Visão geral
Este guia foi desenvolvido para equipes que estão migrando do acesso ao Claude Code baseado em Console para Claude Enterprise. Observe que usuários individuais não precisam migrar o histórico de sessão para sessões CLI, pois elas são armazenadas localmente. Você só precisa provisionar contas do Claude Enterprise para cada usuário e, em seguida, os usuários devem alterar seu método de login de Console para Claude Enterprise.
Claude Enterprise comparado ao Console
Capacidade | Claude Console/API | Claude Enterprise |
Claude Code na web e aplicativo móvel | ❌ | ✅ |
Claude Code no Slack | ❌ | ✅ |
Revisão de código | ❌ | ✅ |
Aplicar quais ferramentas o Claude Code pode usar | ❌ Sem interface nativa
*As configurações podem ser enviadas para máquinas de desenvolvedores via MDM (Jamf, Intune) ou gerenciamento de configuração (Ansible, Puppet, etc.) | ✅ Interface nativa para definir regras de permissão/negação de managed-settings.json |
Bloquear comandos bash específicos | ❌ Sem interface nativa* | ✅ Bash(curl:*), Bash(sudo:*), etc. |
Impedir acesso a arquivos sensíveis | ❌ Sem interface nativa* | ✅ Read(.env), Read(./secrets/**) |
Controlar quais servidores MCP são permitidos | ❌ Sem interface nativa* | ✅ allowedMcpServers / deniedMcpServers |
Implantar servidores MCP pré-aprovados em toda a organização | ❌ Sem interface nativa* | ✅ managed-mcp.json |
Forçar modo sandbox | ❌ Sem interface nativa* | ✅ sandbox.enabled |
Desabilitar --dangerously-skip-permissions | ❌ Sem interface nativa* | ✅ permissions.disableBypassPermissionsMode: disable |
Desabilitar modo automático | ❌ Sem interface nativa* | ✅ disableAutoMode: disable |
Funções personalizadas (RBAC) | ❌ | ✅ Escopo de acesso a recursos por grupo e delegue áreas de administração específicas como faturamento, gerenciamento de usuários e identidade sem conceder a função de Proprietário. Gerenciar funções personalizadas em planos Enterprise |
Governança de modelo | ❌ Sem interface nativa* | ✅ Defina um modelo padrão da organização para chat e Cowork (beta) no console de administração e restrinja a seleção de modelo do Claude Code com |
Logs de auditoria | ❌ Sem suporte a log de auditoria
🟡 Claude Code tem suporte para OpenTelemetry | 🟡 Logs de auditoria e a API de Conformidade, que inclui eventos de log de auditoria. Transcrições de sessões locais da CLI permanecem na máquina do desenvolvedor e não estão disponíveis via API de Conformidade. |
Análise de uso | ✅ Linhas de código escritas, taxa de aceitação, usuários ativos diários, gastos diários.
| ✅ Linhas de código escritas, taxa de aceitação, usuários ativos diários e gastos acumulados no mês por membro em Configurações da Organização → Uso.
|
Relatórios de uso e custo programáticos | ✅ A API de Análise do Claude Enterprise retorna métricas de engajamento por usuário e do Claude Code (commits, pull requests, linhas de código) além de endpoints de uso e custo. A API de Administração cobre gerenciamento programático da organização. | |
Métricas de contribuição | ✅ Via API de Análise do Claude Code | ✅ PRs criados e linhas de código confirmadas com assistência do Claude Code. |
Controles de gastos granulares | ✅ Limites de organização e workspace, além de limites por desenvolvedor em workspaces do Claude Code | ✅ Organização → Grupo → Individual, integrado com grupos RBAC |
Documentação: Funções e permissões, Compra e gerenciamento de assentos em planos Enterprise, Como sou cobrado pelo meu plano Enterprise?, Usando Claude Code com seu plano Enterprise
Provisionamento SCIM
Aqui está o que sua equipe de identidade precisa fazer:
Atualizar mapeamentos de grupos do IdP — Crie ou reutilize grupos do IdP para mapear usuários para a organização Claude Enterprise. Ative mapeamentos de grupos para atribuir assentos automaticamente.
Garantir que assentos suficientes sejam comprados — Antes de disparar uma sincronização SCIM, verifique se a organização Claude Enterprise tem assentos suficientes disponíveis. Usuários sem assentos disponíveis serão definidos como status "Não atribuído".
