Lewati ke konten utama

Microsoft 365 Connector: Panduan Keamanan

Diperbarui minggu ini

Apa Itu

Microsoft 365 Connector adalah integrasi yang dihosting oleh Anthropic yang memungkinkan Claude untuk mengakses layanan Microsoft 365 (Outlook, SharePoint, OneDrive, Teams) dengan aman melalui izin yang didelegasikan pengguna. Anthropic telah menyelesaikan proses verifikasi penerbit Microsoft, mengasosiasikan akun Microsoft Partner Network terverifikasi kami dengan aplikasi ini untuk mengkonfirmasi identitas organisasi kami.

Konektor beroperasi sebagai proxy aman, dan dokumen, email, dan file Microsoft 365 Anda tetap berada di tenant Anda. Konektor hanya mengambil data sesuai permintaan selama kueri aktif dan tidak menyimpan konten file dalam cache. Kredensial dienkripsi dan dikelola oleh infrastruktur backend Anthropic. Server MCP itu sendiri tidak menyimpan atau mengelola kredensial ini. Azure SDK Microsoft menangani pertukaran token On-Behalf-Of dan caching per pengguna untuk mengakses Graph API.

Pembatasan Akses

Akses Dapat Dibatasi Sepenuhnya

Konektor menyediakan beberapa lapisan kontrol akses untuk mengatasi persyaratan keamanan Anda. Untuk informasi terperinci tentang administrasi Microsoft 365 Connector, lihat Enabling and Using the Microsoft 365 Connector.

1. Gating Tingkat Organisasi

Akses ke konektor untuk pengguna paket Team dan Enterprise memerlukan proses persetujuan dua langkah. Pertama, Pemilik harus secara eksplisit mengaktifkan konektor Microsoft 365 di Claude Admin Settings dengan menavigasi ke Admin Settings → Connectors → Browse connectors → Add "Microsoft 365". Sampai persetujuan ini diberikan, pengguna tidak memiliki akses.

Kedua, setelah Pemilik mengaktifkan konektor, Administrator Global Microsoft Entra harus menyelesaikan autentikasi individual dan memberikan persetujuan atas nama seluruh organisasi sebelum anggota tim mana pun dapat terhubung.

2. Persyaratan Pra-Persetujuan Admin Microsoft Entra

Sebelum pengguna dapat mengakses konektor, Admin Microsoft Entra harus menyelesaikan pengaturan satu kali, yang akan:

  • Menambahkan dua service principal dan Enterprise app di Microsoft Entra ID (M365 MCP Client dan M365 MCP Server). Ini membangun identitas tingkat layanan untuk aplikasi Microsoft 365 Connector di tenant Anda

  • Memberikan pra-persetujuan admin untuk tenant Microsoft 365 Anda

  • Secara opsional membatasi pengguna dan grup Microsoft Entra ID mana yang diizinkan menggunakan konektor

  • Secara opsional membatasi izin yang diizinkan digunakan konektor untuk secara selektif mengontrol layanan Microsoft 365 mana yang dapat diakses

3. Pencabutan Izin Granular

Anda dapat secara selektif menonaktifkan kemampuan spesifik melalui Microsoft Entra Admin Center. Misalnya:

Untuk Membatasi

Tindakan

Efek

Semua akses

Nonaktifkan konektor di Claude Admin Settings

Penutupan lengkap

SharePoint saja

Cabut izin Sites.Read.All di Entra

Memblokir SharePoint

Akses email

Cabut izin Mail.Read di Entra

Memblokir Outlook

Chat Teams

Cabut izin Chat.Read di Entra

Memblokir Teams

File OneDrive

Cabut izin Files.Read dan/atau Files.Read.All

Memblokir pembacaan file dari OneDrive

Perubahan berlaku segera untuk semua pengguna di organisasi Anda. Perhatikan bahwa pengguna juga dapat memilih untuk menonaktifkan kemampuan yang mereka miliki izin untuk digunakan selama chat atau sesi dengan secara selektif mengalihkan alat konektor.

4. Integrasi Microsoft Conditional Access

Konektor sepenuhnya mendukung kebijakan Entra (Azure AD) yang ada:

  • Autentikasi multi-faktor (MFA): Terapkan MFA untuk akses konektor

  • Kepatuhan perangkat: Memerlukan perangkat yang dikelola/patuh

  • Pembatasan IP: Batasi autentikasi Microsoft ke jaringan perusahaan atau VPN

  • Akses berbasis grup: Batasi ke grup keamanan tertentu

5. Izin Tingkat Pengguna

  • Microsoft 365 Connector menggunakan izin yang didelegasikan.

  • Pengguna hanya dapat mengakses data Microsoft 365 yang sudah mereka miliki izin untuk

  • Pencarian SharePoint memerlukan izin Sites.Read.All. Izin khusus situs (menggunakan izin *.Selected) tidak didukung karena pencarian yang mendasar bersifat tenant-wide.

  • Pengguna tidak dapat melewati pengaturan berbagi SharePoint atau izin folder

  • Pengguna tidak dapat mengakses file atau email pribadi pengguna lain

  • Izin yang didelegasikan secara inheren menghormati kebijakan pencegahan kehilangan data (DLP) Microsoft 365

6. Manajemen Token

  • Token refresh kedaluwarsa setelah 90 hari ketidakaktifan secara default, memerlukan re-autentikasi. Ini dapat disesuaikan di Microsoft Entra ID menggunakan kebijakan masa pakai token.

  • Token akses biasanya kedaluwarsa dalam 60-90 menit per default Microsoft Entra ID dan secara otomatis disegarkan

  • Admin atau pengguna dapat mencabut akses kapan saja melalui Microsoft Entra ID

  • Microsoft 365 Connector tidak pernah melihat atau menyimpan kata sandi

Artikel Terkait
Menggunakan Direktori Konektor untuk memperluas kemampuan Claude
Menggunakan Enterprise Search
Mengaktifkan dan Menggunakan Konektor Microsoft 365
Menggunakan Claude di Microsoft Foundry
Menggunakan Blackbaud Connector di Claude
Apakah pertanyaan Anda terjawab?