Tài liệu tham khảo

Tài liệu này trả lời các câu hỏi thường gặp về cách quản trị người dùng, phân quyền, và bảo mật trên gói Claude Enterprise — dành cho đội IT đang đánh giá hoặc triển khai Claude cho tổ chức của mình. Toàn bộ nội dung được tổng hợp và trích dẫn trực tiếp từ tài liệu chính thức của Anthropic (Claude Help Center & Privacy Center), cập nhật ngày 2026-07-13.

1. Vai trò và phân quyền

Xem nguồn gốc ↗

Quyền hạn của một thành viên trên Claude Team hoặc Enterprise phụ thuộc hoàn toàn vào vai trò (role) được gán cho họ.

Lưu ý về Primary Owner:

  • Mỗi tổ chức Team/Enterprise chỉ có một Primary Owner duy nhất.
  • Ghế Primary Owner tính vào số lượng license của gói.
  • Primary Owner có thể là một tài khoản dịch vụ (service account), không nhất thiết gắn với một cá nhân cụ thể.
  • Có thể kiểm tra ai đang là Primary Owner tại Settings > Account.

Bốn vai trò có sẵn (built-in roles):

Vai tròMô tả
Primary OwnerMột người duy nhất, toàn quyền kiểm soát mọi thứ, kể cả gán/thu hồi quyền Owner của người khác.
OwnerToàn quyền như Primary Owner, ngoại trừ việc quản lý vai trò Primary Owner.
AdminMời/xóa thành viên, quản lý SSO, audit logs, tích hợp, xem usage analytics — nhưng không thể cấp/thu hồi quyền Owner hay truy cập billing.
UserThành viên thông thường, chỉ sử dụng chat/projects hàng ngày.

Bảng phân quyền chi tiết theo từng nhóm chức năng:

Chức năngUserAdminOwnerPrimary Owner
Xem/thanh toán hóa đơn
Thêm/sửa phương thức thanh toán
Mua thêm seat
Tạo/sửa chat, dùng projects
Bật tích hợp (native/custom), capabilities, public projects
Mời thành viên mới
Xóa thành viên / hủy lời mời
Mời/xóa Admin, Owner khác
Quản lý SSO/xác thực, audit logs, data retention (Enterprise)
Xem usage analytics (Team)
Xem usage analytics (Enterprise)

Về Custom Roles (chỉ có ở gói Enterprise): Enterprise hỗ trợ vai trò tùy chỉnh (custom roles), cho phép kiểm soát quyền truy cập tính năng ở cấp độ nhóm (group). Thành viên được đặt vai trò "Custom" sẽ không có quyền mặc định nào — quyền của họ hoàn toàn do các custom role gán cho nhóm của họ quyết định. Chi tiết ở mục 3 bên dưới.

↑ Lên đầu trang

2. Thiết lập phân quyền theo vai trò (Enterprise)

Xem nguồn gốc ↗

Đây là tính năng nâng cao chỉ dành cho gói Enterprise, giúp kiểm soát quyền truy cập tính năng chi tiết hơn 4 vai trò mặc định.

Bốn mẫu (pattern) thiết kế phổ biến:

  • Base + additive roles (khuyến nghị cho hầu hết tổ chức): tạo vai trò "Standard Access" nền tảng cho tất cả mọi người, sau đó thêm các vai trò cộng thêm (ví dụ "Cowork Enabled") chỉ bổ sung tính năng riêng cho một số người. Quyền cộng dồn, không xung đột.
  • Tier-based roles: chia theo cấp độ — "Full Access", "Standard Access", "Restricted Access". Mỗi người chỉ thuộc đúng một tier.
  • Department-based roles: gán theo phòng ban — ví dụ "Engineering" được dùng chat + Cowork + Claude Code + code execution; "Research" được chat + web search + memory + projects; "Business" chỉ chat + web search + projects.
  • Admin delegation roles: giao một phần quyền quản trị mà không cần cấp quyền Owner đầy đủ. Ví dụ vai trò "Finance" chỉ có quyền Billing, không có quyền chat; vai trò "Engineering Lead" có Claude Code + xem Analytics.

Nguyên tắc quan trọng: một tính năng phải được bật ở cấp toàn tổ chức trước, sau đó custom role mới có thể gán tính năng đó cho từng nhóm cụ thể. Nếu tính năng bị tắt ở cấp tổ chức, không custom role nào có thể mở nó.

Quy trình triển khai (5 bước):

  1. Tạo các custom role với năng lực (capabilities), quyền admin, và quyền connector cụ thể.
  2. Tạo nhóm (groups) — thủ công hoặc đồng bộ tự động từ IdP qua SCIM.
  3. Thêm thành viên vào nhóm tương ứng.
  4. Chuyển vai trò của thành viên sang "Custom".
  5. Bật các tính năng cần thiết ở cấp toàn tổ chức.

