概述
本指南適用於從基於 Console 的 Claude Code 存取遷移到 Claude Enterprise 的團隊。請注意,個別使用者無需遷移 CLI 工作階段歷史記錄,因為這些記錄儲存在本機。您只需為每個使用者佈建 Claude Enterprise 帳戶,然後使用者應將其登入方法從 Console 切換到 Claude Enterprise。
Claude Enterprise 與 Console 的比較
功能 | Claude Console/API | Claude Enterprise |
網頁和行動應用程式上的 Claude Code | ❌ | ✅ |
Slack 上的 Claude Code | ❌ | ✅ |
程式碼審查 | ❌ | ✅ |
強制執行 Claude Code 可以使用的工具 | ❌ 無原生 UI
*設定可透過 MDM (Jamf、Intune) 或設定管理 (Ansible、Puppet 等) 推送到開發人員機器。 | ✅ 原生 UI 用於設定 managed-settings.json 允許/拒絕規則 |
封鎖特定的 bash 命令 | ❌ 無原生 UI* | ✅ Bash(curl:*)、Bash(sudo:*) 等 |
防止存取敏感檔案 | ❌ 無原生 UI* | ✅ Read(.env)、Read(./secrets/**) |
控制允許的 MCP 伺服器 | ❌ 無原生 UI* | ✅ allowedMcpServers / deniedMcpServers |
在整個組織範圍內部署預先核准的 MCP 伺服器 | ❌ 無原生 UI* | ✅ managed-mcp.json |
強制沙箱模式 | ❌ 無原生 UI* | ✅ sandbox.enabled |
停用 --dangerously-skip-permissions | ❌ 無原生 UI* | ✅ permissions.disableBypassPermissionsMode: disable |
停用自動模式 | ❌ 無原生 UI* | ✅ disableAutoMode: disable |
自訂角色 (RBAC) | ❌ | ✅ 按群組限制功能存取範圍,並委派特定的管理區域 (例如帳單、使用者管理和身分識別),無需授予擁有者角色。在 Enterprise 方案上管理自訂角色 |
模型治理 | ❌ 無原生 UI* | ✅ 從管理控制台為聊天和 Cowork (測試版) 設定組織預設模型,並使用 managed settings 中的 |
稽核日誌 | ❌ 不支援稽核日誌
🟡 Claude Code 確實支援 OpenTelemetry | 🟡 稽核日誌和 合規性 API,其中包括稽核日誌事件。本機 CLI 工作階段的文字記錄保留在開發人員的機器上,無法透過合規性 API 存取。 |
使用情況分析 | ✅ 撰寫的程式碼行數、接受率、每日活躍使用者、每日支出。
| ✅ 撰寫的程式碼行數、接受率、每日活躍使用者,以及 組織設定 → 使用情況中每位成員的本月迄今支出。
|
程式化使用情況和成本報告 | ✅ Claude Enterprise 分析 API 會傳回每位使用者的參與度和 Claude Code 指標(提交、提取要求、程式碼行數),以及使用情況和成本端點。管理 API 涵蓋程式化組織管理。 | |
貢獻指標 | ✅ 透過 Claude Code 分析 API | ✅ 使用 Claude Code 協助建立的 PR 和提交的程式碼行數。 |
細微的支出控制 | ✅ 組織和工作區限制,加上 Claude Code 工作區中的每位開發人員限制 | ✅ 組織 → 群組 → 個人,與 RBAC 群組整合 |
SCIM 佈建
以下是您的身分識別團隊需要執行的操作:
更新 IdP 群組對應 — 建立或重新利用 IdP 群組,將使用者對應到 Claude Enterprise 組織。啟用群組對應以自動指派席位。
確保購買了足夠的席位 — 在觸發 SCIM 同步之前,請驗證 Claude Enterprise 組織是否有足夠的可用席位。沒有可用席位的使用者將被設定為「未指派」狀態。
