Пользовательские роли доступны для организаций с планом Enterprise. Владельцы, основные владельцы и пользовательские роли с разрешением Identity & Access, установленным на "Can manage", могут перейти в Organization settings > Roles для управления пользовательскими ролями.
Что такое пользовательские роли?
Пользовательские роли позволяют определить, к каким функциям могут получить доступ ваши члены команды. Каждая пользовательская роль содержит набор разрешений, которые предоставляют или ограничивают доступ к определённым возможностям, таким как чат, Claude Cowork, Claude Code и веб-поиск, а также к соединителям, которые добавила ваша организация, например Slack или Google Drive. Пользовательские роли также могут предоставлять права администратора, которые дают членам команды доступ к определённым административным областям, таким как выставление счётов, идентификация или конфиденциальность, без предоставления им статуса владельца.
Пользовательские роли работают вместе с группами. Типичный рабочий процесс: создайте пользовательские роли, назначьте их группам, а затем установите роль членов на "Custom", чтобы их доступ полностью контролировался пользовательскими ролями, назначенными их группам.
Примечание: Пользовательские роли влияют только на членов, чья роль установлена на "Custom". Члены с ролями User, Admin или Owner получают свои разрешения непосредственно из этих ролей, а не из пользовательских ролей.
Как работает доступ к функциям
Доступ к функциям определяется четырёхуровневой цепочкой приоритетов, где побеждает наиболее ограничивающий уровень:
Переопределения на уровне платформы: Некоторые функции могут быть принудительно включены или отключены для вашей организации компанией Anthropic в соответствии с вашим контрактом. Их нельзя изменить в параметрах организации.
Параметр на уровне организации: Владелец или основной владелец может включить или отключить функцию для всей организации. Если функция отключена на уровне организации, ни одна пользовательская роль не может предоставить доступ к ней.
Разрешения пользовательской роли: Если функция включена на уровне организации, пользовательские роли члена определяют, может ли он получить доступ к ней. Если любая из пользовательских ролей члена предоставляет функцию, он её имеет.
Параметр на уровне пользователя: Если функция предоставлена на уровне роли, она доступна, если только член не отключил её в своих собственных параметрах.
Главный вывод: переключатель на уровне организации — это главный выключатель. Пользовательские роли — это переключатели для каждого члена под ним. Функция должна быть включена на уровне организации, прежде чем пользовательские роли смогут контролировать, кто получит доступ.
Примечание: Эта цепочка приоритетов применяется к возможностям. Права администратора не ограничиваются переключателем на уровне организации или собственными параметрами члена. Если пользовательская роль члена предоставляет право администратора, он имеет этот доступ.
Доступные возможности
Каждая пользовательская роль может предоставлять или ограничивать доступ к следующим возможностям:
Возможность | Описание |
Чат | Доступ к чату в веб-приложении, приложениях для рабочего стола и мобильных приложениях. |
Выполнение кода и создание файлов | Возможность запускать код и создавать файлы в беседах. |
Память | Возможность использовать память в разных беседах. |
Веб-поиск | Возможность использовать веб-поиск в беседах. |
Общие проекты | Возможность делиться проектами со всеми в вашей организации. |
Создание навыков | Возможность создавать или загружать пользовательские навыки. |
Делиться навыками с членами организации | Возможность делиться навыками с определёнными людьми в вашей организации. |
Делиться навыками со всей организацией | Возможность делиться навыками со всеми в вашей организации одновременно. |
Claude Code | Доступ к Claude Code. |
Быстрый режим | Доступ к более быстрым вариантам моделей для Claude Code. |
Claude Code динамические рабочие процессы* | Доступ к динамическим рабочим процессам в Claude Code, которые позволяют Claude выполнять крупные инженерные задачи — миграции, аудиты, поиск ошибок по всей кодовой базе — от начала до конца в одной сессии. Эти запуски могут длиться часами и использовать больше токенов, чем типичная сессия. |
Claude Security | Найдите и исправьте уязвимости безопасности в вашем коде с помощью Claude. |
Claude Code артефакты | Возможность создавать артефакты в Claude Code, которые превращают работу сессии в живую, общую страницу, созданную из контекста сессии. |
Claude Design | Доступ к Claude Design для создания дизайн-артефактов. |
Claude Cowork | Доступ к Claude Cowork. |
Claude для Chrome | Доступ к Claude для Chrome — расширению браузера, которое позволяет Claude просматривать веб-страницы и выполнять действия от имени пользователя. |
*Динамические рабочие процессы Claude Code включены для всей организации по умолчанию. Поскольку один запуск может длиться часами и использовать больше токенов, чем типичный сеанс, решите, какие роли должны иметь доступ. Для участников с пользовательскими ролями эта возможность следует аддитивной модели, как и любая другая — роль должна предоставить её, чтобы участники могли её использовать. Чтобы ограничить доступ для определённой группы, отключите эту возможность в их роли.
