Vai al contenuto principale

Connettore Microsoft 365: Guida alla Sicurezza

Aggiornato questa settimana

Cos'è

Il Connettore Microsoft 365 è un'integrazione ospitata da Anthropic che consente a Claude di accedere in modo sicuro ai servizi Microsoft 365 (Outlook, SharePoint, OneDrive, Teams) tramite autorizzazioni delegate dall'utente. Anthropic ha completato il processo di verifica dell'editore di Microsoft, associando il nostro account verificato Microsoft Partner Network a questa applicazione per confermare la nostra identità organizzativa.

Il connettore opera come un proxy sicuro e i documenti, le email e i file di Microsoft 365 rimangono nel vostro tenant. Il connettore recupera i dati solo su richiesta durante le query attive e non memorizza nella cache il contenuto dei file. Le credenziali sono crittografate e gestite dall'infrastruttura backend di Anthropic. Il server MCP stesso non memorizza né gestisce queste credenziali. L'SDK di Azure di Microsoft gestisce lo scambio di token On-Behalf-Of e la memorizzazione nella cache per singolo utente per l'accesso all'API Graph.

Restrizione dell'accesso

L'accesso può essere completamente limitato

Il connettore fornisce più livelli di controllo degli accessi per soddisfare i vostri requisiti di sicurezza. Per informazioni dettagliate sull'amministrazione del Connettore Microsoft 365, consultare Abilitazione e utilizzo del Connettore Microsoft 365.

1. Controllo a livello di organizzazione

L'accesso al connettore per gli utenti dei piani Team ed Enterprise richiede un processo di approvazione in due fasi. In primo luogo, i Proprietari devono abilitare esplicitamente il connettore Microsoft 365 nelle Impostazioni di amministrazione di Claude navigando in Impostazioni di amministrazione → Connettori → Sfoglia connettori → Aggiungi "Microsoft 365". Fino a quando questa approvazione non viene concessa, gli utenti non hanno accesso.

In secondo luogo, dopo che il Proprietario ha abilitato il connettore, un Amministratore globale di Microsoft Entra deve completare l'autenticazione individuale e concedere il consenso per conto dell'intera organizzazione prima che qualsiasi membro del team possa connettersi.

2. Requisito di pre-consenso dell'amministratore di Microsoft Entra

Prima che gli utenti possano accedere al connettore, un amministratore di Microsoft Entra deve completare una configurazione una tantum, che:

  • Aggiunge due entità servizio e app aziendali in Microsoft Entra ID (M365 MCP Client e M365 MCP Server). Questo stabilisce un'identità a livello di servizio per le app del Connettore Microsoft 365 nel vostro tenant

  • Concede il pre-consenso dell'amministratore per il vostro tenant Microsoft 365

  • Facoltativamente limita quali utenti e gruppi di Microsoft Entra ID sono autorizzati a utilizzare il connettore

  • Facoltativamente limita le autorizzazioni che il connettore può utilizzare per controllare selettivamente quali servizi Microsoft 365 sono accessibili

3. Revoca granulare delle autorizzazioni

È possibile disabilitare selettivamente funzionalità specifiche tramite il Centro di amministrazione di Microsoft Entra. Ad esempio:

Per limitare

Azione

Effetto

Tutto l'accesso

Disabilitare il connettore nelle Impostazioni di amministrazione di Claude

Chiusura completa

Solo SharePoint

Revocare l'autorizzazione Sites.Read.All in Entra

Blocca SharePoint

Accesso alla posta elettronica

Revocare l'autorizzazione Mail.Read in Entra

Blocca Outlook

Chat di Teams

Revocare l'autorizzazione Chat.Read in Entra

Blocca Teams

File di OneDrive

Revocare Files.Read e/o Files.Read.All

Blocca la lettura dei file da OneDrive

Le modifiche hanno effetto immediato per tutti gli utenti della vostra organizzazione. Si noti che gli utenti possono anche scegliere di disabilitare le funzionalità per cui hanno l'autorizzazione durante una chat o una sessione disattivando selettivamente gli strumenti del connettore.

4. Integrazione con l'accesso condizionale di Microsoft

Il connettore supporta completamente le vostre policy Entra (Azure AD) esistenti:

  • Autenticazione a più fattori (MFA): Imporre l'MFA per l'accesso al connettore

  • Conformità del dispositivo: Richiedere dispositivi gestiti/conformi

  • Restrizioni IP: Limitare l'autenticazione Microsoft alla rete aziendale o VPN

  • Accesso basato su gruppi: Limitare a gruppi di sicurezza specifici

5. Autorizzazioni a livello di utente

  • Il Connettore Microsoft 365 utilizza autorizzazioni delegate.

  • Gli utenti possono accedere solo ai dati di Microsoft 365 per cui hanno già l'autorizzazione

  • La ricerca in SharePoint richiede l'autorizzazione Sites.Read.All. Le autorizzazioni specifiche per sito (utilizzando autorizzazioni *.Selected) non sono supportate perché la ricerca sottostante è a livello di tenant.

  • Gli utenti non possono aggirare le impostazioni di condivisione di SharePoint o le autorizzazioni delle cartelle

  • Gli utenti non possono accedere ai file privati o alle email di altri utenti

  • Le autorizzazioni delegate rispettano intrinsecamente le policy di prevenzione della perdita di dati (DLP) di Microsoft 365

6. Gestione dei token

  • I token di aggiornamento scadono dopo 90 giorni di inattività per impostazione predefinita, richiedendo una nuova autenticazione. Questo può essere personalizzato in Microsoft Entra ID utilizzando una policy di durata dei token.

  • I token di accesso scadono tipicamente entro 60-90 minuti secondo le impostazioni predefinite di Microsoft Entra ID e vengono aggiornati automaticamente

  • Gli amministratori o gli utenti possono revocare l'accesso in qualsiasi momento tramite Microsoft En

Articoli correlati
FAQ della Directory dei Connettori Anthropic
Utilizzo della Directory dei Connettori per estendere le capacità di Claude
Utilizzo di Enterprise Search
Abilitazione e utilizzo del connettore Microsoft 365
Iniziare con Claude per le Scienze della Vita
Hai ricevuto la risposta alla tua domanda?