Se la tua organizzazione utilizza AWS Bedrock, Google Cloud Vertex AI o un gateway LLM per accedere a Claude, puoi utilizzare i componenti aggiuntivi Claude for Excel e Claude for PowerPoint senza un account Claude. Il componente aggiuntivo si connette tramite l'infrastruttura della tua organizzazione, quindi i tuoi prompt e le risposte rimangono all'interno del tuo confine di fiducia esistente.
Ci sono tre percorsi di connessione, a seconda di come la tua organizzazione accede a Claude:
Gateway LLM: Il componente aggiuntivo invia richieste al tuo gateway (LiteLLM, Portkey, Kong, ecc.), che le instrada al provider di tua scelta. Questo è lo stesso modello utilizzato da Claude Code. Se la tua organizzazione esegue già Claude Code tramite un gateway LLM, puoi indirizzare i componenti aggiuntivi di Office allo stesso endpoint—non è richiesta una nuova infrastruttura.
Bedrock diretto: Il componente aggiuntivo si autentica tramite Microsoft Entra ID e chiama AWS Bedrock direttamente, senza gateway intermedi.
Vertex AI diretto: Il componente aggiuntivo si autentica tramite Google OAuth e chiama Vertex AI direttamente.
L'amministratore IT sceglie il percorso durante la distribuzione. Come utente finale, l'esperienza è la stessa indipendentemente dal percorso utilizzato dalla tua organizzazione.
Requisiti
I requisiti variano in base al percorso di connessione.
Tutti i percorsi:
Claude for Excel o Claude for PowerPoint installato (da Microsoft AppSource o distribuito dall'amministratore)
Microsoft 365 con Entra ID (per il consenso dell'amministratore e, nei percorsi cloud diretti, l'emissione di token)
Gateway LLM:
Un URL del gateway e un token API dal tuo team IT
Bedrock diretto:
Un account AWS con accesso al modello Claude abilitato nella regione di destinazione
Un provider di identità OIDC IAM e un ruolo configurato per fidarsi dei token Microsoft Entra ID
Vertex AI diretto:
Un progetto Google Cloud con l'API Vertex AI abilitata e accesso al modello Claude nella regione di destinazione
Un client Google OAuth configurato con l'URI di reindirizzamento del componente aggiuntivo
Il team IT della tua organizzazione gestisce queste risorse. Se non hai le credenziali di cui hai bisogno, contattali—Anthropic non può fornirle o ripristinarle per te.
Elenco di indirizzi IP consentiti della rete
Il componente aggiuntivo deve raggiungere domini specifici per funzionare. Quali domini dipende dal fatto che la tua organizzazione utilizzi l'API Anthropic direttamente (1P) o una piattaforma di terze parti (3P). Condividi la tabella applicabile con il tuo team di rete o sicurezza in modo che possano inserire questi domini nell'elenco di indirizzi consentiti.
Importante: In tutte le configurazioni—incluse quelle di terze parti—i tuoi prompt e le risposte di Claude viaggiano solo verso il provider di inferenza scelto (il tuo gateway, Bedrock o Vertex AI). I domini elencati di seguito che puntano ad Anthropic (come pivot.claude.ai) servono l'interfaccia del componente aggiuntivo, la configurazione delle funzionalità e la telemetria operativa. Non trasportano contenuti di prompt o risposta.
API Anthropic (1P)
Utilizza questa tabella se le persone nella tua organizzazione accedono con un account Claude e l'inferenza va a api.anthropic.com.
