Se sua organização usa AWS Bedrock, Google Cloud Vertex AI ou um gateway LLM para acessar Claude, você pode usar os complementos Claude para Excel e Claude para PowerPoint sem uma conta Claude. O complemento se conecta através da infraestrutura da sua organização, portanto seus prompts e respostas permanecem dentro do seu limite de confiança existente.
Existem três caminhos de conexão, dependendo de como sua organização acessa Claude:
Gateway LLM: O complemento envia solicitações para seu gateway (LiteLLM, Portkey, Kong, etc.), que as roteia para o provedor de sua escolha. Este é o mesmo padrão usado pelo Claude Code. Se sua organização já executa Claude Code através de um gateway LLM, você pode apontar os complementos do Office para o mesmo endpoint—nenhuma infraestrutura nova é necessária.
Bedrock direto: O complemento autentica através do Microsoft Entra ID e chama AWS Bedrock diretamente, sem gateway no meio.
Vertex AI direto: O complemento autentica através do Google OAuth e chama Vertex AI diretamente.
Seu administrador de TI escolhe o caminho durante a implantação. Como usuário final, a experiência é a mesma independentemente de qual caminho sua organização usa.
Requisitos
Os requisitos variam por caminho de conexão.
Todos os caminhos:
Claude para Excel ou Claude para PowerPoint instalado (do Microsoft AppSource ou implantado pelo seu administrador)
Microsoft 365 com Entra ID (para consentimento do administrador e, nos caminhos diretos na nuvem, emissão de token)
Gateway LLM:
Uma URL de gateway e token de API da sua equipe de TI
Bedrock direto:
Uma conta AWS com acesso ao modelo Claude habilitado na região de destino
Um provedor de identidade OIDC do IAM e função configurada para confiar em tokens do Microsoft Entra ID
Vertex AI direto:
Um projeto Google Cloud com a API Vertex AI habilitada e acesso ao modelo Claude na região de destino
Um cliente Google OAuth configurado com o URI de redirecionamento do complemento
A equipe de TI da sua organização gerencia esses recursos. Se você não tiver as credenciais necessárias, entre em contato com eles—a Anthropic não pode fornecê-las ou redefini-las para você.
Lista de permissões de rede
O complemento precisa alcançar domínios específicos para funcionar. Quais domínios dependem se sua organização usa a API Anthropic diretamente (1P) ou uma plataforma de terceiros (3P). Compartilhe a tabela aplicável com sua equipe de rede ou segurança para que eles possam adicionar esses domínios à lista de permissões.
Importante: Em todas as configurações—incluindo terceiros—seus prompts e as respostas do Claude viajam apenas para seu provedor de inferência escolhido (seu gateway, Bedrock ou Vertex AI). Os domínios listados abaixo que apontam para Anthropic (como pivot.claude.ai) servem a interface do complemento, configuração de recursos e telemetria operacional. Eles não carregam conteúdo de prompt ou resposta.
API Anthropic (1P)
Use esta tabela se as pessoas em sua organização entrarem com uma conta Claude e a inferência for para api.anthropic.com.
Domínio | Necessário quando | Propósito |
pivot.claude.ai | Sempre | Host do complemento. Serve a interface do painel de tarefas e proxies de análise, pesquisa de ícones, downloads de habilidades e telemetria. |
claude.ai | Sempre | Entrada OAuth do Anthropic e avaliação de sinalizadores de recursos. |
api.anthropic.com | Sempre | API de inferência Claude, uploads de arquivos, contêineres de execução de código e registro do conector MCP. |
appsforoffice.microsoft.com | Sempre | Script de tempo de execução Microsoft Office.js. Necessário por todos os complementos do Office. |
o1158394.ingest.us.sentry.io | Opcional | Relatório de falhas e erros. Bloquear isso degrada apenas o diagnóstico; o complemento ainda funciona. |
mcp-proxy.anthropic.com | Se usar conectores MCP | Proxy para chamadas de ferramentas do conector MCP. |
bridge.claudeusercontent.com | Se usar trabalho entre aplicativos | Ponte WebSocket para o recurso de trabalho entre aplicativos. |
Plataformas de terceiros (3P)
Use esta tabela se as pessoas em sua organização entrarem com Microsoft Entra ID e a inferência for para seu gateway LLM, Bedrock ou Vertex AI.
