Zum Hauptinhalt springen

Richten Sie den Microsoft 365-Connector ein

Dieser Artikel führt Administratoren durch die Aktivierung des Microsoft 365-Connectors für ihre Organisation in Claude – einschließlich der Gewährung der Microsoft Entra-Zustimmung, der Beschränkung des Zugriffs und der Verwaltung von Berechtigungen. Nach Abschluss der Einrichtung können Personen in Ihrem Mandanten Microsoft 365 mit ihren eigenen Claude-Konten verbinden, um in Claude nach SharePoint, OneDrive, Outlook und Teams zu suchen. Sie können auch Schreib-Tools aktivieren, mit denen Claude E-Mails senden, Kalenderereignisse verwalten sowie Dateien im Namen eines Mitglieds erstellen und aktualisieren kann.

Der Microsoft 365-Connector ist in allen Claude-Plänen verfügbar: Free, Pro, Max, Team und Enterprise.

Benutzeranweisungen zum Verbinden und Verwenden von Microsoft 365 nach Abschluss der Einrichtung finden Sie unter Claude mit Microsoft 365 verbinden.

Wichtig: Der Microsoft 365-Connector erfordert einen Microsoft Entra-Mandanten, der an einen Microsoft Business-Plan gebunden ist. Persönliche Microsoft-Konten (z. B. @outlook.com oder @hotmail.com-Adressen) können nicht zum Verbinden verwendet werden.


Übersicht über die Einrichtung

Zwei Dinge müssen geschehen, bevor jemand in Ihrer Organisation Microsoft 365 verbinden kann, plus ein optionaler dritter Schritt, wenn Sie Schreib-Tools aktivieren möchten:

  1. In Team- und Enterprise-Plänen: Ein Claude-Organisationseigentümer aktiviert den Microsoft 365-Connector für die Organisation.

  2. In jedem Mandanten: Ein Microsoft Entra Global Administrator erteilt eine einmalige Zustimmung, die die Integration für Ihren Mandanten autorisiert.

  3. So aktivieren Sie Schreib-Tools: Ein Microsoft Entra-Administrator stimmt dem aktualisierten Berechtigungssatz zu, und Sie aktivieren Schreib-Tools für Ihre Organisation. Siehe Schreib-Tools aktivieren unten.

Nach Abschluss dieser Schritte können Mitglieder Microsoft 365 mit ihren eigenen Claude-Konten verbinden, indem sie die Schritte unter Claude mit Microsoft 365 verbinden befolgen.

Aktivieren Sie den Connector für Ihre Organisation

Dieser Schritt gilt nur für Team- und Enterprise-Pläne. Überspringen Sie bei Free-, Pro- und Max-Plänen zum nächsten Abschnitt.

  1. Melden Sie sich bei Claude an.

  2. Klicken Sie oben auf der Seite auf „+ Hinzufügen" und dann auf „Alle verfügbaren".

  3. Suchen Sie Microsoft 365 und klicken Sie auf „Zu Ihrem Team hinzufügen"."

Erteilen Sie die Microsoft Entra-Administratorzustimmung

Ein Microsoft Entra Global Administrator in Ihrem Mandanten muss die Integration autorisieren, bevor jemand eine Verbindung herstellen kann. Es gibt zwei Möglichkeiten, dies zu tun.

Option 1: Zustimmung über Claude

Wenn Ihr Microsoft Entra Global Administrator ein Claude-Konto hat, kann er die Zustimmung während des standardmäßigen Verbindungsflusses erteilen:

  1. Navigieren Sie zu Anpassen > Connectors.

  2. Suchen Sie Microsoft 365 und klicken Sie auf „Verbinden"."

  3. Authentifizieren Sie sich mit Microsoft 365-Anmeldedaten.

  4. Überprüfen und akzeptieren Sie die angeforderten Berechtigungen, und aktivieren Sie das Kontrollkästchen, um Zugriff im Namen der gesamten Organisation zu gewähren.