Confirmar que o acesso ao Claude Code está habilitado — Confirme que o Claude Code está habilitado para a organização Enterprise nas configurações de administração e — se você escopear recursos com funções personalizadas ou grupos — que seus grupos de desenvolvedores têm acesso ao Claude Code.
Disparar uma sincronização — Navegue até Configurações da Organização → Organização e acesso, encontre Sincronização de diretório (SCIM) e clique em "Sincronizar". Observe que isso pode ser lento, pois pode disparar uma sincronização grande.
Verificar atribuições de assentos — Após a sincronização, verifique Configurações da Organização → Organização e acesso para confirmar que os usuários foram atribuídos ao tipo de assento correto.
Opcional: Ajustar mapeamentos da organização Console — Se alguns usuários devem manter acesso à API Console, mantenha seu grupo mapeado para a organização Console. Os usuários podem pertencer a ambas as organizações simultaneamente.
Observação: As alterações do SCIM do Microsoft Entra são sincronizadas a cada ~40 minutos. Use o botão "Sincronizar" para disparar sob demanda após alterações de grupo.
Se o SSO da sua organização Enterprise estiver configurado como somente login, fazer login não cria contas — os usuários devem ser convidados manualmente. Ative JIT ou provisionamento SCIM antes de direcionar desenvolvedores para fazer login. Consulte Configurar provisionamento JIT ou SCIM.
Limites de gastos
Os planos Claude Enterprise oferecem um sistema hierárquico de controle de gastos. Os limites em cascata — um usuário nunca pode exceder os limites da organização.
Nível | Escopo | Quem define | O que controla |
1. Organização | Organização Enterprise inteira | Proprietário Primário / Proprietário | Gasto mensal máximo em todos os assentos e uso |
2. Controles de grupo | Grupos com RBAC | Proprietário Primário / Proprietário | Limite de gastos para um grupo usando RBAC |
3. Individual | Usuário específico | Proprietário Primário / Proprietário | Limite de gastos para um único membro da equipe |
Como definir e editar limites de gastos
Faça login como Proprietário ou Proprietário Primário.
Navegue até Configurações da Organização → Uso.
Defina o limite de nível da Organização — este é o teto global para todos os gastos mensais.
Defina limites de nível de Grupo — na aba "Por grupo". Consulte Gerenciar grupos e limites de gastos de grupo em planos Enterprise.
Defina limites de nível individual — encontre usuários específicos na seção Padrões de gastos na aba "Por membro".
Os proprietários podem definir limites como "ilimitado", mas todo o consumo ainda é cobrado. Se um usuário em um assento de consumo atingir seu limite, ele não poderá usar Claude ou Claude Code até o próximo período de faturamento ou até que um administrador aumente seu limite.
Docs: Configurando limites de gastos, Gerenciar grupos e limites de gastos de grupo em planos Enterprise
Emissão de novos assentos e reautenticação
Adicionando assentos
Faça login como Proprietário Principal ou Proprietário.
Clique no ícone de lápis em Assentos.
Digite as novas contagens de assentos.
Revise e clique em "Atualizar" para confirmar. Novos assentos são rateados.
Atribuindo usuários a assentos
Clique em "Adicionar membro" (ou "Adicionar em massa" para vários).
Digite o endereço de email @ do usuário.
Defina a função (Usuário, Admin, Proprietário) e envie o convite.
Para usuários provisionados por SCIM, a atribuição de assento acontece automaticamente com base em mapeamentos de grupo. Os usuários assumem como padrão o nível de assento mais alto disponível se nenhum mapeamento de grupo estiver configurado.
Reautenticação para usuários do Claude Code
Desenvolvedores atualmente autenticados na organização Console precisarão se reautenticar na organização Claude Enterprise:
Remova todas as credenciais Console restantes antes de fazer login. Procure por variáveis de ambiente
ANTHROPIC_API_KEYouANTHROPIC_AUTH_TOKENem perfis de shell, dotfiles e configs de CI, e remova qualquer configuraçãoapiKeyHelper. Também verifiqueCLAUDE_CODE_OAUTH_TOKEN,ANTHROPIC_BASE_URLe os sinalizadoresCLAUDE_CODE_USE_BEDROCK / _VERTEX / _FOUNDRY— estes também substituem ou contornam/login. As credenciais também podem estar ocultas no bloco env dos próprios arquivos de configurações do Claude Code (~/.claude/settings.json e os arquivos .claude/settings*.json em repositórios). Se estes permanecerem, eles silenciosamente têm precedência sobre o novo login:/loginparecerá ter sucesso, mas o uso continua sendo cobrado na organização Console antiga.No terminal, execute
claudee depois execute/loginpara alternar o método de autenticação.Selecione "Conta Claude com assinatura" como o método de login.
