Claude Enterpriseのロールベースアクセス制御(RBAC)でCoworkやClaude Codeへのアクセスを制御してみた
はじめに
Claude Enterpriseでは組織レベルで機能のオン/オフを切り替えられますが、この設定は全メンバーに一律で適用されます。
例えばCoworkを一部のチームだけに先行展開したい場合や、Web検索を特定の部門に限定したい場合、組織レベルの切り替えだけでは対応できません。
2026年4月9日付けのClaude公式発表で、Claude CoworkのEnterprise向け機能強化の一部として、ロールベースのアクセス制御(RBAC)が案内されました。
日本時間では4月10日AM3時ごろに確認できました。
カスタムロールとグループを組み合わせることで、メンバーごとに利用可能な機能をきめ細かく制御できます。
今回は手動でカスタムロールとグループを作成してRBACを設定してみました。
UIのカテゴリ構成に合わせて「チャット」「Claude Code」「Cowork」の3つのロールを作成し、グループで組み合わせるベース+追加型の構成です。
RBACの仕組み
Claude EnterpriseのRBACは、カスタムロールとグループの2つの要素で構成されています。
カスタムロール
カスタムロールは、メンバーが利用できる機能の集合を定義するものです。
Web検索、メモリ、Claude Code、Coworkなど、ロールごとに許可する機能を選択できます。
グループ
グループは、メンバーをまとめる単位です。
各グループにはカスタムロールを割り当てることができ、グループに所属するメンバーはそのロールで定義された機能を利用できます。
手動で作成するほか、SCIMディレクトリ同期を設定していればIdPのグループを同期することもできます。
権限の合成ルール
メンバーが複数のグループに所属している場合、各グループに割り当てられたカスタムロールの権限は加算(Additive)で合成されます。
いずれかのロールで許可されている機能は利用可能になります。
あるロールで許可された機能を別のロールで取り消すことはできません。
組織レベルのトグルとの関係
カスタムロールで機能を許可するには、その機能が組織レベルで有効になっている必要があります。
組織レベルで無効にした機能は、カスタムロールに関係なく誰も利用できません。
今回の構成
公式ドキュメントで紹介されている3つの設計パターンのうち、ベース+追加型(Base plus additive roles)を採用します。
2026年4月10日時点で筆者が確認したUIでは、カスタムロールで制御できる機能は「チャット」「Claude Code」「Cowork(共同作業)」の3カテゴリに分かれていたため、各カテゴリに対応するロールを作成します。
- Chatロール(ベースロール)
- コード実行&ファイル作成、メモリ、Web検索を許可
- 全メンバーが所属する「All Users」グループに割り当て
- Claude Codeロール(追加ロール)
- Claude Code、高速モードを許可
- 開発者が所属する「Claude Code Users」グループに割り当て
- Coworkロール(追加ロール)
- 共同作業(Cowork)を許可
- Cowork利用者が所属する「Cowork Users」グループに割り当て
All Usersグループに入れたうえでカスタムロールへ移行したメンバーはChatロールの機能を利用でき、追加のグループに所属するメンバーだけがClaude CodeやCoworkも利用できます。
権限は加算で合成されるため、ロールの組み合わせが競合なく機能します。
やってみた
前提条件
- Claude Enterpriseプランであること
- Claudeの組織でOwnerまたはPrimary Ownerの権限を持っていること
カスタムロールを作成する
組織設定 > カスタムロールを開きます。
ロールを追加をクリックすると、ロール作成画面が表示されます。
カスタムロールで制御できる機能は以下の3カテゴリに分かれています。
- チャット: コード実行&ファイル作成、メモリ、Web検索
- CLAUDE CODE: Claude Code、高速モード
- 共同作業: 共同作業(Cowork)
Chatロールの作成
ロール名にChatと入力し、「チャット」カテゴリの全機能(コード実行&ファイル作成、メモリ、Web検索)を有効にします。
他のカテゴリは無効のままにしてロールを追加をクリックします。
Claude Codeロールの作成
同様にロールを追加をクリックし、ロール名にClaude Codeと入力します。
「CLAUDE CODE」カテゴリの全機能(Claude Code、高速モード)を有効にしてロールを追加をクリックします。
Coworkロールの作成
同様にロールを追加をクリックし、ロール名にCoworkと入力します。
「共同作業」カテゴリの「共同作業(Cowork)」を有効にしてロールを追加をクリックします。
3つのカスタムロールが作成されました。
グループを作成してロールを割り当てる
組織設定 > グループを開きます。
All Usersグループの作成
グループを追加をクリックすると、グループ作成ダイアログが表示されます。
グループ名にAll Usersと入力し、ロールのドロップダウンからChatを選択、メンバーを追加してグループを追加をクリックします。
Claude Code Usersグループの作成
同様にグループを追加をクリックします。
グループ名にClaude Code Users、ロールにClaude Codeを選択し、Claude Codeを利用するメンバーを追加して作成します。
Cowork Usersグループの作成
同様にグループを追加をクリックします。
グループ名にCowork Users、ロールにCoworkを選択し、Coworkを利用するメンバーを追加して作成します。
3つのグループが作成されました。
メンバーをカスタムロールに移行する
カスタムロールの権限を有効にするには、メンバーの役割をカスタムロールに変更する必要があります。
ユーザー / 管理者 / オーナーのままのメンバーはビルトインロールの権限がそのまま適用され、カスタムロールの影響を受けません。
ビルトインロールとカスタムロールを併用できるため、段階的に移行できます。
組織設定 > メンバーを開きます。
移行対象のメンバーの「役割」ドロップダウンからカスタムロールを選択します。
動作確認
グループの所属パターンを変えながら、各パターンで利用可能な機能を確認します。
Chatのみ(All Usersグループのみ)
チャット機能(Web検索、メモリ、コード実行&ファイル作成)は利用可能です。
Claude CodeとCoworkは利用できません。
Chat + Claude Code(All Users + Claude Code Usersグループ)
チャット機能に加えてClaude Codeが利用可能になります。
Coworkは引き続き制限されています。
Chat + Cowork(All Users + Cowork Usersグループ)
チャット機能に加えてCoworkが利用可能になります。
Claude Codeは引き続き制限されています。
Chat + Claude Code + Cowork(全グループ所属)
すべての機能が利用可能です。
全て期待通りの挙動となりました。
ロールバック手順
RBACの設定に問題があった場合は、以下の手順で元に戻せます。
- RBACのために有効化した組織レベル機能(例: Cowork)をオフに戻す
- 影響を受けたメンバーの役割を元のビルトインロール(例: ユーザー)に戻す
- ビルトインロールの権限が再適用され、カスタムロールの権限は無効になる
- カスタムロールとグループを修正してから再度移行する
まとめ
今回はClaude Enterpriseでカスタムロールとグループを使ったRBACを設定しました。
ベース+追加型のパターンを採用し、UIのカテゴリ構成に合わせてChat / Claude Code / Coworkの3ロールを作成することで、グループへの追加だけで機能を柔軟に組み合わせられる構成を実現しています。
どなたかの参考になれば幸いです。