Это можно отключить для всей организации через managed-settings.json, добавив "disableWorkflows": true в ваши управляемые параметры.
Владелец может отключить это для всей организации, перейдя в Параметры организации > Claude Code и переключив Рабочие процессы в положение «выключено».
Пользовательские роли также управляют разрешениями администратора, соединителями и доступом к моделям, которые настраиваются на отдельных вкладках Разрешения, Соединители и Модели в редакторе ролей. См. Разрешения администратора, Разрешения соединителей и Доступ к моделям ниже.
Примечание: Чат включен по умолчанию для всех пользовательских ролей, включая те, которые были созданы до добавления этой возможности. Если вы хотите ограничить чат для определённой роли, отключите его при редактировании роли.
Создание пользовательской роли
Перейдите в Параметры организации > Роли.
Нажмите «Добавить роль».
Введите имя роли (например, «Разработчик», «Стандартный доступ» или «Ограниченный»).
Выберите группы, которые вы хотите назначить этой роли.
Включите или отключите каждую возможность, чтобы определить, что предоставляет эта роль.
Настройте разрешения. Вы можете выбрать «Нет доступа», «Может просматривать» и «Может управлять» для каждого параметра администратора.
Настройте соединители. Вы можете выбрать «Всегда разрешить», «Требуется одобрение» или «Заблокировано» для всех соединителей, или настроить для каждого соединителя или инструмента соединителя отдельно.
Настройте модели. Выберите, какие модели может использовать эта роль, при необходимости установите максимальный уровень усилий для каждой модели и при необходимости выберите модель по умолчанию для роли.
Нажмите «Сохранить роль».
Редактирование пользовательской роли
Перейдите в Параметры организации > Роли.
Нажмите на роль, которую вы хотите отредактировать.
Обновите имя и группы, или переключите возможности, разрешения, соединители и модели по мере необходимости.
Нажмите «Сохранить роль», чтобы сохранить изменения.
Изменения ролей могут вступить в силу в течение 15 минут, и участникам может потребоваться обновить браузер. Все участники в группах, назначенных этой роли, затронуты.
Удаление пользовательской роли
Нажмите кнопку меню на любой пользовательской роли и выберите «Удалить роль». Удаление роли удаляет её разрешения из всех групп, которым она была назначена. Участники в этих группах теряют разрешения, которые предоставляла роль, если только другая роль в их цепи также их не предоставляет.
Назначение групп пользовательским ролям
Пользовательские роли назначаются группам, а не отдельным участникам. Чтобы назначить группу роли:
Перейдите в Параметры организации > Роли.
Нажмите на роль, которую вы хотите назначить.
В селекторе групп выберите одну или несколько групп.
Нажмите «Сохранить роль».
Вы также можете назначить пользовательские роли при создании или редактировании группы в Параметры организации > Группы. См. Управление группами и лимитами расходов групп в планах Enterprise.
