自訂角色適用於企業方案組織。擁有者、主要擁有者以及具有身分識別與存取權限設定為「可管理」的自訂角色可以前往組織設定 > 角色來管理自訂角色。
什麼是自訂角色?
自訂角色可讓您定義成員可以存取的功能。每個自訂角色包含一組權限,可授予或限制對特定功能的存取,例如聊天、Claude Cowork、Claude Code 和網路搜尋,以及您的組織已新增的連接器,例如 Slack 或 Google Drive。自訂角色也可以授予管理員權限,讓成員可以存取特定的管理區域(例如帳單、身分識別或隱私),而無需將其設為擁有者。
自訂角色與群組搭配運作。典型的工作流程是:建立自訂角色、將其指派給群組,然後將成員的角色設定為「自訂」,以便其存取權完全由指派給其群組的自訂角色控制。
注意:自訂角色只會影響角色設定為「自訂」的成員。具有使用者、管理員或擁有者角色的成員會直接從這些角色取得其權限,而不是從自訂角色取得。
功能存取的運作方式
功能存取由四層優先順序鏈決定,其中最具限制性的層級優先:
平台層級覆蓋:某些功能可能會由 Anthropic 根據您的合約強制為您的組織啟用或停用。這些無法在組織設定中變更。
組織層級設定:擁有者或主要擁有者可以為整個組織切換功能的開啟或關閉。如果功能在組織層級停用,任何自訂角色都無法授予其存取權。
自訂角色權限:如果功能在組織層級啟用,成員的自訂角色會決定他們是否可以存取它。如果成員的任何自訂角色授予該功能,他們就擁有它。
使用者層級設定:如果功能在角色層級授予,除非成員在其自己的設定中停用它,否則該功能可用。
關鍵要點:組織層級切換是主開關。自訂角色是其下方的個別成員開關。功能必須在組織層級啟用,自訂角色才能控制誰可以獲得存取權。
注意:此優先順序鏈適用於功能。管理員權限不受組織層級切換或成員自己的設定限制。如果成員的自訂角色授予管理員權限,他們就擁有該存取權。
可用的功能
每個自訂角色可以授予或限制對以下功能的存取:
功能 | 說明 |
聊天 | 在網路、桌面和行動應用程式上存取聊天。 |
程式碼執行和檔案建立 | 在對話中執行程式碼和建立檔案的能力。 |
記憶 | 在對話中使用記憶的能力。 |
網路搜尋 | 在對話中使用網路搜尋的能力。 |
公開專案 | 與組織中的所有人共享專案的能力。 |
建立技能 | 建立或上傳自訂技能的能力。 |
與組織成員共享技能 | 與組織中的特定人員共享技能的能力。 |
與整個組織共享技能 | 一次與組織中的所有人共享技能的能力。 |
Claude Code | 存取 Claude Code。 |
快速模式 | 存取 Claude Code 的更快模型選項。 |
Claude Code 動態工作流程* | 存取 Claude Code 中的動態工作流程,讓 Claude 在單一工作階段中從開始到結束執行大型工程任務(例如遷移、稽核、整個程式碼庫的錯誤搜尋)。這些執行可能持續數小時,並使用比典型工作階段更多的權杖。 |
Claude Security | 使用 Claude 在您的程式碼中尋找並修復安全漏洞。 |
Claude Code 成品 | 在 Claude Code 中建立成品的能力,將工作階段的工作轉變為根據工作階段內容建立的即時、可共享頁面。 |
Claude Design | 存取 Claude Design 以產生設計成品。 |
Claude Cowork | 存取 Claude Cowork。 |
Claude for Chrome | 存取 Claude for Chrome,這個瀏覽器擴充功能可讓 Claude 代表使用者瀏覽網頁並對其採取行動。 |
*Claude Code 動態工作流程預設為整個組織啟用。由於單次執行可能持續數小時並使用比典型工作階段更多的權杖,請決定哪些角色應該有存取權。對於自訂角色的成員,此功能遵循加法模型,就像任何其他功能一樣——角色必須授予它,這些成員才能使用它。若要限制特定群組,請在其角色中關閉此功能。
這可以透過在受管設定中新增 "disableWorkflows": true 來在整個組織範圍內透過 managed-settings.json 停用。
擁有者可以前往 組織設定 > Claude Code 並切換 工作流程 關閉,以在整個組織範圍內關閉此功能。
