跳至主要內容

在企業方案上設定角色型權限

本指南將引導您為企業組織設定角色型權限。這可讓您控制特定團隊或成員群組可以存取哪些功能,而不是給予所有人相同的權限。

開始前,請確保您熟悉:

開始前

您需要對企業組織具有擁有者或主要擁有者存取權。

檢查在組織層級啟用了哪些功能。前往組織設定,並確保您知道成員目前可以存取哪些功能。對於由 RBAC 管理的設定,組織設定和角色設定都必須開啟,使用者才能獲得存取權。

備份您的成員清單。在進行任何變更前,從組織設定 > 成員匯出目前成員的 CSV。如果在遷移期間出現問題,這可讓您參考以還原存取權。請參閱在團隊和企業方案上管理成員

決定哪些團隊或職能需要每項功能。例如,工程部門獲得 Claude Code + 快速模式,行銷部門獲得協作 + 網路搜尋。從這裡定義您的自訂角色。

雙座位方案。如果您的組織使用雙座位企業方案(具有聊天和聊天 + Claude Code 座位),自訂角色不會覆蓋座位層級的限制。指派給僅聊天座位的成員無法存取 Claude Code,即使其自訂角色授予該權限。反之亦然:如果成員的自訂角色未授予聊天功能,無論其座位類型為何,他們都無法存取聊天。請在考慮座位指派的情況下規劃您的角色結構。

注意:「聊天 + Claude Code」是指舊版雙座位方案上的座位類型。自訂角色中的「聊天」功能是獨立的,它控制任何角色設定為「自訂角色」的成員在任何方案上的聊天存取權。

決定您將如何建立群組。您可以在 Claude 中手動建立群組,或透過 SCIM 從身分提供者 (IdP) 同步群組。您也可以同時使用兩種方法。如果您計劃使用來自 Okta、Entra ID 或其他提供者的 IdP 群組,請確保已設定 SCIM 目錄同步。請參閱設定 JIT 或 SCIM 佈建

規劃您的角色結構

在建立任何內容前,決定每個團隊或成員群組應該可以存取哪些功能。以下是三種常見模式:

基礎加附加角色

這是大多數組織的建議方法。為所有人建立一個「標準存取」角色,包含網路搜尋、記憶和專案等常見功能。然後建立附加角色,授予特定功能 — 例如,只新增協作的「啟用協作」角色。透過「所有使用者」群組將所有成員指派給基礎角色,並將特定成員新增到其他群組,以分層新增額外功能。

此模式很靈活,因為權限是附加的 — 結合基礎角色和附加角色可以乾淨地組合,不會產生衝突。

分層角色

建立不同的層級:「完整存取」具有所有功能、「標準存取」具有大多數功能,以及「受限存取」具有最少功能。每個成員恰好進入一個群組,指派給一個層級。

部門型角色

建立對應到部門的角色:「工程」具有聊天、協作、Claude Code 和程式碼執行;「研究」具有聊天、網路搜尋、記憶和專案;「業務」僅具有聊天、網路搜尋和專案。將每個部門群組指派給其對應的角色。

步驟 1:稽核您目前的設定

  1. 組織設定 > 功能中檢查目前在組織層級啟用或停用了哪些功能。

  2. 前往組織設定 > 成員以匯出或檢查您的成員清單。

  3. 記下每個成員目前的內建角色(使用者、管理員或擁有者)。

  4. 對於每個團隊或部門,決定他們需要存取哪些功能。

記住:您想要按群組控制的任何功能都必須在組織層級啟用。如果功能在組織層級被切換關閉,任何自訂角色都無法授予對其的存取權。

重要:與具有使用者角色的成員不同,指派給自訂角色的成員不會自動繼承組織啟用的功能。自訂角色成員需要的每項功能都必須由指派給其中一個群組的自訂角色明確授予。

步驟 2:建立自訂角色

在啟用任何功能或遷移成員前建立您的自訂角色。這可確保您的角色已準備好在功能開啟時立即強制執行存取。

  1. 瀏覽至組織設定 > 自訂角色

  2. 按一下「新增 角色」。

  3. 命名角色並切換適當的功能。

  4. 按一下「新增角色」。

  5. 對您計劃中的每個角色重複此操作。

對自訂角色的變更最多可能需要五分鐘才能傳播。成員可能需要重新整理其瀏覽器以查看更新的存取權。

請參閱在企業方案上管理自訂角色以取得可用功能的詳細資訊。

步驟 3:建立群組並指派角色

  1. 瀏覽至組織設定 > 群組

  2. 按一下「新增群組」以為您計劃中的每個團隊或層級建立群組。

  3. 將成員新增到適當的群組。

  4. 將每個群組指派給您在步驟 2 中建立的自訂角色。

如果您使用 SCIM 目錄同步,您可以從身分提供者同步群組,而不是手動建立群組。如需 SCIM 群組同步的詳細資訊,請參閱在企業方案上管理群組和群組支出限制

同一父組織下的多個組織:群組在父組織層級進行管理,並傳播到所有子組織。您可能會看到來自其他組織的成員列在群組中,這並不表示他們有權存取您的組織。指派給群組的自訂角色只會向屬於您特定組織的成員授予功能。

