Ir para conteúdo principal

Migração do Claude Code do Console para Enterprise

Claude Console (API) → Claude Enterprise

Visão geral

Este guia foi desenvolvido para equipes que estão migrando do acesso ao Claude Code baseado em Console para Claude Enterprise. Observe que usuários individuais não precisam migrar o histórico de sessão para sessões CLI, pois elas são armazenadas localmente. Você só precisa provisionar contas do Claude Enterprise para cada usuário e, em seguida, os usuários devem alterar seu método de login de Console para Claude Enterprise.


Claude Enterprise comparado ao Console

Capacidade

Claude Console/API

Claude Enterprise

Claude Code na web e aplicativo móvel

Claude Code no Slack

Revisão de código

Aplicar quais ferramentas o Claude Code pode usar

❌ Sem interface nativa

*As configurações podem ser enviadas para máquinas de desenvolvedores via MDM (Jamf, Intune) ou gerenciamento de configuração (Ansible, Puppet, etc.)

✅ Interface nativa para definir regras de permissão/negação de managed-settings.json

Bloquear comandos bash específicos

❌ Sem interface nativa*

✅ Bash(curl:*), Bash(sudo:*), etc.

Impedir acesso a arquivos sensíveis

❌ Sem interface nativa*

✅ Read(.env), Read(./secrets/**)

Controlar quais servidores MCP são permitidos

❌ Sem interface nativa*

✅ allowedMcpServers / deniedMcpServers

Implantar servidores MCP pré-aprovados em toda a organização

❌ Sem interface nativa*

✅ managed-mcp.json

Forçar modo sandbox

❌ Sem interface nativa*

✅ sandbox.enabled

Desabilitar --dangerously-skip-permissions

❌ Sem interface nativa*

✅ permissions.disableBypassPermissionsMode: disable

Desabilitar modo automático

❌ Sem interface nativa*

✅ disableAutoMode: disable

Funções personalizadas (RBAC)

✅ Escopo de acesso a recursos por grupo e delegue áreas de administração específicas como faturamento, gerenciamento de usuários e identidade sem conceder a função de Proprietário. Gerenciar funções personalizadas em planos Enterprise

Governança de modelo

❌ Sem interface nativa*

✅ Defina um modelo padrão da organização para chat e Cowork (beta) no console de administração e restrinja a seleção de modelo do Claude Code com availableModels nas configurações gerenciadas. Defina um modelo padrão para sua organização

Logs de auditoria

❌ Sem suporte a log de auditoria

🟡 Claude Code tem suporte para OpenTelemetry

🟡 Logs de auditoria e a API de Conformidade, que inclui eventos de log de auditoria. Transcrições de sessões locais da CLI permanecem na máquina do desenvolvedor e não estão disponíveis via API de Conformidade.

Análise de uso

✅ Linhas de código escritas, taxa de aceitação, usuários ativos diários, gastos diários.

✅ Linhas de código escritas, taxa de aceitação, usuários ativos diários e gastos acumulados no mês por membro em Configurações da OrganizaçãoUso.

Relatórios de uso e custo programáticos

✅ A API de Análise do Claude Enterprise retorna métricas de engajamento por usuário e do Claude Code (commits, pull requests, linhas de código) além de endpoints de uso e custo. A API de Administração cobre gerenciamento programático da organização.

Métricas de contribuição

✅ Via API de Análise do Claude Code

✅ PRs criados e linhas de código confirmadas com assistência do Claude Code.

Controles de gastos granulares

✅ Limites de organização e workspace, além de limites por desenvolvedor em workspaces do Claude Code

✅ Organização → Grupo → Individual, integrado com grupos RBAC


Provisionamento SCIM

Aqui está o que sua equipe de identidade precisa fazer:

  1. Atualizar mapeamentos de grupos do IdP — Crie ou reutilize grupos do IdP para mapear usuários para a organização Claude Enterprise. Ative mapeamentos de grupos para atribuir assentos automaticamente.

  2. Garantir que assentos suficientes sejam comprados — Antes de disparar uma sincronização SCIM, verifique se a organização Claude Enterprise tem assentos suficientes disponíveis. Usuários sem assentos disponíveis serão definidos como status "Não atribuído".

  3. Confirmar que o acesso ao Claude Code está habilitado — Confirme que o Claude Code está habilitado para a organização Enterprise nas configurações de administração e — se você escopear recursos com funções personalizadas ou grupos — que seus grupos de desenvolvedores têm acesso ao Claude Code.