Как разрешения объединяются в нескольких ролях
Если участник принадлежит нескольким группам с разными пользовательскими ролями, его разрешения аддитивны — он получает объединение всех разрешений из всех ролей в его цепи. Если любая роль предоставляет функцию, участник имеет к ней доступ.
Это означает, что вы не можете использовать одну роль для удаления разрешения, предоставленного другой ролью. Это сделано намеренно — это позволяет использовать многоуровневый подход, при котором базовая роль охватывает общие функции, а дополнительные роли добавляют специфические возможности и разрешения администратора.
Пример: Участник находится в двух группах. Группе «Все пользователи» назначена роль «Стандартный доступ» с веб-поиском и памятью. Группе «Инженерия» назначена роль «Разработчик» с Cowork и Claude Code. Участник получает все четыре: веб-поиск, память, Cowork и Claude Code.
Просмотр эффективной роли участника или группы
Когда участник принадлежит нескольким группам, чьи роли предоставляют разные возможности, может быть сложно определить, что он на самом деле может делать. Опция «Просмотр эффективной роли» показывает объединённый результат: каждую возможность, разрешение администратора и соединитель, которые есть у участника, с указанием роли, которая каждое из них предоставляет.
Перейдите в Параметры организации > Участники (или Параметры организации > Группы).
Найдите участника или группу и откройте меню «⋮» на правой стороне их строки.
Выберите «Просмотр эффективной роли».
Модальное окно отображает назначенные роли участника и три вкладки:
Возможности: каждая возможность с меткой «Предоставлено [имя роли]», показывающей, какая роль её включила.
Разрешения: каждая область разрешения администратора с её эффективным уровнем («Нет доступа», «Может просматривать» или «Может управлять») и роль, которая его предоставляет.
Соединители: эффективный уровень разрешения каждого соединителя и роль, которая его предоставляет.
Этот вид доступен только для чтения. Чтобы изменить, что может делать участник, отредактируйте роли, назначенные его группам.
Примечание: «Просмотр эффективной роли» появляется только для участников, чья роль установлена на «Пользовательская» и у которых есть хотя бы одна пользовательская роль, назначенная через группу. Участники со встроенной ролью (Пользователь, Администратор, Владелец или Основной владелец) получают свои разрешения непосредственно из этой роли, поэтому нечего вычислять.
Разрешения администратора
Пользовательские роли могут предоставлять разрешения администратора в дополнение к возможностям и разрешениям соединителей. Разрешения администратора дают участникам доступ к определённым административным областям, таким как выставление счётов или конфиденциальность, без того чтобы делать их владельцами. Вы можете настроить разрешения администратора на вкладке Разрешения редактора ролей.
Примечание: Разрешения администратора применяются только к участникам, чья роль установлена на «Пользовательская». Участники с ролями «Пользователь», «Администратор», «Владелец» или «Основной владелец» сохраняют доступ, который предоставляют эти роли.
Уровни разрешений администратора
На вкладке Разрешения вы устанавливаете каждую область разрешений на один из трёх уровней:
Нет доступа: Участник не видит эту область в параметрах организации.
Может просматривать: Просмотр предоставляет доступ только для чтения. Участник видит те же страницы и параметры, что и тот, кто может управлять этой областью, но все элементы управления отключены или отображаются как доступные только для чтения. Используйте этот уровень разрешений для проверяющих соответствие, финансовых аудиторов, команд безопасности или всех, кому нужно видеть конфигурацию без её изменения.
Может управлять: Управление предоставляет полный доступ на чтение и запись к области и включает доступ для просмотра.
В пределах области вы предоставляете либо все разрешения на просмотр, либо все разрешения на управление. Вы не можете предоставлять или ограничивать отдельные страницы или параметры.
