Microsoft 365 连接器是一个由 Anthropic 托管的集成,使 Claude 能够通过用户委派权限安全地访问 Microsoft 365 服务(Outlook、SharePoint、OneDrive、Teams)。Anthropic 已完成 Microsoft 的发布者验证流程,将我们经过验证的 Microsoft 合作伙伴网络账户与此应用程序关联,以确认我们的组织身份。
Microsoft 365 连接器可在所有 Claude 计划上使用:免费版、专业版、Max 版、团队版和企业版。
连接器作为安全代理运行,您的 Microsoft 365 文档、电子邮件和文件保留在您的租户中。连接器仅在活跃查询期间按需检索数据,不缓存文件内容。凭据由 Anthropic 的后端基础设施加密和管理。MCP 服务器本身不存储或管理这些凭据。Microsoft 的 Azure SDK 处理按用户基础的代理令牌交换和缓存,用于访问 Graph API。
访问限制
可以完全限制访问
连接器提供多层访问控制以满足您的安全需求。有关 Microsoft 365 连接器管理的详细信息,请参阅设置 Microsoft 365 连接器。
1. Microsoft Entra 租户要求
所有使用连接器的人员(无论使用哪个 Claude 计划)都必须使用与 Microsoft Entra 租户关联的 Microsoft 365 账户进行身份验证。个人 Microsoft 账户(@outlook.com、@hotmail.com)无法使用。Microsoft Entra 全局管理员必须完成一次性同意流程,然后租户中的任何人才能连接。
2. 组织级别控制(团队版和企业版计划)
在团队版和企业版计划上,访问连接器需要两步审批流程。首先,所有者必须通过导航到"组织设置">"连接器">"浏览连接器">"添加 Microsoft 365"在 Claude 组织设置中明确启用 Microsoft 365 连接器。在授予此批准之前,团队成员无法访问。
其次,在所有者启用连接器后,Microsoft Entra 全局管理员必须完成个人身份验证并代表整个组织授予同意,然后任何团队成员才能连接。
3. 细粒度权限撤销
您可以通过 Microsoft Entra 管理中心选择性地禁用特定功能。例如:
限制 | 操作 | 效果 |
所有访问 | 在 Claude 组织设置中禁用连接器 | 完全关闭 |
仅 SharePoint | 在 Entra 中撤销 Sites.Read.All 权限 | 阻止 SharePoint |
电子邮件访问 | 在 Entra 中撤销 Mail.Read 权限 | 阻止 Outlook |
Teams 聊天 | 在 Entra 中撤销 Chat.Read 权限 | 阻止 Teams |
OneDrive 文件 | 撤销 Files.Read 和/或 Files.Read.All | 阻止从 OneDrive 读取文件 |
更改对组织中的所有人立即生效。人员也可以在聊天期间通过选择性地关闭连接器的工具来选择禁用功能。
4. Microsoft 条件访问集成
连接器完全支持您现有的 Entra (Azure AD) 策略:
多因素身份验证 (MFA):为连接器访问强制实施 MFA
设备合规性:要求托管/合规设备
IP 限制:将 Microsoft 身份验证限制为公司网络或 VPN
基于组的访问:限制为特定安全组
5. 用户级权限
Microsoft 365 连接器使用委派权限。
用户只能访问他们已有权限的 Microsoft 365 数据
SharePoint 搜索需要 Sites.Read.All 权限。不支持特定于站点的权限设置(使用 *.Selected 权限),因为基础搜索是租户范围的。
用户无法绕过 SharePoint 共享设置或文件夹权限。
用户无法访问其他用户的私人文件或电子邮件。用户可以搜索他们在 Microsoft 365 中被授予委派访问权限的共享邮箱,包括完全访问和文件夹级别委派。共享邮箱访问保持只读,通过
Mail.Read.Shared权限。委派权限本质上尊重 Microsoft 365 数据丢失防护 (DLP) 策略。
6. 令牌管理
刷新令牌在默认情况下在 90 天不活动后过期,需要重新身份验证。这可以在 Microsoft Entra ID 中使用令牌生命周期策略进行自定义。
访问令牌通常在 Microsoft Entra ID 默认设置下在 60-90 分钟内过期,并自动刷新。
管理员或用户可以随时通过 Microsoft Entra ID 撤销访问权限。
Microsoft 365 连接器永远不会查看或存储密码。
安全架构摘要
身份验证流程
OAuth 2.0 代表授权 (OBO):行业标准的委托身份验证
PKCE 保护:公共客户端使用代码交换证明密钥来防止授权代码被拦截
两阶段令牌交换:用户进行身份验证以获取 MCP 服务器的访问令牌,然后 MCP 服务器使用 OBO 流和机密客户端凭据将其交换为 Graph API 访问权限。在此流程中,即使是用户或其 Claude 客户端也无法访问 OBO 令牌。只有 MCP 服务器可以访问和使用令牌,通过 Microsoft Graph API 访问用户数据。