  4. Disparar uma sincronização — Navegue até Configurações da Organização → Organização e acesso, encontre Sincronização de diretório (SCIM) e clique em "Sincronizar". Observe que isso pode ser lento, pois pode disparar uma sincronização grande.

  5. Verificar atribuições de assentos — Após a sincronização, verifique Configurações da Organização → Organização e acesso para confirmar que os usuários foram atribuídos ao tipo de assento correto.

  6. Opcional: Ajustar mapeamentos da organização Console — Se alguns usuários devem manter acesso à API Console, mantenha seu grupo mapeado para a organização Console. Os usuários podem pertencer a ambas as organizações simultaneamente.

Observação: As alterações do SCIM do Microsoft Entra são sincronizadas a cada ~40 minutos. Use o botão "Sincronizar" para disparar sob demanda após alterações de grupo.

Se o SSO da sua organização Enterprise estiver configurado como somente login, fazer login não cria contas — os usuários devem ser convidados manualmente. Ative JIT ou provisionamento SCIM antes de direcionar desenvolvedores para fazer login. Consulte Configurar provisionamento JIT ou SCIM.


Limites de gastos

Os planos Claude Enterprise oferecem um sistema hierárquico de controle de gastos. Os limites em cascata — um usuário nunca pode exceder os limites da organização.

Nível

Escopo

Quem define

O que controla

1. Organização

Organização Enterprise inteira

Proprietário Primário / Proprietário

Gasto mensal máximo em todos os assentos e uso

2. Controles de grupo

Grupos com RBAC

Proprietário Primário / Proprietário

Limite de gastos para um grupo usando RBAC

3. Individual

Usuário específico

Proprietário Primário / Proprietário

Limite de gastos para um único membro da equipe

Como definir e editar limites de gastos

  1. Faça login como Proprietário ou Proprietário Primário.

  2. Defina o limite de nível da Organização — este é o teto global para todos os gastos mensais.

  3. Defina limites de nível de Grupo — na aba "Por grupo". Consulte Gerenciar grupos e limites de gastos de grupo em planos Enterprise.

  4. Defina limites de nível individual — encontre usuários específicos na seção Padrões de gastos na aba "Por membro".

Os proprietários podem definir limites como "ilimitado", mas todo o consumo ainda é cobrado. Se um usuário em um assento de consumo atingir seu limite, ele não poderá usar Claude ou Claude Code até o próximo período de faturamento ou até que um administrador aumente seu limite.


Emissão de novos assentos e reautenticação

Adicionando assentos

  1. Faça login como Proprietário Principal ou Proprietário.

  2. Clique no ícone de lápis em Assentos.

  3. Digite as novas contagens de assentos.

  4. Revise e clique em "Atualizar" para confirmar. Novos assentos são rateados.

Atribuindo usuários a assentos

  1. Clique em "Adicionar membro" (ou "Adicionar em massa" para vários).

  2. Digite o endereço de email @ do usuário.

  3. Defina a função (Usuário, Admin, Proprietário) e envie o convite.

Para usuários provisionados por SCIM, a atribuição de assento acontece automaticamente com base em mapeamentos de grupo. Os usuários assumem como padrão o nível de assento mais alto disponível se nenhum mapeamento de grupo estiver configurado.

Reautenticação para usuários do Claude Code

Desenvolvedores atualmente autenticados na organização Console precisarão se reautenticar na organização Claude Enterprise:

  1. Remova todas as credenciais Console restantes antes de fazer login. Procure por variáveis de ambiente ANTHROPIC_API_KEY ou ANTHROPIC_AUTH_TOKEN em perfis de shell, dotfiles e configs de CI, e remova qualquer configuração apiKeyHelper. Também verifique CLAUDE_CODE_OAUTH_TOKEN, ANTHROPIC_BASE_URL e os sinalizadores CLAUDE_CODE_USE_BEDROCK / _VERTEX / _FOUNDRY — estes também substituem ou contornam /login. As credenciais também podem estar ocultas no bloco env dos próprios arquivos de configurações do Claude Code (~/.claude/settings.json e os arquivos .claude/settings*.json em repositórios). Se estes permanecerem, eles silenciosamente têm precedência sobre o novo login: /login parecerá ter sucesso, mas o uso continua sendo cobrado na organização Console antiga.