Доступные разрешения администратора
Существует семь областей разрешений администратора:
Область | Просмотр | Управление |
Идентификация и доступ | Конфигурация SSO и SAML, проверенные домены, членство в доменах, список разрешённых IP-адресов, параметры сеанса, определения групп, определения ролей и параметры подготовки | Редактирование SSO, управление доменами, редактирование списка разрешённых IP-адресов, редактирование параметров сеанса, создание и редактирование групп и ролей, а также настройка подготовки |
Выставление счётов | Сведения о плане, количество мест, счета-фактуры, адреса выставления счётов и расходы на использование | Изменение количества мест, обновление способов оплаты, редактирование адресов выставления счётов, а также настройка лимитов расходов и дополнительного использования |
Аналитика | Аналитика использования, аналитика Claude Code и метрики внедрения функций | Недоступно |
Конфиденциальность | Параметры хранения данных, конфигурация экспорта, параметры общего доступа, параметры геолокации, параметр вывода только в США и статус ключа шифрования | Редактирование периодов хранения, запуск экспорта данных, изменение параметров общего доступа, а также настройка геолокации, вывода только в США и шифрования |
Управление пользователями | Недоступно | Приглашение участников, изменение ролей участников, удаление участников и управление ожидающими приглашениями |
Библиотеки | Недоступно | Добавление, редактирование и удаление общих для организации навыков, плагинов и соединителей. Также включает управление каталогом. |
Управление каталогом | Недоступно | Отправка и управление записями в каталоге, а также просмотр наблюдаемости для записей, опубликованных вашей организацией |
Примечание: Роль с параметром Идентификация и доступ, установленным на «Может управлять», может создавать и редактировать группы и роли, включая определение собственной роли. Участники с этим разрешением могут расширить свой собственный доступ, поэтому зарезервируйте его для доверенных администраторов безопасности и ИТ.
Доступные страницы параметров организации для каждого разрешения
Страница параметров организации | Требуемое разрешение | Примечания |
Выставление счётов | Выставление счётов (просмотр или управление) | План, места, адреса и счета-фактуры |
Использование | Выставление счётов (просмотр или управление) | Лимиты расходов, кредиты и дополнительное использование |
Участники | Управление пользователями (управление) | Режим только для просмотра недоступен |
Группы | Идентификация и доступ (просмотр или управление) |
|
Роли | Идентификация и доступ (просмотр или управление) |
|
Модели | Идентификация и доступ (Просмотр или управление) | Модель по умолчанию и доступ к модели |
Организация и доступ (частичный) | Идентификация и доступ (Просмотр или управление) | Разблокирует единый вход (SSO/SAML, сопоставление групп, подготовка), проверенные домены и членство в доменах, список разрешённых IP-адресов, параметры сеанса, ограничение создания организаций и запросы на объединение организаций. Другие разделы на этой странице, такие как имя организации, параметры возможностей по умолчанию и системное приглашение на уровне организации, по-прежнему требуют роли владельца |
Данные и конфиденциальность | Конфиденциальность (Просмотр или управление) |
|
Аналитика | Аналитика (Просмотр) | Доступна через Аналитику в меню пользователя, а не в параметрах организации |
Навыки | Библиотеки (Управление) |
|
Плагины | Библиотеки (Управление) |
|
Соединители | Библиотеки (Управление) |
|
Каталог | Управление каталогом (Управление) |
|
Что не охватывают разрешения администратора
Следующее остаётся доступным только владельцам и основным владельцам, даже для членов с разрешениями администратора:
Управление владельцами и администраторами. Разрешения администратора не могут предоставлять или отзывать встроенные роли владельца, администратора или основного владельца. Только владельцы могут управлять другими владельцами.
Ключи API и рабочие пространства. Управление ключами API, параметры рабочего пространства и администрирование Claude Console не охватываются разрешениями администратора.
Ключи соответствия и безопасности. Параметры API соответствия и администрирование ключей безопасности остаются только для владельца.
Параметры возможностей на уровне организации. Какие возможности включены на уровне организации, определяется отдельно и не является частью разрешений администратора.
Что видят члены, когда разрешения администратора ограничены
Если член не имеет доступа к определённому разрешению администратора, раздел не отображается в параметрах его организации. Отображаются только разделы, которые охватывают его разрешения.
