К основному содержимому

Миграция Claude Code с Console на Enterprise

Claude Console (API) → Claude Enterprise

Обзор

Это руководство предназначено для команд, переходящих с доступа к Claude Code на основе Console на Claude Enterprise. Обратите внимание, что отдельные пользователи не должны переносить историю сеансов для сеансов CLI, так как они хранятся локально. Вам нужно только подготовить учетные записи Claude Enterprise для каждого пользователя, а затем пользователи должны изменить способ входа с Console на Claude Enterprise.


Claude Enterprise в сравнении с Console

Возможность

Claude Console/API

Claude Enterprise

Claude Code в веб-приложении и мобильном приложении

Claude Code в Slack

Проверка кода

Определить, какие инструменты может использовать Claude Code

❌ Нет встроенного интерфейса

*Параметры можно отправить на машины разработчиков через MDM (Jamf, Intune) или управление конфигурацией (Ansible, Puppet и т. д.)

✅ Встроенный интерфейс для установки правил разрешения/запрета managed-settings.json

Блокировать определенные команды bash

❌ Нет встроенного интерфейса*

✅ Bash(curl:*), Bash(sudo:*) и т. д.

Предотвратить доступ к конфиденциальным файлам

❌ Нет встроенного интерфейса*

✅ Read(.env), Read(./secrets/**)

Контролировать, какие серверы MCP разрешены

❌ Нет встроенного интерфейса*

✅ allowedMcpServers / deniedMcpServers

Развернуть предварительно одобренные серверы MCP по всей организации

❌ Нет встроенного интерфейса*

✅ managed-mcp.json

Принудительно включить режим песочницы

❌ Нет встроенного интерфейса*

✅ sandbox.enabled

Отключить --dangerously-skip-permissions

❌ Нет встроенного интерфейса*

✅ permissions.disableBypassPermissionsMode: disable

Отключить автоматический режим

❌ Нет встроенного интерфейса*

✅ disableAutoMode: disable

Пользовательские роли (RBAC)

✅ Ограничьте доступ к функциям по группам и делегируйте определенные области администратора, такие как выставление счетов, управление пользователями и идентификация, без предоставления роли Owner. Управление пользовательскими ролями в планах Enterprise

Управление моделями

❌ Нет встроенного интерфейса*

✅ Установите модель организации по умолчанию для чата и Cowork (бета) из консоли администратора и ограничьте выбор модели Claude Code с помощью availableModels в управляемых параметрах. Установите модель по умолчанию для вашей организации

Журналы аудита

❌ Поддержка журналов аудита отсутствует

🟡 Claude Code имеет поддержку OpenTelemetry

🟡 Журналы аудита и API соответствия, который включает события журнала аудита. Стенограммы локальных сеансов CLI остаются на машине разработчика и недоступны через API соответствия.

Аналитика использования

✅ Строки кода, написанные, коэффициент принятия, ежедневные активные пользователи, ежедневные расходы.

✅ Строки кода, написанные, коэффициент принятия, ежедневные активные пользователи и расходы с начала месяца на одного члена в Параметры организацииИспользование.

Программная отчетность об использовании и затратах

API аналитики Claude Enterprise возвращает метрики взаимодействия и Claude Code для каждого пользователя (коммиты, запросы на слияние, строки кода), а также конечные точки использования и затрат. Admin API охватывает программное управление организацией.

Метрики вклада

✅ Через API аналитики Claude Code

✅ Запросы на слияние, созданные и строки кода, зафиксированные с помощью Claude Code.

Детальный контроль расходов

✅ Лимиты организации и рабочей области, а также лимиты для отдельных разработчиков в рабочих областях Claude Code

✅ Организация → Группа → Отдельный пользователь, интегрировано с группами RBAC


Подготовка SCIM

Вот что должна сделать ваша команда идентификации:

  1. Обновите сопоставления групп IdP — создайте или переиспользуйте группы IdP для сопоставления пользователей с организацией Claude Enterprise. Включите сопоставления групп для автоматического назначения мест.

  2. Убедитесь, что куплено достаточно мест — перед запуском синхронизации SCIM убедитесь, что организация Claude Enterprise имеет достаточно доступных мест. Пользователи без доступных мест будут установлены в статус «Не назначено».

  3. Подтвердите, что доступ к Claude Code включен — подтвердите, что Claude Code включен для организации Enterprise в параметрах администратора и — если вы ограничиваете функции пользовательскими ролями или группами — что вашим группам разработчиков предоставлен доступ к Claude Code.

