本文将指导管理员在 Claude 中为其组织启用 Microsoft 365 连接器,包括授予 Microsoft Entra 同意、限制访问和管理权限。设置完成后,租户中的用户可以将 Microsoft 365 连接到自己的 Claude 账户,并在 Claude 中搜索 SharePoint、OneDrive、Outlook 和 Teams。
Microsoft 365 连接器适用于所有 Claude 计划:免费版、专业版、Max 版、团队版和企业版。
有关设置完成后连接和使用 Microsoft 365 的最终用户说明,请参阅 将 Claude 连接到 Microsoft 365。
重要提示:Microsoft 365 连接器需要与 Microsoft 商业计划关联的 Microsoft Entra 租户。个人 Microsoft 账户(如 @outlook.com 或 @hotmail.com 地址)无法用于连接。
设置概览
在组织中的任何人都可以连接 Microsoft 365 之前,需要完成两件事:
在团队版和企业版计划上:Claude 组织所有者为组织启用 Microsoft 365 连接器。
在每个租户中:Microsoft Entra 全局管理员授予一次性同意,授权为租户进行集成。
完成两项操作后,成员可以按照 将 Claude 连接到 Microsoft 365 中的步骤将 Microsoft 365 连接到自己的 Claude 账户。
为组织启用连接器
此步骤仅适用于团队版和企业版计划。在免费版、专业版和 Max 版计划上,请跳到下一部分。
登录 Claude。
导航到 组织设置 > 连接器。
单击页面顶部的"+ 添加",然后单击"所有可用"。
找到 Microsoft 365 并单击"添加到您的团队"。
授予 Microsoft Entra 管理员同意
租户中的 Microsoft Entra 全局管理员需要在任何人都可以连接之前授权集成。有两种方法可以执行此操作。
选项 1:通过 Claude 同意
如果您的 Microsoft Entra 全局管理员拥有 Claude 账户,他们可以在标准连接流程中授予同意:
导航到 自定义 > 连接器。
找到 Microsoft 365 并单击"连接"。
使用 Microsoft 365 凭据进行身份验证。
查看并接受请求的权限,勾选复选框以代表整个组织授予访问权限。
之后,同一 Entra 租户中的其他人可以按照标准最终用户步骤进行连接。他们不会看到同意提示,只需进行身份验证并开始使用集成。
选项 2:在 Microsoft Entra ID 中手动设置
如果您的 Microsoft Entra 全局管理员没有 Claude 账户,或者您需要排查应用安装和权限设置问题,请使用此路径。您可以直接在 Microsoft Entra ID 中添加连接器应用并授予管理员同意。
此过程向租户添加两个服务主体。每个主体为两个 M365 MCP for Claude 应用注册之一建立服务级别身份,允许它们通过 Microsoft Graph API 访问和交互您的组织的数据和资源。
1. 添加服务主体
使用 Microsoft Graph Explorer,添加两个必需的服务主体:
M365 MCP Client for Claude:
POST https://graph.microsoft.com/v1.0/servicePrincipals
{"appId":"08ad6f98-a4f8-4635-bb8d-f1a3044760f0"}
M365 MCP Server for Claude:
POST https://graph.microsoft.com/v1.0/servicePrincipals
{"appId":"07c030f6-5743-41b7-ba00-0a6e85f37c17"}
2. 授予管理员同意
在浏览器中构建并访问以下 URL,将 {your-tenant-id} 替换为您的组织的租户 ID。
M365 MCP Client for Claude:
https://login.microsoftonline.com/{your-tenant-id}/adminconsent?client_id=08ad6f98-a4f8-4635-bb8d-f1a3044760f0
M365 MCP Server for Claude:
https://login.microsoftonline.com/{your-tenant-id}/adminconsent?client_id=07c030f6-5743-41b7-ba00-0a6e85f37c17访问每个 URL 时,系统会提示您代表组织同意集成所需的委派权限。
3. 完成设置
团队版和企业版计划:Claude 组织所有者需要在 组织设置 > 连接器 中启用连接器。然后成员可以单独连接。
免费版、专业版和 Max 版计划:成员可以通过导航到 自定义 > 连接器、找到 Microsoft 365 并单击"连接"来连接。
限制谁可以使用连接器
要限制租户中哪些人可以通过 Claude 对 Microsoft 365 进行身份验证:
转到 entra.microsoft.com 的 Microsoft Entra 管理中心。
导航到 M365 MCP Server for Claude 企业应用程序。
转到 属性 并将 需要分配? 设置为"是"。
在 用户和组 下,添加应该有权访问的特定用户或组。
对 M365 MCP Client for Claude 企业应用程序重复相同的步骤。
