最低限これだけ押さえれば大丈夫： Claude Enterprise/ Team企業展開のガバナンス入門 クラスメソッド株式会社 クラウド事業本部 コンサルティング部 ソリューションアーキテクト 菊池 聡規 氏 

自己紹介 とーち 名前 菊池 聡規（とーち） 部署 クラウド事業本部 普段の業務 AWSのコンサルティングやピープルマネジメント / どちらかと言えばインフラ寄りの領域 を担当 Xアカウント https://x.com/tttkkk215 ブログ https://dev.classmethod.jp/author/tooti/ 好きな技術 コンテナ、Terraform、生成AI Claude Enterprise/Team 企業展開のガバナンス入門 2 

アジェンダ 時間 セクション トピック 0:00-3:00 イントロ 自己紹介・アジェンダ 3:00-8:00 Claude 導入の選択肢 Team vs Enterprise の違い / Enterprise vs Bedrock vs Platform on AWS 8:00-20:00 導入をスムーズにするポイント ロール階層・ユーザープロビジョニング・SSO/SCIM連携 20:00-28:00 よくある課題と対策 野良アカウント防止・SSO必須設定・支出上限・監査ログ 28:00-30:00 まとめ 選定フロー・持ち帰りポイント・弊社サービス紹介 Claude Enterprise/Team 企業展開のガバナンス入門 3 

このセッションの対象聴講者とゴール 対象聴講者 Claude Code / Cowork を導入したいが、 選択肢が複数あって どれを選べばよいかわからない 人 Claude Enterprise プランで始めることにしたが、 何から設定す ればいいかわからない 人 ゴール Claude 導入時に自分の組織に合った 最適な選択肢 がわかる Claude Enterprise プランの 設定の勘どころ が理解できる Claude Enterprise/Team 企業展開のガバナンス入門 4 

Claude 導⼊の選択肢 Team vs Enterprise の違いを理解する 

Team vs Enterprise の違い — よく問われるポイント 「EnterpriseとTeamって何が違うの？」 → お客様からもよく問われやすいポイント。まずここを整理する。 Claude Enterprise/Team 企業展開のガバナンス入門 6 

Team vs Enterprise の違い（機能比較）(1/2) 共通機能と料金体系の違い 機能 Team Enterprise SSO / SAML 〇 〇 JIT プロビジョニング 〇 〇 ドメイン認証 + 新規アカウントブロック 〇 〇 基本ロール（Admin / Owner / User） 〇 〇 Claude Code / Cowork / Projects 〇 〇 外部サービス連携コネクタ（Drive / Gmail / GitHub / M365 / Slack 等） 〇 〇 トークンの料金体系 席単位の定額制（一定量まで使い放 題） 実消費量に基づく従量課金（シート料 金にトークン利用枠は含まれない） Claude Enterprise/Team 企業展開のガバナンス入門 7 

Team vs Enterprise の違い（機能比較）(2/2) Enterprise 限定の機能 機能 Team Enterprise SCIMプロビジョニング（IdPとのユーザー自動同期） × 〇 ドメインクレーム / 移行（既存個人アカウント取込） × 〇 監査ログ / コンプライアンスAPI × 〇 分析API（利用状況・採用率の可視化） × 〇 カスタムロール（機能単位の細かいアクセス制御） × 〇 グループ + グループ支出上限 × 〇 ネットワークレベルのアクセス制御（テナント制限 / IP許可リスト） × 〇 カスタムデータ保持期間 × 〇 HIPAA対応 + 業務提携契約（BAA） × 〇（Anthropic営業経由の契約プランのみ対応） Claude Enterprise/Team 企業展開のガバナンス入門 8 