Domínio | Obrigatório quando | Finalidade |
pivot.claude.ai | Sempre | Host do suplemento. Fornece a interface do painel de tarefas e funciona como proxy para análises, pesquisa de ícones e telemetria. |
claude.ai/api/ | Sempre | Avaliação de sinalizadores de recursos. Sem entrada; o suplemento apenas busca sua configuração aqui. |
appsforoffice.microsoft.com | Sempre | Script de tempo de execução do Microsoft Office.js (obrigatório para todos os suplementos do Office). |
login.microsoftonline.com | Sempre | Entrada do Microsoft Entra ID via Nested App Auth. Lê a configuração do gateway provisionada pelo administrador e emite tokens para autenticação direta na nuvem. |
o1158394.ingest.us.sentry.io | Opcional | Relatório de falhas e erros. Bloquear isso prejudica apenas o diagnóstico; o suplemento continua funcionando. |
URL do seu gateway LLM | Se usar um gateway LLM | Gateway LLM da sua organização (LiteLLM, Portkey, Kong, etc.). A inferência vai aqui em vez de api.anthropic.com. |
sts.amazonaws.com | Se usar Bedrock direto | AWS STS. Troca o token Entra ID por credenciais temporárias do Bedrock. |
bedrock-runtime.<region>.amazonaws.com | Se usar Bedrock direto | Ponto de extremidade de inferência do Bedrock. Substitua <region> pela sua região AWS configurada (por exemplo, us-east-1). |
accounts.google.com | Se usar Vertex AI direto | Tela de consentimento do Google OAuth. |
oauth2.googleapis.com | Se usar Vertex AI direto | Troca e atualização de token do Google OAuth. |
aiplatform.googleapis.com | Se usar Vertex AI direto | Ponto de extremidade de inferência global do Vertex AI. |
<region>-aiplatform.googleapis.com | Se usar Vertex AI direto | Ponto de extremidade de inferência regional do Vertex AI. Substitua <region> pela sua região GCP configurada (por exemplo, us-east5). |
Implantar o suplemento para uso de terceiros (administradores de TI)
Use o plugin claude-in-office para configurar e implantar o suplemento em sua organização. Esta ferramenta gerencia o provisionamento de recursos na nuvem (se usar Bedrock ou Vertex AI direto), gera o manifesto do suplemento e obtém consentimento do administrador em um único fluxo guiado.
Use o assistente de configuração
Instale o plugin e execute o assistente de configuração interativo:
claude plugin marketplace add anthropics/financial-services-plugins
claude plugin install claude-in-office@financial-services-plugins
/claude-in-office:setup
O assistente o guia pelo seu caminho de conexão:
Gateway LLM: Coleta a URL e o token do seu gateway, gera o manifesto e gerencia o consentimento do administrador do Azure.
Bedrock direto: Cria o provedor de identidade OIDC do IAM e a função, gera o manifesto e gerencia o consentimento do administrador do Azure.
Vertex AI direto: O guia você na criação do cliente OAuth do Google, gera o manifesto e gerencia o consentimento do administrador do Azure.
Quando o assistente é concluído, o suplemento está pronto para ser implantado em toda a organização.
Nota: Os caminhos Bedrock e Vertex AI exigem Node.js para geração e validação de manifesto. O assistente verifica e solicita a instalação se estiver faltando.
Você pode usar os seguintes comandos dentro de uma sessão claude-in-office:
Comando | O que faz |
| Assistente interativo—provisiona recursos de nuvem, consentimento do administrador, escreve manifesto |
| Gera o XML de manifesto do suplemento personalizado |
| Gera a URL de consentimento do administrador do Azure para o registro do aplicativo do suplemento |
| Escreve configuração por usuário via atributos de extensão do Microsoft Graph |
O que o assistente provisiona
O assistente automatiza a criação de recursos com base no seu caminho de conexão. Aqui está o que ele configura:
Gateway LLM: Nenhum recurso de nuvem para provisionar. O assistente coleta sua URL de gateway e token, depois gera o manifesto.
Bedrock direto: Cria um provedor de identidade OIDC do IAM que confia em tokens do Microsoft Entra ID, uma função com permissões bedrock:InvokeModel e bedrock:InvokeModelWithResponseStream, e uma política de confiança limitada à ID do aplicativo do suplemento Claude.
