自定义角色适用于企业计划组织。所有者、主要所有者以及权限集设置为
什么是自定义角色?
自定义角色让您定义成员可以访问哪些功能。每个自定义角色包含一组权限,这些权限授予或限制对特定功能的访问,如聊天、Claude Cowork、Claude Code 和网络搜索,以及您的组织添加的连接器,如 Slack 或 Google Drive。自定义角色还可以授予管理员权限,使成员能够访问特定的管理区域(如账单、身份或隐私),而无需将其设为所有者。
自定义角色与群组配合使用。典型的工作流程是:创建自定义角色,将其分配给群组,然后将成员的角色设置为"自定义",以便其访问权限完全由分配给其群组的自定义角色控制。
注意:自定义角色仅影响角色设置为"自定义"的成员。具有用户、管理员或所有者角色的成员直接从这些角色获得权限,而不是从自定义角色获得。
功能访问如何工作
功能访问由四级优先级链决定,其中限制最严格的级别优先:
平台级覆盖:某些功能可能由 Anthropic 根据您的合同为您的组织强制启用或强制禁用。这些无法在组织设置中更改。
组织级设置:所有者或主要所有者可以为整个组织切换功能的开启或关闭。如果在组织级别禁用了某个功能,任何自定义角色都无法授予对其的访问权限。
自定义角色权限:如果在组织级别启用了该功能,成员的自定义角色将决定他们是否可以访问它。如果成员的任何自定义角色授予该功能,他们就拥有它。
用户级设置:如果在角色级别授予了该功能,除非成员在自己的设置中禁用了它,否则该功能可用。
关键要点:组织级切换是主开关。自定义角色是其下的按成员切换。在自定义角色可以控制谁获得访问权限之前,必须在组织级别启用该功能。
注意:此优先级链适用于功能。管理员权限不受组织级切换或成员自己的设置限制。如果成员的自定义角色授予管理员权限,他们就拥有该访问权限。
可用功能
每个自定义角色可以授予或限制对以下功能的访问:
功能 | 描述 |
聊天 | 在网络、桌面和移动应用上访问聊天。 |
代码执行和文件创建 | 在对话中运行代码和创建文件的能力。 |
记忆 | 在对话中使用记忆的能力。 |
网络搜索 | 在对话中使用网络搜索的能力。 |
公开项目 | 与组织中的所有人共享项目的能力。 |
创建技能 | 创建或上传自定义技能的能力。 |
与组织成员共享技能 | 与组织中的特定人员共享技能的能力。 |
与整个组织共享技能 | 与组织中的所有人一次性共享技能的能力。 |
Claude Code | 访问 Claude Code。 |
快速模式 | 访问 Claude Code 的更快模型选项。 |
Claude Code 动态工作流* | 访问 Claude Code 中的动态工作流,这些工作流让 Claude 在单个会话中从头到尾运行大型工程任务(如迁移、审计、代码库范围的错误搜索)。这些运行可以持续数小时并使用比典型会话更多的令牌。 |
Claude 安全 | 使用 Claude 查找和修复代码中的安全漏洞。 |
Claude Code 工件 | 在 Claude Code 中创建工件的能力,这些工件将会话的工作转变为从会话上下文构建的实时、可共享的页面。 |
Claude 设计 | 访问 Claude 设计以生成设计工件。 |
Claude Cowork | 访问 Claude Cowork。 |
Claude for Chrome | 访问 Claude for Chrome,这是一个浏览器扩展程序,可让 Claude 代表用户浏览网页并对其进行操作。 |
*Claude Code 动态工作流默认对整个组织启用。由于单次运行可能持续数小时并使用比典型会话更多的令牌,请决定哪些角色应该有权访问。对于自定义角色的成员,此功能遵循加法模型,就像任何其他功能一样——角色必须授予它,这些成员才能使用它。要限制特定组,请在其角色中关闭此功能。
可以通过在 managed-settings.json 中添加 "disableWorkflows": true 来在整个组织范围内禁用此功能。
所有者可以通过转到 组织设置 > Claude Code 并关闭 工作流 来在整个组织范围内将其关闭。
注意:默认情况下,所有自定义角色(包括在添加此功能之前创建的角色)都启用了聊天。如果要限制特定角色的聊天,请在编辑该角色时将其关闭。