  4. Запустите синхронизацию — перейдите в Параметры организации → Организация и доступ, найдите Синхронизация каталога (SCIM) и нажмите «Синхронизировать». Обратите внимание, что это может быть медленным, так как это может запустить большую синхронизацию.

  5. Проверьте назначения мест — после синхронизации проверьте Параметры организации → Организация и доступ, чтобы подтвердить, что пользователи получили правильный тип места.

  6. Опционально: отрегулируйте сопоставления организации Console — если некоторые пользователи должны сохранить доступ к Console API, оставьте их группу сопоставленной с организацией Console. Пользователи могут одновременно принадлежать обеим организациям.

Примечание: изменения SCIM Microsoft Entra синхронизируются каждые ~40 минут. Используйте кнопку «Синхронизировать» для запуска по требованию после изменений группы.

Если SSO вашей организации Enterprise настроен как только для входа, вход не создает учетные записи — пользователи должны быть приглашены вручную. Включите JIT или подготовку SCIM перед тем, как направить разработчиков на вход. См. Настройка JIT или подготовки SCIM.


Лимиты расходов

Планы Claude Enterprise предлагают иерархическую систему контроля расходов. Лимиты каскадируют — пользователь никогда не может превысить лимиты организации.

Уровень

Область

Кто его устанавливает

Что он контролирует

1. Организация

Вся организация Enterprise

Основной владелец / Владелец

Максимальные ежемесячные расходы по всем местам и использованию

2. Контроль групп

Группы с RBAC

Основной владелец / Владелец

Лимит расходов для группы с использованием RBAC

3. Отдельный пользователь

Конкретный пользователь

Основной владелец / Владелец

Лимит расходов для одного члена команды

Как установить и отредактировать лимиты расходов

  1. Войдите как владелец или основной владелец.

  2. Установите лимит уровня организации — это глобальный потолок для всех ежемесячных расходов.

  3. Установите лимиты уровня группы — на вкладке «По группам». См. Управление группами и лимитами расходов групп в планах Enterprise.

  4. Установите индивидуальные лимиты уровня — найдите конкретных пользователей в разделе Spending defaults на вкладке "By member".

Владельцы могут установить лимиты на "unlimited", но все потребление по-прежнему будет выставлено счетом. Если пользователь на месте потребления достигнет своего лимита, он не сможет использовать Claude или Claude Code до следующего периода выставления счетов или пока администратор не увеличит его лимит.


Выдача новых мест и повторная аутентификация

Добавление мест

  1. Войдите как Primary Owner или Owner.

  2. Перейдите в Organization settings → Billing.

  3. Нажмите значок карандаша под Seats.

  4. Введите новое количество мест.

  5. Проверьте и нажмите "Upgrade" для подтверждения. Новые места рассчитываются пропорционально.

Назначение пользователей на места

  1. Перейдите в Organization settings → Members.

  2. Нажмите "Add member" (или "Bulk add" для нескольких).

  3. Введите адрес электронной почты пользователя с символом @.

  4. Установите роль (User, Admin, Owner) и отправьте приглашение.

Для пользователей, подготовленных через SCIM, назначение мест происходит автоматически на основе сопоставления групп. Пользователи по умолчанию получают наивысший доступный уровень мест, если сопоставление групп не настроено.

Повторная аутентификация для пользователей Claude Code

Разработчики, в настоящее время аутентифицированные в организации Console, должны повторно пройти аутентификацию в организации Claude Enterprise:

  1. Удалите все оставшиеся учетные данные Console перед входом. Проверьте переменные окружения ANTHROPIC_API_KEY или ANTHROPIC_AUTH_TOKEN в профилях оболочки, dotfiles и конфигурациях CI, а также удалите любые параметры apiKeyHelper. Также проверьте CLAUDE_CODE_OAUTH_TOKEN, ANTHROPIC_BASE_URL и флаги CLAUDE_CODE_USE_BEDROCK / _VERTEX / _FOUNDRY — они также переопределяют или обходят /login. Учетные данные также могут скрываться в блоке env собственных файлов параметров Claude Code (~/.claude/settings.json и файлы .claude/settings*.json в репозиториях). Если они остаются, они молча имеют приоритет над новым входом: /login будет выглядеть успешным, но использование продолжит выставлять счета старой организации Console.

  2. В терминале запустите claude, а затем запустите /login для переключения метода аутентификации.