Enterprise を選ぶ理由になる3機能 組織展開で効いてくる機能。特に監査ログが Enterprise を選ぶ最大の理由 になりやすい。 操作証跡・ID管理・権限制御は、ガバナンス観点で必要になりやすい要素。 機能 できること 組織展開でなぜ必要か 監査ログ（Audit Logs） 認証・メンバー管理・SSO操作・プロジェクト/会話操作・ファイ ルアップロード等の操作証跡を記録（180日保管、管理画面か らExport / Compliance APIで取得） ログがなければ「誰がいつ何をしたか」を後から追えず、インシデン ト時に説明責任を果たせない。セキュリティ審査でログ取得は必須 要件として問われる SCIM IdP（Entra ID等）とユーザーを自動同期。アカウントの作成・削 除・グループ反映を自動化 手動運用は人数が増えるほど必ず漏れる。退職者のアカウントが 残ればそのまま情報漏洩リスク。「やらないと事故」級の機能で、退 職者対応はセキュリティ審査でも問われることが多い カスタムロール グループ単位で使える機能を細かく制御（チャットのみ / Code+Cowork / 新機能検証用 など部署・職種ごとに設定可） 全員に同じ権限を与えると、不要なリスクや費用が発生する。部門 ごとに必要な機能だけを許可することで、ガバナンスとコスト管理を 両立できる Claude Enterprise/Team 企業展開のガバナンス入門 9 

Enterprise vs Bedrock vs Claude Platform on AWS 3つの利用経路の違いを理解する 

3つの利用経路の概要 Claude Code / Cowork を組織ガバナンスを担保しながら 使う方法は3つある。それぞれ データの置き場所・管理の仕組み・課金体系 が異なるため、自社の要件に よって選択肢が変わる。 図の注記: この図はデータ処理の境界（Anthropic側 vs AWS境界内）をわかりやすく示すことを目的としています。厳密には ① Enterpriseプランと ③ Platform on AWSでは呼び出すAPI エンドポイントは異なります。 Claude Enterprise/Team 企業展開のガバナンス入門 11 

3者の比較：基本情報 Claude Enterprise（Marketplace） Amazon Bedrock Claude Platform on AWS 利用形態 ログイン→即利用（API統合不要） API経由で呼び出す（Bedrock API） API経由で呼び出す（Anthropic API） 運用主体 Anthropic AWS Anthropic データ処理境界 Anthropic側 AWS境界内（モデルプロバイダーはログ ・プロンプトにアクセス不可） Anthropic側 課金形態 シート料金 + トークン従量課金 （Anthropic標準API料金） トークン従量課金（AWS設定価格） トークン従量課金（Anthropic標準API料 金） Claude Enterprise/Team 企業展開のガバナンス入門 12 

3者の比較：ガバナンス Claude Enterprise（Marketplace） Amazon Bedrock Claude Platform on AWS ユーザー管理 〇 SSO / SCIM / 招待制（管理コンソール） 〇 IAM / IAM Identity Center（SSO / SCIM対 応） 〇 IAM / IAM Identity Center（SSO / SCIM対 応） 権限制御 〇 SCIMグループ連動でグループ単位に機能 ON/OFF（Chat/Code/Cowork等）を設定可 ※ IAMグループ等でグループ単位のAPIアク セス制御は可能 / × Enterprise相当の機能 単位の制限は不可 ※ IAMグループ等でグループ単位のAPIアク セス制御は可能 / × Enterprise相当の機能 単位の制限は不可 コスト制限 〇 組織 / グループ / ユーザーの3段階で設 定可 ※ AWS Budgetsでコストアラートは可能 / × 組織/グループ/ユーザー単位のコスト制限は 標準機能では不可 ※ AWS Budgetsでコストアラートは可能 / × 組織/グループ/ユーザー単位のコスト制限は 標準機能では不可 監査ログ Compliance API / 管理画面Export（180日）、 モデルとのやり取りも記録可 CloudTrail + Invocation Logging（CloudWatch Logs / S3に記録可） CloudTrail / × Invocation Logging非対応 （データがAWS外のため） 設定管理 (settings.json) 〇 管理コンソールから組織全体に設定 ※ MDM配布が必要 ※ MDM配布が必要 Claude Enterprise/Team 企業展開のガバナンス入門 13 