Chỉ thực hiện bước cuối (bật tính năng ở cấp tổ chức) sau khi đã tạo xong custom role, cấu hình quyền admin/connector, tạo nhóm, và xác nhận mọi thành viên đã được gán nhóm — nếu bật tính năng trước, mọi người (kể cả chưa được phân nhóm) có thể tạm thời có quyền truy cập ngoài ý muốn.

Việc quản lý được thực hiện tập trung tại Organization settings > Roles, Groups, Members. Nếu tổ chức có cấu trúc parent/child (công ty mẹ — công ty con), nhóm đồng bộ qua SCIM có thể lan tỏa xuống các tổ chức con. Quyền là cộng dồn giữa các nhóm: nếu bất kỳ vai trò nào trong chuỗi của một thành viên cấp một tính năng, họ sẽ có tính năng đó.

↑ Lên đầu trang

3. Quản lý Custom Roles (Enterprise)

Xem nguồn gốc ↗

Custom role xác định thành viên được truy cập những tính năng nào. Chỉ Owner, Primary Owner, hoặc người có custom role với quyền Identity & Access = "Can manage" mới vào được Organization settings > Roles để quản lý.

Custom role kiểm soát gì? Mỗi custom role chứa một tập quyền cho phép/hạn chế truy cập vào các năng lực cụ thể như chat, Claude Cowork, Claude Code, web search, cùng các connector đã kết nối (Slack, Google Drive...). Custom role còn có thể cấp quyền admin (billing, identity, privacy...) mà không cần biến thành viên đó thành Owner.

Custom role chỉ ảnh hưởng đến thành viên có vai trò "Custom". Thành viên với vai trò User/Admin/Owner lấy quyền trực tiếp từ vai trò đó, không liên quan đến custom role.

Thứ tự ưu tiên khi xác định quyền truy cập một tính năng (mức hạn chế nhất luôn thắng):

  1. Platform-level override: một số tính năng có thể bị Anthropic ép bật/tắt theo hợp đồng, không thể thay đổi trong cài đặt tổ chức.
  2. Organization-level setting: Owner/Primary Owner bật hoặc tắt một tính năng cho toàn tổ chức. Nếu tắt ở đây, không custom role nào mở được.
  3. Custom role permissions: nếu tính năng đã bật ở cấp tổ chức, custom role của thành viên quyết định họ có được dùng hay không.
  4. User-level setting: nếu role đã cấp quyền, tính năng khả dụng trừ khi chính thành viên đó tự tắt trong cài đặt cá nhân.

Lưu ý: chuỗi ưu tiên trên áp dụng cho các năng lực (capabilities). Quyền admin thì khác — không bị chặn bởi công tắc cấp tổ chức hay cài đặt cá nhân. Nếu custom role của một thành viên cấp quyền admin nào đó, họ có ngay quyền đó.

↑ Lên đầu trang

4. Cấp phát tài khoản tự động: JIT / SCIM

Xem nguồn gốc ↗

Có hai cơ chế để tự động thêm người dùng vào Claude khi họ đăng nhập qua hệ thống quản lý danh tính (IdP) của công ty:

JIT (Just-in-Time)SCIM
Thêm tài khoảnTự động ngay lần đầu đăng nhập qua SSOTự động, tức thì — không cần đăng nhập trước
Xóa tài khoảnThủ côngTự động khi bị gỡ khỏi IdP
Cập nhật vai tròThủ công (hoặc tự động qua group mapping ở lần đăng nhập kế tiếp)Tự động qua group mapping
Áp dụng cho góiMọi góiChỉ Enterprise và Console

Thứ tự thiết lập:

  1. Hoàn tất cấu hình SSO trước, xác minh domain công ty.
  2. Với SCIM: kết nối IdP qua WorkOS (nhà cung cấp hạ tầng SSO/SCIM của Anthropic).
  3. Đảm bảo người dùng đã được gán vào ứng dụng Anthropic trong IdP trước khi lưu cấu hình provisioning.
  4. (Tùy chọn) Tạo nhóm trong IdP khớp với các vai trò/seat tier mong muốn, rồi ánh xạ (map) trong cài đặt Claude.

Về số lượng seat: cả hai phương thức đều tiêu tốn seat khi người dùng gia nhập — cần đảm bảo đủ seat trống trước khi bật provisioning để tránh trường hợp tài khoản bị xóa ngoài ý muốn.

Khuyến nghị cho hợp đồng 25 seats của BLUEMARQ: dùng SCIM (không phải JIT) — giúp tài khoản tự động thêm/xóa đồng bộ với hệ thống nhân sự, tránh trường hợp nhân viên đã nghỉ việc vẫn còn giữ tài khoản (rủi ro bảo mật), đồng thời tự động kiểm soát đúng giới hạn 25 seats.