Dominio | Obbligatorio quando | Scopo |
pivot.claude.ai | Sempre | Host del componente aggiuntivo. Serve l'interfaccia utente del riquadro attività e funge da proxy per analitiche, ricerca di icone, download di competenze e telemetria. |
claude.ai | Sempre | Accesso OAuth Anthropic e valutazione dei flag di funzionalità. |
api.anthropic.com | Sempre | API di inferenza Claude, caricamenti di file, contenitori di esecuzione del codice e registro del connettore MCP. |
appsforoffice.microsoft.com | Sempre | Script di runtime Microsoft Office.js. Richiesto da ogni componente aggiuntivo di Office. |
o1158394.ingest.us.sentry.io | Facoltativo | Segnalazione di arresti anomali e errori. Il blocco di questo degrada solo la diagnostica; il componente aggiuntivo continua a funzionare. |
mcp-proxy.anthropic.com | Se si utilizzano connettori MCP | Proxy per le chiamate dello strumento del connettore MCP. |
bridge.claudeusercontent.com | Se si utilizza il lavoro tra app | Bridge WebSocket per la funzione di lavoro tra app. |
Piattaforme di terze parti (3P)
Utilizza questa tabella se le persone della tua organizzazione accedono con Microsoft Entra ID e l'inferenza va al tuo gateway LLM, Bedrock o Vertex AI.
Dominio | Obbligatorio quando | Scopo |
pivot.claude.ai | Sempre | Host del componente aggiuntivo. Fornisce l'interfaccia utente del riquadro attività e funge da proxy per analitiche, ricerca icone e telemetria. |
claude.ai/api/ | Sempre | Valutazione dei flag di funzionalità. Nessun accesso; il componente aggiuntivo recupera solo la sua configurazione da qui. |
appsforoffice.microsoft.com | Sempre | Script di runtime Microsoft Office.js (obbligatorio per ogni componente aggiuntivo di Office). |
login.microsoftonline.com | Sempre | Accesso a Microsoft Entra ID tramite Nested App Auth. Legge la configurazione del gateway fornita dall'amministratore e rilascia token per l'autenticazione cloud diretta. |
o1158394.ingest.us.sentry.io | Facoltativo | Segnalazione di arresti anomali e errori. Il blocco di questo degrada solo la diagnostica; il componente aggiuntivo continua a funzionare. |
URL del tuo gateway LLM | Se utilizzi un gateway LLM | Gateway LLM della tua organizzazione (LiteLLM, Portkey, Kong, ecc.). L'inferenza va qui invece di api.anthropic.com. |
sts.amazonaws.com | Se utilizzi Bedrock diretto | AWS STS. Scambia il token Entra ID con credenziali Bedrock temporanee. |
bedrock-runtime.<region>.amazonaws.com | Se utilizzi Bedrock diretto | Endpoint di inferenza Bedrock. Sostituisci <region> con la tua regione AWS configurata (ad esempio, us-east-1). |
accounts.google.com | Se utilizzi Vertex AI diretto | Schermata di consenso Google OAuth. |
oauth2.googleapis.com | Se utilizzi Vertex AI diretto | Scambio e aggiornamento del token Google OAuth. |
aiplatform.googleapis.com | Se utilizzi Vertex AI diretto | Endpoint di inferenza globale Vertex AI. |
<region>-aiplatform.googleapis.com | Se utilizzi Vertex AI diretto | Endpoint di inferenza regionale Vertex AI. Sostituisci <region> con la tua regione GCP configurata (ad esempio, us-east5). |
Distribuisci il componente aggiuntivo per l'uso di terze parti (amministratori IT)
Utilizza il plugin claude-in-office per configurare e distribuire il componente aggiuntivo nell'intera organizzazione. Questo strumento gestisce il provisioning delle risorse cloud (se utilizzi Bedrock o Vertex AI diretto), la generazione del manifesto del componente aggiuntivo e l'ottenimento del consenso dell'amministratore in un unico flusso guidato.
Utilizza la procedura guidata di configurazione
Installa il plugin ed esegui la procedura guidata interattiva:
claude plugin marketplace add anthropics/financial-services-plugins
claude plugin install claude-in-office@financial-services-plugins
/claude-in-office:setup
La procedura guidata ti guida attraverso il tuo percorso di connessione:
Gateway LLM: Raccoglie l'URL e il token del tuo gateway, genera il manifesto e gestisce il consenso dell'amministratore di Azure.