Vertex AI direto: Orienta você na criação de um cliente OAuth do Google no Console do GCP (esta etapa não pode ser automatizada via CLI), ativa a API Vertex AI e captura a ID do cliente e o segredo para o manifesto.
Configuração por usuário
Se alguns valores variam por usuário—por exemplo, tokens de gateway diferentes ou funções AWS diferentes para equipes diferentes—o assistente pode escrever configuração por usuário via atributos de extensão do Microsoft Graph. Execute /claude-in-office:update-user-attrs com as chaves por usuário após a configuração inicial.
Implantar no Microsoft 365
Depois que o assistente gera seu manifesto:
Abra o Centro de Administração do Microsoft 365 e vá para Configurações > Aplicativos Integrados > Carregar aplicativos personalizados.
Selecione "Suplemento do Office" como o tipo de aplicativo e carregue o arquivo manifest.xml.
Escolha quem recebe o suplemento:
Se todos os usuários compartilham a mesma configuração, selecione "Toda a organização".
Se você escreveu atributos por usuário na etapa anterior, atribua a Usuários/grupos específicos que correspondam exatamente aos configurados. Qualquer outra pessoa abriria o suplemento sem configuração.
Aceite as permissões e conclua a implantação.
A propagação para usuários leva até 24 horas (geralmente muito mais rápido). O suplemento aparece em Início > Suplementos no Excel e PowerPoint assim que chegar.
Nota: Comece com um grupo piloto para confirmar que o suplemento funciona, depois amplie a atribuição. Você pode alterar a atribuição posteriormente sem reimplantar.
Depois de implantar o suplemento, seus usuários podem se conectar seguindo as etapas abaixo.
Instruções de conexão para usuários finais
Gateway LLM
Abra o Excel ou PowerPoint e inicie o suplemento Claude.
Na tela de entrada, selecione "Gateway corporativo".
Digite a URL do Gateway e o token de API fornecidos pela sua equipe de TI.
URL do Gateway: A URL base HTTPS do seu proxy LLM (por exemplo, https://llm-gateway.yourcompany.com).
Token de API: O token de portador que seu proxy espera. O suplemento envia isso no cabeçalho Authorization: Bearer <token> com cada solicitação.
O suplemento verifica a conexão enviando uma solicitação de teste para o gateway. Se for bem-sucedida, você verá a experiência principal do aplicativo.
Suas credenciais são armazenadas localmente no localStorage do seu navegador dentro do iframe em sandbox do suplemento. Elas não são sincronizadas com os servidores da Anthropic. Como o suplemento do Office é executado dentro de um iframe em sandbox no aplicativo Microsoft, ele não pode usar seu keychain do SO da maneira que o Claude Code faz—por esse motivo, insira apenas tokens emitidos pelo gateway, não credenciais brutas do provedor de nuvem.
Bedrock ou Vertex AI direto
Abra o Excel ou PowerPoint e inicie o suplemento Claude.
Entre com sua conta corporativa do Microsoft. O suplemento usa seu token do Entra ID para autenticar com seu provedor de nuvem—nenhuma credencial de nuvem separada é necessária.
O suplemento lê a configuração que seu administrador provisionou e se conecta ao Bedrock ou Vertex AI diretamente.
Se você vir um erro na entrada, confirme com sua equipe de TI que sua conta está no grupo atribuído ao suplemento.
Alterar ou atualizar sua conexão
Se seu token de API expirar ou sua equipe de TI lhe der uma nova URL, vá para "Configurações" na barra lateral do suplemento, digite os novos valores e selecione "Testar conexão".
Requisitos de gateway para equipes de TI
Os suplementos do Office suportam apenas o formato da API de Mensagens Anthropic via o endpoint Unificado. Isso é mais específico que o Claude Code, que também suporta formatos Bedrock InvokeModel e Vertex rawPredict diretamente.
Endpoints obrigatórios
Seu gateway deve expor estes dois endpoints:
Endpoint | Descrição |
/v1/messages | Envie mensagens para Claude. Suporta respostas em streaming e não-streaming. |
/v1/models | Liste modelos disponíveis. |
Cabeçalhos obrigatórios
O gateway deve encaminhar os seguintes cabeçalhos de solicitação do add-in para o provedor upstream:
anthropic-beta — Ativa recursos beta necessários pelo add-in.
anthropic-version — Especifica a versão da API para formato de solicitação/resposta.