Разрешения соединителя
Пользовательские роли также контролируют, какие соединители и какие инструменты на этих соединителях может использовать роль. Если возможности охватывают встроенные функции Claude, разрешения соединителя охватывают приложения и сервисы, подключённые к вашей организации, такие как Slack, Google Drive или Jira. Вы устанавливаете их на вкладке Соединители редактора ролей рядом с вкладками Возможности и Разрешения.
Примечание: Разрешения соединителя применяются только к членам, чья роль установлена на «Пользовательская». Члены с ролями пользователя, администратора или владельца видят каждый соединитель, включённый для вашей организации, в соответствии с политиками инструментов на уровне организации для каждого соединителя. Владельцы и администраторы всегда видят каждый соединитель, чтобы они могли его настроить, независимо от разрешений соединителя любой роли.
Уровни разрешений
На вкладке Соединители вы устанавливаете все соединители, каждый соединитель или каждый инструмент на соединителе на один из трёх уровней:
Всегда разрешить: Каждый инструмент на соединителе доступен, и члены могут установить своё одобрение на «Всегда разрешить», чтобы пропустить подтверждение для каждого вызова.
Требуется одобрение: Каждый инструмент доступен, но члены подтверждают каждый вызов. Опция «Всегда разрешить» удаляется из их личного меню одобрения для этих инструментов.
Заблокировано: Соединитель или инструмент скрыт. Claude не может его видеть или вызывать.
Соединитель также может быть установлен на Пользовательский, что позволяет вам устанавливать каждый его инструмент отдельно. Для полной настройки см. Настройка разрешений на основе ролей в планах Enterprise.
Как определяется доступ к соединителю
Соединитель или инструмент проходит через несколько уровней, прежде чем член сможет его использовать, оценённые в этом порядке:
Предоставление роли. Каждый соединитель или инструмент на роли установлен на «Всегда разрешить», «Требуется одобрение» или «Заблокировано».
Во всех ролях члена. Если группы члена дают ему более одной роли, применяется наиболее разрешающее предоставление для каждого инструмента. Разрешения соединителя являются аддитивными во всех ролях, как и возможности.
Политика инструментов на уровне организации. Политика для каждого инструмента, которую вы устанавливаете в разделе Параметры организации > Соединители для каждого соединителя, является потолком. Для каждого инструмента Claude сравнивает предоставление роли члена с этой политикой и применяет более строгую из двух. Предоставления ролей сужают доступ в рамках политики; они не могут расширить его за пределы политики. Узнайте больше о настройке доступа к инструментам в разделе Использование соединителей для расширения возможностей Claude.
Собственная настройка члена. Результат вышеуказанных шагов — эффективный потолок члена. Он ограничивает параметры в его личном меню одобрения для каждого инструмента («Всегда разрешить», «Спросить» или «Никогда»). Потолок «Требуется одобрение» удаляет «Всегда разрешить». Потолок «Заблокировано» делает инструмент неактивным.
Для членов, использующих Claude Code, применяется ещё один уровень: политики управляемых параметров и разрешения соединителя объединяются по наиболее ограничивающему. Инструмент можно вызвать без приглашения только если оба это разрешают. Для получения дополнительной информации см. Параметры Claude Code.