Bedrock diretto: Crea il provider di identità OIDC IAM e il ruolo, genera il manifesto e gestisce il consenso dell'amministratore di Azure.
Vertex AI diretto: Ti guida attraverso la creazione del client Google OAuth, genera il manifesto e gestisce il consenso dell'amministratore di Azure.
Quando la procedura guidata si completa, il componente aggiuntivo è pronto per la distribuzione a livello di tenant.
Nota: I percorsi Bedrock e Vertex AI richiedono Node.js per la generazione e la convalida del manifesto. La procedura guidata lo verifica e ti chiede di installarlo se manca.
Puoi utilizzare i seguenti comandi all'interno di una sessione claude-in-office:
Comando | Cosa fa |
| Procedura guidata interattiva: provisioning delle risorse cloud, consenso amministratore, scrittura del manifesto |
| Genera il manifesto XML del componente aggiuntivo personalizzato |
| Genera l'URL di consenso amministratore di Azure per la registrazione dell'app del componente aggiuntivo |
| Scrive la configurazione per utente tramite gli attributi di estensione di Microsoft Graph |
Cosa provisiona la procedura guidata
La procedura guidata automatizza la creazione delle risorse in base al tuo percorso di connessione. Ecco cosa configura:
Gateway LLM: Nessuna risorsa cloud da provisioning. La procedura guidata raccoglie l'URL del gateway e il token, quindi genera il manifesto.
Bedrock diretto: Crea un provider di identità OIDC IAM che si fida dei token di Microsoft Entra ID, un ruolo con autorizzazioni bedrock:InvokeModel e bedrock:InvokeModelWithResponseStream, e una politica di trust limitata all'ID applicazione del componente aggiuntivo Claude.
Vertex AI diretto: Ti guida nella creazione di un client OAuth di Google nella console GCP (questo passaggio non può essere automatizzato tramite CLI), abilita l'API Vertex AI e acquisisce l'ID client e il segreto per il manifesto.
Configurazione per utente
Se alcuni valori variano per utente, ad esempio token gateway diversi o ruoli AWS diversi per team diversi, la procedura guidata può scrivere la configurazione per utente tramite gli attributi di estensione di Microsoft Graph. Esegui /claude-in-office:update-user-attrs con le chiavi per utente dopo la configurazione iniziale.
Distribuisci a Microsoft 365
Dopo che la procedura guidata genera il tuo manifesto:
Apri l'Area di amministrazione di Microsoft 365 e vai a Impostazioni > App integrate > Carica app personalizzate.
Seleziona "Componente aggiuntivo di Office" come tipo di app, quindi carica il file manifest.xml.
Scegli chi riceve il componente aggiuntivo:
Se tutti gli utenti condividono la stessa configurazione, seleziona "Intera organizzazione".
Se hai scritto attributi per utente nel passaggio precedente, assegna a Utenti/gruppi specifici che corrispondono esattamente a chi è stato configurato. Chiunque altro aprirebbe il componente aggiuntivo senza configurazione.
Accetta le autorizzazioni e completa la distribuzione.
La propagazione agli utenti richiede fino a 24 ore (di solito molto più veloce). Il componente aggiuntivo appare in Home > Componenti aggiuntivi in Excel e PowerPoint una volta arrivato.
Nota: Inizia con un gruppo pilota per confermare che il componente aggiuntivo funziona, quindi amplia l'assegnazione. Puoi modificare l'assegnazione in seguito senza ridistribuire.
Dopo aver distribuito il componente aggiuntivo, i tuoi utenti possono connettersi seguendo i passaggi seguenti.
Istruzioni di connessione per gli utenti finali
Gateway LLM
Apri Excel o PowerPoint e avvia il componente aggiuntivo Claude.
Nella schermata di accesso, seleziona "Gateway aziendale".