3者の比較：ユーザー利用目線での機能差異 (1/2) Claude Enterprise Amazon Bedrock Claude Platform on AWS [Cowork] 利用可能な機能 〇 Chat / Cowork / Code ※ Cowork / Code のみ（Chat不可） ※ Cowork / Code のみ（Chat不可） [Cowork] スキル / プラグイン 〇 管理コンソールで組織スキル・組織プラグ インを一元共有可 / Anthropic製スキル/プ ラグインがデフォルト提供 ※ 個人スキルのみ / 組織共有にはMDMな どを使ってorg-pluginsフォルダーに配布が必 要 ※ 個人スキルのみ / 組織共有にはMDMな どを使ってorg-pluginsフォルダーに配布が必 要 [Cowork / Code] コネクター 〇 Anthropic製・パートナー・カスタムコネクタ 利用可 *デスクトップ設定はCode側でも有 効* ※ カスタムコネクタのみ / 組織配布には MDMなどを使って.mobileconfig等のファイル の配布が必要 ※ カスタムコネクタのみ / 組織配布には MDMなどを使って.mobileconfig等のファイル の配布が必要 Claude Enterprise/Team 企業展開のガバナンス入門 14 

3者の比較：ユーザー利用目線での機能差異 (2/2) Claude Enterprise Amazon Bedrock Claude Platform on AWS [Cowork] Live artifacts *コネクタのライブデータを使用し た動的アーティファクト* 〇 利用可 × 利用不可 × 利用不可 [Code] スケジュールスキル *Anthropicクラウド上でCodeエー ジェントを定期実行* 〇 利用可 × 利用不可 × 利用不可 [Code] web search ツール 〇 利用可 × 利用不可（MCPなどで代替は可能） 〇 利用可 [Code] Claude in Chrome 〇 利用可 × 利用不可（Playwright MCP等で代替は可能） × 利用不可（Playwright MCP等で代替は可能） [claude.ai] Security / Design 等 Web UI機能 〇 利用可 × 利用不可（claude.ai が使えないため） × 利用不可（claude.ai が使えないため） 補足: スキルの組織的配布・コネクタ管理・設定管理など、 Claude Enterprise の管理コンソールが GUI で提供する便利機能は、Bedrock / Claude Platform on AWS には Claude純正の形では存在しない 。MDM等 で自前構築が必要、または相当機能がないものもある。 Claude Enterprise/Team 企業展開のガバナンス入門 15 

どれを選ぶか Amazon Bedrock ● データをAWS境界内に閉じる要件があ る（法規制・データ主権等） ● POC・お試し用途（シートライセンス不 要、トークン課金で小規模から開始可 能） Claude Enterprise（Marketplace） ● Claude Code / Claude Coworkを使うこ とが主目的 ● 機能単位の権限制御（部門単位で ON/OFF） ● グループ/ユーザー単位のコスト制限が 必要 ● 管理コンソールで設定・スキルを一元配 布したい ● claude.ai Chat / Security / Design 等の Web UI機能が必要 Claude Platform on AWS ● Anthropic APIをAWS請求・AWS認証 （IAM）経由で使いたい ● AnthropicのAPIを使ったアプリ・サービ ス開発をしたい ※ Claude Platform on AWS の初期レートリミットは低め: デフォルトの上限がかなり抑えられており、本番展開前に Claude セールスへの緩和申請が必要（Sonnet4.6の例: Bedrock は 6,000,000 tokens/min に対 し、Platform on AWS は初期 30,000 tokens/min 程度） Claude Enterprise/Team 企業展開のガバナンス入門 16 

Enterprise プラン導⼊をスムーズにす るポイント ロール階層・プロビジョニング・SSO/SCIM連携 

使い始める際の最低限の設定 1 会社ドメインのメールアドレスで契約開始 会社ドメインのメールアドレスを使って契約を開始する 2 招待メールが届く Invitationを受諾したあと、組織名を決めて入力 3 メンバーを招待制でプロビジョニング この時点で利用開始できる Claude Enterprise/Team 企業展開のガバナンス入門 18 