无凭据存储:用户永远不会与 Anthropic 共享 Microsoft 密码
加密令牌存储:访问令牌和刷新令牌在由 Claude 后端缓存时被加密
数据流
文档和其他内容仅在活跃查询期间被检索
来自连接器的工具调用结果(属于存储的聊天记录的部分)会被保留
请求 Claude 聊天的用户可以看到工具调用结果和 Claude 的响应(包含数据)
与聊天共享的其他用户只能看到 Claude 的响应(包含工具调用结果)
每个请求都会创建一个新的数据流,在返回响应后进行清理
多租户隔离
Microsoft Entra 租户通过通用范围的多租户配置进行密码学分离
多租户隔离通过数字签名的访问令牌进行密码学强制执行,该令牌将每个用户绑定到其组织的租户
可用功能
读取和搜索工具
连接器提供只读访问权限:
工具 | 描述 | 所需权限 |
| 搜索 SharePoint 文档和页面 | Sites.Read.All |
| 按名称查找 SharePoint 文件夹 | Sites.Read.All |
| 使用发件人/日期筛选器搜索电子邮件 | Mail.Read |
| 搜索日历事件 | Calendars.Read |
| 查找可用的会议时间 | Calendars.Read |
| 搜索 Teams 聊天消息 | Chat.Read |
| 按 URI 读取文件、电子邮件或聊天 | 因资源类型而异 |
写入工具
工具 | 描述 | 所需权限 |
| 以用户身份发送电子邮件 | Mail.Send |
| 转发现有邮件 | Mail.Send |
| 发送现有草稿 | Mail.Send |
| 将对话移至已删除项目 | Mail.ReadWrite |
| 从已删除项目恢复对话 | Mail.ReadWrite |
| 将多条邮件移至已删除项目 | Mail.ReadWrite |
| 创建草稿电子邮件 | Mail.ReadWrite |
| 在邮件上创建回复草稿 | Mail.ReadWrite |
| 在邮件上创建全部回复草稿 | Mail.ReadWrite |
| 更新现有草稿 | Mail.ReadWrite |
| 将草稿移至已删除项目 | Mail.ReadWrite |
| 在主列表中创建类别 | MailboxSettings.ReadWrite |
| 重命名或重新着色类别 | MailboxSettings.ReadWrite |
| 从主列表中删除类别 | MailboxSettings.ReadWrite |
| 在一条邮件上添加/删除类别 | Mail.ReadWrite |
| 在整个对话中添加/删除类别 | Mail.ReadWrite |
| 在多条邮件上添加/删除类别 | Mail.ReadWrite |
| 创建日历事件 | Calendars.ReadWrite |
| 更新现有事件 | Calendars.ReadWrite |
| 删除日历事件 | Calendars.ReadWrite |
| 接受、拒绝或暂定接受邀请 | Calendars.ReadWrite |
| 设置自动回复(外出)消息 | MailboxSettings.ReadWrite |
| 创建收件箱规则 | MailboxSettings.ReadWrite |
| 删除收件箱规则 | MailboxSettings.ReadWrite |
| 在库或文件夹中创建新文件 | Files.ReadWrite.All |
| 替换现有文件的内容 | Files.ReadWrite.All |
| 创建新文件夹 | Files.ReadWrite.All |
| 重命名文件或文件夹 | Files.ReadWrite.All |
| 移动文件或文件夹 | Files.ReadWrite.All |
| 复制文件或文件夹 | Files.ReadWrite.All |
| 删除文件或文件夹(到回收站) | Files.ReadWrite.All |
注意:outlook_send_email、outlook_forward_mail、outlook_send_draft、outlook_create_event 或 outlook_update_event 不支持"始终允许"。
当组织启用写入工具时,连接器还会公开用于发送和组织电子邮件、管理草稿和日历事件、更新邮箱设置以及在 OneDrive 和 SharePoint 中创建和更新文件的写入工具。Teams 保持只读状态。
写入工具包括以下内置保护措施:
归属:Claude 发送的电子邮件包含标识为代理启动的归属标头。文件和日历写入目前未标记。
速率限制:按用户限制适用于写入、发送和收件人。
附件限制:任何写入工具都不支持附件——发送、转发和草稿都会拒绝包含附件的邮件。
默认阻止:在写入工具启动前使用连接器的组织默认阻止写入工具,直到管理员启用它们。
