跳转到主要内容

Microsoft 365 连接器安全指南

Microsoft 365 连接器是一个由 Anthropic 托管的集成,使 Claude 能够通过用户委派权限安全地访问 Microsoft 365 服务(Outlook、SharePoint、OneDrive、Teams)。Anthropic 已完成 Microsoft 的发布者验证流程,将我们经过验证的 Microsoft 合作伙伴网络账户与此应用程序关联,以确认我们的组织身份。

Microsoft 365 连接器可在所有 Claude 计划上使用:免费版、专业版、Max 版、团队版和企业版。

连接器作为安全代理运行,您的 Microsoft 365 文档、电子邮件和文件保留在您的租户中。连接器仅在活跃查询期间按需检索数据,不缓存文件内容。凭据由 Anthropic 的后端基础设施加密和管理。MCP 服务器本身不存储或管理这些凭据。Microsoft 的 Azure SDK 处理按用户基础的代理令牌交换和缓存,用于访问 Graph API。

访问限制

可以完全限制访问

连接器提供多层访问控制以满足您的安全需求。有关 Microsoft 365 连接器管理的详细信息,请参阅设置 Microsoft 365 连接器

1. Microsoft Entra 租户要求

所有使用连接器的人员(无论使用哪个 Claude 计划)都必须使用与 Microsoft Entra 租户关联的 Microsoft 365 账户进行身份验证。个人 Microsoft 账户(@outlook.com、@hotmail.com)无法使用。Microsoft Entra 全局管理员必须完成一次性同意流程,然后租户中的任何人才能连接。

2. 组织级别控制(团队版和企业版计划)

在团队版和企业版计划上,访问连接器需要两步审批流程。首先,所有者必须通过导航到"组织设置">"连接器">"浏览连接器">"添加 Microsoft 365"在 Claude 组织设置中明确启用 Microsoft 365 连接器。在授予此批准之前,团队成员无法访问。

其次,在所有者启用连接器后,Microsoft Entra 全局管理员必须完成个人身份验证并代表整个组织授予同意,然后任何团队成员才能连接。

3. 细粒度权限撤销

您可以通过 Microsoft Entra 管理中心选择性地禁用特定功能。例如:

限制

操作

效果

所有访问

在 Claude 组织设置中禁用连接器

完全关闭

仅 SharePoint

在 Entra 中撤销 Sites.Read.All 权限

阻止 SharePoint

电子邮件访问

在 Entra 中撤销 Mail.Read 权限

阻止 Outlook

Teams 聊天

在 Entra 中撤销 Chat.Read 权限

阻止 Teams

OneDrive 文件

撤销 Files.Read 和/或 Files.Read.All

阻止从 OneDrive 读取文件

更改对组织中的所有人立即生效。人员也可以在聊天期间通过选择性地关闭连接器的工具来选择禁用功能。

4. Microsoft 条件访问集成

连接器完全支持您现有的 Entra (Azure AD) 策略:

  • 多因素身份验证 (MFA):为连接器访问强制实施 MFA

  • 设备合规性:要求托管/合规设备

  • IP 限制:将 Microsoft 身份验证限制为公司网络或 VPN

  • 基于组的访问:限制为特定安全组

5. 用户级权限

  • Microsoft 365 连接器使用委派权限

  • 用户只能访问他们已有权限的 Microsoft 365 数据

  • SharePoint 搜索需要 Sites.Read.All 权限。不支持特定于站点的权限设置(使用 *.Selected 权限),因为基础搜索是租户范围的。

  • 用户无法绕过 SharePoint 共享设置或文件夹权限。

  • 用户无法访问其他用户的私人文件或电子邮件。用户可以搜索他们在 Microsoft 365 中被授予委派访问权限的共享邮箱,包括完全访问和文件夹级别委派。共享邮箱访问保持只读,通过 Mail.Read.Shared 权限。

