Qué es
El Conector de Microsoft 365 es una integración alojada por Anthropic que permite a Claude acceder de forma segura a los servicios de Microsoft 365 (Outlook, SharePoint, OneDrive, Teams) a través de permisos delegados por el usuario. Anthropic ha completado el proceso de verificación de editor de Microsoft, asociando nuestra cuenta verificada de Microsoft Partner Network con esta aplicación para confirmar nuestra identidad organizacional.
El conector funciona como un proxy seguro, y tus documentos, correos electrónicos y archivos de Microsoft 365 permanecen en tu inquilino. El conector solo recupera datos bajo demanda durante consultas activas y no almacena en caché el contenido de los archivos. Las credenciales se cifran y se administran mediante la infraestructura de backend de Anthropic. El servidor MCP en sí no almacena ni gestiona estas credenciales. El SDK de Azure de Microsoft maneja el intercambio de tokens On-Behalf-Of y el almacenamiento en caché por usuario para acceder a la API de Graph.
Restricción de acceso
El acceso puede ser completamente restringido
El conector proporciona múltiples capas de control de acceso para abordar tus requisitos de seguridad. Para obtener información detallada sobre la administración del Conector de Microsoft 365, consulta Habilitación y uso del Conector de Microsoft 365.
1. Restricción a nivel de organización
El acceso al conector para usuarios de planes Team y Enterprise requiere un proceso de aprobación de dos pasos. Primero, los Propietarios deben habilitar explícitamente el conector de Microsoft 365 en la Configuración de administración de Claude navegando a Configuración de administración → Conectores → Examinar conectores → Agregar "Microsoft 365". Hasta que se otorgue esta aprobación, los usuarios no tienen acceso.
En segundo lugar, después de que el Propietario habilita el conector, un Administrador global de Microsoft Entra debe completar la autenticación individual y otorgar consentimiento en nombre de toda la organización antes de que cualquier miembro del equipo pueda conectarse.
2. Requisito de preconsentimiento del administrador de Microsoft Entra
Antes de que los usuarios puedan acceder al conector, un administrador de Microsoft Entra debe completar una configuración única que:
Agregue dos entidades de servicio y aplicaciones empresariales en Microsoft Entra ID (Cliente MCP de M365 y Servidor MCP de M365). Esto establece una identidad a nivel de servicio para las aplicaciones del Conector de Microsoft 365 en tu inquilino
Otorgue preconsentimiento de administrador para tu inquilino de Microsoft 365
Opcionalmente, restrinja qué usuarios y grupos de Microsoft Entra ID pueden usar el conector
Opcionalmente, restrinja los permisos que el conector puede usar para controlar selectivamente qué servicios de Microsoft 365 son accesibles
3. Revocación de permisos granular
Puedes deshabilitar selectivamente capacidades específicas a través del Centro de administración de Microsoft Entra. Por ejemplo:
Para restringir | Acción | Efecto |
Todo acceso | Deshabilitar conector en la Configuración de administración de Claude | Cierre completo |
Solo SharePoint | Revocar permiso Sites.Read.All en Entra | Bloquea SharePoint |
Acceso a correo electrónico | Revocar permiso Mail.Read en Entra | Bloquea Outlook |
Chat de Teams | Revocar permiso Chat.Read en Entra | Bloquea Teams |
Archivos de OneDrive | Revocar Files.Read y/o Files.Read.All | Bloquea la lectura de archivos desde OneDrive |
Los cambios entran en vigor inmediatamente para todos los usuarios de tu organización. Ten en cuenta que los usuarios también pueden optar por deshabilitar capacidades que tienen permiso para usar durante un chat o sesión desactivando selectivamente las herramientas del conector.
4. Integración de acceso condicional de Microsoft
El conector es totalmente compatible con tus políticas existentes de Entra (Azure AD):
Autenticación multifactor (MFA): Aplicar MFA para el acceso al conector
Cumplimiento de dispositivos: Requerir dispositivos administrados/compatibles
Restricciones de IP: Limitar la autenticación de Microsoft a la red corporativa o VPN
Acceso basado en grupos: Restringir a grupos de seguridad específicos
5. Permisos a nivel de usuario
El Conector de Microsoft 365 utiliza permisos delegados.
Los usuarios solo pueden acceder a datos de Microsoft 365 para los que ya tienen permiso
Los usuarios solo pueden acceder a sitios de SharePoint seleccionados cuando usan el permiso Sites.Selected con Sites.Read.All
Los usuarios no pueden eludir la configuración de uso compartido de SharePoint ni los permisos de carpeta
Los usuarios no pueden acceder a archivos o correos electrónicos privados de otros usuarios
Los permisos delegados respetan inherentemente las políticas de prevención de pérdida de datos (DLP) de Microsoft 365
6. Gestión de tokens
Los tokens de actualización expiran después de 90 días de inactividad por defecto, lo que requiere reautenticación. Esto se puede personalizar en Microsoft Entra ID usando una política de duración de token.
Los tokens de acceso generalmente expiran dentro de 60-90 minutos según los valores predeterminados de Microsoft Entra ID y se actualizan automáticamente
Los administradores o usuarios pueden revocar el acceso en cualquier momento a través de Microsoft Entra ID
El Conector de Microsoft 365 nunca ve ni almacena contraseñas
Resumen de la arquitectura de seguridad
Flujo de autenticación
OAuth 2.0 On-