Danach können andere Personen im selben Entra-Mandanten eine Verbindung herstellen, indem sie die standardmäßigen Schritte für Endbenutzer befolgen. Sie sehen die Zustimmungsaufforderung nicht – sie authentifizieren sich einfach und beginnen mit der Verwendung der Integration.

Option 2: Manuelle Einrichtung in Microsoft Entra ID

Verwenden Sie diesen Pfad, wenn Ihr Microsoft Entra Global Administrator kein Claude-Konto hat oder wenn Sie die App-Installation und Berechtigungseinrichtung beheben müssen. Sie können die Connector-Apps hinzufügen und die Administratorzustimmung direkt in Microsoft Entra ID erteilen.

Dieser Prozess fügt zwei Service-Prinzipale zu Ihrem Mandanten hinzu. Jeder Prinzipal stellt eine Identität auf Serviceebene für eine der beiden M365 MCP für Claude-App-Registrierungen her, sodass diese auf die Daten und Ressourcen Ihrer Organisation über die Microsoft Graph API zugreifen und mit ihnen interagieren können.

1. Fügen Sie die Service-Prinzipale hinzu

Fügen Sie mit Microsoft Graph Explorer beide erforderlichen Service-Prinzipale hinzu:

M365 MCP Client für Claude:

POST https://graph.microsoft.com/v1.0/servicePrincipals
{"appId":"08ad6f98-a4f8-4635-bb8d-f1a3044760f0"}

M365 MCP Server für Claude:

POST https://graph.microsoft.com/v1.0/servicePrincipals
{"appId":"07c030f6-5743-41b7-ba00-0a6e85f37c17"}

2. Erteilen Sie die Administratorzustimmung

Erstellen Sie die folgenden URLs und besuchen Sie sie in Ihrem Browser, und ersetzen Sie {your-tenant-id} durch die Mandanten-ID Ihrer Organisation.

M365 MCP Client für Claude:

https://login.microsoftonline.com/{your-tenant-id}/adminconsent?client_id=08ad6f98-a4f8-4635-bb8d-f1a3044760f0

M365 MCP Server für Claude:

https://login.microsoftonline.com/{your-tenant-id}/adminconsent?client_id=07c030f6-5743-41b7-ba00-0a6e85f37c17

Wenn Sie jede URL besuchen, werden Sie aufgefordert, den delegierten Berechtigungen zuzustimmen, die von der Integration im Namen Ihrer Organisation erforderlich sind.

3. Beenden Sie die Einrichtung

  • Team- und Enterprise-Pläne: Ein Claude-Organisationseigentümer muss den Connector in Organisationseinstellungen > Connectors aktivieren. Dann können Mitglieder sich einzeln verbinden.

  • Free-, Pro- und Max-Pläne: Mitglieder können eine Verbindung herstellen, indem sie zu Anpassen > Connectors navigieren, Microsoft 365 suchen und auf „Verbinden" klicken."

Beschränken Sie, wer den Connector verwenden kann

Um einzuschränken, welche Personen in Ihrem Mandanten sich über Claude bei Microsoft 365 authentifizieren können:

  1. Gehen Sie zum Microsoft Entra Admin Center unter entra.microsoft.com.

  2. Navigieren Sie zur Unternehmensanwendung M365 MCP Server für Claude.

  3. Gehen Sie zu Eigenschaften und setzen Sie Zuweisung erforderlich? auf „Ja"."

  4. Fügen Sie unter Benutzer und Gruppen die spezifischen Benutzer oder Gruppen hinzu, die Zugriff haben sollen.

  5. Wiederholen Sie die gleichen Schritte für die Unternehmensanwendung M365 MCP Client für Claude.

Beide Komponenten müssen auf denselben Satz autorisierter Personen beschränkt werden.

Einschränken, welche Berechtigungen der Connector verwenden kann

Um einzuschränken, auf welche Ressourcentypen die Integration zugreifen kann, widerrufen Sie selektiv Berechtigungen aus dem Standardsatz autorisierter Bereiche. Dies erfordert Microsoft Entra-Administratorzugriff.

