自定义角色适用于企业计划组织。所有者、主要所有者和具有身份和访问权限设置为
什么是自定义角色?
自定义角色让您定义成员可以访问哪些功能。每个自定义角色包含一组权限,这些权限授予或限制对特定功能的访问,如聊天、Claude Cowork、Claude Code 和网络搜索,以及您的组织添加的连接器,如 Slack 或 Google Drive。自定义角色还可以授予管理员权限,使成员能够访问特定的管理区域(如账单、身份或隐私),而无需将其设为所有者。
自定义角色与群组一起工作。典型的工作流程是:创建自定义角色,将其分配给群组,然后将成员的角色设置为"自定义角色",以便其访问权限完全由分配给其群组的自定义角色管理。
注意:自定义角色仅影响角色设置为"自定义角色"的成员。具有用户、管理员或所有者角色的成员直接从这些角色获得权限,而不是从自定义角色获得。
功能访问如何工作
功能访问由四级优先级链决定,其中最严格的级别优先:
平台级别覆盖:某些功能可能由 Anthropic 根据您的合同为您的组织强制启用或强制禁用。这些无法在组织设置中更改。
组织级别设置:所有者或主要所有者可以为整个组织打开或关闭功能。如果在组织级别禁用了某个功能,任何自定义角色都无法授予对其的访问权限。
自定义角色权限:如果在组织级别启用了该功能,成员的自定义角色将决定他们是否可以访问它。如果成员的任何自定义角色授予该功能,他们就拥有它。
用户级别设置:如果在角色级别授予了该功能,除非成员在其自己的设置中禁用了它,否则该功能可用。
关键要点:组织级别的切换是主开关。自定义角色是其下的按成员切换。在自定义角色可以控制谁获得访问权限之前,必须在组织级别启用该功能。
注意:此优先级链适用于功能。管理员权限不受组织级别切换或成员自己的设置限制。如果成员的自定义角色授予管理员权限,他们就拥有该访问权限。
可用功能
每个自定义角色可以授予或限制对以下功能的访问:
功能 | 描述 |
聊天 | 在网络、桌面和移动应用上访问聊天。 |
代码执行和文件创建 | 在对话中运行代码和创建文件的能力。 |
记忆 | 在对话中使用记忆的能力。 |
网络搜索 | 在对话中使用网络搜索的能力。 |
公开项目 | 与组织中的所有人共享项目的能力。 |
创建技能 | 创建或上传自定义技能的能力。 |
与团队成员共享技能 | 与组织中的特定人员共享技能的能力。 |
与整个组织共享技能 | 与组织中的所有人一次共享技能的能力。 |
Claude Code | 访问 Claude Code。 |
快速模式 | 访问 Claude Code 的更快模型选项。 |
Claude Code 动态工作流* | 访问 Claude Code 中的动态工作流,这些工作流让 Claude 在单个会话中从头到尾运行大型工程任务——迁移、审计、代码库范围的错误搜索。这些运行可以持续数小时并使用比典型会话更多的令牌。 |
Claude Security | 使用 Claude 查找和修复代码中的安全漏洞。 |
Claude Design | 访问 Claude Design 以生成设计工件。 |
Claude Cowork | 访问 Claude Cowork。 |
Claude for Chrome | 访问 Claude for Chrome,这是一个浏览器扩展,让 Claude 代表用户浏览网页并对其进行操作。 |
*Claude Code 动态工作流将在 2026 年 6 月 8 日默认为整个组织启用。由于单个运行可以持续数小时并使用比典型会话更多的令牌,请在该日期之前决定谁应该有权访问。对于使用自定义角色的成员,此功能遵循加法模型,如同任何其他功能一样——角色必须授予它,这些成员才能使用它。要限制特定群组,请在其角色中关闭此功能。
可以通过 managed-settings.json 在整个组织范围内禁用此功能,方法是在托管设置中添加 "disableWorkflows": true。这在 6 月 8 日之前和之后都适用。
