Claude Enterprise のグループ・標準ロール・カスタムロールの関係と制約を図解で整理してみた
Claude Enterprise のアクセス制御は「グループ」「標準ロール」「カスタムロール」の3つで構成されています。
名前は似ていますが、役割も割り当て方も別物です。
ここを取り違えると「機能制限をかけたのに効かない」といったことが起きます。
管理画面を実際に触ると、この3つには割り当ての制約があると分かります。
グループに渡せるのはカスタムロールだけで、標準ロールは渡せません。標準ロールとカスタムロールは併用ではなく排他です。
公式ドキュメントと2026年6月時点の管理画面をもとに、3要素の関係とこの制約を図で整理します。
Claude Enterprise / Team の企業展開とガバナンスの全体像は、以下の登壇資料でも整理しています。
本記事は、そのうちロールとグループの仕組みを掘り下げる位置づけです。
前提
- 対象は Claude Enterprise プランです。カスタムロールは Enterprise 限定の機能です
- 確認時点は2026年6月の管理画面と公式ドキュメントです
3つの構成要素
まず全体像です。
- グループはメンバーをまとめる単位です。カスタムロールはグループに割り当てます。
- 標準ロールは「管理権限」の階層です
- カスタムロールは「アプリ機能の可否」と「一部の管理権限」をグループ単位で組み合わせます
ポイントは、標準ロールはメンバーに、カスタムロールはグループに割り当てるという「割り当て先の違い」です。
標準ロールは「管理権限」の階層
標準ロールは Primary Owner / Owner / Admin / User の4階層です。上位ほど権限が広く、上位は下位の権限を含みます。
| 階層 | ロール | できること(概要) |
|---|---|---|
| 最上位 | Primary Owner(組織に1人) | 全権(課金・セキュリティ・メンバー管理すべて) |
| ↑ | Owner | Primary Owner限定操作以外は可能 |
| ↑ | Admin | メンバーの招待/削除・利用分析の閲覧は可。連携/機能の有効化・課金・セキュリティ管理・Admin/Owner 管理は不可 |
| 最下位 | User | 一般メンバー(管理者権限なし) |
詳細は公式ドキュメントのRoles and permissionsにまとまっています。
カスタムロールは「アプリ機能の可否」を決める
カスタムロールは、部署などのグループ単位で Claude Code / Cowork / Chat / web検索 / コネクタ の ON/OFF を決めます。アプリ機能だけでなく、請求・ID 管理・プライバシーといった一部の管理権限も、Owner とせずにカスタムロールで渡せます(この使い方は後半の「管理者権限をどう割り当てるか」で扱います)。
標準ロールが管理権限の決まった階層であるのに対し、カスタムロールは「使える機能」と「渡す管理権限」を個別に組み合わせて作る点が違います。
仕様はManage custom roles on Enterprise plansにあります。
制約① 標準ロールはメンバー単位、カスタムロールはグループ単位
2つのロールは割り当てる画面が違います。
| 何を | どこで割り当てる | 単位 |
|---|---|---|
| 標準ロール(User/Admin/Owner/Primary Owner) | メンバー画面 | メンバー単位 |
| カスタムロール | グループ画面(グループを編集 > ロール) | グループ単位 |
ここから2つの制約が出てきます。
ひとつは、グループには標準ロールを割り当てられないことです。「管理者グループを作って Owner を付与する」はできません。公式ドキュメントには、グループにカスタムロールを割り当てると書かれています。((出典: Manage groups and group spend limits on Enterprise plans)
)
"Select which custom roles to assign to this group (optional)."
実機でも「グループを編集 > ロール」の選択肢に出るのはカスタムロールだけで、User / Admin / Owner は出てきません。
もうひとつは、カスタムロールはメンバーに直接付与できないことです。割り当て先はグループだけです。
"Custom roles are assigned to groups, not directly to individual members."
メンバーに対して設定できるのは「ロールを Custom roles モードに切り替えること」だけです。カスタムロール本体(権限のセット)はグループに紐づきます。そのため、メンバーを Custom roles にしても、カスタムロール付きのグループに入れていなければ権限はゼロです。
制約② 標準ロールとカスタムロールは排他
よくある誤解が「標準ロールとカスタムロールの両方が付いたら標準が優先される」というものです。実際は優先ではありません。標準ロールに設定されている時点で、カスタムロールは評価対象になりません。
公式ドキュメントの記述です。
"Custom roles only affect members whose role is set to 'Custom roles.' Members with the User, Admin, or Owner roles get their permissions from those roles directly, not from custom roles."
そのため、カスタムロールで機能を絞りたいメンバーは Custom roles モードに寄せる必要があります。標準 User のままでは、グループにカスタムロールを付けても効きません(出典: Manage custom roles on Enterprise plans)。
制約③ 和集合が効くのはカスタムロール同士だけ
メンバーが複数のグループに所属していると、各グループのカスタムロールは和集合(OR)で合成されます。
出典: [登壇資料] 最低限これだけ押さえれば大丈夫:Claude Enterprise/Team 企業展開のガバナンス入門
この性質があるため、「特定の機能を確実に禁止したい」場合は注意が必要です。禁止寄りのロールを足しても、別のグループに許可ロールがあれば許可が勝ちます。確実に絞るなら、許可を最小化したロールだけを割り当てる設計にします。
機能が使えるかの大元は組織レベルのトグル
ここまでロールの話をしてきましたが、機能が使えるかの大元は組織レベルのトグルです。組織でオフにした機能は、どのロールでも使えません。
ロールによって挙動が分かれます。標準ロール(User を含む)は、組織で有効な機能を自動で引き継ぎます。組織で Claude Code がオンなら、User でも使えます。
一方、カスタムロールは自動継承しません。明示的に許可した機能だけが使えます。組織の設定を超えて権限を広げることはなく、絞る方向にだけ働きます。
公式ドキュメントの記述です。
"Unlike members with the User role, members assigned to custom roles don't automatically inherit organization-enabled capabilities."
"If a feature is off at the organization level, no one can access it regardless of their role."
出典: Set up role-based permissions on Enterprise plans
管理者権限をどう割り当てるか
制約①と制約②から、管理者権限の割り当て方針が決まります。
| 管理者の種類 | 割り当て方 | グループ経由で渡せるか |
|---|---|---|
| 標準ロールの管理者(Owner/Admin/Primary Owner) | メンバー単位で個別 | ❌ |
| 部分管理者(billing/identity/privacy 等の限定admin権限) | カスタムロールに admin 権限を付与 | ✅ |
全権の管理者には、個人に標準ロールの Owner を付与します。管理者グループを作って Owner を渡すことはできません。Primary Owner は組織に1人で、Owner も最小限にとどめます。
請求や ID 管理など一部の管理権限だけを委譲したいときは、admin 権限を持たせたカスタムロールをグループに割り当てます。対象のメンバーは Custom roles モードにしておきます。
おわりに
ロール設計でつまずく原因の多くは、3要素の「割り当て先」と「評価ルール」の取り違えです。
グループに渡せるのはカスタムロールだけ、標準ロールとカスタムロールは排他、和集合が効くのはカスタムロール同士だけ。
この3点を押さえると、「機能制限が効かない」設定ミスを減らせます。
ちなみにカスタムロールで実際に機能を出し分ける手順は、以下のブログが参考になります。
