跳至主要內容

在企業方案上設定角色型權限

今日已更新

本指南將引導您為企業組織設定角色型權限。這可讓您控制特定團隊或成員群組可以存取哪些功能,而不是給予所有人相同的權限。

開始之前,請確保您熟悉:

開始之前

您需要擁有企業組織的擁有者或主要擁有者存取權。

開始之前,請登出並重新登入您的 Claude 帳戶。這可確保更新的管理員設定側邊欄出現,在「人員」下方有新的「群組」和「自訂角色」頁面。

備份您的成員清單。在進行任何變更之前,從組織設定 > 成員匯出目前成員的 CSV。如果在遷移期間出現問題,這可讓您參考以還原存取權。請參閱在團隊和企業方案上管理成員

雙座位方案:如果您的組織使用雙座位企業方案(具有聊天和聊天 + Claude Code 座位),自訂角色不會覆蓋座位級別的限制。被指派給僅聊天座位的成員無法存取 Claude Code,即使其自訂角色授予該權限。請根據座位指派來規劃您的角色結構。

如果您計劃使用來自 Okta、Entra ID 或其他提供者的身分提供者 (IdP) 群組,請確保已設定 SCIM 目錄同步。請參閱設定 JIT 或 SCIM 佈建

佈建模式注意事項:如果您的組織使用「僅邀請」或 JIT 佈建,您只能使用手動建立的群組進行 RBAC。這些模式不支援 SCIM 同步群組。

規劃您的角色結構

在建立任何內容之前,請決定每個團隊或成員群組應該可以存取哪些功能。以下是三種常見模式:

基礎加附加角色

這是大多數組織的建議方法。為所有人建立一個「標準存取」角色,具有網路搜尋、記憶和專案等常見功能。然後建立授予特定功能的附加角色 — 例如,只新增協作的「協作已啟用」角色。透過「所有使用者」群組將所有成員指派給基礎角色,並將特定成員新增到額外的群組,以分層新增額外功能。

此模式很靈活,因為權限是附加的 — 結合基礎角色和附加角色可以乾淨地組合,不會產生衝突。

基於層級的角色

建立不同的層級:「完整存取」具有所有功能、「標準存取」具有大多數功能,以及「受限存取」具有最少功能。每個成員恰好進入一個指派給一個層級的群組。

基於部門的角色

建立對應到部門的角色:「工程」具有協作、Claude Code 和程式碼執行;「研究」具有網路搜尋、記憶和專案;「業務」僅具有網路搜尋和專案。將每個部門群組指派給其對應的角色。

步驟 1:稽核您目前的設定

  1. 組織設定 > 功能中檢查目前在組織層級啟用或停用的功能。

  2. 前往組織設定 > 組織以匯出或檢查您的成員清單。

  3. 記下每個成員目前的內建角色(使用者、管理員或擁有者)。

  4. 對於每個團隊或部門,決定他們需要存取哪些功能。

記住:您想要按群組控制的任何功能都必須在組織層級啟用。如果功能在組織層級被切換關閉,沒有自訂角色可以授予對其的存取權。

重要:與具有「使用者」角色的成員不同,被指派給自訂角色的成員不會自動繼承組織啟用的功能。自訂角色成員需要的每項功能都必須由指派給其其中一個群組的自訂角色明確授予。

步驟 2:建立自訂角色

在啟用任何功能或遷移成員之前建立您的自訂角色。這可確保您的角色已準備好在功能開啟時立即強制執行存取。

  1. 瀏覽至組織設定 > 自訂角色

  2. 按一下「+ 新增 角色」。

  3. 命名角色並切換適當的功能。

  4. 按一下「新增角色」。

  5. 對計劃中的每個角色重複此操作。

請參閱在企業方案上管理自訂角色以取得可用功能的詳細資訊。

步驟 3:建立群組並指派角色

  1. 瀏覽至組織設定 > 群組

  2. 按一下「新增群組」以為計劃中的每個團隊或層級建立群組。

  3. 將成員新增到適當的群組。

  4. 將每個群組指派給您在步驟 2 中建立的自訂角色。

如果您使用 SCIM 目錄同步,您可以從身分提供者同步群組,而不是手動建立群組。如需 SCIM 群組同步的詳細資訊,請參閱在企業方案上管理群組和群組支出限制

同一父組織下的多個組織:群組在父組織層級進行管理,並傳播到所有子組織。您可能會看到來自其他組織的成員列在群組中 — 這並不表示他們有權存取您的組織。指派給群組的自訂角色只會向屬於您特定組織的成員授予功能。