Эта таблица показывает, как политика инструментов на уровне организации и предоставление роли члена объединяются:
Политика инструментов на уровне организации | Наиболее разрешающее предоставление роли во всех ролях члена | Эффективный потолок | Личные параметры члена |
Всегда разрешить | Всегда разрешить | Всегда разрешить | Всегда разрешить, Спросить, Никогда |
Всегда разрешить | Требуется одобрение | Требуется одобрение | Спросить, Никогда |
Всегда разрешить | Заблокировано | Заблокировано | Инструмент неактивен |
Требуется одобрение | Всегда разрешить | Требуется одобрение | Спросить, Никогда |
Требуется одобрение | Заблокировано | Заблокировано | Инструмент неактивен |
Заблокировано | Любой | Заблокировано | Инструмент неактивен |
Где применяются разрешения соединителя
Разрешения соединителя применяются на серверах Anthropic, поэтому они действуют на всех поверхностях Claude, которые маршрутизируют трафик соединителя через Anthropic:
Поверхность | Охват |
Claude в веб-версии и на рабочем столе | Полное применение. Заблокированные соединители скрыты, заблокированные инструменты неактивны, а меню личного одобрения ограничено тем, что позволяет лимит. |
Claude Mobile (iOS и Android) | Применяется. Заблокированные инструменты удаляются из представления Claude, и вызовы к ним отклоняются. Заблокированный инструмент может по-прежнему выглядеть активным в параметрах мобильного соединителя до выпуска обновлений интерфейса, но его нельзя использовать. |
Claude Cowork (облако и рабочий стол) | Как в веб-версии. |
Claude Code | Применяется. Заблокированные инструменты отклоняются и отображаются как отключённые. См. параметры Claude Code. |
Разрешения соединителя управляют соединителями, которые ваша организация добавила в Параметры организации > Соединители. Они не управляют соединителями, которые участник запускает локально на своём компьютере, и не управляют Claude Cowork при развёртывании на платформе третьей стороны. Для развёртываний Cowork третьей стороны используйте MDM. См. Cowork на 3P: MCP, плагины, навыки и хуки.
Что видят участники при ограничении соединителя
Ограничение | Что видит участник |
Соединитель заблокирован для их роли | Соединитель не отображается в меню соединителей. |
Инструмент заблокирован на видимом соединителе | Инструмент неактивен в параметрах соединителя с сообщением «Этот инструмент не включён для вашей роли. Обратитесь к администратору.» |
Инструмент ограничен на «Требуется одобрение» | Инструмент работает, но меню личного одобрения предлагает только «Спросить» и «Никогда», и Claude спрашивает перед каждым вызовом. |
Разрешения соединителя не могут загрузиться на короткое время | Баннер сообщает, что соединители не удалось загрузить, с возможностью повтора. Ни один заблокированный инструмент никогда не достигает подключённого сервиса. Доступ отказывается в сторону отрицания, никогда в сторону предоставления. |
Участники не могут определить, какой уровень ограничил инструмент. Сообщение одинаково, независимо от того, исходит ли ограничение из политики инструментов на уровне организации, предоставления роли или обоих. Чтобы найти источник, сравните политику на уровне организации с предоставлениями ролей участника.
Доступ к модели
Пользовательские роли также управляют тем, какие модели Claude может использовать роль, и максимальным уровнем усилий, который участники могут выбрать для каждой. Вы устанавливаете их на вкладке Модели редактора ролей рядом с моделью по умолчанию роли.
Параметр модели на уровне организации является потолком. Роль не может предоставить модель, которая отключена на уровне организации. Во всех ролях участника доступ к модели является аддитивным, а ограничения усилий принимают наивысший лимит, который позволяет любая роль. Модели Haiku всегда доступны и не могут быть отключены.
Инструкции по настройке и что видят участники см. в Управление доступом к модели для вашей организации. Поведение модели по умолчанию см. в Установка модели по умолчанию для вашей организации.
Что видят участники при ограничении доступа к функции
Когда функция ограничена, вот что видят участники. Для ограничений соединителей и инструментов см. Разрешения соединителя выше.
Причина | Что видит участник |
Функция отключена на уровне организации | Функция отображается серой или скрытой с сообщением "Эта функция отключена для вашей организации." |
Роли участника не предоставляют доступ к функции | Функция отображается серой или скрытой с сообщением "Обратитесь к администратору, чтобы запросить доступ к этой функции." |
Роли участника не предоставляют доступ к какому-либо продукту | Участник попадает на страницу своих параметров при входе, без доступных продуктов для использования. |
