![[登壇資料] 最低限これだけ押さえれば大丈夫:Claude Enterprise/Team 企業展開のガバナンス入門というタイトルで登壇しました](https://images.ctfassets.net/ct0aopd36mqt/3KBTm8tdpO9RJJuaVvVzod/a9964bb03097b448b2327edc6920bf9f/Claude.png?w=3840&fm=webp)
[登壇資料] 最低限これだけ押さえれば大丈夫:Claude Enterprise/Team 企業展開のガバナンス入門というタイトルで登壇しました
はじめに
お疲れさまです。とーちです。
2026年5月20日に開催されたclassmethod forum 2026にて、「最低限これだけ押さえれば大丈夫:Claude Enterprise/Team 企業展開のガバナンス入門」というタイトルで登壇しました。
本記事ではその際に使用した資料の概要をご紹介します。
登壇資料
資料概要
Claude 導入の選択肢
Team vs Enterprise の違い
Claude Code / Cowork を組織展開する際、まず直面するのが「EnterpriseとTeamって何が違うの?」という問いです。お客様からもよく聞かれるポイントです。
共通機能(SSO/SAML・JITプロビジョニング・ドメイン認証・基本ロール等)はどちらも利用可能ですが、トークンの料金体系が異なります。Teamは席単位の定額制(一定量まで使い放題)、Enterpriseは実消費量に基づく従量課金です。
Enterprise限定の機能として以下が挙げられます。
- SCIMプロビジョニング(IdPとのユーザー自動同期)
- ドメインクレーム / 移行(既存個人アカウント取込)
- 監査ログ / コンプライアンスAPI
- Analytics API(利用状況・採用率の可視化)
- カスタムロール(機能単位の細かいアクセス制御)
- グループ + グループ支出上限
- ネットワークレベルのアクセス制御(テナント制限 / IP許可リスト)
- カスタムデータ保持期間
- HIPAA対応 + 業務提携契約(BAA)
特に監査ログがEnterpriseを選ぶ最大の理由になりやすく、ガバナンス要件がある組織では必須機能として問われることが多いです。
Enterprise vs Bedrock vs Claude Platform on AWS:3つの利用経路
Claude Code / Cowork を組織ガバナンスを担保しながら使う方法として3つ紹介しました。それぞれデータの置き場所・管理の仕組み・課金体系が異なります。
| Claude Enterprise(Marketplace) | Amazon Bedrock | Claude Platform on AWS | |
|---|---|---|---|
| 利用形態 | ログイン→即利用(API統合不要) | API経由(Bedrock API) | API経由(Anthropic API) |
| 運用主体 | Anthropic | AWS | Anthropic |
| データ処理境界 | Anthropic側 | AWS境界内 | Anthropic側 |
| 課金形態 | シート料金+トークン従量課金 | トークン従量課金(AWS設定価格) | トークン従量課金(Anthropic標準API料金) |
どれを選ぶかの判断基準:
- Bedrock:データをAWS境界内に閉じる要件がある(法規制・データ主権等)
- Claude Enterprise:Claude Code / Claude Coworkを使うことが主目的、機能単位の権限制御、グループ/ユーザー単位のコスト制限、管理コンソールで設定・スキルを一元配布、claude.ai Chat/Security/Design等のWeb UI機能が必要
- Claude Platform on AWS:Anthropic APIをAWS請求・AWS認証(IAM)経由で使いたい、AnthropicのAPIを使ったアプリ・サービス開発をしたい
Enterprise プラン導入をスムーズにするポイント
まず使い始める最低限の設定
最低限使い始めるだけなら、以下の流れでできます。
- 会社ドメインのメールアドレスで契約開始
- 招待メールが届いたら、Invitationを受諾して組織名を決めて入力
- メンバーを招待制でプロビジョニング → 利用開始
ただ、せっかくEnterpriseプランを使うならガバナンス設定をちゃんとしないともったいないです。次に優先してやるべきなのがSSO / SCIM の設定です。SSOはその後の多くのガバナンス設定の土台になるからです。
ユーザープロビジョニング方法の違い
プロビジョニングには3種類の方法があります。
| 方法 | 特徴 |
|---|---|
| 招待制 | 管理者がメールアドレスを指定して招待。まず使い始める段階向け |
| JIT(Just-In-Time) | SSO経由で初回ログイン時に自動作成。退職者の自動削除はされない |
| SCIM | IdPと同期。ユーザー作成・削除を自動化。退職者対応も自動 |
選び方の目安:まず使い始める → 招待制、SSO導入済みで人数が増えてきた / IdP外メンバー(外部委託等)も混在する → JIT、退職者の自動失効が必要 / 本格運用 → SCIM
ロール階層と権限の違い
JIT / SCIMでプロビジョニングする場合、IdP側のグループとClaudeのロールを紐づけることができます。各ロールの役割を理解しておくと導入がスムーズです。
| ロール | できること |
|---|---|
| Primary Owner(1人のみ) | 全操作可。各API有効化、組織データエクスポート、Primary Ownership移譲 |
| Owner | Primary Owner限定操作以外の全操作可 |
| Admin | メンバー招待・削除/招待キャンセル・利用状況分析の閲覧、及び通常利用のみ |
| User | 組織設定上有効な全機能(Claude Code・Cowork・Claude Design等)を利用可 |
| Custom roles | グループに紐づいた権限セットで使える機能が決まる |
知っておくと良いポイント:
- Primary Ownerは1人しかなれないため、専用アカウントを作成して管理するのが望ましい
- User / Admin / OwnerはカスタムロールのON/OFFの影響を受けないため、カスタムロールで権限制御したいメンバーはロールを「Custom roles」に変更する必要がある
カスタムロールとは
カスタムロールはClaude側で定義し、Claude側のグループに紐づけることで権限を細かく制御できます。Claude側のグループへの反映はSSOログイン時にIdPから送られるグループクレーム経由で行われます。
権限はOR加算で計算されます。複数のグループに所属している場合、各グループのロールで許可されている権限はすべて加算されます。DENYはなく、いずれかのロールが機能を許可していれば使えます。ロールで権限を「剥奪」することはできない点に注意が必要です。
感想
今回の登壇資料を作成するにあたって、Amazon BedrockやClaude Platform on AWSを含めた3つの利用経路の比較や、Claude Enterpriseのガバナンス周りの機能を改めて調べ直しました。その過程で、知らなかったことをキャッチアップできたのが個人的には大きな収穫でした。
特にClaude Enterpriseのテナント制限機能は、社内プロキシが必要となるため使い所は限られると思いますが、なかなか面白い機能だなと感じました。また、Analytics APIでは色々なデータが取得できるので、活用次第でいろいろできそうだなと感じました。
この記事が誰かのお役に立てばなによりです。
以上、とーちでした。
