Como Funções e Permissões Controlam o Acesso ao Workspace
Quando um workspace tem mais de uma pessoa, alguém precisa decidir quem pode convidar novos membros, quem pode alterar configurações e quem pode ver a fatura.
O Claude Console responde a isso com três funções: administrador, membro e faturamento.
Cada função é um conjunto de permissões anexado a um assento, e entender o que cada conjunto realmente inclui é a diferença entre um workspace que funciona sem problemas e um onde as pessoas têm poder demais ou de menos.
Resumo
- Ideia Central: Cada assento em um workspace carrega exatamente uma função, e essa função determina quais configurações e dados a pessoa pode ver ou alterar.
- Por Que Importa: Errar nas funções cria risco desnecessário (muitos administradores) ou atrito desnecessário (pessoas que não conseguem fazer seu trabalho por falta de acesso).
- Conceitos-Chave: função de administrador, função de membro, função de faturamento, configurações do workspace, assento.
- Quando Usar: Ao convidar uma nova pessoa, auditar o acesso existente ou decidir se a equipe financeira precisa de direitos de administrador apenas para ver faturas.
- Limitações / Compromissos: O modelo de funções é intencionalmente simples, com três categorias amplas, não um sistema de permissões totalmente personalizado, portanto, necessidades de acesso muito específicas podem não se mapear claramente para uma única função.
- Tópicos Relacionados: workspaces e assentos, provisionamento de assentos, governança de workspace.
Fundamentos
A função de administrador é a mais poderosa das três.
Um administrador pode convidar e remover membros, alterar a função de qualquer outro membro, configurar configurações globais do workspace e, em planos Enterprise, configurar SSO e provisionamento SCIM.
Administrador é a função atribuída automaticamente a quem cria um workspace, e destina-se ao pequeno grupo de pessoas que são realmente responsáveis por gerenciar esse workspace.
A função de membro é o padrão para a maioria das pessoas em um workspace.
Um membro pode usar o Claude de acordo com o que o workspace permite, mas não pode convidar ou remover outras pessoas, não pode ver o faturamento e não pode alterar as configurações do workspace.
A maioria dos funcionários que usam o Claude no dia a dia só precisa da função de membro.
A função de faturamento é mais restrita e especializada do que a de administrador ou membro.
Uma pessoa com acesso a faturamento pode visualizar faturas, detalhes de pagamento e informações de custo baseadas no uso, sem necessariamente ser capaz de gerenciar quem mais tem um assento ou alterar as configurações do workspace.
Essa função existe especificamente para que a equipe financeira possa fazer seu trabalho sem também receber a capacidade de alterar quem tem acesso ao workspace Claude da empresa.
Uma maneira útil de pensar sobre essas três funções é como três perguntas separadas que um workspace precisa responder: quem o gerencia (administrador), quem o usa (membro) e quem o paga (faturamento).
Mecânicas e Interações
As funções não são contas empilháveis; um assento detém exatamente uma função por vez, embora um administrador possa alterar a função de um assento sempre que apropriado.
Isso significa que promover alguém de membro para administrador, ou de administrador para membro, é uma única alteração de configuração, em vez de criar um novo assento.
O acesso ao faturamento interage com as outras duas funções de uma maneira específica: ele pode ser concedido por si só, separado do administrador, mas os administradores de um workspace sempre mantêm a visibilidade do faturamento como parte de suas permissões mais amplas.
Em outras palavras, o acesso apenas ao faturamento é uma subtração dos direitos completos de administrador, não uma trilha totalmente separada.
As alterações de função entram em vigor imediatamente após serem salvas, o que é importante para o desligamento de funcionários.
Quando alguém deixa a empresa, rebaixar ou remover sua função, ou remover seu assento por completo, é o que realmente revoga seu acesso, não apenas desativar sua conta corporativa mais ampla (a menos que a automação SSO e SCIM seja configurada para fazer isso automaticamente, o que é abordado na página SSO e SCIM nesta seção).
Uma interação comum a ser observada é o superprovisionamento da função de administrador.
Como o acesso de administrador é conveniente, é tentador tornar administrador todos que o solicitam, em vez de descobrir se eles realmente precisam de acesso de membro ou de faturamento.
Com o tempo, isso expande silenciosamente o número de pessoas que poderiam, intencionalmente ou acidentalmente, alterar configurações globais do workspace ou remover o acesso de outras pessoas.
Considerações e Aplicações Avançadas
Em pequena escala, com algumas pessoas, a atribuição flexível de funções raramente causa problemas, pois todos já se conhecem e confiam uns nos outros.
Em maior escala, especialmente em planos Enterprise com dezenas ou centenas de assentos, o número de administradores se torna uma questão real de governança, semelhante a como uma empresa pensaria sobre quem detém acesso root a um sistema de produção.
Uma prática útil, abordada com mais profundidade na página de melhores práticas desta seção, é tratar a função de administrador como algo concedido deliberadamente e revisado periodicamente, em vez de algo distribuído por padrão.
| Função | Força | Fraqueza | Melhor Ajuste |
|---|---|---|---|
| Administrador | Controle total sobre pessoas, configurações e (Enterprise) SSO/SCIM | Maior risco se usado em excesso ou comprometido | O pequeno grupo realmente responsável por gerenciar o workspace |
| Membro | Simples, sem risco de alterações acidentais de configuração | Não pode ver faturamento ou gerenciar outros membros | A maioria dos usuários diários do Claude |
| Faturamento | Restrito, projetado especificamente para visibilidade financeira | Não pode convidar, remover ou reconfigurar membros | Pessoal de finanças ou contabilidade que precisa apenas de visibilidade de fatura |
Em planos Enterprise, as funções interagem com o SSO de outra maneira: provedores de identidade às vezes podem ser configurados para mapear certos grupos de diretório para certas funções do Claude, de modo que, por exemplo, todos em um grupo "IT-Admins" no diretório da empresa recebam automaticamente a função de administrador no workspace Claude, mantendo a atribuição de função consistente com a forma como as outras ferramentas da empresa são governadas.
