Что это такое
Microsoft 365 Connector — это интеграция, размещённая на серверах Anthropic, которая позволяет Claude безопасно получать доступ к сервисам Microsoft 365 (Outlook, SharePoint, OneDrive, Teams) через делегированные разрешения пользователя. Anthropic прошла процесс проверки издателя Microsoft, связав нашу проверенную учётную запись Microsoft Partner Network с этим приложением для подтверждения нашей организационной идентичности.
Коннектор работает как защищённый прокси, и ваши документы, письма и файлы Microsoft 365 остаются в вашем тенанте. Коннектор извлекает данные только по требованию во время активных запросов и не кэширует содержимое файлов. Учётные данные зашифрованы и управляются инфраструктурой серверной части Anthropic. Сам MCP-сервер не хранит и не управляет этими учётными данными. Azure SDK компании Microsoft обрабатывает обмен токенами On-Behalf-Of и кэширование для каждого пользователя при доступе к Graph API.
Ограничение доступа
Доступ может быть полностью ограничен
Коннектор предоставляет несколько уровней контроля доступа для решения ваших требований безопасности. Подробную информацию об администрировании Microsoft 365 Connector см. в разделе Enabling and Using the Microsoft 365 Connector.
1. Контроль на уровне организации
Доступ к коннектору для пользователей планов Team и Enterprise требует двухэтапного процесса одобрения. Во-первых, владельцы должны явно включить коннектор Microsoft 365 в параметрах Claude Admin Settings, перейдя в Admin Settings → Connectors → Browse connectors → Add "Microsoft 365". До предоставления этого одобрения пользователи не имеют доступа.
Во-вторых, после того как владелец включит коннектор, глобальный администратор Microsoft Entra должен завершить индивидуальную аутентификацию и предоставить согласие от имени всей организации, прежде чем члены команды смогут подключиться.
2. Требование предварительного согласия администратора Microsoft Entra
Перед тем как пользователи смогут получить доступ к коннектору, администратор Microsoft Entra должен завершить одноразовую настройку, которая:
Добавит два субъекта-службы и корпоративные приложения в Microsoft Entra ID (M365 MCP Client и M365 MCP Server). Это устанавливает идентификацию на уровне сервиса для приложений Microsoft 365 Connector в вашем тенанте
Предоставит предварительное согласие администратора для вашего тенанта Microsoft 365
Опционально ограничит, какие пользователи и группы Microsoft Entra ID могут использовать коннектор
Опционально ограничит разрешения, которые коннектор может использовать, для выборочного контроля того, какие сервисы Microsoft 365 доступны
3. Детальное отзыв разрешений
Вы можете выборочно отключить определённые возможности через Microsoft Entra Admin Center. Например:
Для ограничения | Действие | Эффект |
Всего доступа | Отключить коннектор в Claude Admin Settings | Полное отключение |
Только SharePoint | Отозвать разрешение Sites.Read.All в Entra | Блокирует SharePoint |
Доступ к электронной почте | Отозвать разрешение Mail.Read в Entra | Блокирует Outlook |
Чаты Teams | Отозвать разрешение Chat.Read в Entra | Блокирует Teams |
Файлы OneDrive | Отозвать разрешения Files.Read и/или Files.Read.All | Блокирует чтение файлов из OneDrive |
Изменения вступают в силу немедленно для всех пользователей в вашей организации. Обратите внимание, что пользователи также могут выбрать отключение возможностей, на которые у них есть разрешение, во время чата или сеанса, выборочно отключив инструменты коннектора.
4. Интеграция с Microsoft Conditional Access
Коннектор полностью поддерживает ваши существующие политики Entra (Azure AD):
Многофакторная аутентификация (MFA): Требовать MFA для доступа к коннектору
Соответствие устройства: Требовать управляемые/совместимые устройства
Ограничения по IP: Ограничить аутентификацию Microsoft корпоративной сетью или VPN
Доступ на основе групп: Ограничить доступ определёнными группами безопасности
5. Разрешения на уровне пользователя
Microsoft 365 Connector использует делегированные разрешения.
Пользователи могут получать доступ только к данным Microsoft 365, на которые у них уже есть разрешение
Поиск в SharePoint требует разрешения Sites.Read.All. Разрешения на уровне конкретного сайта (с использованием разрешений *.Selected) не поддерживаются, поскольку базовый поиск охватывает весь тенант.
Пользователи не могут обойти параметры общего доступа SharePoint или разрешения папок
Пользователи не могут получить доступ к приватным файлам или письмам других пользователей
Делегированные разрешения по своей природе соответствуют политикам предотвращения потери