  3. Выберите "Claude account with subscription" в качестве метода входа.

  4. Выберите организацию Claude Enterprise (не организацию Console и не личный аккаунт).

  5. Авторизуйтесь, вернитесь в терминал и запустите /status для подтверждения того, что Claude Code показывает вашу организацию Enterprise.

CI и автоматизация

Конвейеры и скрипты не используют /login. Либо сохраните организацию Console (и ее ключи API) для автоматизации и перенесите только интерактивные места разработчиков, либо переключите CI на учетные данные Enterprise: запустите claude setup-token при входе в организацию Enterprise и установите напечатанный токен как CLAUDE_CODE_OAUTH_TOKEN в вашей среде CI. Не удаляйте учетные данные CI, пока одно из них не будет на месте.

Совет для IT: Разверните управляемые параметры с forceLoginOrgUUID, установленным на UUID вашей организации Enterprise, как стандартную часть каждой миграции. Доставьте pin как файл, управляемый конечной точкой, или политику MDM — параметры, управляемые сервером, поступают только после входа пользователя, поэтому они не могут перехватить неправильный первый вход. Если вы также используете параметры, управляемые сервером, установите forceLoginOrgUUID там тоже: два канала не объединяются. Это блокирует вход в любую другую организацию и превращает режим отказа с оставшимися учетными данными выше из молчаливого неправильного выставления счетов в громкий: Claude Code отказывается запускаться и сообщает пользователю, что оставшиеся учетные данные (ANTHROPIC_API_KEY, ANTHROPIC_AUTH_TOKEN или apiKeyHelper) должны быть удалены.

После проверки миграции

Удалите перенесенных разработчиков из организации Console (или измените их ключи). Удаление отзывает их токены входа Console и отключает ключ рабочей области Claude Code, останавливая дальнейшее выставление счетов Console от интерактивного использования. Ключи API, которые они создали в других рабочих областях Console, не отключаются при удалении — проверьте и отключите их отдельно. Не удаляйте членов, пока не подтвердите, что доступ Enterprise работает; автоматического отката нет.


Улучшения в отчетности

Переход от Console API к Claude Enterprise открывает более богатую аналитику для использования Claude Code:

Метрика

Console API

Claude Enterprise

Потребление токенов

Строк кода принято

Коэффициент принятия предложений

PR созданы с помощью Claude Code

✅ Через Claude Code Analytics API

Строк кода зафиксировано с помощью Claude Code

✅ Через Claude Code Analytics API

Уведомления о лимите расходов

✅ Уведомления при достижении лимита с настраиваемыми получателями

Пороговые оповещения

Расходы на одного участника с начала месяца

Параметры администратора → Использование

Журнал аудита соответствия

API соответствия включает события журнала аудита. Стенограммы локальных сеансов CLI остаются на машине разработчика и недоступны через API соответствия.

Все отчеты доступны в разделе Аналитика в панели администратора Claude. Для программного доступа API аналитики Claude Enterprise возвращает метрики вовлеченности пользователей, активность Claude Code (коммиты, запросы на слияние, строки кода) и данные об использовании и затратах. Аналитика не переносится: организация Enterprise начинает с чистой истории отчетности, а ее Analytics/Admin API требует нового ключа API, созданного в организации Enterprise — ключи Console не переносятся. Экспортируйте необходимую аналитику Console для исторических панелей мониторинга перед переходом. Трафик, остающийся на ключах Console API (например, CI), продолжает отображаться только в отчетности Console.


Параметры управляемой политики — подробный обзор

Это наиболее значительное обновление для команд безопасности и ИТ. Параметры, управляемые сервером, обеспечивают централизованное, обязательное управление возможностями и ограничениями Claude Code на каждой машине разработчика. Существует два способа их доставки, и вам не нужна MDM для использования первого.

Как это работает

Claude Code читает конфигурацию из иерархии источников параметров. Файл managed-settings.json находится на вершине и не может быть переопределен пользовательскими или проектными параметрами:

Приоритет

Источник

Область

Кто это контролирует

1 (Наивысший)

Управляемые параметры (управляемые сервером или конечной точкой)

На уровне предприятия

Владелец / Основной владелец (при отправке из консоли администратора claude.ai) или ваша команда ИТ/MDM (при развертывании как файл).