次にやるべきは SSO / SCIM の設定 最低限の流れ（①〜③）でまず使い始めることができる。 次に優先してやるべきなのが SSO / SCIM の設定 。なぜなら、SSO はその後の多くのガバナンス設定の土台 になるから。SSO 必須設定・グループ管理・カスタムロール、いずれも SSO 設定なしには成立しない。 SSO必須設定 グループ管理 カスタムロール Claude Enterprise/Team 企業展開のガバナンス入門 19 

IdP と Claude の関係 SSO = 認証連携（ログイン） / SCIM = ユーザー・グループ自動同期（プロビジョニング） Claude Enterprise/Team 企業展開のガバナンス入門 20 

ユーザープロビジョニング方法の違い 方法 特徴 招待制 管理者がメールアドレスを指定して招待。まず使い始める段階向け JIT（Just-In-Time） SSO経由で初回ログイン時に自動作成。退職者の自動削除はされない SCIM IdPと同期。ユーザー作成・削除・グループ同期を自動化。退職者対応も自動 選び方の目安 まず使い始める → 招待制 SSO導入済みで人数が増えてきた / IdP外メンバー（外部委託等）も混在する → JIT 退職者の自動失効が必要 / 本格運用 → SCIM Claude Enterprise/Team 企業展開のガバナンス入門 21 

ロール階層と権限の違い JIT / SCIM でプロビジョニングする場合、IdP側のグループと Claude のロールを紐づけることができる。各ロールの役割を理解しておくと導入がスムーズに。 ロール できること Primary Owner（1人のみ） 全操作可。各 API有効化、組織データエクスポート、Primary Ownership移譲 Owner Primary Owner限定操作以外の全操作可 Admin メンバー招待・メンバー削除/招待キャンセル・利用状況分析の閲覧、及び通常利用のみ User 組織設定上有効な全機能（Claude Code・Cowork・Claude Design など）を利用可 Custom roles グループに紐づいた権限セットで使える機能が決まる（次スライドで詳説） 知っておくと良いポイント Admin は名前に反して権限が狭い : 名前からして何でもできそうに見えるが、実際にはメンバー招待程度しかできない。SSO設定などをしたい場合は Owner 以上が必要 Primary Owner は特定の個人に紐づけない : 1人しかなれないので、退職・異動でロックアウトのリスクがある。専用アカウントを作成して紐づけ、パスワード等の認証情報は厳重に管理するのが望ましい。 Primary Owner は Compliance API キーの発行や組織データエクスポートが可能でメンバーの会話内容にアクセスできてしまうため User / Admin / Owner はカスタムロールの影響を受けない : これらのロールを持つメンバーは、カスタムロールではなくロール固有の権限を直接取得する。カスタムロールで権限制御したいメンバーは、ロール を「Custom roles」に変更する必要がある Claude Enterprise/Team 企業展開のガバナンス入門 22 

カスタムロールとは カスタムロールを本格活用するなら SCIM が必須 : SCIMによりIdPグループ → Claudeグループが自動同期され、カスタムロールが自動適用される。JITではClaudeグループへの追加が 手動になる（追加前は機能が一切使えない状態）ので注意。 ※ ロールの優先順位: メンバーが User ロールとカスタムロールの両方に割り当てられている場合、カスタムロールが優先 される。 Claude Enterprise/Team 企業展開のガバナンス入門 23 

カスタムロールの権限は OR加算 ロールA Chat 〇 Code 〇 Cowork × + ロールB Chat 〇 Code × Cowork 〇 = 結果 Chat 〇 Code 〇 Cowork 〇 1. 複数のグループに所属している場合、各グループのロールで許可されている権限はすべて加算される 2. 単一のグループに複数のロールが紐づいている場合、各ロールで許可されている権限はすべて加算される DENYはない いずれかのロールが機能を許可していれば使える。ロールで権限を「剥奪」することはできない。 Claude Enterprise/Team 企業展開のガバナンス入門 24 