Falhar no encaminhamento desses cabeçalhos pode resultar em funcionalidade reduzida ou impedir o funcionamento do add-in.
Descoberta de modelos
No login, o add-in valida o token via GET /v1/messages e tenta descobrir modelos Claude disponíveis via GET /v1/models. Se seu gateway não expor uma lista de modelos nesse caminho, o add-in volta a solicitar ao usuário um ID de modelo manualmente.
Diferenças da configuração do gateway Claude Code
Aspecto | Claude Code | Claude para Excel e PowerPoint |
Formatos de API suportados | Anthropic Messages, Bedrock InvokeModel, Vertex rawPredict | Apenas Anthropic Messages (endpoint unificado) |
Tipos de endpoint | Unificado e pass-through | Apenas unificado |
Armazenamento de credenciais | Chaveiro do SO ou variáveis de ambiente | localStorage do navegador (iframe em sandbox) |
Configuração de autenticação | Variáveis de ambiente, arquivo de configuração, scripts auxiliares | Entrada manual na UI do add-in (gateway) ou Entra ID (nuvem direta) |
Atualização de token | Suporta scripts auxiliares para rotação | Re-entrada manual em configurações (gateway) ou automática via Entra ID (nuvem direta) |
Nomes de modelos personalizados | Configurável via variáveis de ambiente | Não configurável na v1 |
Exemplo de configuração de gateway com LiteLLM
Aviso: As versões 1.82.7 e 1.82.8 do LiteLLM PyPI foram comprometidas com malware que rouba credenciais. Não instale essas versões. Se você já as instalou:
Remova o pacote
Rotacione todas as credenciais nos sistemas afetados
Siga as etapas de remediação em BerriAI/litellm#24518
LiteLLM é um serviço proxy de terceiros. Anthropic não endossa, mantém ou audita a segurança ou funcionalidade do LiteLLM. Este guia é fornecido para fins informativos e pode ficar desatualizado. Use por sua conta e risco.
Muitas organizações usam LiteLLM como seu gateway. Abaixo está um litellm_config.yaml mínimo para rotear solicitações de add-in do Office para Anthropic, Bedrock ou Vertex.
Roteamento para Anthropic diretamente
yaml
model_list:
- model_name: claude-sonnet-4-5-20250929
litellm_params:
model: claude-sonnet-4-5-20250929
api_key: os.environ/ANTHROPIC_API_KEY
litellm_settings:
drop_params: true
Roteamento para Amazon Bedrock
yaml
model_list:
- model_name: claude-sonnet-4-5-20250929
litellm_params:
model: bedrock/anthropic.claude-sonnet-4-5-20250929-v1:0
aws_region_name: us-east-1
litellm_settings:
drop_params: true
Roteamento para Google Cloud Vertex AI
yaml
model_list:
- model_name: claude-sonnet-4-5-20250929
litellm_params:
model: vertex_ai/claude-sonnet-4-5-20250929
vertex_project: your-gcp-project-id
vertex_location: us-east5
litellm_settings:
drop_params: true
Roteamento para Azure
yaml
model_list:
- model_name: claude-sonnet-4-5-20250929
litellm_params:
model: azure_ai/claude-sonnet-4-5-20250929
api_base: https://your-resource.services.ai.azure.com/anthropic
api_key: os.environ/AZURE_API_KEY
extra_headers:
x-api-key: os.environ/AZURE_API_KEY
litellm_settings:
drop_params: true
Para instruções de configuração detalhadas, consulte a documentação de formato Anthropic do LiteLLM.
O que a Anthropic coleta
Mesmo quando a inferência passa pela sua própria infraestrutura, o complemento se comunica com pivot.claude.ai para carregar sua interface e com claude.ai/api/ para avaliar sinalizadores de recursos. Essas conexões transmitem telemetria operacional—como quais recursos são usados, tempos de desempenho e taxas de erro—para que a Anthropic possa manter e melhorar a experiência do complemento. Elas não transmitem seus prompts ou as respostas do Claude.
