跳转到主要内容

设置 Microsoft 365 连接器

本文将指导管理员为其组织在 Claude 中启用 Microsoft 365 连接器,包括授予 Microsoft Entra 同意、限制访问和管理权限。设置完成后,租户中的用户可以将 Microsoft 365 连接到自己的 Claude 账户,以便从 Claude 中搜索 SharePoint、OneDrive、Outlook 和 Teams。您还可以启用写入工具,允许 Claude 代表成员发送电子邮件、管理日历事件以及创建和更新文件。

Microsoft 365 连接器适用于所有 Claude 计划:免费版、专业版、Max 版、团队版和企业版。

有关设置完成后连接和使用 Microsoft 365 的最终用户说明,请参阅 将 Claude 连接到 Microsoft 365

重要提示:Microsoft 365 连接器需要与 Microsoft 商业计划关联的 Microsoft Entra 租户。个人 Microsoft 账户(如 @outlook.com 或 @hotmail.com 地址)无法用于连接。


设置概览

在组织中的任何人都可以连接 Microsoft 365 之前,需要进行两项操作,如果要启用写入工具,还需要进行可选的第三步:

  1. 在团队版和企业版计划上:Claude 组织所有者为组织启用 Microsoft 365 连接器。

  2. 在每个租户中:Microsoft Entra 全局管理员授予一次性同意,授权为您的租户进行集成。

  3. 启用写入工具:Microsoft Entra 管理员同意更新的权限集,您为组织启用写入工具。请参阅下面的 启用写入工具

完成这些步骤后,成员可以按照 将 Claude 连接到 Microsoft 365 中的步骤将 Microsoft 365 连接到自己的 Claude 账户。

为您的组织启用连接器

此步骤仅适用于团队版和企业版计划。在免费版、专业版和 Max 版计划上,请跳到下一部分。

  1. 登录 Claude。

  2. 单击页面顶部的"+ 添加",然后单击"所有可用"。

  3. 找到 Microsoft 365 并单击"添加到您的团队"。

授予 Microsoft Entra 管理员同意

您租户中的 Microsoft Entra 全局管理员需要在任何人都可以连接之前授权集成。有两种方法可以执行此操作。

选项 1:通过 Claude 同意

如果您的 Microsoft Entra 全局管理员拥有 Claude 账户,他们可以在标准连接流程中授予同意:

  1. 找到 Microsoft 365 并单击"连接"。

  2. 使用 Microsoft 365 凭据进行身份验证。

  3. 查看并接受请求的权限,勾选该框以代表整个组织授予访问权限。

之后,同一 Entra 租户中的其他人可以按照标准最终用户步骤进行连接。他们不会看到同意提示——他们只需进行身份验证并开始使用集成。

选项 2:在 Microsoft Entra ID 中手动设置

如果您的 Microsoft Entra 全局管理员没有 Claude 账户,或者您需要排查应用安装和权限设置问题,请使用此路径。您可以直接在 Microsoft Entra ID 中添加连接器应用并授予管理员同意。

此过程向您的租户添加两个服务主体。每个主体为两个 M365 MCP for Claude 应用注册之一建立服务级别身份,允许它们通过 Microsoft Graph API 访问和交互您的组织的数据和资源。

1. 添加服务主体

使用 Microsoft Graph Explorer 添加两个必需的服务主体:

M365 MCP Client for Claude:

POST https://graph.microsoft.com/v1.0/servicePrincipals
{"appId":"08ad6f98-a4f8-4635-bb8d-f1a3044760f0"}

M365 MCP Server for Claude:

POST https://graph.microsoft.com/v1.0/servicePrincipals
{"appId":"07c030f6-5743-41b7-ba00-0a6e85f37c17"}

2. 授予管理员同意

构造并在浏览器中访问以下 URL,将 {your-tenant-id} 替换为您的组织的租户 ID。

M365 MCP Client for Claude:

https://login.microsoftonline.com/{your-tenant-id}/adminconsent?client_id=08ad6f98-a4f8-4635-bb8d-f1a3044760f0

M365 MCP Server for Claude:

https://login.microsoftonline.com/{your-tenant-id}/adminconsent?client_id=07c030f6-5743-41b7-ba00-0a6e85f37c17