6 月 8 日上线后,所有者可以通过转到 组织设置 > Claude Code 并关闭 工作流 来在整个组织范围内将其关闭。
注意:默认情况下,所有自定义角色(包括在添加此功能之前创建的角色)都启用了聊天功能。如果要限制特定角色的聊天,请在编辑该角色时将其关闭。
创建自定义角色
导航到 组织设置 > 角色。
点击"+ 添加角色"。
输入角色的名称(例如"开发者"、"标准访问"或"受限")。
选择要分配给该角色的组。
逐个切换每项功能的开关,以定义此角色授予的权限。
点击"下一步:配置权限"。
配置权限。对于每个管理员设置,您可以选择"无访问权限"、"可查看"和"可管理"。
点击"下一步:配置连接器"。
配置连接器。您可以为所有连接器选择"始终允许"、"询问"和"已阻止",或按连接器或连接器工具自定义。
点击"添加角色"。
编辑自定义角色
导航到 组织设置 > 角色。
点击要编辑的角色。
根据需要更新名称和组,或切换功能、权限和连接器。
点击"编辑角色"以保存更改。
功能和连接器更改在一分钟内生效。管理员权限更改最多需要 15 分钟,成员可能需要刷新浏览器。分配给此角色的组中的所有成员都会受到影响。
删除自定义角色
点击任何自定义角色上的菜单按钮,然后选择"删除角色"。删除角色会从分配给它的所有组中删除其权限。这些组中的成员会失去该角色授予的权限,除非其链中的另一个角色也授予了这些权限。
将组分配给自定义角色
自定义角色分配给组,而不是直接分配给个别成员。要将组分配给角色:
导航到 组织设置 > 角色。
点击要分配的角色。
在组选择器中,选择一个或多个组。
点击"保存"。
您也可以在 组织设置 > 组 中创建或编辑组时分配自定义角色。请参阅 在企业计划上管理组和组支出限制。
权限如何跨多个角色组合
如果成员属于具有不同自定义角色的多个组,其权限是 累加的——他们获得其链中所有角色的所有权限的并集。如果任何角色授予某项功能,成员就可以访问它。
这意味着您不能使用一个角色来删除另一个角色授予的权限。这是设计使然——它支持分层方法,其中基础角色涵盖常见功能,而其他角色则添加特定功能和管理员权限。
示例:成员属于两个组。"所有用户"组分配了具有网络搜索和记忆功能的"标准访问"角色。"工程"组分配了具有协作和 Claude Code 的"开发者"角色。该成员获得所有四项:网络搜索、记忆、协作和 Claude Code。
管理员权限
自定义角色除了可以授予功能和连接器权限外,还可以授予管理员权限。管理员权限使成员可以访问特定的管理区域(如计费或隐私),而无需成为所有者。您可以在角色编辑器的 权限 选项卡中配置管理员权限。
注意:管理员权限仅适用于角色设置为"自定义角色"的成员。具有用户、管理员、所有者或主要所有者角色的成员保留这些角色授予的访问权限。
管理员权限级别
在 权限 选项卡上,您将每个权限区域设置为以下三个级别之一:
无访问权限:成员在其组织设置中看不到此区域。
可查看:查看授予只读访问权限。成员看到与可以管理该区域的人相同的页面和设置,但每个控件都被禁用或显示为只读。对于合规审查员、财务审计员、安全团队或任何需要查看配置而不更改配置的人,请使用此权限级别。
可管理:管理授予对该区域的完全读写访问权限,并包括查看访问权限。
在一个区域内,您授予所有查看或所有管理权限。您不能授予或限制单个页面或设置。
可用的管理员权限
有六个管理员权限区域:
区域 | 查看 | 管理 |
身份和访问 | SSO 和 SAML 配置、已验证的域、域成员资格、IP 允许列表、会话设置、组定义、角色定义和预配设置 | 编辑 SSO、管理域、编辑 IP 允许列表、编辑会话设置、创建和编辑组和角色,以及配置预配 |