权限列表
基本权限
User.Read - 登录并读取用户资料(基本要求)
邮件权限
Mail.Read - 读取用户邮件(电子邮件工具/资源所需)
Mail.ReadBasic - 读取用户邮件元数据(功能受限的替代方案)
Mail.Read.Shared - 读取用户和共享邮件
MailboxFolder.Read - 读取用户的邮箱文件夹
MailboxItem.Read - 读取用户的邮箱项目
日历权限
Calendars.Read - 读取用户日历和事件
Calendars.Read.Shared - 读取用户可访问的日历,包括共享日历
用户目录
User.ReadBasic.All - 读取所有用户的基本资料(用于会议可用性)
聊天权限
Chat.Read - 读取用户聊天消息
Chat.ReadBasic - 读取用户聊天元数据(功能受限的替代方案)
ChatMember.Read - 读取聊天成员
ChatMessage.Read - 读取用户聊天消息(比Chat.Read更具体)
频道权限
Channel.ReadBasic.All - 读取频道的名称和描述
ChannelMessage.Read.All - 读取频道消息
会议权限
OnlineMeetings.Read - 读取在线会议
OnlineMeetingTranscript.Read.All - 读取会议记录
OnlineMeetingAiInsight.Read - 读取在线会议的所有AI见解
OnlineMeetingArtifact.Read.All - 读取用户的在线会议工件
OnlineMeetingRecording.Read.All - 读取在线会议的所有录制内容
文件权限
Files.Read - 读取用户文件
Files.Read.All - 读取用户可访问的所有文件
网站权限
Sites.Read.All - 读取所有网站集合中的项目
写入权限
作为更新的同意集的一部分请求;仅在启用写入工具时使用:
Mail.Send - 发送和转发电子邮件
Mail.ReadWrite - 创建、更新和删除草稿;移动和标记消息
Calendars.ReadWrite - 创建、更新、删除和响应日历事件
Files.ReadWrite.All - 在OneDrive和SharePoint中创建和更新文件
MailboxSettings.ReadWrite - 管理类别、收件箱规则和自动回复
当前限制
Teams为只读:Claude无法发布Teams消息或修改Teams设置。其他写入工具需要管理员启用。
仅用户级别访问:不支持使用服务主体身份验证进行访问。
常见问题
我们能否在企业范围推出前用小型试点组进行测试?
可以。建议的方法是使用应用分配来限制谁可以使用连接器:
启用连接器(团队和企业所有者在组织设置中启用;个人计划用户可以直接连接)。
Microsoft Entra管理员完成预同意设置
使用Microsoft Entra企业应用分配来限制对特定用户或组的访问(例如,仅将"IT安全测试组"分配给应用)。
逐步扩展组以进行渐进式部署
我们如何确保在多租户环境中我们的组织与其他组织之间不会发生数据泄露?
多租户隔离确保完全分离:
服务器使用通用租户配置来接受来自任何 Microsoft Entra ID 租户的令牌
每个用户的令牌包含其组织的租户 ID(tid 声明),该 ID 会被验证
通过 OBO 获得的 Graph API 令牌会自动限定范围到用户及其租户
跨租户令牌访问通过 Microsoft Graph 的 OAuth 2.0 实现的设计在密码学上被阻止
如果有人尝试使用个人 Microsoft 账户连接会发生什么?
连接器需要与 Microsoft 商业计划相关联的 Microsoft Entra 租户。个人 Microsoft 账户(@outlook.com、@hotmail.com)无法用于身份验证。尝试使用个人账户连接的人员将收到身份验证错误。
您是否有用于合规性的审计日志?
是的。连接器进行的所有 Graph API 调用都记录在您组织的 Microsoft 365 审计日志中,您可以通过 M365 合规中心访问。这些日志显示时间戳、用户、执行的操作和访问的资源,保留期与您的 Microsoft 365 审计策略相匹配。此外,Anthropic 记录身份验证和工具执行事件。
如果我们发现未授权的使用,我们可以撤销访问权限吗?
有多种撤销方法:
个人级别:用户通过自定义 > 连接器断开连接
管理员级别:在 Team 和 Enterprise 计划上,所有者在 Claude 组织设置中禁用连接器(影响所有团队成员)。
权限级别:在 Microsoft Entra 管理中心撤销特定权限
租户级别:在 Microsoft Entra 管理中心撤销所有权限
Anthropic 有哪些认证?
Anthropic 具有以下认证:
SOC 2 Type II(年度审计)
ISO 27001 认证
GDPR 合规(提供 DPA)
Microsoft 发布者验证应用程序