  2. No terminal, execute claude e depois execute /login para alternar o método de autenticação.

  3. Selecione "Conta Claude com assinatura" como o método de login.

  4. Escolha a organização Claude Enterprise (não a organização Console ou uma conta pessoal).

  5. Autorize, retorne ao terminal e execute /status para confirmar que Claude Code mostra sua organização Enterprise.

CI e automação

Pipelines e scripts não usam /login. Mantenha uma organização Console (e suas chaves de API) para automação e migre apenas assentos de desenvolvedor interativos, ou alterne CI para uma credencial Enterprise: execute claude setup-token enquanto conectado à organização Enterprise e defina o token impresso como CLAUDE_CODE_OAUTH_TOKEN no seu ambiente de CI. Não remova credenciais de CI até que uma delas esteja em vigor.

Dica para TI: Implante configurações gerenciadas com forceLoginOrgUUID definido como o UUID da sua organização Enterprise como parte padrão de cada migração. Entregue o pin como um arquivo gerenciado por endpoint ou política MDM — configurações gerenciadas por servidor chegam apenas após um usuário fazer login, portanto não podem capturar um primeiro login incorreto. Se você também usar configurações gerenciadas por servidor, defina forceLoginOrgUUID lá também: os dois canais não se mesclam. Isso bloqueia o login em qualquer outra organização e transforma o modo de falha de credencial restante acima de faturamento silencioso para um alto: Claude Code se recusa a iniciar e diz ao usuário que uma credencial restante (ANTHROPIC_API_KEY, ANTHROPIC_AUTH_TOKEN ou apiKeyHelper) deve ser removida.

Após validar a migração

Remova desenvolvedores migrados da organização Console (ou gire suas chaves). A remoção revoga seus tokens de login Console e desabilita sua chave de espaço de trabalho Claude Code, interrompendo mais faturamento Console do uso interativo. As chaves de API que criaram em outros espaços de trabalho Console não são desabilitadas pela remoção — revise e desabilite-as separadamente. Não remova membros até confirmar que o acesso Enterprise funciona; não há reversão automatizada.


Melhorias em relatórios

Migrar da API Console para Claude Enterprise desbloqueia análises mais ricas para uso do Claude Code:

Métrica

API Console

Claude Enterprise

Consumo de tokens

Linhas de código aceitas

Taxa de aceitação de sugestões

PRs criados com assistência do Claude Code

✅ Via a API Claude Code Analytics

Linhas de código confirmadas com assistência do Claude Code

✅ Via a API Claude Code Analytics

Notificações de limite de gastos

✅ E-mails de notificação de limite com destinatários configuráveis

Alertas de limite

Gasto mensal por membro

Configurações de administrador → Uso

Trilha de auditoria de conformidade

✅ A API de Conformidade inclui eventos de log de auditoria. Transcrições de sessões locais da CLI permanecem na máquina do desenvolvedor e não estão disponíveis via API de Conformidade.

Todos os relatórios são acessíveis em Analytics no painel de administração do Claude. Para acesso programático, a API de Analytics do Claude Enterprise retorna métricas de engajamento por usuário, atividade do Claude Code (commits, pull requests, linhas de código) e dados de uso e custo. Os Analytics não migram: a organização Enterprise começa com histórico de relatórios novo, e sua API de Analytics/Admin requer uma nova chave de API criada na organização Enterprise — as chaves do Console não são transferidas. Exporte qualquer analytics do Console que você precise para painéis históricos antes da migração. O tráfego que permanece nas chaves da API do Console (por exemplo CI) continua aparecendo apenas nos relatórios do Console.


Configurações de política gerenciada — análise profunda

Esta é a atualização mais significativa para as equipes de segurança e TI. Configurações gerenciadas pelo servidor permitem controle centralizado e aplicável sobre o que o Claude Code pode e não pode fazer em cada máquina do desenvolvedor. Existem duas maneiras de entregá-las, e você não precisa de MDM para usar a primeira.

Como funciona

O Claude Code lê a configuração de uma hierarquia de fontes de configurações. O arquivo managed-settings.json fica no topo e não pode ser substituído pelas configurações do usuário ou do projeto:

Prioridade

Fonte

Escopo

Quem controla

1 (Mais alta)

Configurações gerenciadas (gerenciadas pelo servidor ou pelo endpoint)

Em toda a empresa

Proprietário / Proprietário Primário (quando enviado do console de administração do claude.ai) ou sua equipe de TI/MDM (quando implantado como arquivo).

