuários" é atribuído a uma função "Acesso Padrão" com busca na web e memória. O grupo "Engenharia" é atribuído a uma função "Desenvolvedor" com Cowork e Claude Code. O membro obtém todos os quatro: busca na web, memória, Cowork e Claude Code.


Ver a função efetiva de um membro ou grupo

Quando um membro pertence a vários grupos cujas funções concedem diferentes capacidades, pode ser difícil dizer o que ele realmente pode fazer. A opção "Ver função efetiva" mostra o resultado combinado: cada capacidade, permissão de administrador e conector que o membro possui, com a função que concede cada um.

  1. Encontre o membro ou grupo e abra o menu "⋮" no lado direito de sua linha.

  2. Selecione "Ver função efetiva."

O modal lista as funções atribuídas do membro e três abas:

  • Capacidades: cada capacidade com um rótulo "Concedido por [nome da função]" mostrando qual função a ativou.

  • Permissões: cada área de permissão de administrador com seu nível efetivo (Sem acesso, Pode visualizar ou Pode gerenciar) e qual função a concede.

  • Conectores: o nível de permissão efetivo de cada conector e qual função o concede.

Esta visualização é somente leitura. Para alterar o que um membro pode fazer, edite as funções atribuídas aos seus grupos.

Observação: "Ver função efetiva" aparece apenas para membros cuja função está definida como "Personalizada" e que têm pelo menos uma função personalizada atribuída através de um grupo. Membros com uma função integrada (Usuário, Administrador, Proprietário ou Proprietário Primário) obtêm suas permissões dessa função diretamente, portanto não há nada a calcular.


Permissões de administrador

As funções personalizadas podem conceder permissões de administrador além de capacidades e permissões de conectores. As permissões de administrador dão aos membros acesso a áreas administrativas específicas, como faturamento ou privacidade, sem torná-los Proprietários. Você pode configurar permissões de administrador na aba Permissões do editor de funções.

Observação: As permissões de administrador se aplicam apenas a membros cuja função está definida como "Personalizada." Membros com as funções Usuário, Administrador, Proprietário ou Proprietário Primário mantêm o acesso que essas funções concedem.

Níveis de permissão de administrador

Na aba Permissões, você define cada área de permissão para um de três níveis:

  • Sem acesso: O membro não vê essa área nas configurações da organização.

  • Pode visualizar: Visualizar concede acesso somente leitura. O membro vê as mesmas páginas e configurações de alguém que pode gerenciar essa área, mas todos os controles estão desativados ou mostrados como somente leitura. Use este nível de permissão para revisores de conformidade, auditores financeiros, equipes de segurança ou qualquer pessoa que precise ver a configuração sem alterá-la.

  • Pode gerenciar: Gerenciar concede acesso completo de leitura e escrita à área e inclui acesso de visualização.

Dentro de uma área, você concede todo o acesso de Visualização ou todo o acesso de Gerenciamento. Você não pode conceder ou restringir páginas ou configurações individuais.

Permissões de administrador disponíveis

Existem sete áreas de permissão de administrador:

Área

Visualizar

Gerenciar

Identidade e Acesso

Configuração de SSO e SAML, domínios verificados, associações de domínio, lista de permissões de IP, configurações de sessão, definições de grupo, definições de função e configurações de provisionamento

Editar SSO, gerenciar domínios, editar a lista de permissões de IP, editar configurações de sessão, criar e editar grupos e funções, e configurar provisionamento

Faturamento

Detalhes do plano, contagem de assentos, faturas, endereços de faturamento e gastos de uso

Alterar assentos, atualizar métodos de pagamento, editar endereços de faturamento e configurar limites de gastos e uso extra

Análises

Análises de uso, análises do Claude Code e métricas de adoção de recursos

Não disponível

Privacidade

Configurações de retenção de dados, configuração de exportação, configurações de compartilhamento, configurações de geolocalização, configuração de inferência apenas nos EUA e status da chave de criptografia

Editar períodos de retenção, executar exportações de dados, alterar configurações de compartilhamento e configurar geolocalização, inferência apenas nos EUA e criptografia

Gerenciamento de Usuários

Não disponível

Convidar membros, alterar funções de membros, remover membros e gerenciar convites pendentes

Bibliotecas

Não disponível

Adicionar, editar e remover habilidades, plugins e conectores compartilhados pela organização. Também inclui gerenciamento de diretório.

Gerenciamento de diretório

Não disponível

Enviar e gerenciar listagens de diretório e visualizar observabilidade para listagens que sua organização publicou

Nota: Uma função com Identidade e Acesso definida como "Pode gerenciar" pode criar e editar grupos e funções, incluindo sua própria definição de função. Membros com essa permissão podem expandir seu próprio acesso, portanto, reserve-a para administradores de segurança e TI confiáveis.