Immetti l'URL del gateway e il token API forniti dal tuo team IT.
URL del gateway: L'URL di base HTTPS del tuo proxy LLM (ad esempio, https://llm-gateway.yourcompany.com).
Token API: Il token bearer che il tuo proxy si aspetta. Il componente aggiuntivo lo invia nell'intestazione Authorization: Bearer <token> con ogni richiesta.
Il componente aggiuntivo verifica la connessione inviando una richiesta di test al gateway. Se ha successo, vedrai l'esperienza dell'app principale.
Le tue credenziali sono archiviate localmente nel localStorage del tuo browser all'interno dell'iframe sandbox del componente aggiuntivo. Non vengono sincronizzate con i server di Anthropic. Poiché il componente aggiuntivo di Office viene eseguito all'interno di un iframe sandbox all'interno dell'applicazione Microsoft, non può utilizzare il tuo portachiavi del sistema operativo come fa Claude Code. Per questo motivo, inserisci solo token emessi dal gateway, non credenziali del provider cloud non elaborate.
Bedrock o Vertex AI diretto
Apri Excel o PowerPoint e avvia il componente aggiuntivo Claude.
Accedi con il tuo account Microsoft di lavoro. Il componente aggiuntivo utilizza il tuo token Entra ID per autenticarsi con il tuo provider cloud: non sono necessarie credenziali cloud separate.
Il componente aggiuntivo legge la configurazione fornita dal tuo amministratore e si connette direttamente a Bedrock o Vertex AI.
Se vedi un errore all'accesso, conferma con il tuo team IT che il tuo account è nel gruppo assegnato al componente aggiuntivo.
Modifica o aggiorna la tua connessione
Se il tuo token API scade o il tuo team IT ti fornisce un nuovo URL, vai a "Impostazioni" nella barra laterale del componente aggiuntivo, immetti i nuovi valori e seleziona "Prova connessione".
Requisiti del gateway per i team IT
I componenti aggiuntivi di Office supportano solo il formato API Anthropic Messages tramite l'endpoint unificato. Questo è più specifico di Claude Code, che supporta anche i formati Bedrock InvokeModel e Vertex rawPredict direttamente.
Endpoint richiesti
Il tuo gateway deve esporre questi due endpoint:
Endpoint | Descrizione |
/v1/messages | Invia messaggi a Claude. Supporta risposte sia in streaming che non-streaming. |
/v1/models | Elenca i modelli disponibili. |
Intestazioni richieste
Il gateway deve inoltrare le seguenti intestazioni di richiesta dal componente aggiuntivo al provider upstream:
anthropic-beta — Abilita le funzionalità beta richieste dal componente aggiuntivo.
anthropic-version — Specifica la versione dell'API per il formato richiesta/risposta.
La mancata inoltro di queste intestazioni potrebbe causare una riduzione della funzionalità o impedire il funzionamento del componente aggiuntivo.
Scoperta dei modelli
Al login, il componente aggiuntivo convalida il token tramite GET /v1/messages e quindi tenta di scoprire i modelli Claude disponibili tramite GET /v1/models. Se il tuo gateway non espone un elenco di modelli in quel percorso, il componente aggiuntivo ricade nella richiesta manuale di un ID modello all'utente.
