- 05
- มิถุนายน
เมื่อองค์กรเริ่มใช้ Claude AI หลายคน คำถามของฝ่าย IT คือ "จัดการ user ยังไง ใครเป็น admin ได้ ลบคนออกตอนลาออกยังไงให้ปลอดภัย?" บทความนี้สรุป การจัดการผู้ใช้ใน Claude Team และ Enterprise — roles, การ invite/remove, และความต่างสำคัญคือ Team จัดการแบบ manual ส่วน Enterprise เพิ่ม SCIM auto-provision ผูกกับ Identity Provider ขององค์กร พร้อม groups และ role-based permissions
สรุปสั้นๆ
- Roles: Primary Owner, Owner, Admin, Member
- Team: admin console จัดการเอง — invite/remove ด้วย email (สมาชิกชวนกันเองได้)
- Enterprise: + SSO + SCIM auto-provision/deprovision จาก IdP + groups + custom roles + granular permissions
- Offboarding: Enterprise ลบจาก IdP → ตัดสิทธิ์ Claude ทันที seat คืนกลับ pool
Roles ใน Claude — ใครทำอะไรได้
Claude แบ่งสิทธิ์ผู้ใช้เป็นระดับชัดเจน เข้าใจ roles ก่อนจะตั้งค่าได้ถูกต้องตามหลัก least privilege
| Role | ทำอะไรได้ |
|---|---|
| Primary Owner | เจ้าของหลัก สิทธิ์สูงสุด (ยกเว้นจาก SCIM reconciliation) |
| Owner | จัดการ billing, seat, ตั้งค่าองค์กร |
| Admin | จัดการสมาชิกและการตั้งค่า (ตามขอบเขตที่กำหนด) |
| Member | ใช้งาน Claude ปกติ + invite เพื่อนร่วมงานด้วย email ได้ |
Team vs Enterprise — จัดการ user ต่างกันยังไง
นี่คือความต่างที่ฝ่าย IT ควรรู้ก่อนเลือก plan — Team เหมาะกับการจัดการด้วยมือ Enterprise เหมาะกับองค์กรที่ต้องผูกกับระบบ identity กลาง
| ความสามารถ | Team | Enterprise |
|---|---|---|
| Admin console | ✓ | ✓ |
| Invite / remove (manual) | ✓ | ✓ |
| SSO (SAML/OIDC) | ✗ | ✓ |
| SCIM auto-provision/deprovision | ✗ | ✓ |
| Groups + custom roles | ✗ | ✓ |
| Granular permission (API/models/token) | ✗ | ✓ |
ดูภาพรวมการเลือก plan ที่ Team vs Enterprise — เลือกอันไหน
SCIM ทำงานยังไง — และทำไมสำคัญกับ offboarding
SCIM (System for Cross-domain Identity Management) คือมาตรฐานที่ให้ Claude sync รายชื่อผู้ใช้กับ Identity Provider ขององค์กร (เช่น Entra ID, Okta) อัตโนมัติ — มีเฉพาะ Enterprise
- Auto-provision — เพิ่มคนใน IdP แล้ว assign Claude app → ได้ seat อัตโนมัติ (สูงสุดตามจำนวน seat ของ plan)
- Auto-deprovision — ลบคนออกจาก IdP → ตัดสิทธิ์ Claude ทันที seat คืนกลับ pool ให้ใช้ต่อได้
- Primary Owner ยกเว้น — ไม่ถูก SCIM reconciliation ตัดออก (กัน lockout)
- JIT provisioning — ตั้งค่าแบบสร้างบัญชีตอน login ครั้งแรกได้
ทำไม offboarding ผ่าน SCIM สำคัญ: เมื่อพนักงานลาออก การตัดสิทธิ์ที่ Claude อัตโนมัติทันทีที่ลบจาก IdP ลดความเสี่ยงข้อมูลรั่วและช่วยให้ผ่าน audit ได้ง่ายขึ้น — สอดคล้องกับการวาง data governance ขององค์กร
Best practice การจัดการ user
- Least privilege — ให้ role ต่ำสุดที่พอทำงาน ไม่แจก Admin เกินจำเป็น
- ใช้ groups (Enterprise) — จัดกลุ่มตามแผนก/บทบาท แล้วกำหนด permission ทีเดียว
- ผูก offboarding กับ HR/IdP — ให้ SCIM ตัดสิทธิ์อัตโนมัติเมื่อพนักงานออก
- ตั้ง spend limit ต่อ user (โดยเฉพาะคนใช้ Claude Code) กัน token บานปลาย — ดู Premium Seat
- ทบทวนสมาชิกเป็นรอบ — ตรวจ seat ที่ไม่ได้ใช้แล้ว downgrade/ปลดออก
สรุป
| ถ้าองค์กรคุณ... | เหมาะกับ |
|---|---|
| ทีมเล็ก จัดการสมาชิกด้วยมือได้ | Team |
| ต้องผูกกับ IdP กลาง + auto offboarding + audit | Enterprise (SCIM) |
การจัดการ user ที่ดีไม่ใช่แค่ "เพิ่มคนได้เร็ว" แต่คือ "ตัดสิทธิ์ได้ทันทีและตรวจย้อนได้" — สำหรับองค์กรที่โตและมีคนเข้าออกบ่อย SCIM กับ role-based permission คือสิ่งที่ทำให้ AI อยู่ในกรอบ governance ได้จริง
- มุมมองการบริหาร AI ในองค์กรแบบ admin-first
แหล่งอ้างอิง
- Claude Help Center — Manage members on Team and Enterprise plans
- Claude Help Center — How SCIM sync works
- Claude Help Center — Role-based permissions on Enterprise
ต้องเชื่อม Claude เข้า SSO/SCIM ขององค์กร?
Grand Linux จัดหา Claude Enterprise และช่วยวางการเชื่อม SSO/SCIM กับ Identity Provider ขององค์กร (บริการเสริม มีค่าใช้จ่าย)
ปรึกษา / ขอใบเสนอราคาโทร 02-347-7730 | sale@grandlinux.com