创建自定义角色
导航到 组织设置 > 角色。
点击"添加角色"。
输入角色的名称(例如"开发者"、"标准访问"或"受限")。
选择要分配给该角色的组。
切换每个功能的开关以定义此角色授予的权限。
配置权限。您可以为每个管理员设置选择"无访问权限"、"可查看"和"可管理"。
配置连接器。您可以为所有连接器选择"始终允许"、"需要批准"或"已阻止",或按连接器或连接器工具自定义。
配置模型。选择此角色可以使用的模型,可选择为每个模型设置最大工作量级别,并可选择为该角色选择默认模型。
点击"保存角色"。
编辑自定义角色
导航到 组织设置 > 角色。
点击要编辑的角色。
根据需要更新名称和组,或切换功能、权限、连接器和模型。
点击"保存角色"以保存更改。
角色更改可能需要长达 15 分钟才能生效,成员可能需要刷新浏览器。分配给此角色的组中的所有成员都会受到影响。
删除自定义角色
点击任何自定义角色上的菜单按钮,然后选择"删除角色"。删除角色会从分配给它的所有组中删除其权限。这些组中的成员会失去该角色授予的权限,除非其链中的另一个角色也授予了这些权限。
将组分配给自定义角色
自定义角色分配给组,而不是直接分配给个别成员。要将组分配给角色:
导航到 组织设置 > 角色。
点击要分配的角色。
在组选择器中,选择一个或多个组。
点击"保存角色"。
您也可以在 组织设置 > 组 中创建或编辑组时分配自定义角色。请参阅 在企业计划上管理组和组支出限制。
权限如何跨多个角色组合
如果成员属于具有不同自定义角色的多个组,其权限是 累加的——他们获得其链中所有角色的所有权限的并集。如果任何角色授予某个功能,成员就可以访问它。
这意味着您不能使用一个角色来删除另一个角色授予的权限。这是设计使然——它支持分层方法,其中基础角色涵盖常见功能,而其他角色则分层添加特定功能和管理员权限。
示例:成员在两个组中。"所有用户"组分配了具有网络搜索和记忆功能的"标准访问"角色。"工程"组分配了具有 Cowork 和 Claude Code 的"开发者"角色。成员获得所有四个:网络搜索、记忆、Cowork 和 Claude Code。
查看成员或组的有效角色
当成员属于多个组,其角色授予不同的功能时,很难判断他们实际上可以做什么。"查看有效角色"选项显示组合结果:成员拥有的每个功能、管理员权限和连接器,以及授予每个功能的角色。
该模态框列出成员的分配角色和三个选项卡:
功能:每个功能都带有
权限:每个管理员权限区域及其有效级别(无访问权限、可查看或可管理)以及授予它的角色。
连接器:每个连接器的有效权限级别以及授予它的角色。
此视图是只读的。要更改成员可以执行的操作,请编辑分配给其组的角色。
注意:"查看有效角色"仅对角色设置为"自定义"且通过组分配了至少一个自定义角色的成员显示。具有内置角色(用户、管理员、所有者或主要所有者)的成员直接从该角色获得权限,因此没有什么需要计算的。
管理员权限
自定义角色除了可以授予功能和连接器权限外,还可以授予管理员权限。管理员权限使成员可以访问特定的管理区域(如计费或隐私),而无需成为所有者。您可以在角色编辑器的 权限 选项卡中配置管理员权限。
注意:管理员权限仅适用于角色设置为"自定义"的成员。具有用户、管理员、所有者或主要所有者角色的成员保留这些角色授予的访问权限。
管理员权限级别
在权限选项卡上,您可以将每个权限区域设置为以下三个级别之一:
无访问权限:成员在其组织设置中看不到此区域。
可查看:查看权限授予只读访问权限。成员看到的页面和设置与可以管理该区域的人相同,但每个控件都被禁用或显示为只读。对于合规审查员、财务审计员、安全团队或任何需要查看配置但不更改配置的人员,请使用此权限级别。
可管理:管理权限授予对该区域的完整读写访问权限,并包括查看访问权限。
在一个区域内,您可以授予所有查看权限或所有管理权限。您无法授予或限制单个页面或设置。
可用的管理员权限
有七个管理员权限区域:
区域 | 查看 | 管理 |
身份和访问 | SSO 和 SAML 配置、已验证的域、域成员资格、IP 允许列表、会话设置、组定义、角色定义和预配设置 | 编辑 SSO、管理域、编辑 IP 允许列表、编辑会话设置、创建和编辑组和角色、配置预配 |
计费 | 计划详情、座位数、发票、账单地址和使用支出 | 更改座位、更新付款方式、编辑账单地址、配置支出限制和额外使用 |
