Обзор
Это руководство предназначено для команд, переходящих с доступа к Claude Code на основе Console на Claude Enterprise. Обратите внимание, что отдельные пользователи не должны переносить историю сеансов для сеансов CLI, так как они хранятся локально. Вам нужно только подготовить учетные записи Claude Enterprise для каждого пользователя, а затем пользователи должны изменить способ входа с Console на Claude Enterprise.
Claude Enterprise в сравнении с Console
Возможность | Claude Console/API | Claude Enterprise |
Claude Code в веб-приложении и мобильном приложении | ❌ | ✅ |
Claude Code в Slack | ❌ | ✅ |
Проверка кода | ❌ | ✅ |
Определить, какие инструменты может использовать Claude Code | ❌ Нет встроенного интерфейса
*Параметры можно отправить на машины разработчиков через MDM (Jamf, Intune) или управление конфигурацией (Ansible, Puppet и т. д.) | ✅ Встроенный интерфейс для установки правил разрешения/запрета managed-settings.json |
Блокировать определенные команды bash | ❌ Нет встроенного интерфейса* | ✅ Bash(curl:*), Bash(sudo:*) и т. д. |
Предотвратить доступ к конфиденциальным файлам | ❌ Нет встроенного интерфейса* | ✅ Read(.env), Read(./secrets/**) |
Контролировать, какие серверы MCP разрешены | ❌ Нет встроенного интерфейса* | ✅ allowedMcpServers / deniedMcpServers |
Развернуть предварительно одобренные серверы MCP по всей организации | ❌ Нет встроенного интерфейса* | ✅ managed-mcp.json |
Принудительно включить режим песочницы | ❌ Нет встроенного интерфейса* | ✅ sandbox.enabled |
Отключить --dangerously-skip-permissions | ❌ Нет встроенного интерфейса* | ✅ permissions.disableBypassPermissionsMode: disable |
Отключить автоматический режим | ❌ Нет встроенного интерфейса* | ✅ disableAutoMode: disable |
Пользовательские роли (RBAC) | ❌ | ✅ Ограничьте доступ к функциям по группам и делегируйте определенные области администратора, такие как выставление счетов, управление пользователями и идентификация, без предоставления роли Owner. Управление пользовательскими ролями в планах Enterprise |
Управление моделями | ❌ Нет встроенного интерфейса* | ✅ Установите модель организации по умолчанию для чата и Cowork (бета) из консоли администратора и ограничьте выбор модели Claude Code с помощью |
Журналы аудита | ❌ Поддержка журналов аудита отсутствует
🟡 Claude Code имеет поддержку OpenTelemetry | 🟡 Журналы аудита и API соответствия, который включает события журнала аудита. Стенограммы локальных сеансов CLI остаются на машине разработчика и недоступны через API соответствия. |
Аналитика использования | ✅ Строки кода, написанные, коэффициент принятия, ежедневные активные пользователи, ежедневные расходы.
| ✅ Строки кода, написанные, коэффициент принятия, ежедневные активные пользователи и расходы с начала месяца на одного члена в Параметры организации → Использование.
|
Программная отчетность об использовании и затратах | ✅ API аналитики Claude Enterprise возвращает метрики взаимодействия и Claude Code для каждого пользователя (коммиты, запросы на слияние, строки кода), а также конечные точки использования и затрат. Admin API охватывает программное управление организацией. | |
Метрики вклада | ✅ Через API аналитики Claude Code | ✅ Запросы на слияние, созданные и строки кода, зафиксированные с помощью Claude Code. |
Детальный контроль расходов | ✅ Лимиты организации и рабочей области, а также лимиты для отдельных разработчиков в рабочих областях Claude Code | ✅ Организация → Группа → Отдельный пользователь, интегрировано с группами RBAC |
Документация: Роли и разрешения, Покупка и управление местами в планах Enterprise, Как я плачу за мой план Enterprise?, Использование Claude Code с вашим планом Enterprise
Подготовка SCIM
Вот что должна сделать ваша команда идентификации:
Обновите сопоставления групп IdP — создайте или переиспользуйте группы IdP для сопоставления пользователей с организацией Claude Enterprise. Включите сопоставления групп для автоматического назначения мест.
Убедитесь, что куплено достаточно мест — перед запуском синхронизации SCIM убедитесь, что организация Claude Enterprise имеет достаточно доступных мест. Пользователи без доступных мест будут установлены в статус «Не назначено».
