Passer au contenu principal

Connecteur Microsoft 365 : Guide de sécurité

Mis à jour hier

Qu'est-ce que c'est

Le connecteur Microsoft 365 est une intégration hébergée par Anthropic qui permet à Claude d'accéder de manière sécurisée aux services Microsoft 365 (Outlook, SharePoint, OneDrive, Teams) via des autorisations déléguées par l'utilisateur. Anthropic a complété le processus de vérification d'éditeur de Microsoft, en associant notre compte Microsoft Partner Network vérifié à cette application pour confirmer notre identité organisationnelle.

Le connecteur fonctionne comme un proxy sécurisé, et vos documents, e-mails et fichiers Microsoft 365 restent dans votre locataire. Le connecteur ne récupère les données que sur demande lors de requêtes actives et ne met pas en cache le contenu des fichiers. Les identifiants sont chiffrés et gérés par l'infrastructure backend d'Anthropic. Le serveur MCP lui-même ne stocke ni ne gère ces identifiants. Le SDK Azure de Microsoft gère l'échange de jetons On-Behalf-Of et la mise en cache par utilisateur pour accéder à l'API Graph.

Restriction d'accès

L'accès peut être complètement restreint

Le connecteur fournit plusieurs couches de contrôle d'accès pour répondre à vos exigences de sécurité. Pour des informations détaillées sur l'administration du connecteur Microsoft 365, consultez Activation et utilisation du connecteur Microsoft 365.

1. Contrôle au niveau de l'organisation

L'accès au connecteur pour les utilisateurs des plans Team et Enterprise nécessite un processus d'approbation en deux étapes. Tout d'abord, les propriétaires doivent explicitement activer le connecteur Microsoft 365 dans les paramètres Claude Admin en accédant à Paramètres Admin → Connecteurs → Parcourir les connecteurs → Ajouter « Microsoft 365 ». Jusqu'à ce que cette approbation soit accordée, les utilisateurs n'ont aucun accès.

Deuxièmement, après que le propriétaire active le connecteur, un administrateur global Microsoft Entra doit effectuer l'authentification individuelle et accorder le consentement au nom de l'ensemble de l'organisation avant que les membres de l'équipe puissent se connecter.

2. Exigence de pré-consentement de l'administrateur Microsoft Entra

Avant que les utilisateurs puissent accéder au connecteur, un administrateur Microsoft Entra doit effectuer une configuration unique, qui :

  • Ajoute deux principaux de service et applications d'entreprise dans Microsoft Entra ID (M365 MCP Client et M365 MCP Server). Cela établit une identité au niveau du service pour les applications du connecteur Microsoft 365 dans votre locataire

  • Accorde le pré-consentement administrateur pour votre locataire Microsoft 365

  • Restreint éventuellement les utilisateurs et groupes Microsoft Entra ID autorisés à utiliser le connecteur

  • Restreint éventuellement les autorisations que le connecteur est autorisé à utiliser pour contrôler sélectivement les services Microsoft 365 accessibles

3. Révocation granulaire des autorisations

Vous pouvez désactiver sélectivement des capacités spécifiques via le centre d'administration Microsoft Entra. Par exemple :

À restreindre

Action

Effet

Tous les accès

Désactiver le connecteur dans les paramètres Claude Admin

Arrêt complet

SharePoint uniquement

Révoquer l'autorisation Sites.Read.All dans Entra

Bloque SharePoint

Accès aux e-mails

Révoquer l'autorisation Mail.Read dans Entra

Bloque Outlook

Conversation Teams

Révoquer l'autorisation Chat.Read dans Entra

Bloque Teams

Fichiers OneDrive

Révoquer Files.Read et/ou Files.Read.All

Bloque la lecture des fichiers depuis OneDrive

Les modifications prennent effet immédiatement pour tous les utilisateurs de votre organisation. Notez que les utilisateurs peuvent également choisir de désactiver les capacités pour lesquelles ils ont la permission lors d'une conversation ou d'une session en désactivant sélectivement les outils du connecteur.

4. Intégration de l'accès conditionnel Microsoft

Le connecteur prend entièrement en charge vos politiques Entra (Azure AD) existantes :

  • Authentification multifacteur (MFA) : Appliquer l'authentification multifacteur pour l'accès au connecteur

  • Conformité des appareils : Exiger des appareils gérés/conformes

  • Restrictions d'adresse IP : Limiter l'authentification Microsoft au réseau d'entreprise ou au VPN

  • Accès basé sur les groupes : Restreindre à des groupes de sécurité spécifiques

5. Autorisations au niveau de l'utilisateur

  • Le connecteur Microsoft 365 utilise des autorisations déléguées.

  • Les utilisateurs ne peuvent accéder aux données Microsoft 365 pour lesquelles ils ont déjà la permission

  • Les utilisateurs ne peuvent accéder à des sites SharePoint sélectionnés que lors de l'utilisation de l'autorisation Sites.Selected avec Sites.Read.All

  • Les utilisateurs ne peuvent pas contourner les paramètres de partage SharePoint ou les autorisations de dossier

  • Les utilisateurs ne peuvent pas accéder aux fichiers ou e-mails privés d'autres utilisateurs

  • Les autorisations déléguées respectent intrinsèquement les politiques de prévention de la perte de données (DLP) Microsoft 365

6. Gestion des jetons

  • Les jetons d'actualisation expirent après 90 jours d'inactivité par défaut, ce qui nécessite une réauthentification. Cela peut être personnalisé dans Microsoft Entra ID à l'aide d'une politique de durée de vie des jetons.

  • Les jetons d'accès expirent généralement dans les 60 à 90 minutes selon les paramètres par défaut de Microsoft Entra ID et sont automatiquement actualisés

  • Les administrateurs ou les utilisateurs peuvent révo

Articles connexes
Démarrage avec les connecteurs personnalisés utilisant Remote MCP
Création de connecteurs personnalisés via des serveurs MCP distants
Utilisation de la Recherche Entreprise
Activation et utilisation du connecteur Microsoft 365
Utilisation du connecteur Synapse.org dans Claude
Avez-vous trouvé la réponse à votre question ?