  1. Gehen Sie als Microsoft Entra-Administrator zu entra.admin.com.

  2. Wählen Sie „Enterprise Applications" aus."

  3. Entfernen Sie neben dem Suchfeld den Anwendungstypfilter.

  4. Suchen Sie nach „M365 MCP Server for Claude" und klicken Sie darauf."

  5. Gehen Sie zu Berechtigungen.

  6. Wählen Sie auf der Registerkarte Administratorzustimmung in der Microsoft Graph-Liste der Berechtigungen die Berechtigung aus, die Sie widerrufen möchten, und klicken Sie auf die Schaltfläche „"."

  7. Wählen Sie „Berechtigung widerrufen

Nach dem Widerruf geben Versuche, auf eine Ressource mit dieser Berechtigung zuzugreifen, einen Fehler „Fehler beim Aufrufen des Tools" zurück."

Mitglieder können auch einzelne Tools in ihren eigenen Microsoft 365-Einstellungen deaktivieren, um zu verhindern, dass Claude versucht, auf ein Tool zuzugreifen, für das die Berechtigung widerrufen wurde.

Um eine widerrufene Berechtigung wiederherzustellen, führen Sie die Schritte zum Erteilen der Administratorzustimmung aus, die in Option 2: Manuelle Einrichtung in Microsoft Entra ID beschrieben sind. Dies setzt die Berechtigungen auf den Standardzustand zurück.


Schreibtools aktivieren

Schreibtools ermöglichen es Claude, E-Mails zu versenden, Entwürfe und Kalenderereignisse zu verwalten, Postfacheinstellungen zu aktualisieren und Dateien in OneDrive und SharePoint zu erstellen und zu aktualisieren. Lese- und Suchtools funktionieren gleich, unabhängig davon, ob Schreibtools aktiviert sind.

1. Erneut den aktualisierten Berechtigungen zustimmen

Der Berechtigungssatz des Connectors umfasst nun zusätzliche Microsoft Graph-Bereiche zur Unterstützung von Schreibtools. Wenn Ihr Mandant vor dem Start der Schreibtools zugestimmt hat, muss ein Microsoft Entra Global Administrator den aktualisierten Berechtigungssatz überprüfen und genehmigen, bevor Schreibtools aktiviert werden. Überprüfen und genehmigen Sie die aktualisierten Berechtigungen für den Connector im Zustimmungsfluss Enterprise Applications Ihres Mandanten. Dies ist eine einmalige Aktion pro Mandant.

2. Schreibtools für Ihre Organisation aktivieren

Wenn Ihre Organisation den Connector vor dem Start der Schreibtools verwendete, werden diese standardmäßig blockiert. Aktivieren Sie sie für alle, indem Sie zu Organisationseinstellungen > Connectors gehen, „Microsoft 365

3. Überprüfen

Bitten Sie Claude nach der Aktivierung, eine risikoarme Schreibaktion auszuführen, z. B. „Verfassen Sie eine E-Mail an mich, senden Sie sie aber nicht

Hinweis: E-Mails, die Claude versendet, enthalten einen Attributionsheader, der sie als agentinitiert kennzeichnet. Datei- und Kalenderschreibvorgänge sind derzeit nicht gekennzeichnet. Anhänge werden in Schreibtools nicht unterstützt, daher lehnen Senden, Weiterleiten und Verfassen alle Nachrichten mit Anhängen ab. Schreibtools unterliegen auch Beschränkungen pro Benutzer für Schreibvorgänge, Sendungen und Empfänger.


Berechtigungsreferenz

Der Microsoft 365-Connector verwendet delegierte Berechtigungen, was bedeutet, dass Claude im Namen jedes einzelnen Benutzers handelt und nur auf Daten zugreifen kann, die dieser Benutzer bereits in Microsoft 365 einsehen darf. Berechtigungen sind schreibgeschützt – Claude kann Inhalte in Ihrem Mandanten nicht ändern, löschen oder erstellen.