Differenze dalla configurazione del gateway Claude Code
Aspetto | Claude Code | Claude per Excel e PowerPoint |
Formati API supportati | Anthropic Messages, Bedrock InvokeModel, Vertex rawPredict | Solo Anthropic Messages (endpoint unificato) |
Tipi di endpoint | Unificato e pass-through | Solo unificato |
Archiviazione delle credenziali | Portachiavi del sistema operativo o variabili di ambiente | localStorage del browser (iframe in sandbox) |
Configurazione dell'autenticazione | Variabili di ambiente, file di configurazione, script di supporto | Immissione manuale nell'interfaccia utente del componente aggiuntivo (gateway) o Entra ID (cloud diretto) |
Aggiornamento del token | Supporta script di supporto per la rotazione | Immissione manuale nelle impostazioni (gateway) o automatica tramite Entra ID (cloud diretto) |
Nomi di modelli personalizzati | Configurabile tramite variabili di ambiente | Non configurabile nella v1 |
Esempio di configurazione del gateway con LiteLLM
Avviso: Le versioni PyPI di LiteLLM 1.82.7 e 1.82.8 sono state compromesse con malware che ruba credenziali. Non installare queste versioni. Se le hai già installate:
Rimuovi il pacchetto
Ruota tutte le credenziali sui sistemi interessati
Segui i passaggi di correzione in BerriAI/litellm#24518
LiteLLM è un servizio proxy di terze parti. Anthropic non approva, mantiene o controlla la sicurezza o la funzionalità di LiteLLM. Questa guida è fornita a scopo informativo e potrebbe diventare obsoleta. Usa a tuo rischio.
Molte organizzazioni utilizzano LiteLLM come gateway. Di seguito è riportato un litellm_config.yaml minimo per instradare le richieste dei componenti aggiuntivi di Office ad Anthropic, Bedrock o Vertex.
Instradamento diretto ad Anthropic
yaml
model_list:
- model_name: claude-sonnet-4-5-20250929
litellm_params:
model: claude-sonnet-4-5-20250929
api_key: os.environ/ANTHROPIC_API_KEY
litellm_settings:
drop_params: true
Instradamento ad Amazon Bedrock
yaml
model_list:
- model_name: claude-sonnet-4-5-20250929
litellm_params:
model: bedrock/anthropic.claude-sonnet-4-5-20250929-v1:0
aws_region_name: us-east-1
litellm_settings:
drop_params: true
Instradamento a Google Cloud Vertex AI
yaml
model_list:
- model_name: claude-sonnet-4-5-20250929
litellm_params:
model: vertex_ai/claude-sonnet-4-5-20250929
vertex_project: your-gcp-project-id
vertex_location: us-east5
litellm_settings:
drop_params: true
Instradamento ad Azure
yaml
model_list:
- model_name: claude-sonnet-4-5-20250929
litellm_params:
model: azure_ai/claude-sonnet-4-5-20250929
api_base: https://your-resource.services.ai.azure.com/anthropic
api_key: os.environ/AZURE_API_KEY
extra_headers:
x-api-key: os.environ/AZURE_API_KEY
litellm_settings:
drop_params: true
Per istruzioni di configurazione dettagliate, consulta la documentazione del formato Anthropic di LiteLLM.
Cosa raccoglie Anthropic
Anche quando l'inferenza avviene attraverso la tua infrastruttura, il componente aggiuntivo comunica con pivot.claude.ai per caricare la sua interfaccia e con claude.ai/api/ per valutare i flag delle funzionalità. Queste connessioni trasmettono telemetria operativa, come quali funzionalità vengono utilizzate, i tempi di prestazione e i tassi di errore, in modo che Anthropic possa mantenere e migliorare l'esperienza del componente aggiuntivo. Non trasmettono i tuoi prompt o le risposte di Claude.
Anthropic raccoglie informazioni in conformità con i termini di AWS Bedrock, Google Cloud Vertex AI o Microsoft Azure, coerentemente con gli accordi di Anthropic con i clienti. Anthropic non ha accesso all'istanza AWS, Google o Microsoft di un cliente, inclusi i prompt o gli output che contiene. Anthropic non addestra modelli generativi con tali contenuti e non li utilizza per altri scopi. Anthropic può accedere ai metadati, come l'utilizzo di strumenti, i conteggi dei token e elementi simili, e utilizzare tali metadati per scopi analitici e di miglioramento dei prodotti.
Per dettagli su cosa registra il gateway della tua organizzazione o il provider cloud, contatta il tuo team IT.