分析 | 使用分析、Claude Code 分析和功能采用指标 | 不可用 |
隐私 | 数据保留设置、导出配置、共享设置、地理位置设置、仅限美国推理设置和加密密钥状态 | 编辑保留期、运行数据导出、更改共享设置、配置地理位置、仅限美国推理和加密 |
用户管理 | 不可用 | 邀请成员、更改成员角色、移除成员和管理待处理邀请 |
库 | 不可用 | 添加、编辑和移除组织共享的技能、插件和连接器。还包括目录管理。 |
目录管理 | 不可用 | 提交和管理目录列表,以及查看您的组织已发布的列表的可观测性 |
注意:将身份和访问设置为"可管理"的角色可以创建和编辑组和角色,包括其自己的角色定义。具有此权限的成员可以扩展自己的访问权限,因此请将其保留给受信任的安全和 IT 管理员。
每个权限的可用组织设置页面
组织设置页面 | 所需权限 | 注释 |
计费 | 计费(查看或管理) | 计划、座位、地址和发票 |
使用情况 | 计费(查看或管理) | 支出限制、额度和额外使用 |
成员 | 用户管理(管理) | 无只读模式 |
组 | 身份和访问(查看或管理) |
|
角色 | 身份和访问(查看或管理) |
|
模型 | 身份和访问权限(查看或管理) | 默认模型和模型访问权限 |
组织和访问权限(部分) | 身份和访问权限(查看或管理) | 解锁单点登录(SSO/SAML、群组映射、配置)、已验证的域和域成员资格、IP 允许列表、会话设置、限制组织创建和组织合并请求。此页面上的其他部分(如组织名称、默认功能设置和组织范围的系统提示)仍需要所有者角色 |
数据和隐私 | 隐私(查看或管理) |
|
分析 | 分析(查看) | 通过用户菜单中的分析访问,而不是组织设置 |
技能 | 库(管理) |
|
插件 | 库(管理) |
|
连接器 | 库(管理) |
|
目录 | 目录管理(管理) |
|
管理员权限不涵盖的内容
以下内容仅对所有者和主要所有者可用,即使对于具有管理员权限的成员也是如此:
管理所有者和管理员。管理员权限无法授予或撤销所有者、管理员或主要所有者内置角色。只有所有者才能管理其他所有者。
API 密钥和工作区。API 密钥管理、工作区设置和 Claude 控制台管理不在管理员权限范围内。
合规性和安全密钥。合规性 API 设置和安全密钥管理仅限所有者。
组织级功能设置。组织级别启用的功能由单独管理,不属于管理员权限的一部分。
当管理员权限受限时成员看到的内容
如果成员无权访问特定的管理员权限,该部分不会在其组织设置中显示。仅显示其权限涵盖的部分。
连接器权限
自定义角色还控制角色可以使用哪些连接器以及这些连接器上的哪些工具。功能涵盖 Claude 的内置功能,连接器权限涵盖您已连接到组织的应用和服务,例如 Slack、Google Drive 或 Jira。您可以在角色编辑器的连接器选项卡上设置它们,该选项卡位于功能和权限选项卡旁边。
注意:连接器权限仅适用于角色设置为"自定义"的成员。具有用户、管理员或所有者角色的成员可以看到为您的组织启用的每个连接器,受您的组织范围内每个连接器的工具策略限制。所有者和管理员始终可以看到每个连接器,以便他们可以配置它,无论任何角色的连接器权限如何。
权限级别
在连接器选项卡上,您可以将所有连接器、每个连接器或连接器上的每个工具设置为以下三个级别之一:
始终允许:连接器上的每个工具都可用,成员可以将其自己的批准设置为"始终允许"以跳过每次调用确认。
需要批准:每个工具都可用,但成员确认每次调用。这些工具的个人批准菜单中删除了"始终允许"选项。
已阻止:连接器或工具被隐藏。Claude 无法看到或调用它。
连接器也可以设置为自定义,这样您可以单独设置其每个工具。有关完整设置,请参阅在企业计划上设置基于角色的权限。
如何确定连接器访问权限
连接器或工具在成员可以使用它之前要经过多个层级,按以下顺序评估:
角色授予。角色上的每个连接器或工具设置为"始终允许"、"需要批准"或"已阻止"。
跨成员的角色。如果成员的群组给予他们多个角色,则每个工具的最宽松授予适用。连接器权限在角色之间是累加的,与功能相同。