账单 | 计划详情、座位数、发票、账单地址和使用支出 | 更改座位、更新付款方式、编辑账单地址,以及配置支出限制和额外使用 |
分析 | 使用分析、Claude Code 分析和功能采用指标 | 不可用 |
隐私 | 数据保留设置、导出配置、共享设置、地理位置设置和加密密钥状态 | 编辑保留期、运行数据导出、更改共享设置,以及配置地理位置和加密 |
用户管理 | 不可用 | 邀请成员、更改成员角色、移除成员和管理待处理邀请 |
库 | 不可用 | 添加、编辑和移除组织共享的技能、插件和连接器 |
注意:身份和访问权限设置为"管理"的角色可以创建和编辑组和角色,包括其自身的角色定义。具有此权限的成员可以扩展自己的访问权限,因此应将其保留给受信任的安全和 IT 管理员。
每个权限的可用组织设置页面
组织设置页面 | 所需权限 | 注释 |
账单 | 账单(查看或管理) | 计划、座位、地址和发票 |
使用 | 账单(查看或管理) | 支出限制、积分和额外使用 |
成员 | 用户管理(管理) | 无仅查看模式 |
组 | 身份和访问(查看或管理) |
|
角色 | 身份和访问(查看或管理) |
|
组织和访问(部分) | 身份和访问(查看或管理) | 解锁单点登录 (SSO/SAML、组映射、预配)、已验证的域和域成员资格、IP 允许列表、会话设置、限制组织创建和组织合并请求。此页面上的其他部分(如组织名称、默认功能设置和组织范围的系统提示)仍需要所有者角色 |
数据和隐私 | 隐私(查看或管理) |
|
分析 | 分析(查看) | 通过用户菜单中的分析访问,而不是组织设置 |
技能 | 库(管理) |
|
插件 | 库(管理) |
|
连接器 | 库(管理) |
|
管理员权限不涵盖的内容
以下内容仅对所有者和主要所有者可用,即使成员具有管理员权限也是如此:
管理所有者和管理员。管理员权限无法授予或撤销所有者、管理员或主要所有者内置角色。只有所有者可以管理其他所有者。
API 密钥和工作区。API 密钥管理、工作区设置和 Claude 控制台管理不受管理员权限的约束。
合规性和安全密钥。合规性 API 设置和安全密钥管理仅限所有者。
组织级功能设置。在组织级别启用哪些功能由单独的规则管理,不属于管理员权限的范围。
当管理员权限受限时,成员看到的内容
如果成员无权访问特定的管理员权限,该部分不会在其组织设置中显示。只显示其权限涵盖的部分。
连接器权限
自定义角色还控制角色可以使用哪些连接器以及这些连接器上的哪些工具。功能涵盖 Claude 的内置功能,而连接器权限涵盖您已连接到组织的应用和服务,例如 Slack、Google Drive 或 Jira。您可以在角色编辑器的连接器选项卡上设置它们,该选项卡位于功能和权限选项卡旁边。
注意:连接器权限仅适用于角色设置为"自定义角色"的成员。具有用户、管理员或所有者角色的成员可以看到为您的组织启用的每个连接器,受您的组织范围内每个连接器的工具策略的约束。所有者和管理员始终可以看到每个连接器,以便他们可以配置它,无论任何角色的连接器权限如何。
权限级别
在连接器选项卡上,您可以将所有连接器、每个连接器或连接器上的每个工具设置为以下三个级别之一:
始终允许:连接器上的每个工具都可用,成员可以将其自己的批准设置为"始终允许"以跳过每次调用确认。
需要批准:每个工具都可用,但成员需要确认每次调用。"始终允许"选项从这些工具的个人批准菜单中删除。
已阻止:连接器或工具被隐藏。Claude 无法看到或调用它。
连接器也可以设置为自定义,这样您可以单独设置其每个工具。有关完整设置,请参阅在企业计划上设置基于角色的权限。
如何确定连接器访问权限
连接器或工具在成员可以使用它之前会经过多个层级,按以下顺序进行评估:
角色授予。角色上的每个连接器或工具设置为"始终允许"、"需要批准"或"已阻止"。
跨成员的角色。如果成员的组给予他们多个角色,则每个工具的最宽松授予适用。连接器权限在角色之间是累加的,与功能相同。