2

Аргументы командной строки

Сеанс

Разработчик

3

.claude/settings.local.json

Проект (личный)

Разработчик

4

.claude/settings.json

Проект (общий, в Git)

Команда

5 (Наименьший)

~/.claude/settings.json

Пользователь (глобальный)

Разработчик

Два способа доставки управляемых параметров

Параметры, управляемые сервером (MDM не требуется): Владелец или основной владелец определяет параметры в Параметры организацииClaude CodeУправляемые параметры в консоли администратора. Каждый клиент Claude Code, вошедший в организацию, автоматически загружает их при запуске и опрашивает обновления каждый час. Это правильный выбор для организаций без инфраструктуры управления устройствами или с пользователями на неуправляемых устройствах. Узнайте больше о параметрах, управляемых сервером.

Параметры, управляемые конечной точкой: ИТ развертывает параметры непосредственно на устройства либо через встроенные политики ОС (управляемые параметры macOS или реестр Windows через Jamf, Intune, Group Policy и т. д.), либо как файл managed-settings.json, отправленный в системные пути ниже. Защитите файл разрешениями уровня ОС, чтобы конечные пользователи не могли его изменять. На зарегистрированных устройствах это обеспечивает более надежные гарантии, чем доставка, управляемая сервером, поскольку ОС предотвращает вмешательство пользователя.

Примечание: Оба канала занимают один и тот же приоритет наивысшего уровня и используют один и тот же формат JSON, но они не объединяются. Первый источник, который доставляет непустую конфигурацию, побеждает: сначала проверяются параметры, управляемые сервером, и если они доставляют какие-либо ключи, параметры, управляемые конечной точкой, полностью игнорируются. Запустите /status, чтобы увидеть, какой управляемый источник активен.

Расположение файлов (управляемые конечной точкой)

ОС

Путь

macOS

/Library/Application Support/ClaudeCode/managed-settings.json

Linux

/etc/claude-code/managed-settings.json

Windows

C:\Program Files\ClaudeCode\managed-settings.json

Справочник ключевых параметров

Это параметры, наиболее релевантные для миграции Console-to-Enterprise. Claude Code поддерживает намного больше: полный актуальный список см. в параметрах Claude Code.

Параметр

Назначение

Пример

permissions.deny

Блокировать определённые инструменты/команды на уровне организации

Bash(curl:*), Read(.env)

permissions.allow

Явно разрешить доверенные команды

Bash(npm run test:*)

permissions.ask

Требовать одобрение пользователя каждый раз

Bash(rm:*)

permissions.disableBypassPermissionsMode

Предотвратить использование --dangerously-skip-permissions

"disable"

forceLoginOrgUUID

Ограничить вход в определённую организацию Enterprise. Принимает один UUID организации или массив; вход в любую другую организацию блокируется. Один UUID также автоматически выбирает эту организацию при входе.

"298e7cb2…"

forceLoginMethod

Принудительно установить метод входа (claudeai, console или gateway). Рекомендуется использовать вместе с forceLoginOrgUUID, чтобы пользователи пропустили выбор типа учётной записи, но это не требуется для применения ограничения организации.

"claudeai"

allowedMcpServers

Разрешить только одобренные MCP-серверы, сопоставляемые по имени, команде или шаблону URL

[{"serverName": "github"}]

deniedMcpServers

Чёрный список определённых MCP-серверов

[{"serverName": "filesystem"}]

allowManagedPermissionRulesOnly

Применяются только правила разрешений из управляемых параметров; пользователи и проекты не могут добавлять свои собственные

true

allowManagedMcpServersOnly

Применяется только управляемый список разрешённых MCP-серверов; списки запретов по-прежнему объединяются из всех источников

true

allowManagedHooksOnly

Выполняются только управляемые и одобренные администратором хуки

true

enforceAvailableModels

Расширяет список разрешённых availableModels на опцию модели по умолчанию

true

sandbox.enabled

Принудительно включить режим песочницы

true

sandbox.allowUnsandboxedCommands

Блокировать выполнение без песочницы

false

cleanupPeriodDays

Период хранения данных локальной сессии (стенограммы и другие файлы приложения). По умолчанию: 30 дней

7

companyAnnouncements

Отображение сообщений всем пользователям Claude Code

Массив строк

Развертывание: Используйте инструмент MDM (Intune, Jamf, SCCM, Puppet и т. д.) для развертывания managed-settings.json на все машины разработчиков. Защитите файл разрешениями уровня ОС, чтобы конечные пользователи не могли его изменять.

Нашли ответ на свой вопрос?