访问每个 URL 时,系统会提示您代表您的组织同意集成所需的委派权限。

3. 完成设置

  • 团队版和企业版计划:Claude 组织所有者需要在 组织设置 > 连接器 中启用连接器。然后成员可以单独连接。

  • 免费版、专业版和 Max 版计划:成员可以通过导航到 自定义 > 连接器、找到 Microsoft 365 并单击"连接"来连接。

限制谁可以使用连接器

要限制租户中哪些人可以通过 Claude 向 Microsoft 365 进行身份验证:

  1. 转到位于 entra.microsoft.com 的 Microsoft Entra 管理中心。

  2. 导航到 M365 MCP Server for Claude 企业应用程序。

  3. 转到 属性 并将 需要分配? 设置为"是"。

  4. 用户和组 下,添加应该有权访问的特定用户或组。

  5. M365 MCP Client for Claude 企业应用程序重复相同的步骤。

两个组件都需要限制为同一组授权人员。

限制连接器可以使用的权限

要限制集成可以访问的资源类型,请从默认授权范围集中有选择地撤销权限。这需要 Microsoft Entra 管理员访问权限。

  1. 作为 Microsoft Entra 管理员,请转到 entra.admin.com。

  2. 选择"企业应用程序"。

  3. 在搜索框旁边,移除应用程序类型筛选器。

  4. 搜索并点击"M365 MCP Server for Claude"。

  5. 转到权限

  6. 管理员同意选项卡下的 Microsoft Graph 权限列表中,选择要撤销的权限,然后点击""按钮。

  7. 选择"撤销权限"并用"是,撤销"确认。

撤销后,尝试使用该权限访问资源将返回"调用工具失败"错误。

成员还可以在自己的 Microsoft 365 设置中单独关闭特定工具,以防止 Claude 尝试访问已撤销权限的工具。

要恢复已撤销的权限,请按照选项 2:在 Microsoft Entra ID 中手动设置中描述的步骤授予管理员同意。这将把权限恢复为默认状态。


启用写入工具

写入工具让 Claude 可以发送电子邮件、管理草稿和日历事件、更新邮箱设置,以及在 OneDrive 和 SharePoint 中创建和更新文件。无论是否启用写入工具,读取和搜索工具的工作方式相同。

1. 重新同意更新的权限

连接器的权限集现在包括额外的 Microsoft Graph 范围以支持写入工具。如果您的租户在写入工具推出前同意,Microsoft Entra 全局管理员需要在写入工具激活前审查并批准更新的权限集。在您租户的企业应用程序同意流程中审查并批准连接器的更新权限。这是每个租户的一次性操作。

2. 为您的组织启用写入工具

如果您的组织在写入工具推出前使用了连接器,它们将默认被阻止。通过转到组织设置 > 连接器为所有人启用它们,找到

3. 验证

启用后,请要求 Claude 执行低风险写入操作,例如"为我起草一封电子邮件,但不要发送",以确认写入工具处于活动状态。

注意:Claude 发送的电子邮件包含标识为代理启动的属性标头。文件和日历写入目前未标记。写入工具不支持附件,因此发送、转发和起草都会拒绝包含附件的邮件。写入工具还受到每个用户的写入、发送和收件人数量限制。


权限参考

Microsoft 365 连接器使用委派权限,这意味着 Claude 代表每个用户行动,只能访问该用户已有权限在 Microsoft 365 中查看的数据。权限是只读的——Claude 无法修改、删除或在您的租户中创建内容。

在身份验证期间,集成请求以下权限:

基本访问

  • User.Read:登录并读取用户资料

  • openid:使用组织帐户登录

  • offline_access:保持对数据的访问

  • email:查看电子邮件地址

  • profile:查看基本资料信息

电子邮件 (Outlook)

  • Mail.Read:读取电子邮件

  • Mail.ReadBasic:读取电子邮件元数据(发件人、主题、日期)

  • Mail.Read.Shared:读取用户有权访问的邮箱中的电子邮件

  • MailboxFolder.Read:读取邮箱文件夹结构

  • MailboxItem.Read:读取邮箱中的项目

  • MailboxSettings.Read:读取邮箱设置,如用户的时区

注意:共享邮箱访问权限通过Mail.Read.Shared权限包含。成员可以在 Microsoft 365 中搜索他们有委派访问权限的共享邮箱,包括完全访问和文件夹级别委派。除了标准管理员同意和 Microsoft 365 中已配置的委派权限外,无需其他设置。