Bei der Authentifizierung fordert die Integration die folgenden Berechtigungen an:

Grundlegender Zugriff

  • User.Read: Anmelden und Benutzerprofil lesen

  • openid: Mit Organisationskonto anmelden

  • offline_access: Zugriff auf Daten beibehalten

  • email: E-Mail-Adresse anzeigen

  • profile: Grundlegende Profilinformationen anzeigen

E-Mail (Outlook)

  • Mail.Read: E-Mail-Nachrichten lesen

  • Mail.ReadBasic: E-Mail-Metadaten lesen (Absender, Betreff, Datum)

  • Mail.Read.Shared: E-Mails in Postfächern lesen, auf die der Benutzer Zugriff hat

  • MailboxFolder.Read: Postfachordnerstruktur lesen

  • MailboxItem.Read: Elemente im Postfach lesen

  • MailboxSettings.Read: Postfacheinstellungen lesen, z. B. die Zeitzone des Benutzers

Hinweis: Der Zugriff auf freigegebene Postfächer ist über die Berechtigung Mail.Read.Shared enthalten. Mitglieder können freigegebene Postfächer, auf die sie Delegatzugriff haben, in Microsoft 365 durchsuchen, einschließlich Vollzugriff und Delegierung auf Ordnerebene. Über die standardmäßige Administratorzustimmung und die bereits in Microsoft 365 konfigurierten Delegatberechtigungen hinaus ist keine Einrichtung erforderlich.

Kalender

  • Calendars.Read: Kalenderereignisse lesen

  • Calendars.Read.Shared: Mit dem Benutzer freigegebene Kalender lesen

Teams-Chat

  • Chat.Read: Teams-Chatnachrichten lesen

  • Chat.ReadBasic: Teams-Chat-Metadaten lesen

  • ChatMember.Read: Informationen über Chat-Teilnehmer lesen

  • ChatMessage.Read: Teams-Chatnachrichten lesen

Teams-Kanäle

  • Channel.ReadBasic.All: Kanalnamen und Beschreibungen lesen

  • ChannelMessage.Read.All: Kanalnachrichten lesen

Besprechungen

  • OnlineMeetings.Read: Online-Besprechungen lesen

  • OnlineMeetingTranscript.Read.All: Besprechungsprotokolle lesen

  • OnlineMeetingAiInsight.Read: KI-generierte Besprechungserkenntnisse lesen

  • OnlineMeetingArtifact.Read.All: Besprechungsaufzeichnungen und Artefakte lesen

  • OnlineMeetingRecording.Read.All: Besprechungsaufzeichnungen lesen

Dateien (OneDrive und SharePoint)

  • Files.Read: Benutzerdateien lesen

  • Files.Read.All: Alle Dateien lesen, auf die der Benutzer zugreifen kann

  • Sites.Read.All: Elemente in SharePoint-Websites lesen

Schreibberechtigungen

Die folgenden Berechtigungen unterstützen Schreibtools und sind in der aktualisierten Zustimmungsmenge enthalten:

  • Mail.Send: E-Mails senden und weiterleiten

  • Mail.ReadWrite: Entwürfe erstellen, aktualisieren und löschen; Nachrichten verschieben und kennzeichnen

  • Calendars.ReadWrite: Kalenderereignisse erstellen, aktualisieren, löschen und beantworten

  • Files.ReadWrite.All: Dateien in OneDrive und SharePoint erstellen und aktualisieren

  • MailboxSettings.ReadWrite: Kategorien, Posteingangsregeln und automatische Antworten verwalten

Benutzerverzeichnis

  • User.ReadBasic.All: Grundlegende Profilinformationen für alle Benutzer in der Organisation lesen (wird zum Ermitteln der Besprechungsverfügbarkeit verwendet)

Der Microsoft 365-Connector durchsucht SharePoint im gesamten Mandanten mit den Berechtigungen des Benutzers. Websitespezifische Sucheinschränkung wird nicht unterstützt.

Datenschutz und Sicherheit

  • Berechtigungsvererbung: Claude spiegelt die vorhandenen Microsoft 365-Berechtigungen jedes Benutzers wider. Mitglieder können über Claude nicht auf etwas zugreifen, das sie nicht bereits direkt in Microsoft 365 sehen könnten.