よくある課題と対策 野良アカウント防止・SSO必須設定・支出上限・監査ログ 

会社ドメインの野良アカウント・野良組織の作成を防ぎたい ※ 課題 社員が会社メールアドレスで個人アカウントや野良Team組織を勝手に作成すると： 監査ログが残らない : 野良組織をTeamプランで作った場合、監査ログ非対応のため記録・追跡が一切できない ガバナンス設定が効かない : 自社のカスタムロール・支出上限・SSO設定が適用されない 退職時にデータが残る : 個人アカウントのオーナーが退職しても、アカウントとその中のデータが残り続ける 〇 対策 組織の作成を制限 : 個人アカウントを含む、認証済みドメイン配下での新しい組織の作成を防止 ドメインクレーム / 移行 : 認証済みドメインを持つ既存の個人アカウントを組織へ強制移行（Enterprise限定） Claude Enterprise/Team 企業展開のガバナンス入門 26 

個人アカウント（Gmail等）でのアクセスを防ぎたい ※ 課題 社員がGmail等で作成した個人Claudeアカウントを業務利用すると： 監査ログに残らない : 誰が何を聞いたか追跡できず、インシデント時に説明責任を果たせない ガバナンス設定が一切効かない : カスタムロール・支出上限・データ保持期間すべて無効。野放し状態になる 退職後も個人アカウントに業務データが残る : SCIMで組織アカウントを削除しても個人アカウントは消えない 〇 対策 テナント制限（Enterprise限定） : 社内プロキシが anthropic-allowed-org-ids ヘッダを挿入し、許可された組織アカウント以外のログインを ブロック ◦ Web / デスクトップ / APIキー / OAuth すべての認証方式に対応 ◦ 企業での実運用はZscaler / Prisma Access等のクラウドプロキシで全端末トラフィックを通す構成が前提 ◦ ※ プロキシを通らない回線（在宅・個人回線）では効かないため、VPN利用の徹底とセットで運用する必要がある Claude Enterprise/Team 企業展開のガバナンス入門 27 

テナント制限の仕組み 前提: Claude Enterprise の各組織にはユニークな組織ID（org UUID）が割り当てられている。Anthropicはこの組織IDとユーザーの所属情報を管理しているため、リクエスト 時にヘッダの値と照合できる。 Web / デスクトップ / APIキー / OAuth すべての認証方式に対応。プロキシ経由のトラフィックすべてに対して有効。 Claude Enterprise/Team 企業展開のガバナンス入門 28 

必ずIdP認証を通してClaudeにログインさせたい ※ 課題 SSOを設定しても強制しない限り、メール認証（Magic Link）が並存する： IdPの制御が全て迂回される : MFA・IP制限・デバイス信頼・地理制限・リスクベース認証がMagic Linkでは一切効かない。攻撃者にとって 弱い認証経路が常に開いている状態 オフボーディングの穴（JIT / 招待制の場合） : SCIMと違い、IdPからグループを外してもClaudeアカウントは残る。会社メールが有効な間 はMagic Linkでそのまま組織にログインできてしまう 〇 対策 ClaudeにSSOを必須にする を有効化 → Magic Link（メール認証）を無効化し、SSO経路のみに統一 これにより、IdPで設定したMFA・IP制限・デバイス制限・地理制限などのアクセス制御がすべてのログインに適用される。 Claude Enterprise/Team 企業展開のガバナンス入門 29 

チームや部署単位で支出を管理・制限したい ※ 課題 チームや部署ごとに予算を持っている。Claude のコストもその単位で管理・制御したい。 〇 対策: Enterprise の コスト上限設定 で3レベルの上限を設定可能： レベル 対象 設定内容 組織レベル 組織全体 組織内全メンバーの合計消費額に対する絶対上限。全ユーザーがこの上限を超えられない グループレベル(Enterprise のみ) 部門・チーム単位 Groupsと連動。グループ所属メンバー合計の上限値ではなくあくまでも 一人あたりの上限値で ある点に注意 ユーザーレベル 個人 グループ上限より優先して適用される ※ グループ消費合計に対する上限設定は現時点で非対応 。グループ単位のコスト実績を把握する手段も管理コンソール上にはな い。 → Analytics API を使えば、ユーザー別コストとグループ所属情報を組み合わせてグループ合計コストを集計・可視化することが可能。 Claude Enterprise/Team 企業展開のガバナンス入門 30 