Подтвердите, что доступ к Claude Code включен — подтвердите, что Claude Code включен для организации Enterprise в параметрах администратора и — если вы ограничиваете функции пользовательскими ролями или группами — что вашим группам разработчиков предоставлен доступ к Claude Code.
Запустите синхронизацию — перейдите в Параметры организации → Организация и доступ, найдите Синхронизация каталога (SCIM) и нажмите «Синхронизировать». Обратите внимание, что это может быть медленным, так как это может запустить большую синхронизацию.
Проверьте назначения мест — после синхронизации проверьте Параметры организации → Организация и доступ, чтобы подтвердить, что пользователи получили правильный тип места.
Опционально: отрегулируйте сопоставления организации Console — если некоторые пользователи должны сохранить доступ к Console API, оставьте их группу сопоставленной с организацией Console. Пользователи могут одновременно принадлежать обеим организациям.
Примечание: изменения SCIM Microsoft Entra синхронизируются каждые ~40 минут. Используйте кнопку «Синхронизировать» для запуска по требованию после изменений группы.
Если SSO вашей организации Enterprise настроен как только для входа, вход не создает учетные записи — пользователи должны быть приглашены вручную. Включите JIT или подготовку SCIM перед тем, как направить разработчиков на вход. См. Настройка JIT или подготовки SCIM.
Лимиты расходов
Планы Claude Enterprise предлагают иерархическую систему контроля расходов. Лимиты каскадируют — пользователь никогда не может превысить лимиты организации.
Уровень | Область | Кто его устанавливает | Что он контролирует |
1. Организация | Вся организация Enterprise | Основной владелец / Владелец | Максимальные ежемесячные расходы по всем местам и использованию |
2. Контроль групп | Группы с RBAC | Основной владелец / Владелец | Лимит расходов для группы с использованием RBAC |
3. Отдельный пользователь | Конкретный пользователь | Основной владелец / Владелец | Лимит расходов для одного члена команды |
Как установить и отредактировать лимиты расходов
Войдите как владелец или основной владелец.
Перейдите в Параметры организации → Использование.
Установите лимит уровня организации — это глобальный потолок для всех ежемесячных расходов.
Установите лимиты уровня группы — на вкладке «По группам». См. Управление группами и лимитами расходов групп в планах Enterprise.
Установите индивидуальные лимиты уровня — найдите конкретных пользователей в разделе Spending defaults на вкладке "By member".
Владельцы могут установить лимиты на "unlimited", но все потребление по-прежнему будет выставлено счетом. Если пользователь на месте потребления достигнет своего лимита, он не сможет использовать Claude или Claude Code до следующего периода выставления счетов или пока администратор не увеличит его лимит.
Документация: Настройка лимитов расходов, Управление группами и лимитами расходов групп в планах Enterprise
Выдача новых мест и повторная аутентификация
Добавление мест
Войдите как Primary Owner или Owner.
Перейдите в Organization settings → Billing.
Нажмите значок карандаша под Seats.
Введите новое количество мест.
Проверьте и нажмите "Upgrade" для подтверждения. Новые места рассчитываются пропорционально.
Назначение пользователей на места
Перейдите в Organization settings → Members.
Нажмите "Add member" (или "Bulk add" для нескольких).
Введите адрес электронной почты пользователя с символом @.
Установите роль (User, Admin, Owner) и отправьте приглашение.
Для пользователей, подготовленных через SCIM, назначение мест происходит автоматически на основе сопоставления групп. Пользователи по умолчанию получают наивысший доступный уровень мест, если сопоставление групп не настроено.
Повторная аутентификация для пользователей Claude Code
Разработчики, в настоящее время аутентифицированные в организации Console, должны повторно пройти аутентификацию в организации Claude Enterprise:
Удалите все оставшиеся учетные данные Console перед входом. Проверьте переменные окружения
ANTHROPIC_API_KEYилиANTHROPIC_AUTH_TOKENв профилях оболочки, dotfiles и конфигурациях CI, а также удалите любые параметрыapiKeyHelper. Также проверьтеCLAUDE_CODE_OAUTH_TOKEN,ANTHROPIC_BASE_URLи флагиCLAUDE_CODE_USE_BEDROCK / _VERTEX / _FOUNDRY— они также переопределяют или обходят/login. Учетные данные также могут скрываться в блоке env собственных файлов параметров Claude Code (~/.claude/settings.json и файлы .claude/settings*.json в репозиториях). Если они остаются, они молча имеют приоритет над новым входом:/loginбудет выглядеть успешным, но использование продолжит выставлять счета старой организации Console.В терминале запустите
claude, а затем запустите/loginдля переключения метода аутентификации.Выберите "Claude account with subscription" в качестве метода входа.