日历

  • Calendars.Read:读取日历事件

  • Calendars.Read.Shared:读取与用户共享的日历

Teams 聊天

  • Chat.Read:读取 Teams 聊天消息

  • Chat.ReadBasic:读取 Teams 聊天元数据

  • ChatMember.Read:读取聊天参与者信息

  • ChatMessage.Read:读取 Teams 聊天消息

Teams 频道

  • Channel.ReadBasic.All:读取频道名称和描述

  • ChannelMessage.Read.All:读取频道消息

会议

  • OnlineMeetings.Read:读取在线会议

  • OnlineMeetingTranscript.Read.All:读取会议记录

  • OnlineMeetingAiInsight.Read:读取 AI 生成的会议见解

  • OnlineMeetingArtifact.Read.All:读取会议录制和工件

  • OnlineMeetingRecording.Read.All:读取会议录制

文件(OneDrive 和 SharePoint)

  • Files.Read:读取用户文件

  • Files.Read.All:读取用户可以访问的所有文件

  • Sites.Read.All:读取 SharePoint 网站中的项目

写入权限

以下权限支持写入工具,并包含在更新的同意集中:

  • Mail.Send:发送和转发电子邮件

  • Mail.ReadWrite:创建、更新和删除草稿;移动和标记邮件

  • Calendars.ReadWrite:创建、更新、删除和响应日历事件

  • Files.ReadWrite.All:在 OneDrive 和 SharePoint 中创建和更新文件

  • MailboxSettings.ReadWrite:管理类别、收件箱规则和自动回复

用户目录

  • User.ReadBasic.All:读取组织中所有用户的基本个人资料信息(用于查找会议可用性)

Microsoft 365 连接器使用用户的权限在整个租户中搜索 SharePoint。不支持特定于网站的搜索限制。

隐私和安全

  • 权限继承:Claude 镜像每个用户现有的 Microsoft 365 权限。成员无法通过 Claude 访问他们在 Microsoft 365 中无法直接看到的任何内容。

  • 按需访问:Claude 仅在用户明确提出需要数据的问题时才访问数据。

  • 可撤销的访问:成员可以通过 自定义 > 连接器 断开自己的集成。Team 和 Enterprise 计划所有者也可以在 组织设置 > 连接器 中为整个组织删除连接器。

有关更多详情,请参阅 Microsoft 365 连接器安全指南


故障排除

成员无法进行身份验证

  1. 确认其帐户已关联到 Microsoft Entra 租户,而不是个人 Microsoft 帐户。

  2. 确认其 Microsoft 365 许可证处于活跃状态。

  3. 确认已使用上述选项 1 或选项 2 授予管理员同意。

  4. 检查组织策略(如条件访问)是否阻止第三方应用身份验证。

成员看到"调用工具失败"错误

权限可能已在 Microsoft Entra 中被选择性撤销。成员可以在其 Microsoft 365 设置中关闭相应的工具以抑制错误,或者您可以通过重复 选项 2:在 Microsoft Entra ID 中手动设置 中的管理员同意步骤来恢复权限。

成员看不到写入工具

  1. 确认 Microsoft Entra 管理员已同意包含写入范围的更新权限集。

  2. 确认在 Microsoft 365 连接器配置中启用了写入工具,或者成员被授予这些工具的基于角色的访问策略所覆盖。

  3. 让成员在 自定义 > 连接器 中断开并重新连接 Microsoft 365。


常见问题

如果成员在授予同意之前尝试连接会发生什么?

他们会看到一条错误消息,指示管理员必须授予应用权限才能使用集成。在 Microsoft Entra 全局管理员批准必要权限之前,连接将失败。

Microsoft 365 连接器可以与企业搜索一起使用吗?

可以。启用企业搜索后,它可以与其他连接的服务一起查询 Microsoft 365,以实现跨 Slack、Google Workspace、Microsoft 365 等的统一搜索。

集成可以修改 Microsoft 365 数据吗?

仅在 Entra 管理员授予写入范围后。启用写入工具后,Claude 可以发送电子邮件、管理草稿和日历事件、更新邮箱设置,以及在 OneDrive 和 SharePoint 中创建和更新文件,始终在每个成员现有的 Microsoft 365 权限范围内。没有这些工具,集成是只读的。在任何情况下,Claude 都无法发布 Teams 消息或更改 Teams 设置或权限,因为没有允许这样做的工具。

这是否解答了您的问题?