Páginas de configurações da organização disponíveis para cada permissão

Página de configurações da organização

Permissão necessária

Notas

Faturamento

Faturamento (Visualizar ou Gerenciar)

Plano, assentos, endereços e faturas

Uso

Faturamento (Visualizar ou Gerenciar)

Limites de gastos, créditos e uso extra

Membros

Gerenciamento de Usuários (Gerenciar)

Sem modo somente leitura

Grupos

Identidade e Acesso (Visualizar ou Gerenciar)

Funções

Identidade e Acesso (Visualizar ou Gerenciar)

Modelos

Identidade e Acesso (Visualizar ou Gerenciar)

Modelo padrão e acesso ao modelo

Organização e acesso (parcial)

Identidade e Acesso (Visualizar ou Gerenciar)

Desbloqueia logon único (SSO/SAML, mapeamentos de grupo, provisionamento), domínios verificados e associações de domínio, lista de permissões de IP, configurações de sessão, restrição de criação de organização e solicitações de fusão de organização. Outras seções nesta página, como o nome da organização, configurações de capacidade padrão e o prompt do sistema em toda a organização, ainda exigem a função Proprietário

Dados e privacidade

Privacidade (Visualizar ou Gerenciar)

Análises

Análises (Visualizar)

Acessado através de Análises no menu do usuário, não nas configurações da organização

Habilidades

Bibliotecas (Gerenciar)

Plugins

Bibliotecas (Gerenciar)

Conectores

Bibliotecas (Gerenciar)

Diretório

Gerenciamento de diretório (Gerenciar)

O que as permissões de administrador não cobrem

O seguinte permanece disponível apenas para Proprietários e Proprietários Primários, mesmo para membros com permissões de administrador:

  • Gerenciamento de Proprietários e Administradores. As permissões de administrador não podem conceder ou revogar as funções integradas Proprietário, Administrador ou Proprietário Primário. Apenas Proprietários podem gerenciar outros Proprietários.

  • Chaves de API e espaços de trabalho. Gerenciamento de chaves de API, configurações de espaço de trabalho e administração do Console Claude não são cobertos por permissões de administrador.

  • Conformidade e chaves de segurança. Configurações de API de conformidade e administração de chaves de segurança permanecem apenas para Proprietários.

  • Configurações de capacidade no nível da organização. Quais capacidades estão habilitadas no nível da organização é governado separadamente e não faz parte das permissões de administrador.

O que os membros veem quando as permissões de administrador são restritas

Se um membro não tiver acesso a uma permissão de administrador específica, a seção não aparecerá nas configurações da organização. Apenas as seções que suas permissões cobrem são mostradas.


Permissões de conector

Funções personalizadas também controlam quais conectores e quais ferramentas nesses conectores uma função pode usar. Onde as capacidades cobrem os recursos integrados do Claude, as permissões de conector cobrem os aplicativos e serviços que você conectou à sua organização, como Slack, Google Drive ou Jira. Você as define na guia Conectores do editor de funções, ao lado das guias Capacidades e Permissões.

Nota: As permissões de conector se aplicam apenas aos membros cuja função está definida como "Personalizada". Membros com as funções Usuário, Administrador ou Proprietário veem todos os conectores habilitados para sua organização, sujeitos às suas políticas de ferramentas em toda a organização por conector. Proprietários e Administradores sempre veem todos os conectores para que possam configurá-los, independentemente das permissões de conector de qualquer função.

Níveis de permissão

Na guia Conectores, você define todos os conectores, cada conector ou cada ferramenta em um conector para um dos três níveis:

  • Sempre permitir: Todas as ferramentas no conector estão disponíveis e os membros podem definir sua própria aprovação como "Sempre permitir" para pular a confirmação por chamada.

  • Precisa de aprovação: Todas as ferramentas estão disponíveis, mas os membros confirmam cada chamada. A opção "Sempre permitir" é removida do menu de aprovação pessoal para essas ferramentas.

  • Bloqueado: O conector ou ferramenta está oculto. Claude não pode vê-lo ou chamá-lo.

Um conector também pode ser definido como Personalizado, o que permite definir cada uma de suas ferramentas individualmente. Para a configuração completa, consulte Configurar permissões baseadas em funções em planos Enterprise.

Como o acesso ao conector é determinado

Um conector ou ferramenta passa por várias camadas antes que um membro possa usá-lo, avaliadas nesta ordem:

  1. Concessão de função. Cada conector ou ferramenta em uma função é definido como "Sempre permitir", "Precisa de aprovação" ou "Bloqueado".

  2. Nas funções do membro. Se os grupos de um membro lhe dão mais de uma função, a concessão mais permissiva para cada ferramenta se aplica. As permissões de conector são aditivas entre funções, assim como as capacidades.

  3. Política de ferramentas em toda a organização. A política por ferramenta que você define em Configurações da organização > Conectores por conector é o limite. Para cada ferramenta, Claude compara a concessão de função do membro com essa política e aplica a mais restritiva das duas. As concessões de função restringem o acesso dentro da política; elas não podem ampliar além dela. Saiba mais sobre como definir o acesso à ferramenta em Usar conectores para estender os recursos do Claude.

  4. A configuração pessoal do membro. O resultado das etapas acima é o limite efetivo do membro. Ele limita as opções no menu de aprovação por ferramenta pessoal ("Sempre permitir", "Perguntar" ou "Nunca"). Um limite de "Precisa de aprovação" remove "Sempre permitir". Um limite de "Bloqueado" desativa a ferramenta.