Выберите организацию Claude Enterprise (не организацию Console и не личный аккаунт).
Авторизуйтесь, вернитесь в терминал и запустите
/statusдля подтверждения того, что Claude Code показывает вашу организацию Enterprise.
CI и автоматизация
Конвейеры и скрипты не используют /login. Либо сохраните организацию Console (и ее ключи API) для автоматизации и перенесите только интерактивные места разработчиков, либо переключите CI на учетные данные Enterprise: запустите claude setup-token при входе в организацию Enterprise и установите напечатанный токен как CLAUDE_CODE_OAUTH_TOKEN в вашей среде CI. Не удаляйте учетные данные CI, пока одно из них не будет на месте.
Совет для IT: Разверните управляемые параметры с forceLoginOrgUUID, установленным на UUID вашей организации Enterprise, как стандартную часть каждой миграции. Доставьте pin как файл, управляемый конечной точкой, или политику MDM — параметры, управляемые сервером, поступают только после входа пользователя, поэтому они не могут перехватить неправильный первый вход. Если вы также используете параметры, управляемые сервером, установите forceLoginOrgUUID там тоже: два канала не объединяются. Это блокирует вход в любую другую организацию и превращает режим отказа с оставшимися учетными данными выше из молчаливого неправильного выставления счетов в громкий: Claude Code отказывается запускаться и сообщает пользователю, что оставшиеся учетные данные (ANTHROPIC_API_KEY, ANTHROPIC_AUTH_TOKEN или apiKeyHelper) должны быть удалены.
После проверки миграции
Удалите перенесенных разработчиков из организации Console (или измените их ключи). Удаление отзывает их токены входа Console и отключает ключ рабочей области Claude Code, останавливая дальнейшее выставление счетов Console от интерактивного использования. Ключи API, которые они создали в других рабочих областях Console, не отключаются при удалении — проверьте и отключите их отдельно. Не удаляйте членов, пока не подтвердите, что доступ Enterprise работает; автоматического отката нет.
Документация: Покупка и управление местами в планах Enterprise
Улучшения в отчетности
Переход от Console API к Claude Enterprise открывает более богатую аналитику для использования Claude Code:
Метрика | Console API | Claude Enterprise |
Потребление токенов | ✅ | ✅ |
Строк кода принято | ✅ | ✅ |
Коэффициент принятия предложений | ✅ | ✅ |
PR созданы с помощью Claude Code | ✅ Через Claude Code Analytics API | ✅ |
Строк кода зафиксировано с помощью Claude Code | ✅ Через Claude Code Analytics API | ✅ |
Уведомления о лимите расходов | ✅ Уведомления при достижении лимита с настраиваемыми получателями | ✅ Пороговые оповещения |
Расходы на одного участника с начала месяца | ❌ | ✅ Параметры администратора → Использование |
Журнал аудита соответствия | ❌ | ✅ API соответствия включает события журнала аудита. Стенограммы локальных сеансов CLI остаются на машине разработчика и недоступны через API соответствия. |
Все отчеты доступны в разделе Аналитика в панели администратора Claude. Для программного доступа API аналитики Claude Enterprise возвращает метрики вовлеченности пользователей, активность Claude Code (коммиты, запросы на слияние, строки кода) и данные об использовании и затратах. Аналитика не переносится: организация Enterprise начинает с чистой истории отчетности, а ее Analytics/Admin API требует нового ключа API, созданного в организации Enterprise — ключи Console не переносятся. Экспортируйте необходимую аналитику Console для исторических панелей мониторинга перед переходом. Трафик, остающийся на ключах Console API (например, CI), продолжает отображаться только в отчетности Console.
Документация: Аналитика использования Claude Code
Параметры управляемой политики — подробный обзор
Это наиболее значительное обновление для команд безопасности и ИТ. Параметры, управляемые сервером, обеспечивают централизованное, обязательное управление возможностями и ограничениями Claude Code на каждой машине разработчика. Существует два способа их доставки, и вам не нужна MDM для использования первого.