Come questo differisce dall'accesso con un account Claude
Quando accedi con un account Claude, i componenti aggiuntivi si connettono direttamente ad Anthropic. Quando ti connetti attraverso una piattaforma di terze parti, i componenti aggiuntivi inviano richieste di inferenza all'infrastruttura della tua organizzazione, e il tuo team IT controlla come quel traffico viene instradato e registrato.
Alcune funzionalità che si basano su un account Claude non sono ancora disponibili attraverso piattaforme di terze parti, ma stiamo lavorando per aggiungere il supporto:
Funzionalità | Account Claude | Piattaforma di terze parti |
Chatta con il tuo foglio di calcolo o presentazione | ✓ | ✓ |
Leggi e modifica celle, diapositive, formule | ✓ | ✓ |
Connettori (S&P, FactSet, ecc.) | ✓ | Disponibile a breve |
Lavoro tra app | ✓ | — |
Competenze | ✓ | Disponibile a breve |
Caricamenti di file | ✓ | — |
Ricerca web | ✓ | Solo Vertex |
Se il tuo team ha bisogno di queste funzionalità, parla con il tuo amministratore Claude su quale percorso di accesso si adatta alla tua organizzazione.
Risoluzione dei problemi
"Connessione rifiutata" o errore di rete
L'URL del gateway o l'endpoint cloud non è raggiungibile dalla rete dell'utente. Verifica che l'URL sia corretto, che il servizio sia in esecuzione e che non ci siano restrizioni firewall o VPN che bloccano la connessione. Controlla la sezione Elenco di indirizzi IP consentiti sopra per confermare che tutti i domini richiesti sono consentiti.
401 Non autorizzato o "Token non valido"
Il token di autenticazione non è valido o è scaduto. Per le connessioni gateway, conferma il token con il tuo team IT. Per le connessioni cloud dirette, verifica che l'account Entra ID dell'utente sia nel gruppo assegnato e che la fiducia OIDC o il client OAuth sia configurato correttamente.
403 Accesso vietato o "Accesso negato"
Il token è valido ma manca delle autorizzazioni giuste. Per Bedrock, verifica che il ruolo IAM abbia le autorizzazioni bedrock:InvokeModel. Per Vertex, verifica che l'account di servizio abbia le autorizzazioni aiplatform.endpoints.predict. Per i gateway, controlla l'ambito del token con il tuo amministratore IT.
404 Non trovato
Il componente aggiuntivo non ha potuto raggiungere il percorso API previsto. Per i gateway, verifica che l'URL sia l'URL di base (ad esempio, https://litellm-server:4000)—non includere /v1/messages nel campo URL.
500 o altri errori del server
Il gateway o il provider cloud ha riscontrato un errore interno. Controlla i log del tuo gateway (ad esempio, docker logs litellm se usi LiteLLM) per gli errori del provider upstream. Riprova la richiesta e contatta il tuo amministratore IT se il problema persiste.
"Nessun modello disponibile"
Il componente aggiuntivo non ha potuto trovare i modelli Claude. Per i gateway, il tuo gateway potrebbe non esporre un elenco di modelli in GET /v1/models. Il tuo team IT può configurare il gateway per servire un elenco di modelli o darti un ID modello specifico da inserire manualmente. Per Bedrock o Vertex, conferma che almeno un modello Claude (Claude Sonnet 4.5 o successivo) sia abilitato nel tuo account e nella tua regione.
Le risposte in streaming non riescono o si bloccano
Verifica che il tuo gateway supporti il pass-through di Server-Sent Events (SSE). Alcune configurazioni proxy rimuovono o memorizzano nel buffer le connessioni SSE, il che impedisce alle risposte in streaming di raggiungere il componente aggiuntivo.
Una funzionalità che mi aspettavo non è disponibile
Connettori, competenze, caricamenti di file e Lavoro tra app non sono ancora disponibili tramite piattaforme di terze parti. Se hai bisogno di queste funzioni, chiedi al tuo amministratore di accedere con un account Claude.