Zum Hauptinhalt springen

Microsoft 365 Connector: Sicherheitsleitfaden

Gestern aktualisiert

Was es ist

Der Microsoft 365 Connector ist eine von Anthropic gehostete Integration, die Claude ermöglicht, sicher auf Microsoft 365-Dienste (Outlook, SharePoint, OneDrive, Teams) über benutzerbeauftragte Berechtigungen zuzugreifen. Anthropic hat Microsofts Publisher-Verifizierungsprozess abgeschlossen und verknüpft unser verifiziertes Microsoft Partner Network-Konto mit dieser Anwendung, um unsere organisatorische Identität zu bestätigen.

Der Connector fungiert als sicherer Proxy, und Ihre Microsoft 365-Dokumente, E-Mails und Dateien bleiben in Ihrem Mandanten. Der Connector ruft Daten nur bei Bedarf während aktiver Abfragen ab und speichert Dateiinhalte nicht zwischen. Anmeldedaten werden verschlüsselt und von Anthropics Backend-Infrastruktur verwaltet. Der MCP-Server selbst speichert oder verwaltet diese Anmeldedaten nicht. Microsofts Azure SDK verwaltet den On-Behalf-Of-Token-Austausch und das Caching auf Benutzerbasis für den Zugriff auf die Graph API.

Zugriffsbeschränkung

Der Zugriff kann vollständig eingeschränkt werden

Der Connector bietet mehrere Ebenen der Zugriffskontrolle, um Ihre Sicherheitsanforderungen zu erfüllen. Detaillierte Informationen zur Verwaltung des Microsoft 365 Connectors finden Sie unter Enabling and Using the Microsoft 365 Connector.

1. Gating auf Organisationsebene

Der Zugriff auf den Connector für Team- und Enterprise-Plan-Benutzer erfordert einen zweistufigen Genehmigungsprozess. Zunächst müssen Eigentümer den Microsoft 365 Connector explizit in den Claude Admin Settings aktivieren, indem sie zu Admin Settings → Connectors → Browse connectors → Add "Microsoft 365" navigieren. Bis diese Genehmigung erteilt wird, haben Benutzer keinen Zugriff.

Zweitens muss nach der Aktivierung des Connectors durch den Eigentümer ein Microsoft Entra Global Administrator die individuelle Authentifizierung abschließen und die Zustimmung im Namen der gesamten Organisation erteilen, bevor Teammitglieder eine Verbindung herstellen können.

2. Anforderung der Microsoft Entra Admin-Vorgenehmigung

Bevor Benutzer auf den Connector zugreifen können, muss ein Microsoft Entra Admin eine einmalige Einrichtung durchführen, die:

  • Zwei Service Principals und Enterprise Apps in Microsoft Entra ID hinzufügt (M365 MCP Client und M365 MCP Server). Dies etabliert eine Service-Level-Identität für die Microsoft 365 Connector-Apps in Ihrem Mandanten

  • Admin-Vorgenehmigung für Ihren Microsoft 365-Mandanten erteilt

  • Optional einschränkt, welche Microsoft Entra ID-Benutzer und -Gruppen den Connector verwenden dürfen

  • Optional die Berechtigungen einschränkt, die der Connector verwenden darf, um selektiv zu steuern, auf welche Microsoft 365-Dienste zugegriffen werden kann

3. Granulare Berechtigungswiderruf

Sie können spezifische Funktionen selektiv über das Microsoft Entra Admin Center deaktivieren. Zum Beispiel:

Zu beschränken

Aktion

Auswirkung

Alle Zugriffe

Connector in Claude Admin Settings deaktivieren

Vollständige Abschaltung

Nur SharePoint

Sites.Read.All-Berechtigung in Entra widerrufen

Blockiert SharePoint

E-Mail-Zugriff

Mail.Read-Berechtigung in Entra widerrufen

Blockiert Outlook

Teams-Chat

Chat.Read-Berechtigung in Entra widerrufen

Blockiert Teams

OneDrive-Dateien

Files.Read und/oder Files.Read.All widerrufen

Blockiert das Lesen von Dateien aus OneDrive

Änderungen treten sofort für alle Benutzer in Ihrer Organisation in Kraft. Beachten Sie, dass Benutzer auch während eines Chats oder einer Sitzung Funktionen, für die sie berechtigt sind, selektiv deaktivieren können, indem sie die Tools des Connectors selektiv ausschalten.

4. Microsoft Conditional Access-Integration

Der Connector unterstützt vollständig Ihre bestehenden Entra (Azure AD)-Richtlinien:

  • Multi-Faktor-Authentifizierung (MFA): MFA für Connector-Zugriff erzwingen

  • Gerätekonformität: Verwaltete/konforme Geräte erforderlich

  • IP-Einschränkungen: Microsoft-Authentifizierung auf Unternehmensnetzwerk oder VPN beschränken

  • Gruppenbasierter Zugriff: Auf bestimmte Sicherheitsgruppen beschränken

5. Berechtigungen auf Benutzerebene

  • Der Microsoft 365 Connector verwendet beauftragte Berechtigungen.

  • Benutzer können nur auf Microsoft 365-Daten zugreifen, für die sie bereits berechtigt sind

  • Benutzer können nur auf ausgewählte SharePoint-Websites zugreifen, wenn sie die Sites.Selected-Berechtigung mit Sites.Read.All verwenden

  • Benutzer können SharePoint-Freigabeeinstellungen oder Ordnerberechtigungen nicht umgehen

  • Benutzer können nicht auf private Dateien oder E-Mails anderer Benutzer zugreifen

  • Beauftragte Berechtigungen respektieren von Natur aus Microsoft 365-Richtlinien zur Verhinderung von Datenverlust (DLP)

6. Token-Verwaltung

  • Aktualisierungstoken verfallen standardmäßig nach 90 Tagen Inaktivität und erfordern eine erneute Authentifizierung. Dies kann in Microsoft Entra ID mithilfe einer Token-Lebensdauer-Richtlinie angepasst

Verwandte Artikel
Durchsuchen und Verbinden mit Tools aus dem Verzeichnis
Unternehmenssuche verwenden
Aktivierung und Verwendung des Microsoft 365-Connectors
Verwendung von Egnyte für Data-Room-Management mit Claude
Aiera für Earnings Intelligence und Marktanalyse nutzen
Hat dies deine Frage beantwortet?