  • Bedarfsgerechter Zugriff: Claude greift nur auf Daten zu, wenn ein Benutzer explizit eine Frage stellt, die dies erfordert.

  • Widerrufbarer Zugriff: Mitglieder können ihre eigene Integration über Anpassen > Connectors trennen. Team- und Enterprise-Plan-Besitzer können den Connector auch für die gesamte Organisation in Organisationseinstellungen > Connectors entfernen.

Weitere Informationen finden Sie im Sicherheitsleitfaden für Microsoft 365-Connector.


Fehlerbehebung

Ein Mitglied kann sich nicht authentifizieren

  1. Bestätigen Sie, dass ihr Konto an einen Microsoft Entra-Mandanten gebunden ist, nicht an ein persönliches Microsoft-Konto.

  2. Bestätigen Sie, dass ihre Microsoft 365-Lizenz aktiv ist.

  3. Bestätigen Sie, dass die Administratorgenehmigung mit Option 1 oder Option 2 oben erteilt wurde.

  4. Überprüfen Sie, ob Organisationsrichtlinien (z. B. bedingter Zugriff) die Authentifizierung von Drittanbieter-Apps blockieren.

Mitglieder sehen Fehler vom Typ "Fehler beim Aufrufen des Tools"

Eine Berechtigung wurde möglicherweise selektiv in Microsoft Entra widerrufen. Mitglieder können das entsprechende Tool in ihren Microsoft 365-Einstellungen deaktivieren, um den Fehler zu unterdrücken, oder Sie können die Berechtigung wiederherstellen, indem Sie die Administratorgenehmigungsschritte in Option 2: Manuelle Einrichtung in Microsoft Entra ID wiederholen.

Schreibtools werden für Mitglieder nicht angezeigt

  1. Bestätigen Sie, dass ein Microsoft Entra-Administrator der aktualisierten Berechtigungsmenge mit Schreibbereichen zugestimmt hat.

  2. Bestätigen Sie, dass Schreibtools in der Microsoft 365-Connector-Konfiguration aktiviert sind oder dass das Mitglied durch eine rollenbasierte Zugriffsrichtlinie abgedeckt ist, die ihnen diese gewährt.

  3. Lassen Sie das Mitglied Microsoft 365 in Anpassen > Connectors trennen und erneut verbinden.


Häufig gestellte Fragen

Was passiert, wenn ein Mitglied versucht, eine Verbindung herzustellen, bevor die Zustimmung erteilt wird?

Es wird eine Fehlermeldung angezeigt, die angibt, dass ein Administrator App-Berechtigungen erteilen muss, bevor die Integration verwendet werden kann. Die Verbindung schlägt fehl, bis ein Microsoft Entra Global Administrator die erforderlichen Berechtigungen genehmigt.

Kann der Microsoft 365-Connector mit der Unternehmenssuche verwendet werden?

Ja. Wenn die Unternehmenssuche aktiviert ist, kann sie Microsoft 365 zusammen mit anderen verbundenen Diensten abfragen, um eine einheitliche Suche über Slack, Google Workspace, Microsoft 365 und mehr zu ermöglichen.

Kann die Integration Microsoft 365-Daten ändern?

Nur nachdem ein Entra-Administrator Schreibbereiche gewährt hat. Mit aktivierten Schreibtools kann Claude E-Mails senden, Entwürfe und Kalenderereignisse verwalten, Postfacheinstellungen aktualisieren und Dateien in OneDrive und SharePoint erstellen und aktualisieren, immer innerhalb der vorhandenen Microsoft 365-Berechtigungen jedes Mitglieds. Ohne sie ist die Integration schreibgeschützt. Claude kann in beiden Fällen keine Teams-Nachrichten posten oder Teams-Einstellungen oder -Berechtigungen ändern, da es keine Tools gibt, die dies ermöglichen.

Hat dies deine Frage beantwortet?