Zum Hauptinhalt springen

Microsoft 365 Connector: Sicherheitsleitfaden

Diese Woche aktualisiert

Was es ist

Der Microsoft 365 Connector ist eine von Anthropic gehostete Integration, die Claude ermöglicht, sicher auf Microsoft 365-Dienste (Outlook, SharePoint, OneDrive, Teams) über benutzerbeauftragte Berechtigungen zuzugreifen. Anthropic hat Microsofts Publisher-Verifizierungsprozess abgeschlossen und verknüpft unser verifiziertes Microsoft Partner Network-Konto mit dieser Anwendung, um unsere organisatorische Identität zu bestätigen.

Der Connector fungiert als sicherer Proxy, und Ihre Microsoft 365-Dokumente, E-Mails und Dateien bleiben in Ihrem Mandanten. Der Connector ruft Daten nur bei Bedarf während aktiver Abfragen ab und speichert Dateiinhalte nicht zwischen. Anmeldedaten werden verschlüsselt und von Anthropics Backend-Infrastruktur verwaltet. Der MCP-Server selbst speichert oder verwaltet diese Anmeldedaten nicht. Microsofts Azure SDK verwaltet den On-Behalf-Of-Token-Austausch und das Caching auf Benutzerbasis für den Zugriff auf die Graph API.

Zugriffsbeschränkung

Der Zugriff kann vollständig eingeschränkt werden

Der Connector bietet mehrere Ebenen der Zugriffskontrolle, um Ihre Sicherheitsanforderungen zu erfüllen. Detaillierte Informationen zur Verwaltung des Microsoft 365 Connectors finden Sie unter Enabling and Using the Microsoft 365 Connector.

1. Gating auf Organisationsebene

Der Zugriff auf den Connector für Team- und Enterprise-Plan-Benutzer erfordert einen zweistufigen Genehmigungsprozess. Zunächst müssen Besitzer den Microsoft 365 Connector explizit in den Claude Admin Settings aktivieren, indem sie zu Admin Settings → Connectors → Browse connectors → Add "Microsoft 365" navigieren. Bis diese Genehmigung erteilt wird, haben Benutzer keinen Zugriff.

Zweitens muss nach der Aktivierung des Connectors durch den Besitzer ein Microsoft Entra Global Administrator die individuelle Authentifizierung abschließen und die Zustimmung im Namen der gesamten Organisation erteilen, bevor Teammitglieder eine Verbindung herstellen können.

2. Anforderung für Microsoft Entra Admin-Vorgenehmigung

Bevor Benutzer auf den Connector zugreifen können, muss ein Microsoft Entra Admin eine einmalige Einrichtung durchführen, die folgende Schritte umfasst:

  • Hinzufügen von zwei Service Principals und Enterprise Apps in Microsoft Entra ID (M365 MCP Client und M365 MCP Server). Dies etabliert eine Service-Level-Identität für die Microsoft 365 Connector-Apps in Ihrem Mandanten

  • Gewährung der Admin-Vorgenehmigung für Ihren Microsoft 365-Mandanten

  • Optionale Einschränkung, welche Microsoft Entra ID-Benutzer und -Gruppen den Connector verwenden dürfen

  • Optionale Einschränkung der Berechtigungen, die der Connector verwenden darf, um selektiv zu steuern, auf welche Microsoft 365-Dienste zugegriffen werden kann

3. Granulare Berechtigungswiderruf

Sie können spezifische Funktionen selektiv über das Microsoft Entra Admin Center deaktivieren. Beispiele:

Zu beschränken

Aktion

Auswirkung

Alle Zugriffe

Connector in Claude Admin Settings deaktivieren

Vollständige Abschaltung

Nur SharePoint

Berechtigung Sites.Read.All in Entra widerrufen

Blockiert SharePoint

E-Mail-Zugriff

Berechtigung Mail.Read in Entra widerrufen

Blockiert Outlook

Teams-Chat

Berechtigung Chat.Read in Entra widerrufen

Blockiert Teams

OneDrive-Dateien

Berechtigung Files.Read und/oder Files.Read.All widerrufen

Blockiert das Lesen von Dateien aus OneDrive

Änderungen treten sofort für alle Benutzer in Ihrer Organisation in Kraft. Beachten Sie, dass Benutzer auch Funktionen deaktivieren können, für die sie berechtigt sind, während eines Chats oder einer Sitzung, indem sie die Tools des Connectors selektiv ausschalten.

4. Microsoft Conditional Access-Integration

Der Connector unterstützt vollständig Ihre bestehenden Entra (Azure AD)-Richtlinien:

  • Multi-Faktor-Authentifizierung (MFA): MFA für Connector-Zugriff erzwingen

  • Gerätekonformität: Verwaltete/konforme Geräte erforderlich

  • IP-Einschränkungen: Microsoft-Authentifizierung auf Unternehmensnetzwerk oder VPN beschränken

  • Gruppenbasierter Zugriff: Auf bestimmte Sicherheitsgruppen beschränken

5. Berechtigungen auf Benutzerebene

  • Der Microsoft 365 Connector verwendet beauftragte Berechtigungen.

  • Benutzer können nur auf Microsoft 365-Daten zugreifen, für die sie bereits berechtigt sind

  • SharePoint-Suche erfordert die Berechtigung Sites.Read.All. Site-spezifische Berechtigungen (mit *.Selected-Berechtigungen) werden nicht unterstützt, da die zugrunde liegende Suche mandantenweit ist.

  • Benutzer können SharePoint-Freigabeeinstellungen oder Ordnerberechtigungen nicht umgehen

  • Benutzer können nicht auf private Dateien oder E-Mails anderer Benutzer zugreifen

  • Beauftragte Berechtigungen respektieren von Natur aus Microsoft 365-Richtlinien zur Verhinderung von Datenverlust (DLP)

6. Token-Verwaltung

  • Aktualisierungstoken verfallen standardmäßig nach 90 Tagen Inaktivität und erfordern eine er

Verwandte Artikel
Anthropic Connectors Directory FAQ
Verwendung des Connectors-Verzeichnisses zur Erweiterung der Funktionen von Claude
Unternehmenssuche verwenden
Aktivierung und Verwendung des Microsoft 365-Connectors
Verwendung des Candid Connector in Claude
Hat dies deine Frage beantwortet?