两个组件都需要限制为同一组授权人员。
限制连接器可以使用的权限
要限制集成可以访问的资源类型,请从默认授权范围集中有选择地撤销权限。这需要 Microsoft Entra 管理员访问权限。
作为 Microsoft Entra 管理员,请转到 entra.admin.com。
选择"企业应用程序"。
在搜索框旁边,移除应用程序类型筛选器。
搜索并点击"M365 MCP Server for Claude"。
转到权限。
在管理员同意选项卡下的 Microsoft Graph 权限列表中,选择要撤销的权限,然后点击"…"按钮。
选择"撤销权限"并用"是,撤销"确认。
撤销后,尝试使用该权限访问资源将返回"调用工具失败"错误。
成员还可以在自己的 Microsoft 365 设置中单独关闭特定工具,以防止 Claude 尝试访问已撤销权限的工具。
要恢复已撤销的权限,请按照选项 2:在 Microsoft Entra ID 中手动设置中描述的步骤授予管理员同意。这将把权限恢复为默认状态。
权限参考
Microsoft 365 连接器使用委派权限,这意味着 Claude 代表每个用户行动,只能访问该用户已有权限在 Microsoft 365 中查看的数据。权限是只读的——Claude 无法修改、删除或在您的租户中创建内容。
在身份验证期间,集成请求以下权限:
基本访问
User.Read:登录并读取用户配置文件openid:使用组织帐户登录offline_access:保持对数据的访问email:查看电子邮件地址profile:查看基本配置文件信息
电子邮件 (Outlook)
Mail.Read:读取电子邮件Mail.ReadBasic:读取电子邮件元数据(发件人、主题、日期)Mail.Read.Shared:读取用户有权访问的邮箱中的电子邮件MailboxFolder.Read:读取邮箱文件夹结构MailboxItem.Read:读取邮箱中的项目
日历
Calendars.Read:读取日历事件Calendars.Read.Shared:读取与用户共享的日历
Teams 聊天
Chat.Read:读取 Teams 聊天消息Chat.ReadBasic:读取 Teams 聊天元数据ChatMember.Read:读取聊天参与者信息ChatMessage.Read:读取 Teams 聊天消息
Teams 频道
Channel.ReadBasic.All:读取频道名称和描述ChannelMessage.Read.All:读取频道消息
会议
OnlineMeetings.Read:读取在线会议OnlineMeetingTranscript.Read.All:读取会议记录OnlineMeetingAiInsight.Read:读取 AI 生成的会议见解OnlineMeetingArtifact.Read.All:读取会议录制和工件OnlineMeetingRecording.Read.All:读取会议录制
文件 (OneDrive 和 SharePoint)
Files.Read:读取用户文件Files.Read.All:读取用户可以访问的所有文件Sites.Read.All:读取 SharePoint 网站中的项目
用户目录
User.ReadBasic.All:读取组织中所有用户的基本配置文件信息(用于查找会议可用性)
Microsoft 365 连接器使用用户的权限在整个租户中搜索 SharePoint。不支持特定于网站的搜索限制。
隐私和安全
权限继承:Claude 镜像每个用户现有的 Microsoft 365 权限。成员无法通过 Claude 访问他们在 Microsoft 365 中无法直接查看的任何内容。
按需访问:Claude 仅在用户明确提出需要数据的问题时才访问数据。
可撤销的访问权限:成员可以通过 自定义 > 连接器 断开自己的集成。Team 和 Enterprise 计划所有者也可以在 组织设置 > 连接器 中为整个组织移除连接器。
有关更多详情,请参阅 Microsoft 365 连接器安全指南。
故障排除
成员无法进行身份验证
确认其账户已关联到 Microsoft Entra 租户,而不是个人 Microsoft 账户。
确认其 Microsoft 365 许可证处于活跃状态。
确认已使用上述选项 1 或选项 2 授予管理员同意。
检查组织策略(如条件访问)是否阻止了第三方应用身份验证。
成员看到"调用工具失败"错误
权限可能已在 Microsoft Entra 中被选择性撤销。成员可以在其 Microsoft 365 设置中关闭相应的工具以抑制错误,或者您可以通过重复 选项 2:Microsoft Entra ID 中的手动设置 中的管理员同意步骤来恢复权限。
常见问题
如果成员在授予同意前尝试连接会发生什么?
他们会看到一条错误消息,指示管理员必须授予应用权限才能使用集成。在 Microsoft Entra 全局管理员批准必要权限之前,连接将失败。
Microsoft 365 连接器可以与企业搜索一起使用吗?
可以。启用企业搜索后,它可以查询 Microsoft 365 以及其他连接的服务,以实现跨 Slack、Google Workspace、Microsoft 365 等的统一搜索。
集成可以修改 Microsoft 365 数据吗?
不能。所有权限都是只读的。Claude 可以搜索和分析 Microsoft 365 数据,但无法创建、编辑或删除文档;发送电子邮件或日历邀请;修改 SharePoint 网站或 OneDrive 文件;或更改 Teams 设置或权限。