注意:預設為所有自訂角色(包括在新增此功能之前建立的角色)啟用聊天。如果您想限制特定角色的聊天,請在編輯角色時將其切換關閉。
建立自訂角色
前往 組織設定 > 角色。
按一下「新增角色」。
輸入角色的名稱(例如「開發人員」、「標準存取」或「受限」)。
選取您想指派給角色的群組。
切換每個功能開啟或關閉以定義此角色授予的內容。
設定權限。您可以為每個管理員設定選擇「無存取」、「可檢視」和「可管理」。
設定連接器。您可以為所有連接器選擇「一律允許」、「需要核准」或「已封鎖」,或按連接器或連接器工具自訂。
設定模型。選取此角色可以使用的模型,選擇性地為每個模型設定最大工作量級別,並選擇性地為角色選擇預設模型。
按一下「儲存角色」。
編輯自訂角色
前往 組織設定 > 角色。
按一下您想編輯的角色。
更新名稱和群組,或視需要切換功能、權限、連接器和模型。
按一下「儲存角色」以儲存您的變更。
角色變更可能需要最多 15 分鐘才能生效,成員可能需要重新整理其瀏覽器。指派給此角色的群組中的所有成員都會受到影響。
刪除自訂角色
按一下任何自訂角色上的功能表按鈕,然後選取「刪除角色」。刪除角色會從指派給它的所有群組中移除其權限。這些群組中的成員會失去角色授予的權限,除非其鏈中的另一個角色也授予它們。
將群組指派給自訂角色
自訂角色指派給群組,而不是直接指派給個別成員。若要將群組指派給角色:
前往 組織設定 > 角色。
按一下您想指派的角色。
在群組選擇器中,選取一個或多個群組。
按一下「儲存角色」。
您也可以在 組織設定 > 群組 中建立或編輯群組時指派自訂角色。請參閱 在企業方案上管理群組和群組支出限制。
權限如何跨多個角色組合
如果成員屬於具有不同自訂角色的多個群組,其權限是 加法的——他們獲得其鏈中所有角色的所有權限的聯集。如果任何角色授予功能,成員就可以存取它。
這表示您無法使用一個角色來移除另一個角色授予的權限。這是設計上的——它啟用了分層方法,其中基本角色涵蓋常見功能,其他角色分層特定功能和管理員權限。
範例:成員在兩個群組中。「所有使用者」群組被指派具有網路搜尋和記憶體的「標準存取」角色。「工程」群組被指派具有 Cowork 和 Claude Code 的「開發人員」角色。成員獲得全部四個:網路搜尋、記憶體、Cowork 和 Claude Code。
查看成員或群組的有效角色
當成員屬於多個群組,其角色授予不同功能時,很難判斷他們實際上可以做什麼。「檢視有效角色」選項顯示組合結果:成員擁有的每個功能、管理員權限和連接器,以及授予每個功能的角色。
模式列出成員的指派角色和三個標籤:
功能:每個功能都有「由 [角色名稱] 授予」標籤,顯示哪個角色將其開啟。
權限:每個管理員權限區域及其有效級別(無存取、可檢視或可管理)以及授予它的角色。
連接器:每個連接器的有效權限級別以及授予它的角色。
此檢視是唯讀的。若要變更成員可以執行的操作,請編輯指派給其群組的角色。
注意:「檢視有效角色」僅針對角色設定為「自訂」且透過群組指派至少一個自訂角色的成員出現。具有內建角色(使用者、管理員、擁有者或主要擁有者)的成員直接從該角色獲得其權限,因此沒有什麼需要計算。
管理員權限
自訂角色除了功能和連接器權限外,還可以授予管理員權限。管理員權限讓成員存取特定的管理區域(例如帳單或隱私),而無需成為擁有者。您可以在角色編輯器的 權限 標籤中設定管理員權限。
注意:管理員權限僅適用於角色設定為「自訂」的成員。具有使用者、管理員、擁有者或主要擁有者角色的成員保留這些角色授予的存取權。
管理員權限級別
在權限標籤上,您可以將每個權限區域設定為以下三個級別之一:
無存取權:成員在其組織設定中看不到此區域。
可檢視:檢視授予唯讀存取權。成員看到的頁面和設定與可以管理該區域的人相同,但每個控制項都被停用或顯示為唯讀。對於合規審查員、財務審計員、安全團隊或任何需要查看設定但不進行變更的人員,請使用此權限級別。
可管理:管理授予對該區域的完整讀寫存取權,並包括檢視存取權。
在一個區域內,您授予所有檢視或所有管理權限。您無法授予或限制個別頁面或設定。
可用的管理員權限
有七個管理員權限區域:
區域 | 檢視 | 管理 |
身分識別與存取 | SSO 和 SAML 設定、已驗證的網域、網域成員資格、IP 允許清單、工作階段設定、群組定義、角色定義和佈建設定 | 編輯 SSO、管理網域、編輯 IP 允許清單、編輯工作階段設定、建立和編輯群組和角色,以及設定佈建 |