↑ Lên đầu trang

5. Thiết lập đăng nhập một lần (SSO)

Xem nguồn gốc ↗

Single sign-on (SSO) khả dụng cho gói Team, Enterprise, và tổ chức trên Claude Console.

Bước 1 — Điều kiện tiên quyết:

  • Với Team/Enterprise: người thực hiện phải có vai trò Owner hoặc Primary Owner.
  • Cần quyền truy cập cài đặt DNS của domain email công ty.
  • Cần quyền truy cập Identity Provider (IdP) của công ty — ví dụ Okta, Microsoft Entra ID, Google Workspace.

Anthropic sử dụng WorkOS làm nhà cung cấp hạ tầng xác minh domain và SSO/SCIM — trong quá trình thiết lập, hệ thống sẽ dẫn qua luồng cấu hình của WorkOS.

Bước 2 — Xác minh domain: chứng minh quyền sở hữu domain công ty. Có thể xác minh nhiều domain cho cùng một tổ chức, nhưng tất cả phải cùng quản lý qua một IdP duy nhất (không hỗ trợ trộn domain từ nhiều IdP khác nhau trong cùng tổ chức). Việc xác minh domain một mình không ảnh hưởng đến khả năng truy cập của người dùng hiện tại — chỉ khi SSO được thiết lập và bắt buộc (enforced) thì mới có tác động.

Thực hiện tại Organization and access settings trên claude.ai (hoặc Identity and access settings trên Console), vào mục Domains, chọn "Add or edit domains" và nhập domain cần xác minh.

Các bước tiếp theo (kết nối IdP, cấu hình SAML/OIDC, bật enforcement) được thực hiện theo hướng dẫn của WorkOS tương ứng với từng nhà cung cấp IdP cụ thể (Entra ID, Google Workspace, Okta...).

↑ Lên đầu trang

6. Quản lý thành viên

Xem nguồn gốc ↗

Hướng dẫn thêm, xóa và quản lý thành viên trên gói Team/Enterprise.

Phân quyền: Admin quản lý thành viên tại Organization settings > Members, nhưng chỉ Owner và Primary Owner mới vào được Organization settings > Billing.

Thêm thành viên bằng lời mời (invitation):

  1. Vào Organization settings > Members, bấm "Add member."
  2. Nhập email (phải thuộc domain đã được tổ chức cho phép).
  3. Chọn loại seat và gán vai trò/quyền.
  4. Với Enterprise, có thể chọn vai trò "Custom" — quyền của người này sẽ do nhóm và custom role quyết định (xem mục 3).
  5. Bấm "Add members." Email mời sẽ được gửi, hết hạn sau 21 ngày nếu không được chấp nhận.

Lưu ý quan trọng: lời mời đang chờ (pending invitation) chiếm seat ngay lập tức — người được mời không cần chấp nhận lời mời để seat đó bị tính vào số lượng đã dùng.

Có thể mời nhiều người cùng lúc bằng "Bulk add" (dán danh sách email cách nhau bằng dấu phẩy hoặc xuống dòng), hoặc tạo link mời chia sẻ được để gửi trực tiếp cho đồng nghiệp. Ngoài ra còn có "organization discovery": đồng nghiệp có email cùng domain có thể tự tìm thấy và xin gia nhập tổ chức khi đăng ký, admin có thể chọn tự động duyệt hoặc yêu cầu phê duyệt thủ công.

↑ Lên đầu trang

7. Câu hỏi thường gặp: Người dùng & Bảo mật

H. Admin của công ty có thể đọc được nội dung chat riêng của từng nhân viên không?

Không, mặc định không thể. Nội dung chat là riêng tư và admin không thể duyệt xem qua giao diện quản trị. Cách duy nhất để tiếp cận nội dung chat là yêu cầu xuất dữ liệu (data export) chính thức, và chỉ Primary Owner mới có quyền yêu cầu việc này (tại Organization settings > Data and Privacy). Audit logs chỉ ghi nhận việc một cuộc chat được tạo/đổi tên/xóa, không lưu tiêu đề hay nội dung — chỉ có mã định danh nội bộ.

Nguồn: Who owns and manages the data of my team? · Access audit logs

H. Anthropic có dùng nội dung chat của chúng tôi để huấn luyện mô hình không?

Không, mặc định là không. Với các sản phẩm thương mại (Claude for Work — gói Team/Enterprise — và API), Anthropic không sử dụng dữ liệu đầu vào/đầu ra để huấn luyện mô hình. Việc huấn luyện chỉ xảy ra nếu người dùng chủ động đồng ý (opt-in), ví dụ khi gửi phản hồi thumbs up/down, và admin có thể tắt hoàn toàn tính năng gửi phản hồi này cho cả tổ chức tại Organization settings > Data and Privacy > Rate chats.