步驟 4:驗證群組和角色指派

在將成員遷移到自訂角色之前,請確認您計劃遷移的每個成員至少在一個指派給自訂角色的群組中。在沒有群組或角色涵蓋的情況下遷移的成員將失去對所有受管功能的存取權。

  1. 瀏覽至組織設定 > 成員

  2. 使用「角色」和「群組」篩選器來識別未指派給任何群組的成員。

  3. 或者,按一下「匯出 CSV」以下載包含角色和群組欄的完整成員清單以供檢查。

  4. 在繼續之前,將任何未指派的成員新增到適當的群組。

步驟 5:將成員遷移至自訂角色

若要使自訂角色功能生效,成員必須將其角色設定為「自訂角色」。具有使用者、管理員或擁有者角色的成員會直接從這些角色獲得權限,而不是從自訂角色獲得。

重要:只有在您建立了自訂角色、建立了群組,並驗證所有成員都已指派至群組(步驟 2–4)之後,才能完成此步驟。在設定完成前將成員移至自訂角色的成員將立即失去對所有受管功能的存取權。

根據您的組織是否已啟用群組對應來選擇遷移路徑:

路徑 A:啟用群組對應(僅限已在使用時)

只有在您的組織已為角色指派啟用群組對應時,才使用此路徑。如果您尚未使用此設定,請跳至路徑 B。

  1. 瀏覽至「組織設定」>「身分識別和存取」。

  2. 在角色對應區段中,將您想要由自訂角色管理的 IdP 群組指派至「自訂角色」角色。

  3. 儲存您的變更。這些 IdP 群組中的成員將在下次同步時遷移至自訂角色。

對應至自訂角色的 IdP 群組中的成員遵循在 Claude 中指派給其群組的自訂角色的權限。對應至「使用者」的 IdP 群組中的成員遵循組織層級的功能設定。如果成員在兩個對應中的群組內,自訂角色優先。

路徑 B:大量指派工具

如果您的組織尚未啟用群組對應,請使用此路徑。

警告:如果您尚未啟用群組對應,請勿在 RBAC 設定期間啟用它。在未先將所有成員指派至對應群組的情況下啟用它可能導致成員失去對您組織的存取權。

  1. 瀏覽至 「組織設定」>「成員」

  2. 使用「角色」和「群組」篩選器選擇您想要遷移的成員。

  3. 使用「成員」表格中的大量指派工具將所選成員的角色變更為「自訂角色」。

我們建議先遷移試點群組(一個團隊或部門),並驗證其存取權是否正確,然後再擴展至組織的其餘部分。

逐步推出

無論您使用哪條路徑,我們建議分階段遷移:

  1. 從一個團隊或部門的試點群組開始。

  2. 遷移後,驗證試點群組根據其群組和角色指派具有正確的功能存取權。

  3. 如果有任何問題,請將受影響的成員切換回其先前的角色,同時進行調整。

  4. 確認設定有效後,擴展至更多成員。

步驟 6:在組織層級啟用功能

只有在角色、群組和成員遷移完成後,才能啟用組織層級的功能。這可確保自訂角色功能已就位,沒有未授權成員可能存取功能的時間窗口。

對於您想要按群組控制的任何功能:

  1. 瀏覽至 「組織設定」中的功能設定頁面(例如,「組織設定」>「Cowork」)。

  2. 在組織層級啟用功能。

在組織層級啟用功能並不意味著每個人都能使用它——自訂角色權限已就位以控制誰可以使用它。將組織層級切換視為使功能「可用於角色型指派」,而不是「對所有人開啟」。

步驟 7:驗證和監控

  1. 抽查存取權:檢查每個群組中的幾個成員,以確認他們看到正確的功能。

  2. 測試受限狀態:以不應具有 Cowork 等功能的成員身分登入(或詢問)。他們應該看到它呈灰色顯示,並顯示訊息「請聯絡您的管理員以要求存取此功能」。

  3. 測試授予狀態:確認應具有該功能的成員看到它正常運作。

  4. 檢查邊界情況:測試多個群組中的成員、沒有群組的成員,以及透過 SSO 加入的新成員。

權限變更最多需要五分鐘才能在整個平台上完全同步。成員可能需要重新整理其瀏覽器以查看更新的存取權。

搭配角色型功能使用 SCIM

SCIM 透過兩個協同運作的機制連接至您的角色型功能。

IdP 群組對角色的對應

這控制成員在佈建時獲得的內建角色。將您的 IdP 群組對應至「自訂角色」,以便新成員的存取權自動由自訂角色功能管理。

  1. 瀏覽至 「組織設定」>「身分識別和存取」

  2. 在角色對應表中,將您的 IdP 群組對應至「自訂角色」。

群組同步

這會將您的 IdP 群組提取到 Claude 中,以便可以將其指派給自訂角色。

  1. 瀏覽至 「組織設定」>「群組」

  2. SCIM 同步區段中按一下「檢查更新」。

  3. 當系統提示同步「群組」、「成員」或「兩者」時,只選擇「群組」。同步成員可能會影響佈建和成員存取權。

  4. 您的 IdP 群組在清單中顯示為 SCIM 來源群組。

  5. 將 SCIM 群組指派給自訂角色,就像手動建立的群組一樣。

  6. 在您的 IdP 中,只推送您實際打算用於 RBAC 或支出限制的群組。同步所有 IdP 群組可能會減慢「群組」區段中的頁面載入速度。

注意:自訂角色權限只適用於在 「組織設定」>「組織」中選擇「自訂角色」的成員。如果您透過群組對角色的對應將 IdP 群組對應至不同的角色(例如「使用者」),但將相同的 SCIM 群組指派給自訂角色,則自訂角色的權限無效——成員會改為從其指派的角色獲得權限。若要使用自訂角色,請確保 IdP 群組對應至「自訂角色」。

使用 SCIM 進行持續管理

  • 若要授予成員存取功能的權限,請將其新增至適當的 IdP 群組。在下次同步時,他們會取得指派給該群組的自訂角色。

  • 若要撤銷存取權限,請將其從 IdP 群組中移除。在下次同步時,權限將被移除。

  • 在「群組」部分中按一下「SCIM 同步」,以強制立即同步,而不是等待下次排定的同步。

復原計畫

如果您在遷移後發現角色結構配置錯誤:

  1. 關閉作為遷移一部分而啟用的任何組織層級功能。

  2. 將受影響的成員變更回其先前的內建角色(例如「使用者」)。

  3. 他們會立即重新取得該角色的靜態權限,自訂角色權限將停止套用。

  4. 視需要調整角色和群組,然後重新遷移。

如果您在設定期間啟用了群組對應並失去了管理員存取權限,請按照設定 JIT 或 SCIM 佈建中「啟用群組對應後失去管理員/擁有者存取權限」下的復原步驟進行操作。

常見問題

如果我只想讓某些成員擁有某項功能,是否需要在組織層級啟用該功能?

是的。必須開啟組織層級的切換開關,自訂角色才能控制每個成員的存取權限。如果功能在組織層級關閉,無論成員的角色為何,任何人都無法存取。可以將其視為主開關——自訂角色控制誰可以在其下方存取。

如果設定為「自訂角色」的成員不在任何群組中會發生什麼?

他們沒有自訂角色權限,因此所有需要權限的功能都會呈灰色或隱藏。請確保每個設定為「自訂角色」的成員至少在一個指派給自訂角色的群組中。

我可以同時使用內建角色和自訂角色嗎?

可以。具有「使用者」、「管理員」或「擁有者」角色的成員不受自訂角色權限的影響,因為他們直接從這些角色取得權限。只有設定為「自訂角色」的成員由群組和角色系統控制。這允許逐步遷移。

如果成員在兩個具有不同角色的群組中會發生什麼?

權限是累加的。如果成員鏈中的任何角色授予某項功能,他們就擁有該功能。您無法使用角色來移除由另一個角色授予的權限。

我可以同時使用 SCIM 群組和手動群組嗎?

可以。兩種類型都可以指派給自訂角色。區別在於 SCIM 群組成員資格在您的身分識別提供者中管理,而手動群組成員資格在 Claude 的組織設定中管理。

擁有者和主要擁有者是否受自訂角色權限的影響?

否。擁有者和主要擁有者始終擁有所有功能的完整存取權限。

這在父組織和子組織之間如何運作?

群組和 SCIM 同步在父組織層級進行管理,並在所有子組織之間共用。角色和支出限制指派在每個子組織中獨立配置——一個子組織中的變更不會影響其他子組織。群組成員資格變更和 SCIM 重新同步會在同一父組織下的所有子組織之間傳播。

相關文章
Claude 控制台角色和權限
設定單一登入 (SSO)
設定 JIT 或 SCIM 佈建
在企業方案上購買和管理座位
切換至不同的身份提供者 (IdP)
是否回答了您的問題?