Escolha a organização Claude Enterprise (não a organização Console ou uma conta pessoal).
Autorize, retorne ao terminal e execute
/statuspara confirmar que Claude Code mostra sua organização Enterprise.
CI e automação
Pipelines e scripts não usam /login. Mantenha uma organização Console (e suas chaves de API) para automação e migre apenas assentos de desenvolvedor interativos, ou alterne CI para uma credencial Enterprise: execute claude setup-token enquanto conectado à organização Enterprise e defina o token impresso como CLAUDE_CODE_OAUTH_TOKEN no seu ambiente de CI. Não remova credenciais de CI até que uma delas esteja em vigor.
Dica para TI: Implante configurações gerenciadas com forceLoginOrgUUID definido como o UUID da sua organização Enterprise como parte padrão de cada migração. Entregue o pin como um arquivo gerenciado por endpoint ou política MDM — configurações gerenciadas por servidor chegam apenas após um usuário fazer login, portanto não podem capturar um primeiro login incorreto. Se você também usar configurações gerenciadas por servidor, defina forceLoginOrgUUID lá também: os dois canais não se mesclam. Isso bloqueia o login em qualquer outra organização e transforma o modo de falha de credencial restante acima de faturamento silencioso para um alto: Claude Code se recusa a iniciar e diz ao usuário que uma credencial restante (ANTHROPIC_API_KEY, ANTHROPIC_AUTH_TOKEN ou apiKeyHelper) deve ser removida.
Após validar a migração
Remova desenvolvedores migrados da organização Console (ou gire suas chaves). A remoção revoga seus tokens de login Console e desabilita sua chave de espaço de trabalho Claude Code, interrompendo mais faturamento Console do uso interativo. As chaves de API que criaram em outros espaços de trabalho Console não são desabilitadas pela remoção — revise e desabilite-as separadamente. Não remova membros até confirmar que o acesso Enterprise funciona; não há reversão automatizada.
Melhorias em relatórios
Migrar da API Console para Claude Enterprise desbloqueia análises mais ricas para uso do Claude Code:
Métrica | API Console | Claude Enterprise |
Consumo de tokens | ✅ | ✅ |
Linhas de código aceitas | ✅ | ✅ |
Taxa de aceitação de sugestões | ✅ | ✅ |
PRs criados com assistência do Claude Code | ✅ Via a API Claude Code Analytics | ✅ |
Linhas de código confirmadas com assistência do Claude Code | ✅ Via a API Claude Code Analytics | ✅ |
Notificações de limite de gastos | ✅ E-mails de notificação de limite com destinatários configuráveis | ✅ Alertas de limite |
Gasto mensal por membro | ❌ | ✅ Configurações de administrador → Uso |
Trilha de auditoria de conformidade | ❌ | ✅ A API de Conformidade inclui eventos de log de auditoria. Transcrições de sessões locais da CLI permanecem na máquina do desenvolvedor e não estão disponíveis via API de Conformidade. |
Todos os relatórios são acessíveis em Analytics no painel de administração do Claude. Para acesso programático, a API de Analytics do Claude Enterprise retorna métricas de engajamento por usuário, atividade do Claude Code (commits, pull requests, linhas de código) e dados de uso e custo. Os Analytics não migram: a organização Enterprise começa com histórico de relatórios novo, e sua API de Analytics/Admin requer uma nova chave de API criada na organização Enterprise — as chaves do Console não são transferidas. Exporte qualquer analytics do Console que você precise para painéis históricos antes da migração. O tráfego que permanece nas chaves da API do Console (por exemplo CI) continua aparecendo apenas nos relatórios do Console.
Configurações de política gerenciada — análise profunda
Esta é a atualização mais significativa para as equipes de segurança e TI. Configurações gerenciadas pelo servidor permitem controle centralizado e aplicável sobre o que o Claude Code pode e não pode fazer em cada máquina do desenvolvedor. Existem duas maneiras de entregá-las, e você não precisa de MDM para usar a primeira.