Isso reduz o trabalho manual de atribuição de funções que um administrador teria que repetir manualmente para cada novo contratado.
Conceitos Equivocados Comuns
- "O acesso ao faturamento requer direitos de administrador." O faturamento é uma função separada e mais restrita; uma pessoa pode ver faturas e dados de custo sem também ser capaz de gerenciar membros ou configurações.
- "Membro é uma versão de segunda classe e restrita de administrador." Membro é simplesmente a função criada para usar o Claude, não um administrador limitado; a maioria das pessoas em um workspace deve ser membro por design, não como um rebaixamento.
- "As funções são permanentes após a atribuição." Um administrador pode alterar a função de qualquer assento a qualquer momento; a atribuição de função é uma configuração, não um tipo de conta fixo.
- "Mais administradores significam melhor cobertura caso alguém esteja indisponível." Administradores extras adicionam conveniência, mas também adicionam risco; uma lista de administradores menor e deliberada é geralmente o compromisso mais seguro.
- "Remover a função de alguém remove seu assento." Alterar uma função não remove o assento em si; remover o acesso totalmente requer remover a pessoa do workspace, não apenas rebaixar sua função.
FAQs
Quais são as três funções em um workspace do Claude Console?
- Administrador: controle total sobre membros, configurações e (em Enterprise) configuração de SSO/SCIM.
- Membro: usa o Claude sem gerenciar acesso ou configurações.
- Faturamento: visualiza faturas e dados de custo, sem necessariamente ter direitos completos de administrador.
Alguém pode ter mais de uma função ao mesmo tempo?
Não. Cada assento detém exatamente uma função por vez, embora um administrador possa alterar essa função sempre que fizer sentido, como promover um membro a administrador.
A função de faturamento também concede permissões de administrador?
Não. O faturamento é intencionalmente mais restrito do que o administrador. Uma pessoa com acesso ao faturamento pode ver detalhes de pagamento e custo sem poder convidar, remover ou reconfigurar outros membros.
Quem deve ter a função de membro por padrão?
A maioria das pessoas que usam o Claude para o trabalho diário. Membro é a função criada para o uso real, não uma alternativa restrita, e é a escolha certa, a menos que alguém precise especificamente gerenciar o workspace ou ver o faturamento.
Como a atribuição de função interage com o SSO em planos Enterprise?
Provedores de identidade às vezes podem mapear grupos de diretório da empresa para funções do Claude, de modo que um grupo como "IT-Admins" receba automaticamente a função de administrador, mantendo a atribuição de função consistente com a forma como o restante da empresa gerencia o acesso.
O que acontece se muitas pessoas forem nomeadas administradoras?
O workspace acumula risco desnecessário, já que qualquer administrador pode alterar configurações ou o acesso de membros. Uma lista de administradores menor e mantida deliberadamente é mais fácil de raciocinar e auditar.
Rebaixar a função de alguém remove seu assento?
Não. Alterar uma função é separado de remover um assento. Para revogar totalmente o acesso, um administrador precisa remover a pessoa do workspace, não apenas alterar sua função.
Uma pessoa com acesso apenas ao faturamento pode convidar novos membros?
Não. Convidar e remover membros é uma permissão de nível de administrador. O acesso ao faturamento é limitado apenas à visibilidade de pagamento e custo.
A função de administrador é a mesma entre Team e Enterprise?
As permissões principais de administrador são semelhantes, mas os administradores Enterprise também têm acesso à configuração de SSO/SCIM e à API de Análise Enterprise, que os administradores Team não têm.
Com que frequência o acesso de administrador deve ser revisado?
Não há uma regra fixa, mas tratá-lo como uma revisão periódica, semelhante a qualquer outra revisão de acesso privilegiado, identifica contas que não precisam mais de direitos de administrador antes que se tornem um risco real.
Qual é o maior erro que os administradores cometem com a atribuição de funções?
Optar pela função de administrador por conveniência, em vez de atribuir acesso de membro ou faturamento com base no que a pessoa realmente precisa fazer.
Relacionado
- Como o Claude Console Organiza Workspaces, Assentos e Funções - o modelo mais amplo em que as funções se encaixam.
- Passos para Provisionar Novos Assentos no Claude Console - onde a atribuição de função acontece na prática.
- Como o Provisionamento SSO e SCIM Trabalham Juntos - como os planos Enterprise podem automatizar a atribuição de funções por meio de grupos de diretório.
- Melhores Práticas para Administradores de Equipe e Enterprise - orientação sobre como manter a atribuição de funções deliberada ao longo do tempo.
Versões de Stack: Escrito com base na linha de modelos Claude atual em ~junho de 2026 - Claude Fable 5, Claude Opus 4.8, Claude Sonnet 5 (o padrão) e Claude Haiku 4.5. Nomes de modelos, preços e recursos de produtos mudam rapidamente - verifique os detalhes atuais em platform.claude.com/docs antes de confiar neles.