確認已啟用 Claude Code 存取 — 確認在管理設定中為 Enterprise 組織啟用了 Claude Code,並且 — 如果您使用自訂角色或群組來限定功能範圍 — 您的開發人員群組已被授予 Claude Code 存取權限。
觸發同步 — 瀏覽至 組織設定 → 組織和存取,找到 目錄同步 (SCIM),然後按一下「同步」。請注意,這可能會很慢,因為這可能會觸發大型同步。
驗證席位指派 — 同步後,檢查 組織設定 → 組織和存取 以確認使用者已登陸正確的席位類型。
選用:調整 Console 組織對應 — 如果某些使用者應該保留 Console API 存取權限,請將其群組保持對應到 Console 組織。使用者可以同時屬於兩個組織。
注意:Microsoft Entra SCIM 變更每約 40 分鐘同步一次。在群組變更後,使用「同步」按鈕觸發隨選同步。
如果您的 Enterprise 組織的 SSO 設定為僅登入,登入不會建立帳戶 — 使用者必須手動邀請。在指導開發人員登入之前,啟用 JIT 或 SCIM 佈建。請參閱 設定 JIT 或 SCIM 佈建。
支出限制
Claude Enterprise 方案提供分層支出控制系統。限制會級聯 — 使用者永遠無法超過組織限制。
層級 | 範圍 | 誰設定它 | 它控制什麼 |
1. 組織 | 整個 Enterprise 組織 | 主要擁有者 / 擁有者 | 所有席位和使用情況的最大月度支出 |
2. 群組控制 | 具有 RBAC 的群組 | 主要擁有者 / 擁有者 | 使用 RBAC 的群組支出限制 |
3. 個人 | 特定使用者 | 主要擁有者 / 擁有者 | 單一團隊成員的支出限制 |
如何設定和編輯支出限制
以擁有者或主要擁有者身分登入。
瀏覽至 組織設定 → 使用情況。
設定組織層級限制 — 這是所有月度支出的全域上限。
設定群組層級限制 — 在「按群組」標籤下。請參閱 在企業方案上管理群組和群組支出限制。
設定個人級別限制 — 在「按成員」標籤下的 支出預設值 部分中找到特定使用者。
擁有者可以將限制設定為「無限制」,但所有消費仍會計費。如果消費座位上的使用者達到其限制,他們將無法使用 Claude 或 Claude Code,直到下一個計費週期或管理員增加其限制。
發行新座位和重新驗證
新增座位
以主要擁有者或擁有者身分登入。
前往 組織設定 → 計費。
按一下「座位」下的鉛筆圖示。
輸入新的座位數量。
檢查並按一下「升級」以確認。新座位按比例計費。
將使用者指派給座位
前往 組織設定 → 成員。
按一下「新增成員」(或「大量新增」以新增多個)。
輸入使用者的 @ 電子郵件地址。
設定角色(使用者、管理員、擁有者)並傳送邀請。
對於 SCIM 佈建的使用者,座位指派會根據群組對應自動進行。如果未設定群組對應,使用者預設為最高可用座位層級。
Claude Code 使用者的重新驗證
目前針對 Console 組織進行驗證的開發人員需要針對 Claude Enterprise 組織重新驗證:
登入前移除任何剩餘的 Console 認證。檢查 shell 設定檔、dotfiles 和 CI 設定中的
ANTHROPIC_API_KEY或ANTHROPIC_AUTH_TOKEN環境變數,並移除任何apiKeyHelper設定。同時檢查CLAUDE_CODE_OAUTH_TOKEN、ANTHROPIC_BASE_URL和CLAUDE_CODE_USE_BEDROCK / _VERTEX / _FOUNDRY旗標 — 這些也會覆蓋或繞過/login。認證也可能隱藏在 Claude Code 自己的設定檔案的 env 區塊中(~/.claude/settings.json 和 repos 中的 .claude/settings*.json 檔案)。如果這些仍然存在,它們會以無聲方式優先於新登入:/login將顯示成功,但使用情況會繼續計費到舊的 Console 組織。在終端機中,執行
claude,然後執行/login以切換驗證方法。選擇「具有訂閱的 Claude 帳戶」作為登入方法。