Analytics API とは Enterprise限定のAPI で、組織の利用状況・コスト・採用率をプログラムで取得できる。 取得できるデータ エンドポイント 説明 ユーザー別コスト GET .../analytics/user_cost_report 指定期間におけるユーザーあたりの消費額（USD）。グルー プ集計の元データ 時系列コスト GET .../analytics/cost_report 指定期間のコスト推移をモデル・リージョン・プロダクト別に 集計 ユーザー別トークン使用量 GET .../analytics/user_usage_report 指定期間におけるユーザーあたりの入力/出力トークン消 費量 ユーザー別活動指標 GET .../analytics/users 指定日のユーザーごとの活動（チャット数・コミット数・PR数 等） アクティビティサマリー GET .../analytics/summaries 組織全体のDAU/WAU/MAU・割り当てシート数・保留中招 待数 認証: claude.ai/analytics/api-keys から read:analytics スコープのAPIキーを発行（Primary Owner権限が必要）。 データ更新遅延: コスト・利用状況系は最大24時間 、採用率系（users / summaries等）は最大3日。 Claude Enterprise/Team 企業展開のガバナンス入門 31 

Analytics API でグループ単位のコストを可視化する 〇 アーキテクチャ（2つのAPIを組み合わせる） Analytics API のデータ更新は最大24時間の遅延あり。前日分を翌日09:00 JSTに集計する構成。 Claude Enterprise/Team 企業展開のガバナンス入門 32 

Analytics API グループ別コストダッシュボード Claude Enterprise/Team 企業展開のガバナンス入門 33 

監査ログを長期保管したい ※ 課題 Audit Logs（管理画面）の保管期間は 最大180日。長期の監査要件には対応できない。 〇 対策 Compliance API （監査ログとともにEnterprise限定） のアクティビティログはAnthropicが 6年間保持しているため、APIでいつでも取 得可能。 加えて、自社管理したい場合は定期的に取得してS3等に自動連携する構成も可能。 Claude Enterprise/Team 企業展開のガバナンス入門 34 

Compliance API とは Enterprise限定のAPI で、組織内で発生したすべての操作をプログラムで取得できる（数百種類のアクティビティタイプ）。 取得できるデータ エンドポイント 説明 アクティビティログ GET .../compliance/activities 認証・チャット・管理操作等、数百種類のイベン ト。activity_types[] で種別フィルタ可能 チャットメッセージ GET .../compliance/apps/chats/{id}/messages 会話の実際のメッセージ内容（ユーザー発言 ・Claude応答） グループ・メンバー GET .../compliance/groups GET .../groups/{id}/members SCIMまたは手動作成のグループ一覧とメン バー所属情報 ユーザー一覧 GET .../compliance/organizations/{uuid}/users 組織に所属するユーザーのID・メール・作成日 認証: Compliance Access Key を使用（Analytics API とは別キー） Claude Enterprise/Team 企業展開のガバナンス入門 35 

Compliance API で監査ログを自社保管する 〇 アーキテクチャ Claude Enterprise/Team 企業展開のガバナンス入門 36 

まとめ プラン選択 SCIM・監査ログ・カスタムロールなどガバナンス要件があれば Enterprise。データをAWS境界内に閉じ るなら Bedrock 基本設定 SSO/SCIMはすべてのガバナンス設定の土台。まず設定する。Primary Ownerは個人アカウントに紐づ けない アクセス制御 野良アカウント対策はドメインクレーム＋組織作成制限。SSO必須設定 でMagic Linkを無効化 コスト管理 コスト上限設定で3段階制限が可能。グループ合計制限は非対応のため Analytics API で可視化を補 完 監査ログ 管理画面は180日制限。Compliance API なら6年分取得可能。自社保管には S3 連携構成が有効 Claude Enterprise/Team 企業展開のガバナンス入門 37 

No content