Como funciona
O Claude Code lê a configuração de uma hierarquia de fontes de configurações. O arquivo managed-settings.json fica no topo e não pode ser substituído pelas configurações do usuário ou do projeto:
Prioridade | Fonte | Escopo | Quem controla |
1 (Mais alta) | Configurações gerenciadas (gerenciadas pelo servidor ou pelo endpoint) | Em toda a empresa | Proprietário / Proprietário Primário (quando enviado do console de administração do claude.ai) ou sua equipe de TI/MDM (quando implantado como arquivo). |
2 | Argumentos de linha de comando | Sessão | Desenvolvedor |
3 | .claude/settings.local.json | Projeto (pessoal) | Desenvolvedor |
4 | .claude/settings.json | Projeto (compartilhado, no Git) | Equipe |
5 (Mais baixa) | ~/.claude/settings.json | Usuário (global) | Desenvolvedor |
Duas maneiras de entregar configurações gerenciadas
Configurações gerenciadas pelo servidor (sem MDM necessário): Um Proprietário ou Proprietário Primário define as configurações em Configurações da Organização → Claude Code → Configurações gerenciadas no console de administração. Cada cliente do Claude Code conectado à organização as busca automaticamente na inicialização e verifica atualizações a cada hora. Esta é a escolha certa para organizações sem infraestrutura de gerenciamento de dispositivos ou com usuários em dispositivos não gerenciados. Saiba mais sobre configurações gerenciadas pelo servidor.
Configurações gerenciadas pelo endpoint: A TI implanta as configurações diretamente nos dispositivos, seja através de políticas nativas do SO (preferências gerenciadas do macOS ou registro do Windows, via Jamf, Intune, Group Policy, etc.) ou como um arquivo managed-settings.json enviado para os caminhos do sistema abaixo. Proteja o arquivo com permissões no nível do SO para que os usuários finais não possam modificá-lo. Em dispositivos inscritos, isso fornece garantias mais fortes do que a entrega gerenciada pelo servidor porque o SO impede a manipulação do usuário.
Nota: Ambos os canais ocupam o mesmo nível de prioridade mais alto e usam o mesmo formato JSON, mas não se mesclam. A primeira fonte que entrega uma configuração não vazia vence: as configurações gerenciadas pelo servidor são verificadas primeiro e, se entregarem qualquer chave, as configurações gerenciadas pelo endpoint são completamente ignoradas. Execute /status para ver qual fonte gerenciada está ativa.
Locais de arquivo (gerenciado pelo endpoint)
SO | Caminho |
macOS | /Library/Application Support/ClaudeCode/managed-settings.json |
Linux | /etc/claude-code/managed-settings.json |
Windows | C:\Program Files\ClaudeCode\managed-settings.json |
Referência de configurações principais
Estas são as configurações mais relevantes para uma migração de Console para Enterprise. Claude Code suporta muitas mais: para a lista completa e atual, consulte Configurações do Claude Code.
Configuração | Finalidade | Exemplo |
| Bloquear ferramentas/comandos específicos em toda a organização | Bash(curl:*), Read(.env) |
| Permitir explicitamente comandos confiáveis | Bash(npm run test:*) |
| Exigir aprovação do usuário a cada vez | Bash(rm:*) |
| Impedir --dangerously-skip-permissions | "disable" |
| Restringir login a organização(ões) Enterprise específica(s). Aceita um UUID de organização ou uma matriz; o login em qualquer outra organização é bloqueado. Um único UUID também seleciona automaticamente essa organização no login. | "298e7cb2…" |
| Forçar o método de login (claudeai, console ou gateway). Recomendado junto com | "claudeai" |
| Permitir apenas servidores MCP aprovados, correspondidos por nome, comando ou padrão de URL | [{"serverName": "github"}] |
| Colocar na lista negra servidores MCP específicos | [{"serverName": "filesystem"}] |
| Apenas as regras de permissão das configurações gerenciadas se aplicam; usuários e projetos não podem adicionar as suas próprias | true |
| Apenas a lista de permissões MCP gerenciada se aplica; listas de negação ainda se mesclam de todas as fontes | true |
| Apenas hooks gerenciados e aprovados pelo administrador são executados | true |
| Estende a lista de permissões | true |
| Forçar modo sandbox | true |
| Bloquear execução sem sandbox | false |
| Período de retenção para dados de sessão local (transcrições e outros arquivos de aplicação). Padrão: 30 dias | 7 |
| Exibir mensagens para todos os usuários do Claude Code | Matriz de strings |
Implantação: Use sua ferramenta MDM (Intune, Jamf, SCCM, Puppet, etc.) para enviar managed-settings.json para todas as máquinas de desenvolvedores. Proteja o arquivo com permissões de nível do SO para que usuários finais não possam modificá-lo.