選擇 Claude Enterprise 組織(不是 Console 組織或個人帳戶)。
授權,返回終端機,並執行
/status以確認 Claude Code 顯示您的 Enterprise 組織。
CI 和自動化
管道和指令碼不使用 /login。要麼保留 Console 組織(及其 API 金鑰)用於自動化,並僅遷移互動式開發人員座位,要麼將 CI 切換為 Enterprise 認證:在登入 Enterprise 組織時執行 claude setup-token,並將列印的權杖設定為 CI 環境中的 CLAUDE_CODE_OAUTH_TOKEN。在其中一個就位之前,不要移除 CI 認證。
IT 提示:部署將 forceLoginOrgUUID 設定為您的 Enterprise 組織 UUID 的受管設定,作為每次遷移的標準部分。將 pin 作為端點管理的檔案或 MDM 原則傳遞 — 伺服器管理的設定只在使用者登入後才會到達,因此無法捕捉錯誤的首次登入。如果您也使用伺服器管理的設定,也在那裡設定 forceLoginOrgUUID:這兩個通道不會合併。這會阻止登入任何其他組織,並將上述剩餘認證失敗模式從無聲誤計費轉變為明顯的失敗:Claude Code 拒絕啟動並告訴使用者必須移除剩餘認證(ANTHROPIC_API_KEY、ANTHROPIC_AUTH_TOKEN 或 apiKeyHelper)。
驗證遷移後
從 Console 組織中移除已遷移的開發人員(或輪換其金鑰)。移除會撤銷其 Console 登入權杖並停用其 Claude Code 工作區金鑰,停止進一步的 Console 計費(來自互動式使用)。他們在其他 Console 工作區中建立的 API 金鑰不會因移除而停用 — 分別檢查並停用這些金鑰。在確認 Enterprise 存取有效之前,不要移除成員;沒有自動回滾。
報告改進
從 Console API 移至 Claude Enterprise 可解鎖 Claude Code 使用情況的更豐富分析:
指標 | Console API | Claude Enterprise |
權杖消耗 | ✅ | ✅ |
接受的程式碼行 | ✅ | ✅ |
建議接受率 | ✅ | ✅ |
使用 Claude Code 協助建立的 PR | ✅ 透過 Claude Code Analytics API | ✅ |
使用 Claude Code 協助提交的程式碼行 | ✅ 透過 Claude Code Analytics API | ✅ |
支出限制通知 | ✅ 可配置收件人的限額通知電子郵件 | ✅ 閾值警報 |
每位成員的月度支出 | ❌ | ✅ 管理員設定 → 使用情況 |
合規稽核軌跡 | ❌ | ✅ 合規 API 包含稽核日誌事件。本地 CLI 工作階段的記錄保存在開發人員的機器上,無法透過合規 API 存取。 |
所有報告都可從 Claude 管理面板中的 分析 存取。如需程式設計存取,Claude 企業分析 API 會傳回每位使用者的參與度指標、Claude Code 活動(提交、拉取請求、程式碼行數)以及使用情況和成本資料。分析不會遷移:企業組織從全新的報告歷史記錄開始,其分析/管理 API 需要在企業組織中建立的新 API 金鑰 — 主控台金鑰不會保留。在轉換前,匯出您需要的任何主控台分析以用於歷史儀表板。保留在主控台 API 金鑰上的流量(例如 CI)將繼續僅出現在主控台報告中。
受管原則設定 — 深入探討
這是安全和 IT 團隊最重要的升級。伺服器受管設定 允許對每位開發人員機器上 Claude Code 可以和不能執行的操作進行集中式、可強制執行的控制。有兩種方式可以傳遞它們,您不需要 MDM 即可使用第一種方式。
運作方式
Claude Code 從設定來源的階層結構中讀取設定。managed-settings.json 檔案位於最頂層,無法被使用者或專案設定覆蓋:
優先順序 | 來源 | 範圍 | 誰控制它 |
1(最高) | 受管設定(伺服器受管或端點受管) | 企業範圍 | 擁有者/主要擁有者(從 claude.ai 管理主控台推送時)或您的 IT/MDM 團隊(部署為檔案時)。 |