Nguồn: Is my data used for model training? (Anthropic Privacy Center)

H. Dữ liệu của chúng tôi được lưu trong bao lâu? Có thể rút ngắn không?

Mặc định, dữ liệu được lưu vô thời hạn. Admin của Enterprise (Owner hoặc Primary Owner) có thể cấu hình thời gian lưu trữ tùy chỉnh, ngắn nhất là 30 ngày, tại Organization settings > Data and Privacy. Khi hết thời hạn lưu trữ, dữ liệu bị xóa vĩnh viễn vào lúc nửa đêm UTC và không thể khôi phục.

Nguồn: Configure custom data retention controls for Enterprise plans

H. Ai là chủ sở hữu hợp pháp dữ liệu của tổ chức chúng tôi?

Tổ chức (khách hàng) là bên kiểm soát dữ liệu (data controller); Anthropic chỉ đóng vai trò bên xử lý dữ liệu (data processor) theo hợp đồng thương mại trực tiếp, không phải điều khoản dịch vụ dành cho người dùng cá nhân. Primary Owner quản lý tài khoản, có thể yêu cầu xuất dữ liệu, và có thể thu hồi quyền truy cập của bất kỳ thành viên nào bất cứ lúc nào.

Nguồn: Who owns and manages the data of my team?

H. Audit logs ghi lại những gì, và ai xem được?

Chỉ dành cho gói Enterprise. Audit logs ghi lại: đăng nhập/đăng xuất, mời/xóa thành viên, vòng đời chat và project (tạo/đổi tên/xóa), tải file lên, thay đổi cấu hình SSO, và các lần xuất dữ liệu — mỗi mục kèm thời gian, người thực hiện, địa chỉ IP, thiết bị, nền tảng. Chỉ Owner và Primary Owner mới xuất được log, phạm vi 180 ngày gần nhất, nhận qua link tải có hiệu lực 24 giờ. Nội dung chat/project không bao giờ được đưa vào audit logs.

Nguồn: Access audit logs

H. Có thể xem cách nhân viên dùng Claude mà không cần đọc nội dung chat của họ không?

Có. Usage analytics (số thành viên hoạt động, số phiên làm việc, mức độ dùng từng tính năng như Chat/Claude Code/Cowork, lượng token tiêu thụ, chi phí ước tính) hiển thị cho Owner và Primary Owner ở cả gói Team lẫn Enterprise, và cho Admin ở gói Enterprise (trừ mục Spend/chi phí). Đây thuần túy là số liệu sử dụng — không bao giờ hiển thị nội dung cuộc trò chuyện.

Nguồn: View usage analytics for Team and Enterprise plans

H. Anthropic có những chứng chỉ tuân thủ (compliance) nào?

SOC 2 Type I & Type II, ISO 27001:2022 (quản lý an toàn thông tin), và ISO/IEC 42001:2023 (quản lý hệ thống AI). Gói Enterprise còn hỗ trợ ký Thỏa thuận Đối tác Xử lý Dữ liệu Y tế (BAA) cho cấu hình sẵn sàng tuân thủ HIPAA. Có thể yêu cầu tài liệu chứng minh qua Trust Portal của Anthropic.

Nguồn: What certifications has Anthropic obtained? · trust.anthropic.com

H. Chúng tôi có thể dùng khóa mã hóa của riêng mình thay vì của Anthropic không?

Có, các tổ chức Enterprise đủ điều kiện có thể tự cấp phát khóa mã hóa (customer-managed encryption keys — CMEK) trong hệ thống quản lý khóa (KMS) của nhà cung cấp cloud riêng, và Anthropic sẽ dùng khóa đó để mã hóa chat, project, và file của tổ chức. Đánh đổi: khi bật CMEK sẽ không tìm kiếm được lịch sử chat cũ, và không dùng được nút "Export logs" một chạm (phải dùng Compliance API thay thế).

Nguồn: What are customer-managed encryption keys (CMEK)?

H. Làm sao kiểm soát việc đăng nhập, và tài khoản có tự động bị xóa khi nhân viên nghỉ việc không?

Gói Enterprise hỗ trợ đăng nhập một lần (SSO) qua SAML/OIDC với hệ thống quản lý danh tính của công ty (Okta, Microsoft Entra ID, Google Workspace...), cùng với đồng bộ thư mục SCIM giúp cấp phát thu hồi tài khoản hoàn toàn tự động — tài khoản được thêm/xóa ngay khi thư mục IdP thay đổi, không cần thao tác thủ công. Xem chi tiết quy trình thiết lập tại mục 4 và 5 phía trên.

Nguồn: Set up JIT or SCIM provisioning

↑ Lên đầu trang