A Anthropic coleta informações de acordo com os termos do AWS Bedrock, Google Cloud Vertex AI ou Microsoft Azure, consistente com os acordos da Anthropic com clientes. A Anthropic não tem acesso à instância AWS, Google ou Microsoft de um cliente, incluindo prompts ou saídas que ela contém. A Anthropic não treina modelos generativos com esse conteúdo nem o usa para outros fins. A Anthropic pode acessar metadados—como uso de ferramentas, contagens de tokens e itens similares—e usar esses metadados para fins analíticos e de melhoria de produtos.
Para detalhes sobre o que o gateway ou provedor de nuvem da sua organização registra, entre em contato com sua equipe de TI.
Como isso difere de fazer login com uma conta Claude
Quando você faz login com uma conta Claude, os complementos se conectam diretamente à Anthropic. Quando você se conecta através de uma plataforma de terceiros, os complementos enviam solicitações de inferência para a infraestrutura da sua organização, e sua equipe de TI controla como esse tráfego é roteado e registrado.
Alguns recursos que dependem de ter uma conta Claude ainda não estão disponíveis através de plataformas de terceiros, mas estamos trabalhando para adicionar suporte:
Recurso | Conta Claude | Plataforma de terceiros |
Conversar com sua planilha ou apresentação | ✓ | ✓ |
Ler e editar células, slides, fórmulas | ✓ | ✓ |
Conectores (S&P, FactSet, etc.) | ✓ | Em breve |
Trabalhar entre aplicativos | ✓ | — |
Habilidades | ✓ | Em breve |
Uploads de arquivo | ✓ | — |
Pesquisa na web | ✓ | Apenas Vertex |
Se sua equipe precisar desses recursos, converse com seu administrador Claude sobre qual caminho de login se adequa à sua organização.
Solução de problemas
"Conexão recusada" ou erro de rede
A URL do gateway ou o endpoint de nuvem está inacessível a partir da rede do usuário. Verifique se a URL está correta, o serviço está em execução e não há restrições de firewall ou VPN bloqueando a conexão. Verifique a seção Lista de permissões de rede acima para confirmar que todos os domínios necessários são permitidos.
401 Não autorizado ou "Token inválido"
O token de autenticação é inválido ou expirou. Para conexões de gateway, confirme o token com sua equipe de TI. Para conexões diretas de nuvem, verifique se a conta Entra ID do usuário está no grupo atribuído e se a confiança OIDC ou o cliente OAuth está configurado corretamente.
403 Proibido ou "Acesso negado"
O token é válido, mas não tem as permissões corretas. Para Bedrock, verifique se a função IAM tem permissões bedrock:InvokeModel. Para Vertex, verifique se a conta de serviço tem permissões aiplatform.endpoints.predict. Para gateways, verifique o escopo do token com seu administrador de TI.
404 Não encontrado
O complemento não conseguiu alcançar o caminho de API esperado. Para gateways, verifique se a URL é a URL base (por exemplo, https://litellm-server:4000)—não inclua /v1/messages no campo URL.
500 ou outros erros de servidor
O gateway ou provedor de nuvem encontrou um erro interno. Verifique seus logs de gateway (por exemplo, docker logs litellm se estiver usando LiteLLM) para erros de provedor upstream. Tente a solicitação novamente e entre em contato com seu administrador de TI se o problema persistir.
"Nenhum modelo disponível"
O complemento não conseguiu encontrar modelos Claude. Para gateways, seu gateway pode não expor uma lista de modelos em GET /v1/models. Sua equipe de TI pode configurar o gateway para servir uma lista de modelos ou fornecer um ID de modelo específico para você inserir manualmente. Para Bedrock ou Vertex, confirme que pelo menos um modelo Claude (Claude Sonnet 4.5 ou posterior) está habilitado em sua conta e região.
Respostas de streaming falham ou travam
Verifique se seu gateway suporta passagem de Server-Sent Events (SSE). Algumas configurações de proxy removem ou armazenam em buffer conexões SSE, o que impede que respostas de streaming cheguem ao complemento.
Um recurso que eu esperava não está disponível
Conectores, habilidades, uploads de arquivos e Trabalhar Entre Aplicativos ainda não estão disponíveis em plataformas de terceiros. Se você precisar desses recursos, peça ao seu administrador para fazer login com uma conta Claude.