如果您要求將組織從一個父組織移動到另一個父組織(這在實踐中很少見),群組和角色將變成未定義,您將需要重新建立它們。

重要:如果您的組織使用「僅邀請」或 JIT 佈建,您只能使用手動建立的群組進行 RBAC。這些模式不支援 SCIM 同步群組。

步驟 4:驗證群組和角色指派

在將成員遷移到自訂角色前,確認您計劃遷移的每個成員至少在一個指派給自訂角色的群組中。在沒有群組或角色涵蓋的情況下遷移的成員將失去對所有受管功能的存取權。

  1. 導覽至 組織設定 > 成員

  2. 使用「角色」和「群組」篩選器來識別未指派至任何群組的成員。

  3. 或者,按一下「匯出 CSV」以下載包含角色和群組欄位的完整成員清單供審查。

  4. 在繼續之前,將任何未指派的成員新增至適當的群組。

步驟 5:將成員遷移至自訂角色

若要讓自訂角色功能生效,成員必須將其角色設定為「自訂角色」。具有「使用者」、「管理員」或「擁有者」角色的成員會直接從這些角色取得其權限,而不是從自訂角色取得。

重要:只有在您建立了自訂角色、建立了群組,以及驗證所有成員都已指派至群組(步驟 2–4)之後,才能完成此步驟。在設定完成之前移至「自訂角色」的成員將立即失去對所有受管功能的存取權。

根據您的組織是否已啟用群組對應來選擇遷移路徑:

路徑 A:啟用群組對應(僅限已在使用時)

只有在您的組織已為角色指派啟用群組對應時,才使用此路徑。如果您還未使用此設定,請跳至路徑 B。

  1. 導覽至「組織設定」>「組織和存取」。

  2. 在角色對應區段中,將您想要由自訂角色管理的 IdP 群組指派至「自訂角色」角色。

  3. 儲存您的變更。這些 IdP 群組中的成員將在下次同步時遷移至「自訂角色」。

對應至「自訂角色」的 IdP 群組中的成員遵循指派至其在 Claude 中群組的自訂角色的權限。對應至「使用者」的 IdP 群組中的成員遵循組織層級的功能設定。如果成員在兩個對應中的群組內,「自訂角色」優先。

路徑 B:大量指派工具

如果您的組織尚未啟用群組對應,請使用此路徑。

警告:如果您尚未啟用群組對應,請勿在 RBAC 設定期間啟用它。在未先將所有成員指派至對應群組的情況下啟用它,可能會導致成員失去對您組織的存取權。

  1. 導覽至 組織設定 > 成員

  2. 使用「角色」和「群組」篩選器來選擇您想要遷移的成員。

  3. 使用「成員」表格中的大量指派工具,將所選成員的角色變更為「自訂角色」。

我們建議先遷移試驗群組(一個團隊或部門),並驗證其存取權正確無誤,然後再擴展至組織的其餘部分。

逐步推出

無論您使用哪條路徑,我們建議分階段進行遷移:

  1. 從一個團隊或部門的試驗群組開始。

  2. 遷移後,驗證試驗群組根據其群組和角色指派具有正確的功能存取權。

  3. 如果有任何問題,請在您進行調整時將受影響的成員切換回其先前的角色。

  4. 確認設定有效後,擴展至更多成員。

步驟 6:在組織層級啟用功能

只有在角色、群組和成員遷移完成後,才能啟用組織層級的功能。這可確保自訂角色功能已就位,沒有未授權成員可能存取功能的時間窗口。

對於您想要按群組控制的任何功能:

  1. 導覽至 組織設定中的功能設定頁面(例如,組織設定 > Cowork)。

  2. 在組織層級啟用該功能。

在組織層級啟用功能並不意味著每個人都能取得它——自訂角色權限已就位以控制誰可以使用它。將組織層級切換視為使功能「可用於角色型指派」,而不是「對所有人開啟」。

步驟 7:套用群組支出限制(僅限基於使用量的組織)

導覽至「使用量」頁面,為任何群組指派每位使用者的每月支出限制。

請注意以下優先順序規則:

  • 個別限制始終會覆蓋群組限制,無論哪個更高。

  • 如果使用者屬於具有不同限制的多個群組,組織可以套用最低或最高支出限制。使用「支出預設值」下的下拉式清單來決定您想要套用的優先順序。

  • 組織範圍的限制仍然是硬性上限。

成員資格變更會自動生效——使用者在其群組成員資格變更時立即繼承或失去限制。僅與基於使用量的計費組織相關。

步驟 8:驗證和監控

  1. 抽查存取權:檢查每個群組中的幾個成員,以確認他們看到正確的功能。

  2. 測試受限狀態:以不應具有 Cowork 等功能的成員身分登入(或詢問)。他們應該看到它呈灰色顯示,並顯示訊息「請聯絡您的管理員以要求存取此功能。」

  3. 測試授予的狀態:確認應具有該功能的成員看到它正常運作。

  4. 檢查邊界情況:測試多個群組中的成員、沒有群組的成員,以及透過 SSO 加入的新成員。

權限變更最多需要五分鐘才能在整個平台上完全同步。成員可能需要重新整理其瀏覽器以查看更新的存取權。

搭配角色型功能使用 SCIM

SCIM 透過兩個協同運作的機制連接至您的角色型功能。

IdP 群組對角色的對應

這會控制成員在佈建時取得的內建角色。將您的 IdP 群組對應至「自訂角色」,以便新成員的存取權自動由自訂角色功能管理。

  1. 導覽至 組織設定 > 組織和存取

  2. 在角色對應表中,將您的 IdP 群組對應至「自訂角色」。

群組同步

這會將您的 IdP 群組提取到 Claude 中,以便將其指派給自訂角色。

  1. 導覽至 組織設定 > 群組

  2. SCIM 同步部分中點擊「檢查更新」。

  3. 當系統提示同步群組、成員或兩者時,僅選擇群組。同步成員可能會影響佈建和成員存取。

  4. 您的 IdP 群組在清單中顯示為 SCIM 來源群組。

  5. 將 SCIM 群組指派給自訂角色,就像手動建立的群組一樣。

  6. 在您的 IdP 中,僅推送您實際打算用於 RBAC 或支出限制的群組。同步所有 IdP 群組可能會減慢群組部分的頁面載入速度。

注意:自訂角色權限僅適用於在 組織設定 > 成員中選擇「自訂角色」的成員。如果您透過群組對角色對應將 IdP 群組對應至不同的角色(例如使用者),但將該相同的 SCIM 群組指派給自訂角色,則自訂角色的權限無效——成員會從其指派的角色獲得權限。若要使用自訂角色,請確保 IdP 群組已對應至「自訂角色」。

使用 SCIM 進行持續管理

  • 若要授予成員對功能的存取權,請將其新增至適當的 IdP 群組。在下次同步時,他們會取得指派給該群組的自訂角色。

  • 若要撤銷存取權,請將其從 IdP 群組中移除。在下次同步時,權限會被移除。

  • 在群組部分中點擊「SCIM 同步」以強制立即同步,而不是等待下次排定的同步。

回復計畫

如果您在遷移後發現角色結構配置錯誤:

  1. 關閉作為遷移一部分啟用的任何組織級功能。

  2. 將受影響的成員變更回其先前的內建角色(例如使用者)。

  3. 他們會立即重新獲得該角色的靜態權限,自訂角色權限停止套用。

  4. 視需要調整角色和群組,然後重新遷移。

如果您在設定期間啟用了群組對應並失去了管理員存取權,請按照 設定 JIT 或 SCIM 佈建中「啟用群組對應後失去管理員/擁有者存取權」下的復原步驟進行。

常見問題

如果我只想讓某些成員擁有某項功能,我需要在組織級別啟用它嗎?

是的。組織級別的切換必須開啟,自訂角色才能控制每個成員的存取。如果功能在組織級別關閉,無論其角色如何,任何人都無法存取。可以將其視為主開關——自訂角色控制誰可以在其下方存取。

如果設定為「自訂角色」的成員不在任何群組中會發生什麼?

他們沒有自訂角色權限,因此所有需要權限的功能都會變灰或隱藏。請確保設定為「自訂角色」的每個成員至少在一個指派給自訂角色的群組中。

如果自訂角色不授予聊天存取權會怎樣?

該角色中的成員將看不到 Claude 的聊天介面。他們登入時會進入其設定頁面。如果其角色授予其他產品(如 Cowork 或 Claude Code),這些產品仍可從其設定頁面和相關應用程式存取。

聊天在所有自訂角色中預設啟用,因此您只需在有意為角色關閉聊天時擔心此問題。

我可以同時使用內建角色和自訂角色嗎?

是的。具有使用者、管理員或擁有者角色的成員不受自訂角色權限影響,因為他們直接從這些角色獲得權限。只有設定為自訂角色的成員由群組和角色系統控制。這允許逐步遷移。

如果成員在兩個具有不同角色的群組中會怎樣?

權限是累加的。如果成員鏈中的任何角色授予功能,他們就擁有它。您無法使用角色移除由另一個角色授予的權限。

我可以同時使用 SCIM 群組和手動群組嗎?

是的。兩種類型都可以指派給自訂角色。區別在於 SCIM 群組成員資格在您的身份提供者中管理,而手動群組成員資格在 Claude 的組織設定中管理。

擁有者和主要擁有者是否受自訂角色權限影響?

否。擁有者和主要擁有者始終擁有對所有功能的完全存取權。

這在父組織和子組織之間如何運作?

群組和 SCIM 同步在父組織級別進行管理,並在所有子組織之間共享。角色和支出限制指派在每個子組織中獨立配置——一個子組織中的變更不會影響其他組織。群組成員資格變更和 SCIM 重新同步會在同一父組織下的所有子組織之間傳播。

相關文章
設定 JIT 或 SCIM 佈建
在企業方案上管理群組和群組支出限額
在企業方案上管理自訂角色
SCIM 同步如何適用於企業組織
在 Claude for Government 中設定 SCIM
是否回答了您的問題?