组织范围内的工具策略。您在组织设置 > 连接器下为每个连接器设置的每工具策略是上限。对于每个工具,Claude 将成员的角色授予与此策略进行比较,并应用两者中更严格的一个。角色授予在策略内缩小访问权限;它们无法超越策略范围。了解更多关于在使用连接器扩展 Claude 的功能中设置工具访问权限的信息。
成员自己的设置。上述步骤的结果是成员的有效上限。它限制了其个人每工具批准菜单中的选项("始终允许"、"询问"或"从不")。"需要批准"的上限会删除"始终允许"。"已阻止"的上限会使工具变灰。
对于使用 Claude Code 的成员,还有一个额外的层级适用:托管设置策略和连接器权限按最严格的方式组合。只有当两者都允许时,工具才可以在没有提示的情况下调用。有关更多信息,请参阅Claude Code 设置。
此表显示组织范围内的工具策略和成员的角色授予如何组合:
组织范围内的工具策略 | 成员角色中的最高角色授予 | 有效上限 | 成员的个人选项 |
始终允许 | 始终允许 | 始终允许 | 始终允许、询问、从不 |
始终允许 | 需要批准 | 需要批准 | 询问、从不 |
始终允许 | 已阻止 | 已阻止 | 工具变灰 |
需要批准 | 始终允许 | 需要批准 | 询问、从不 |
需要批准 | 已阻止 | 已阻止 | 工具变灰 |
已阻止 | 任何 | 已阻止 | 工具已灰显 |
连接器权限适用的位置
连接器权限在 Anthropic 的服务器上强制执行,因此适用于通过 Anthropic 路由连接器流量的每个 Claude 界面:
界面 | 覆盖范围 |
网页版和桌面版 Claude | 完全强制执行。被阻止的连接器被隐藏,被阻止的工具被灰显,个人批准菜单仅限于上限允许的范围。 |
Claude Mobile(iOS 和 Android) | 已强制执行。被阻止的工具从 Claude 的视图中移除,对它们的调用被拒绝。被阻止的工具在移动连接器设置中可能仍显示为活跃,直到界面更新发布,但无法使用。 |
Claude Cowork(云端和桌面) | 与网页版相同。 |
Claude Code | 已强制执行。被阻止的工具被拒绝并显示为禁用。请参阅 Claude Code 设置。 |
连接器权限管理您的组织在 组织设置 > 连接器 下添加的连接器。它们不管理成员在自己机器上本地运行的连接器,也不管理部署在第三方平台上的 Claude Cowork。对于第三方 Cowork 部署,请改用 MDM。请参阅 Cowork on 3P:MCP、插件、技能和钩子。
连接器受限时成员看到的内容
限制 | 成员看到的内容 |
连接器因其角色被阻止 | 连接器不会出现在其连接器菜单中。 |
工具在可见连接器上被阻止 | 工具在其连接器设置中被灰显,显示消息"此工具未为您的角色启用。请联系您的管理员。" |
工具上限为"需要批准" | 工具可以工作,但个人批准菜单仅提供"询问"和"从不"选项,Claude 在每次调用前都会询问。 |
连接器权限无法短时间加载 | 横幅报告连接器无法加载,并提供重试选项。被阻止的工具永远不会到达连接的服务。访问失败时倾向于拒绝,而不是授予。 |
成员无法判断哪一层限制了工具。无论限制来自组织范围的工具策略、角色授予还是两者,消息都是相同的。要找到来源,请将组织范围的策略与成员的角色授予进行比较。
功能访问受限时成员看到的内容
当功能受限时,以下是成员看到的内容。有关连接器和工具限制,请参阅上面的连接器权限。
原因 | 成员看到的内容 |
功能在组织级别被禁用 | 功能显示为灰显或隐藏,显示消息"此功能已为您的组织禁用。" |
成员的角色未授予该功能 | 功能显示为灰显或隐藏,显示消息"请联系您的管理员以请求访问此功能。" |
成员的角色未授予任何产品访问权限 | 成员登录时会进入其设置页面,没有可用的产品。 |