Как это работает
Claude Code читает конфигурацию из иерархии источников параметров. Файл managed-settings.json находится на вершине и не может быть переопределен пользовательскими или проектными параметрами:
Приоритет | Источник | Область | Кто это контролирует |
1 (Наивысший) | Управляемые параметры (управляемые сервером или конечной точкой) | На уровне предприятия | Владелец / Основной владелец (при отправке из консоли администратора claude.ai) или ваша команда ИТ/MDM (при развертывании как файл). |
2 | Аргументы командной строки | Сеанс | Разработчик |
3 | .claude/settings.local.json | Проект (личный) | Разработчик |
4 | .claude/settings.json | Проект (общий, в Git) | Команда |
5 (Наименьший) | ~/.claude/settings.json | Пользователь (глобальный) | Разработчик |
Два способа доставки управляемых параметров
Параметры, управляемые сервером (MDM не требуется): Владелец или основной владелец определяет параметры в Параметры организации → Claude Code → Управляемые параметры в консоли администратора. Каждый клиент Claude Code, вошедший в организацию, автоматически загружает их при запуске и опрашивает обновления каждый час. Это правильный выбор для организаций без инфраструктуры управления устройствами или с пользователями на неуправляемых устройствах. Узнайте больше о параметрах, управляемых сервером.
Параметры, управляемые конечной точкой: ИТ развертывает параметры непосредственно на устройства либо через встроенные политики ОС (управляемые параметры macOS или реестр Windows через Jamf, Intune, Group Policy и т. д.), либо как файл managed-settings.json, отправленный в системные пути ниже. Защитите файл разрешениями уровня ОС, чтобы конечные пользователи не могли его изменять. На зарегистрированных устройствах это обеспечивает более надежные гарантии, чем доставка, управляемая сервером, поскольку ОС предотвращает вмешательство пользователя.
Примечание: Оба канала занимают один и тот же приоритет наивысшего уровня и используют один и тот же формат JSON, но они не объединяются. Первый источник, который доставляет непустую конфигурацию, побеждает: сначала проверяются параметры, управляемые сервером, и если они доставляют какие-либо ключи, параметры, управляемые конечной точкой, полностью игнорируются. Запустите /status, чтобы увидеть, какой управляемый источник активен.
Расположение файлов (управляемые конечной точкой)
ОС | Путь |
macOS | /Library/Application Support/ClaudeCode/managed-settings.json |
Linux | /etc/claude-code/managed-settings.json |
Windows | C:\Program Files\ClaudeCode\managed-settings.json |
Справочник ключевых параметров
Это параметры, наиболее релевантные для миграции Console-to-Enterprise. Claude Code поддерживает намного больше: полный актуальный список см. в параметрах Claude Code.
Параметр | Назначение | Пример |
| Блокировать определённые инструменты/команды на уровне организации | Bash(curl:*), Read(.env) |
| Явно разрешить доверенные команды | Bash(npm run test:*) |
| Требовать одобрение пользователя каждый раз | Bash(rm:*) |
| Предотвратить использование --dangerously-skip-permissions | "disable" |
| Ограничить вход в определённую организацию Enterprise. Принимает один UUID организации или массив; вход в любую другую организацию блокируется. Один UUID также автоматически выбирает эту организацию при входе. | "298e7cb2…" |
| Принудительно установить метод входа (claudeai, console или gateway). Рекомендуется использовать вместе с | "claudeai" |
| Разрешить только одобренные MCP-серверы, сопоставляемые по имени, команде или шаблону URL | [{"serverName": "github"}] |
| Чёрный список определённых MCP-серверов | [{"serverName": "filesystem"}] |
| Применяются только правила разрешений из управляемых параметров; пользователи и проекты не могут добавлять свои собственные | true |
| Применяется только управляемый список разрешённых MCP-серверов; списки запретов по-прежнему объединяются из всех источников | true |
| Выполняются только управляемые и одобренные администратором хуки | true |
| Расширяет список разрешённых | true |
| Принудительно включить режим песочницы | true |
| Блокировать выполнение без песочницы | false |
| Период хранения данных локальной сессии (стенограммы и другие файлы приложения). По умолчанию: 30 дней | 7 |
| Отображение сообщений всем пользователям Claude Code | Массив строк |
Развертывание: Используйте инструмент MDM (Intune, Jamf, SCCM, Puppet и т. д.) для развертывания managed-settings.json на все машины разработчиков. Защитите файл разрешениями уровня ОС, чтобы конечные пользователи не могли его изменять.
Документация: Параметры Claude Code, Управляемые параметры, Области установки MCP