2

Argumentos de linha de comando

Sessão

Desenvolvedor

3

.claude/settings.local.json

Projeto (pessoal)

Desenvolvedor

4

.claude/settings.json

Projeto (compartilhado, no Git)

Equipe

5 (Mais baixa)

~/.claude/settings.json

Usuário (global)

Desenvolvedor

Duas maneiras de entregar configurações gerenciadas

Configurações gerenciadas pelo servidor (sem MDM necessário): Um Proprietário ou Proprietário Primário define as configurações em Configurações da Organização Claude Code Configurações gerenciadas no console de administração. Cada cliente do Claude Code conectado à organização as busca automaticamente na inicialização e verifica atualizações a cada hora. Esta é a escolha certa para organizações sem infraestrutura de gerenciamento de dispositivos ou com usuários em dispositivos não gerenciados. Saiba mais sobre configurações gerenciadas pelo servidor.

Configurações gerenciadas pelo endpoint: A TI implanta as configurações diretamente nos dispositivos, seja através de políticas nativas do SO (preferências gerenciadas do macOS ou registro do Windows, via Jamf, Intune, Group Policy, etc.) ou como um arquivo managed-settings.json enviado para os caminhos do sistema abaixo. Proteja o arquivo com permissões no nível do SO para que os usuários finais não possam modificá-lo. Em dispositivos inscritos, isso fornece garantias mais fortes do que a entrega gerenciada pelo servidor porque o SO impede a manipulação do usuário.

Nota: Ambos os canais ocupam o mesmo nível de prioridade mais alto e usam o mesmo formato JSON, mas não se mesclam. A primeira fonte que entrega uma configuração não vazia vence: as configurações gerenciadas pelo servidor são verificadas primeiro e, se entregarem qualquer chave, as configurações gerenciadas pelo endpoint são completamente ignoradas. Execute /status para ver qual fonte gerenciada está ativa.

Locais de arquivo (gerenciado pelo endpoint)

SO

Caminho

macOS

/Library/Application Support/ClaudeCode/managed-settings.json

Linux

/etc/claude-code/managed-settings.json

Windows

C:\Program Files\ClaudeCode\managed-settings.json

Referência de configurações principais

Estas são as configurações mais relevantes para uma migração de Console para Enterprise. Claude Code suporta muitas mais: para a lista completa e atual, consulte Configurações do Claude Code.

Configuração

Finalidade

Exemplo

permissions.deny

Bloquear ferramentas/comandos específicos em toda a organização

Bash(curl:*), Read(.env)

permissions.allow

Permitir explicitamente comandos confiáveis

Bash(npm run test:*)

permissions.ask

Exigir aprovação do usuário a cada vez

Bash(rm:*)

permissions.disableBypassPermissionsMode

Impedir --dangerously-skip-permissions

"disable"

forceLoginOrgUUID

Restringir login a organização(ões) Enterprise específica(s). Aceita um UUID de organização ou uma matriz; o login em qualquer outra organização é bloqueado. Um único UUID também seleciona automaticamente essa organização no login.

"298e7cb2…"

forceLoginMethod

Forçar o método de login (claudeai, console ou gateway). Recomendado junto com forceLoginOrgUUID para que os usuários ignorem o seletor de tipo de conta, mas não é necessário para que a restrição de organização se aplique.

"claudeai"

allowedMcpServers

Permitir apenas servidores MCP aprovados, correspondidos por nome, comando ou padrão de URL

[{"serverName": "github"}]

deniedMcpServers

Colocar na lista negra servidores MCP específicos

[{"serverName": "filesystem"}]

allowManagedPermissionRulesOnly

Apenas as regras de permissão das configurações gerenciadas se aplicam; usuários e projetos não podem adicionar as suas próprias

true

allowManagedMcpServersOnly

Apenas a lista de permissões MCP gerenciada se aplica; listas de negação ainda se mesclam de todas as fontes

true

allowManagedHooksOnly

Apenas hooks gerenciados e aprovados pelo administrador são executados

true

enforceAvailableModels

Estende a lista de permissões availableModels para a opção de modelo padrão

true

sandbox.enabled

Forçar modo sandbox

true

sandbox.allowUnsandboxedCommands

Bloquear execução sem sandbox

false

cleanupPeriodDays

Período de retenção para dados de sessão local (transcrições e outros arquivos de aplicação). Padrão: 30 dias

7

companyAnnouncements

Exibir mensagens para todos os usuários do Claude Code

Matriz de strings

Implantação: Use sua ferramenta MDM (Intune, Jamf, SCCM, Puppet, etc.) para enviar managed-settings.json para todas as máquinas de desenvolvedores. Proteja o arquivo com permissões de nível do SO para que usuários finais não possam modificá-lo.

Isto respondeu à sua pergunta?