2 | 命令列引數 | 工作階段 | 開發人員 |
3 | .claude/settings.local.json | 專案(個人) | 開發人員 |
4 | .claude/settings.json | 專案(共用,在 Git 中) | 團隊 |
5(最低) | ~/.claude/settings.json | 使用者(全域) | 開發人員 |
傳遞受管設定的兩種方式
伺服器受管設定(不需要 MDM):擁有者或主要擁有者在管理主控台的 組織設定 → Claude Code → 受管設定 中定義設定。每個登入到組織的 Claude Code 用戶端在啟動時自動擷取它們,並每小時輪詢一次以取得更新。這是適合沒有裝置管理基礎結構或使用者在非受管裝置上的組織的正確選擇。深入瞭解 伺服器受管設定。
端點受管設定:IT 直接將設定部署到裝置,可以透過原生 OS 原則(macOS 受管偏好設定或 Windows 登錄,透過 Jamf、Intune、群組原則等)或作為推送到下面系統路徑的 managed-settings.json 檔案。使用 OS 層級權限保護檔案,以便終端使用者無法修改它。在已註冊的裝置上,這提供比伺服器受管傳遞更強的保證,因為 OS 可防止使用者篡改。
注意:兩個通道佔據相同的最高優先順序層級並使用相同的 JSON 格式,但它們不會合併。第一個傳遞非空設定的來源獲勝:伺服器受管設定首先被檢查,如果它們傳遞任何金鑰,端點受管設定將被完全忽略。執行 /status 以查看哪個受管來源處於活動狀態。
檔案位置(端點受管)
作業系統 | 路徑 |
macOS | /Library/Application Support/ClaudeCode/managed-settings.json |
Linux | /etc/claude-code/managed-settings.json |
Windows | C:\Program Files\ClaudeCode\managed-settings.json |
關鍵設定參考
這些是與主控台到企業遷移最相關的設定。Claude Code 支援更多設定:如需完整的最新清單,請參閱 Claude Code 設定。
設定 | 用途 | 範例 |
| 在整個組織範圍內封鎖特定工具/命令 | Bash(curl:*), Read(.env) |
| 明確允許受信任的命令 | Bash(npm run test:*) |
| 每次都需要使用者核准 | Bash(rm:*) |
| 防止 --dangerously-skip-permissions | "disable" |
| 限制登入至特定企業組織。接受單一組織 UUID 或陣列;登入任何其他組織會被封鎖。單一 UUID 也會在登入時自動選取該組織。 | "298e7cb2…" |
| 強制登入方法 (claudeai、console 或 gateway)。建議與 | "claudeai" |
| 僅允許已核准的 MCP 伺服器,按名稱、命令或 URL 模式比對 | [{"serverName": "github"}] |
| 將特定 MCP 伺服器加入黑名單 | [{"serverName": "filesystem"}] |
| 僅套用主控設定中的權限規則;使用者和專案無法新增自己的規則 | true |
| 僅套用主控 MCP 允許清單;拒絕清單仍會從所有來源合併 | true |
| 僅執行主控和管理員核准的掛鉤 | true |
| 將 | true |
| 強制沙箱模式 | true |
| 封鎖未沙箱化的執行 | false |
| 本地工作階段資料(文字記錄和其他應用程式檔案)的保留期限。預設值:30 天 | 7 |
| 向所有 Claude Code 使用者顯示訊息 | 字串陣列 |
部署:使用您的 MDM 工具(Intune、Jamf、SCCM、Puppet 等)將 managed-settings.json 推送到所有開發人員機器。使用作業系統層級的權限保護該檔案,以防止終端使用者修改。