帳單 | 方案詳細資料、座位數、發票、帳單地址和使用支出 | 變更座位、更新付款方式、編輯帳單地址,以及設定支出限制和額外使用 |
分析 | 使用分析、Claude Code 分析和功能採用指標 | 不可用 |
隱私 | 資料保留設定、匯出設定、共用設定、地理位置設定、僅限美國推論設定和加密金鑰狀態 | 編輯保留期間、執行資料匯出、變更共用設定,以及設定地理位置、僅限美國推論和加密 |
使用者管理 | 不可用 | 邀請成員、變更成員角色、移除成員和管理待決邀請 |
程式庫 | 不可用 | 新增、編輯和移除組織共用的技能、外掛程式和連接器。也包括目錄管理。 |
目錄管理 | 不可用 | 提交和管理目錄清單,以及檢視您的組織已發佈的清單的可觀測性 |
注意:將身分識別與存取設定為「可管理」的角色可以建立和編輯群組和角色,包括其自己的角色定義。具有此權限的成員可以擴展自己的存取權,因此請將其保留給受信任的安全和 IT 管理員。
每個權限的可用組織設定頁面
組織設定頁面 | 所需權限 | 備註 |
帳單 | 帳單(檢視或管理) | 方案、座位、地址和發票 |
使用 | 帳單(檢視或管理) | 支出限制、點數和額外使用 |
成員 | 使用者管理(管理) | 無唯讀模式 |
群組 | 身分識別與存取(檢視或管理) |
|
角色 | 身分識別與存取(檢視或管理) |
|
模型 | 身份與存取(檢視或管理) | 預設模型和模型存取 |
組織和存取(部分) | 身份與存取(檢視或管理) | 解鎖單一登入(SSO/SAML、群組對應、佈建)、已驗證的網域和網域成員資格、IP 允許清單、工作階段設定、限制組織建立和組織合併請求。此頁面上的其他部分(如組織名稱、預設功能設定和組織範圍的系統提示)仍需要擁有者角色 |
資料和隱私 | 隱私(檢視或管理) |
|
分析 | 分析(檢視) | 透過使用者選單中的分析存取,而非組織設定 |
技能 | 程式庫(管理) |
|
外掛程式 | 程式庫(管理) |
|
連接器 | 程式庫(管理) |
|
目錄 | 目錄管理(管理) |
|
管理員權限未涵蓋的內容
以下內容仍僅供擁有者和主要擁有者使用,即使成員具有管理員權限:
管理擁有者和管理員。管理員權限無法授予或撤銷擁有者、管理員或主要擁有者內建角色。只有擁有者可以管理其他擁有者。
API 金鑰和工作區。API 金鑰管理、工作區設定和 Claude 主控台管理不在管理員權限涵蓋範圍內。
合規性和安全金鑰。合規性 API 設定和安全金鑰管理仍為僅限擁有者。
組織層級功能設定。組織層級啟用的功能由單獨管理,不屬於管理員權限的一部分。
限制管理員權限時成員看到的內容
如果成員無法存取特定的管理員權限,該部分不會出現在其組織設定中。只會顯示其權限涵蓋的部分。
連接器權限
自訂角色也控制角色可以使用哪些連接器以及這些連接器上的哪些工具。功能涵蓋 Claude 的內建功能,連接器權限涵蓋您已連接到組織的應用程式和服務,例如 Slack、Google Drive 或 Jira。您可以在角色編輯器的連接器標籤上設定它們,位於功能和權限標籤旁邊。
注意:連接器權限僅適用於角色設定為「自訂」的成員。具有使用者、管理員或擁有者角色的成員會看到為您的組織啟用的每個連接器,受限於您的組織範圍工具政策(每個連接器)。擁有者和管理員始終看到每個連接器,以便他們可以配置它,無論任何角色的連接器權限如何。
權限層級
在連接器標籤上,您可以將所有連接器、每個連接器或連接器上的每個工具設定為以下三個層級之一:
始終允許:連接器上的每個工具都可用,成員可以將其個人核准設定為「始終允許」以跳過每次呼叫確認。
需要核准:每個工具都可用,但成員確認每次呼叫。「始終允許」選項已從其個人核准選單中移除這些工具。
已封鎖:連接器或工具已隱藏。Claude 無法看到或呼叫它。
連接器也可以設定為自訂,這讓您可以個別設定其每個工具。如需完整設定,請參閱在企業方案上設定角色型權限。
如何確定連接器存取
連接器或工具在成員可以使用它之前會通過多個層級,按此順序評估:
角色授予。角色上的每個連接器或工具設定為「始終允許」、「需要核准」或「已封鎖」。
跨成員的角色。如果成員的群組給予他們多個角色,則每個工具的最寬鬆授予適用。連接器權限在角色之間是累加的,與功能相同。