组织范围的工具策略。您在组织设置 > 连接器下为每个连接器设置的每工具策略是上限。对于每个工具,Claude 将成员的角色授予与此策略进行比较,并应用两者中更严格的一个。角色授予在策略内缩小访问权限;它们无法超越它。了解有关在使用连接器扩展 Claude 的功能中设置工具访问权限的更多信息。
成员自己的设置。上述步骤的结果是成员的有效上限。它限制了其个人每工具批准菜单中的选项("始终允许"、"询问"或"从不")。"需要批准"的上限删除"始终允许"。"已阻止"的上限使工具灰显。
对于使用 Claude Code 的成员,还有一个层级适用:托管设置策略和连接器权限按最严格的方式组合。只有当两者都允许时,工具才可以在没有提示的情况下调用。有关更多信息,请参阅Claude Code 设置。
此表显示组织范围的工具策略和成员的角色授予如何组合:
组织范围的工具策略 | 成员角色中的最高角色授予 | 有效上限 | 成员的个人选项 |
始终允许 | 始终允许 | 始终允许 | 始终允许、询问、从不 |
始终允许 | 需要批准 | 需要批准 | 询问、从不 |
始终允许 | 已阻止 | 已阻止 | 工具已灰显 |
需要批准 | 始终允许 | 需要批准 | 询问、从不 |
需要批准 | 已阻止 | 已阻止 | 工具已灰显 |
已阻止 | 任何 | 已阻止 | 工具已灰显 |
连接器权限适用的位置
连接器权限在 Anthropic 的服务器上强制执行,因此适用于通过 Anthropic 路由连接器流量的每个 Claude 界面:
界面 | 覆盖范围 |
Claude 网页版和桌面版 | 完全强制执行。被阻止的连接器被隐藏,被阻止的工具被灰显,个人批准菜单仅限于上限允许的范围。 |
Claude 移动版(iOS 和 Android) | 已强制执行。被阻止的工具从 Claude 的视图中移除,对它们的调用被拒绝。被阻止的工具在移动连接器设置中可能仍然看起来处于活跃状态,直到界面更新发布,但无法使用。 |
Claude Cowork(云端和桌面版) | 与网页版相同。 |
Claude Code | 已强制执行。被阻止的工具被拒绝并显示为禁用。请参阅 Claude Code 设置。 |
连接器权限管理您的组织在 组织设置 > 连接器 下添加的连接器。它们不管理成员在自己机器上本地运行的连接器,也不管理部署在第三方平台上的 Claude Cowork。对于第三方 Cowork 部署,请改用 MDM。请参阅 Cowork on 3P:MCP、插件、技能和钩子。
当连接器受限时成员看到的内容
限制 | 成员看到的内容 |
连接器对其角色被阻止 | 连接器不会出现在其连接器菜单中。 |
工具在可见连接器上被阻止 | 该工具在其连接器设置中被灰显,并显示消息"此工具未为您的角色启用。请联系您的管理员。" |
工具的上限为"需要批准" | 该工具可以工作,但个人批准菜单仅提供"询问"和"从不"选项,Claude 在每次调用前都会询问。 |
连接器权限无法短暂加载 | 横幅报告连接器无法加载,并提供重试选项。被阻止的工具永远不会到达连接的服务。访问失败时倾向于拒绝,而不是授予。 |
成员无法判断哪一层限制了工具。无论限制来自组织范围的工具策略、角色授予还是两者,消息都是相同的。要找到来源,请将组织范围的策略与成员的角色授予进行比较。
模型访问
自定义角色还控制角色可以使用哪些 Claude 模型以及成员在每个模型上可以选择的最大工作量级别。您可以在角色编辑器的 Models 选项卡上设置这些,以及角色的默认模型。
组织级别的模型设置是上限。角色无法授予在组织级别禁用的模型。在成员的角色中,模型访问是累加的,工作量限制采用任何角色允许的最高上限。Haiku 模型始终可用,无法禁用。
有关设置步骤和成员看到的内容,请参阅 管理您的组织的模型访问。有关默认模型行为,请参阅 为您的组织设置默认模型。
成员在功能访问受限时看到的内容
当功能受限时,成员会看到以下内容。有关连接器和工具限制,请参阅上面的连接器权限。
原因 | 成员看到的内容 |
功能在组织级别被禁用 | 该功能显示为灰显或隐藏,并显示消息"此功能已为您的组织禁用。" |
成员的角色不授予该功能 | 该功能显示为灰显或隐藏,并显示消息"请联系您的管理员以请求访问此功能。" |
成员的角色不授予任何产品访问权限 | 成员登录时会进入其设置页面,没有可用的产品。 |
