Ir para conteúdo principal

Conector Microsoft 365: Guia de Segurança

Atualizado esta semana

O que é

O Microsoft 365 Connector é uma integração hospedada pela Anthropic que permite ao Claude acessar com segurança os serviços do Microsoft 365 (Outlook, SharePoint, OneDrive, Teams) através de permissões delegadas pelo usuário. A Anthropic completou o processo de verificação de editor da Microsoft, associando nossa conta verificada da Microsoft Partner Network a este aplicativo para confirmar nossa identidade organizacional.

O conector funciona como um proxy seguro, e seus documentos, emails e arquivos do Microsoft 365 permanecem em seu tenant. O conector apenas recupera dados sob demanda durante consultas ativas e não armazena em cache o conteúdo dos arquivos. As credenciais são criptografadas e gerenciadas pela infraestrutura de backend da Anthropic. O servidor MCP em si não armazena nem gerencia essas credenciais. O Azure SDK da Microsoft lida com a troca de token On-Behalf-Of e o armazenamento em cache por usuário para acessar a Graph API.

Restrição de Acesso

O Acesso Pode Ser Totalmente Restrito

O conector fornece múltiplas camadas de controle de acesso para atender aos seus requisitos de segurança. Para informações detalhadas sobre a administração do Microsoft 365 Connector, consulte Habilitando e Usando o Microsoft 365 Connector.

1. Controle de Acesso no Nível da Organização

O acesso ao conector para usuários dos planos Team e Enterprise requer um processo de aprovação em duas etapas. Primeiro, os Proprietários devem habilitar explicitamente o conector do Microsoft 365 nas Configurações de Admin do Claude navegando para Admin Settings → Connectors → Browse connectors → Add "Microsoft 365". Até que essa aprovação seja concedida, os usuários não têm acesso.

Em segundo lugar, após o Proprietário habilitar o conector, um Administrador Global do Microsoft Entra deve completar a autenticação individual e conceder consentimento em nome de toda a organização antes que qualquer membro da equipe possa se conectar.

2. Requisito de Pré-Consentimento do Administrador do Microsoft Entra

Antes que os usuários possam acessar o conector, um Administrador do Microsoft Entra deve completar uma configuração única, que irá:

  • Adicionar dois principais de serviço e aplicativos empresariais no Microsoft Entra ID (M365 MCP Client e M365 MCP Server). Isso estabelece uma identidade no nível de serviço para os aplicativos do Microsoft 365 Connector em seu tenant

  • Conceder pré-consentimento de admin para seu tenant do Microsoft 365

  • Opcionalmente, restringir quais usuários e grupos do Microsoft Entra ID podem usar o conector

  • Opcionalmente, restringir as permissões que o conector pode usar para controlar seletivamente quais serviços do Microsoft 365 são acessíveis

3. Revogação de Permissão Granular

Você pode desabilitar seletivamente recursos específicos através do Microsoft Entra Admin Center. Por exemplo:

Para Restringir

Ação

Efeito

Todo acesso

Desabilitar conector nas Configurações de Admin do Claude

Desligamento completo

Apenas SharePoint

Revogar permissão Sites.Read.All no Entra

Bloqueia SharePoint

Acesso a email

Revogar permissão Mail.Read no Entra

Bloqueia Outlook

Chat do Teams

Revogar permissão Chat.Read no Entra

Bloqueia Teams

Arquivos do OneDrive

Revogar Files.Read e/ou Files.Read.All

Bloqueia a leitura de arquivos do OneDrive

As alterações entram em vigor imediatamente para todos os usuários em sua organização. Observe que os usuários também podem optar por desabilitar recursos que têm permissão para usar durante um chat ou sessão, alternando seletivamente as ferramentas do conector.

4. Integração do Acesso Condicional da Microsoft

O conector suporta totalmente suas políticas existentes do Entra (Azure AD):

  • Autenticação multifator (MFA): Aplicar MFA para acesso ao conector

  • Conformidade do dispositivo: Exigir dispositivos gerenciados/compatíveis

  • Restrições de IP: Limitar autenticação da Microsoft à rede corporativa ou VPN

  • Acesso baseado em grupo: Restringir a grupos de segurança específicos

5. Permissões no Nível do Usuário

  • O Microsoft 365 Connector usa permissões delegadas.

  • Os usuários podem acessar apenas dados do Microsoft 365 para os quais já têm permissão

  • A pesquisa do SharePoint requer permissão Sites.Read.All. A permissão específica do site (usando permissões *.Selected) não é suportada porque a pesquisa subjacente é em todo o tenant.

  • Os usuários não podem contornar as configurações de compartilhamento do SharePoint ou permissões de pasta

  • Os usuários não podem acessar arquivos ou emails privados de outros usuários

  • As permissões delegadas respeitam inerentemente as políticas de prevenção de perda de dados (DLP) do Microsoft 365

6. Gerenciamento de Token

  • Os tokens de atualização expiram após 90 dias de inatividade por padrão, exigindo re-autenticação. Isso pode ser personalizado no Microsoft Entra ID usando uma política de tempo de vida do token.

  • Os tokens de acesso normalmente expiram em 60-90 minutos de acordo com os padrões do Microsoft Entra ID e são atualizados automaticamente

  • Administradores ou usuários podem revogar o acesso a qualquer momento através do Microsoft Entra ID

  • O Microsoft 365 Connector nunca vê ou armazena senhas

Resumo da Arquitetura de Segurança

Fluxo de Autenticação

Artigos relacionados
Começando com Conectores Personalizados Usando Remote MCP
Diretório de Conectores Anthropic - Perguntas Frequentes
Usando o Diretório de Conectores para estender os recursos do Claude
Usando Enterprise Search
Habilitando e Usando o Conector do Microsoft 365
Isto respondeu à sua pergunta?