組織範圍工具政策。您在組織設定 > 連接器下為每個連接器設定的每工具政策是上限。對於每個工具,Claude 將成員的角色授予與此政策進行比較,並應用兩者中較嚴格的一個。角色授予在政策內縮小存取範圍;它們無法超越政策範圍擴大。深入瞭解在使用連接器擴展 Claude 的功能中設定工具存取。
成員自己的設定。上述步驟的結果是成員的有效上限。它限制其個人每工具核准選單中的選項(「始終允許」、「詢問」或「永不」)。「需要核准」的上限會移除「始終允許」。「已封鎖」的上限會將工具灰顯。
對於使用 Claude Code 的成員,還有一個層級適用:受管設定政策和連接器權限按最嚴格的方式組成。只有當兩者都允許時,工具才可在沒有提示的情況下呼叫。如需詳細資訊,請參閱Claude Code 設定。
此表顯示組織範圍工具政策和成員的角色授予如何結合:
組織範圍工具政策 | 跨成員角色的最高角色授予 | 有效上限 | 成員的個人選項 |
始終允許 | 始終允許 | 始終允許 | 始終允許、詢問、永不 |
始終允許 | 需要批准 | 需要批准 | 詢問、永不 |
始終允許 | 已封鎖 | 已封鎖 | 工具已灰顯 |
需要批准 | 始終允許 | 需要批准 | 詢問、永不 |
需要批准 | 已封鎖 | 已封鎖 | 工具已灰顯 |
已封鎖 | 任何 | 已封鎖 | 工具已灰顯 |
連接器權限適用的位置
連接器權限在 Anthropic 的伺服器上強制執行,因此適用於透過 Anthropic 路由連接器流量的每個 Claude 介面:
介面 | 涵蓋範圍 |
網頁版和桌面版 Claude | 完全強制執行。已封鎖的連接器被隱藏,已封鎖的工具呈灰顯狀態,個人批准選單限制為上限允許的範圍。 |
Claude Mobile(iOS 和 Android) | 已強制執行。已封鎖的工具會從 Claude 的檢視中移除,對其的呼叫會被拒絕。已封鎖的工具在行動連接器設定中可能仍顯示為活躍,直到介面更新推出,但無法使用。 |
Claude Cowork(雲端和桌面) | 與網頁版相同。 |
Claude Code | 已強制執行。已封鎖的工具會被拒絕並顯示為已停用。請參閱 Claude Code 設定。 |
連接器權限管理您的組織在 組織設定 > 連接器下新增的連接器。它們不管理成員在自己機器上本機執行的連接器,也不管理部署在第三方平台上的 Claude Cowork。對於第三方 Cowork 部署,請改用 MDM。請參閱 Cowork on 3P:MCP、外掛程式、技能和掛鉤。
連接器受限時成員看到的內容
限制 | 成員看到的內容 |
連接器因其角色而被封鎖 | 連接器不會出現在其連接器選單中。 |
工具在可見的連接器上被封鎖 | 工具在其連接器設定中呈灰顯狀態,並顯示訊息「此工具未針對您的角色啟用。請聯絡您的管理員。」 |
工具上限為「需要批准」 | 工具可運作,但個人批准選單僅提供「詢問」和「永不」選項,Claude 會在每次呼叫前詢問。 |
連接器權限無法短暫載入 | 橫幅報告連接器無法載入,並提供重試選項。已封鎖的工具永遠不會到達連接的服務。存取失敗時傾向於拒絕,永遠不會傾向於授予。 |
成員無法判斷哪一層限制了工具。無論限制來自組織範圍的工具原則、角色授予或兩者,訊息都相同。若要找到來源,請比較組織範圍的原則與成員的角色授予。
模型存取
自訂角色也控制角色可以使用哪些 Claude 模型,以及成員可以在每個模型上選擇的最大工作量等級。您可以在角色編輯器的 Models 標籤上設定這些,以及角色的預設模型。
組織層級的模型設定是上限。角色無法授予在組織層級停用的模型。在成員的角色中,模型存取是累加的,工作量限制採用任何角色允許的最高上限。Haiku 模型始終可用,無法停用。
成員在功能存取受限時看到的內容
當功能受限時,以下是成員看到的內容。如需連接器和工具限制的相關資訊,請參閱上方的連接器權限。
原因 | 成員看到的內容 |
功能在組織層級被停用 | 功能顯示為灰色或隱藏,並顯示訊息「此功能已針對您的組織停用。」 |
成員的角色未授予該功能 | 功能顯示為灰色或隱藏,並顯示訊息「請聯絡您的管理員以要求存取此功能。」 |
成員的角色未授予任何產品存取權 | 成員登入時會進入其設定頁面,且沒有可用的產品。 |