Para membros usando Claude Code, uma camada adicional se aplica: as políticas de Configurações Gerenciadas e as permissões de conector se compõem pela mais restritiva. Uma ferramenta é chamável sem um prompt apenas quando ambas a permitem. Para mais informações, consulte Configurações do Claude Code.

Esta tabela mostra como a política de ferramentas em toda a organização e a concessão de função de um membro se combinam:

Política de ferramentas em toda a organização

Concessão de função mais alta nas funções do membro

Limite efetivo

Opções pessoais do membro

Sempre permitir

Sempre permitir

Sempre permitir

Sempre permitir, Perguntar, Nunca

Sempre permitir

Requer aprovação

Requer aprovação

Perguntar, Nunca

Sempre permitir

Bloqueado

Bloqueado

Ferramenta desativada

Requer aprovação

Sempre permitir

Requer aprovação

Perguntar, Nunca

Requer aprovação

Bloqueado

Bloqueado

Ferramenta desativada

Bloqueado

Qualquer

Bloqueado

Ferramenta desativada

Onde as permissões do conector se aplicam

As permissões do conector são aplicadas nos servidores da Anthropic, portanto se aplicam em todas as superfícies Claude que roteiam tráfego de conector através da Anthropic:

Superfície

Cobertura

Claude na web e desktop

Aplicação completa. Conectores bloqueados estão ocultos, ferramentas bloqueadas estão desativadas, e o menu de aprovação pessoal é limitado ao que o limite permite.

Claude Mobile (iOS e Android)

Aplicada. Ferramentas bloqueadas são removidas da visualização do Claude e as chamadas para elas são rejeitadas. Uma ferramenta bloqueada ainda pode parecer ativa nas configurações do conector móvel até que as atualizações da interface sejam lançadas, mas não pode ser usada.

Claude Cowork (nuvem e desktop)

Igual à web.

Claude Code

Aplicada. Ferramentas bloqueadas são rejeitadas e aparecem como desativadas. Veja configurações do Claude Code.

As permissões do conector governam conectores que sua organização adicionou em Configurações da organização > Conectores. Elas não governam conectores que um membro executa localmente em sua própria máquina, e não governam Claude Cowork quando implantado em uma plataforma de terceiros. Para implantações Cowork de terceiros, use MDM. Veja Cowork em 3P: MCP, plugins, skills e hooks.

O que os membros veem quando um conector é restrito

Restrição

O que o membro vê

Um conector é bloqueado para sua função

O conector não aparece no menu de conectores deles.

Uma ferramenta é bloqueada em um conector visível

A ferramenta fica desativada nas configurações do conector deles, com a mensagem "Esta ferramenta não está habilitada para sua função. Contate seu administrador."

Uma ferramenta é limitada a "Requer aprovação"

A ferramenta funciona, mas o menu de aprovação pessoal oferece apenas "Perguntar" e "Nunca", e Claude pergunta antes de cada chamada.

As permissões do conector não conseguem carregar brevemente

Um banner relata que os conectores não conseguiram carregar, com uma tentativa novamente. Nenhuma ferramenta bloqueada jamais chega ao serviço conectado. O acesso falha tendendo a negar, nunca a conceder.

Os membros não conseguem dizer qual camada restringiu uma ferramenta. A mensagem é a mesma se o limite vem da política de ferramenta em toda a organização, de uma concessão de função, ou de ambas. Para encontrar a origem, compare a política em toda a organização com as concessões de função do membro.


Acesso ao modelo

Funções personalizadas também controlam quais modelos Claude uma função pode usar e o nível de esforço máximo que os membros podem selecionar em cada um. Você define isso na aba Modelos do editor de funções, junto com o modelo padrão da função.

A configuração de modelo no nível da organização é o limite. Uma função não pode conceder um modelo que está desativado no nível da organização. Nas funções de um membro, o acesso ao modelo é aditivo e os limites de esforço usam o limite máximo mais alto que qualquer função permite. Os modelos Haiku estão sempre disponíveis e não podem ser desativados.

Para etapas de configuração e o que os membros veem, veja Gerenciar acesso ao modelo para sua organização. Para comportamento de modelo padrão, veja Definir um modelo padrão para sua organização.


O que os membros veem quando o acesso à funcionalidade é restrito

Quando uma funcionalidade é restrita, aqui está o que os membros veem. Para restrições de conectores e ferramentas, consulte Permissões de conectores acima.

Motivo

O que o membro vê

Funcionalidade desabilitada no nível da organização

A funcionalidade aparece acinzentada ou oculta, com a mensagem "Este recurso está desabilitado para sua organização."

As funções do membro não concedem a funcionalidade

A funcionalidade aparece acinzentada ou oculta, com a mensagem "Entre em contato com seu administrador para solicitar acesso a este recurso."

As funções do membro não concedem acesso a nenhum produto

O membro é direcionado para sua página de configurações ao fazer login, sem produtos disponíveis para usar.

Isto respondeu à sua pergunta?