  • 委派权限本质上尊重 Microsoft 365 数据丢失防护 (DLP) 策略。

6. 令牌管理

  • 刷新令牌在默认情况下在 90 天不活动后过期,需要重新身份验证。这可以在 Microsoft Entra ID 中使用令牌生命周期策略进行自定义。

  • 访问令牌通常在 Microsoft Entra ID 默认设置下在 60-90 分钟内过期,并自动刷新。

  • 管理员或用户可以随时通过 Microsoft Entra ID 撤销访问权限。

  • Microsoft 365 连接器永远不会查看或存储密码。

安全架构摘要

身份验证流程

  • OAuth 2.0 代表授权 (OBO):行业标准的委托身份验证

  • PKCE 保护:公共客户端使用代码交换证明密钥来防止授权代码被拦截

  • 两阶段令牌交换:用户进行身份验证以获取 MCP 服务器的访问令牌,然后 MCP 服务器使用 OBO 流和机密客户端凭据将其交换为 Graph API 访问权限。在此流程中,即使是用户或其 Claude 客户端也无法访问 OBO 令牌。只有 MCP 服务器可以访问和使用令牌,通过 Microsoft Graph API 访问用户数据。

  • 无凭据存储:用户永远不会与 Anthropic 共享 Microsoft 密码

  • 加密令牌存储:访问令牌和刷新令牌在由 Claude 后端缓存时被加密

数据流

  • 文档和其他内容仅在活跃查询期间被检索

  • 来自连接器的工具调用结果属于存储的聊天记录的部分)会被保留

  • 请求 Claude 聊天的用户可以看到工具调用结果和 Claude 的响应(包含数据)

  • 与聊天共享的其他用户只能看到 Claude 的响应(包含工具调用结果)

  • 每个请求都会创建一个新的数据流,在返回响应后进行清理

多租户隔离

  • Microsoft Entra 租户通过通用范围的多租户配置进行密码学分离

  • 多租户隔离通过数字签名的访问令牌进行密码学强制执行,该令牌将每个用户绑定到其组织的租户

可用功能

读取和搜索工具

连接器提供只读访问权限:

工具

描述

所需权限

sharepoint_search

搜索 SharePoint 文档和页面

Sites.Read.All

sharepoint_folder_search

按名称查找 SharePoint 文件夹

Sites.Read.All

outlook_email_search

使用发件人/日期筛选器搜索电子邮件

Mail.Read

outlook_calendar_search

搜索日历事件

Calendars.Read

find_meeting_availability

查找可用的会议时间

Calendars.Read

chat_message_search

搜索 Teams 聊天消息

Chat.Read

read_resource

按 URI 读取文件、电子邮件或聊天

因资源类型而异

写入工具

工具

描述

所需权限

outlook_send_mail

以用户身份发送电子邮件

Mail.Send

outlook_forward_mail

转发现有邮件

Mail.Send

outlook_send_draft

发送现有草稿

Mail.Send

outlook_trash_thread

将对话移至已删除项目

Mail.ReadWrite

outlook_untrash_thread

从已删除项目恢复对话

Mail.ReadWrite

outlook_batch_delete_messages

将多条邮件移至已删除项目

Mail.ReadWrite

outlook_create_draft

创建草稿电子邮件

Mail.ReadWrite

outlook_create_reply_draft

在邮件上创建回复草稿

Mail.ReadWrite

outlook_create_reply_all_draft

在邮件上创建全部回复草稿

Mail.ReadWrite

outlook_update_draft

更新现有草稿

Mail.ReadWrite

outlook_delete_draft

将草稿移至已删除项目

Mail.ReadWrite

outlook_create_label

在主列表中创建类别

MailboxSettings.ReadWrite

outlook_update_label

重命名或重新着色类别

MailboxSettings.ReadWrite

outlook_delete_label

从主列表中删除类别

MailboxSettings.ReadWrite

outlook_modify_labels

在一条邮件上添加/删除类别

Mail.ReadWrite

outlook_modify_thread_labels

在整个对话中添加/删除类别

Mail.ReadWrite

outlook_batch_modify_labels

在多条邮件上添加/删除类别

Mail.ReadWrite

outlook_create_event

创建日历事件

Calendars.ReadWrite

outlook_update_event

更新现有事件

Calendars.ReadWrite

outlook_delete_event

删除日历事件

Calendars.ReadWrite

outlook_respond_to_event

接受、拒绝或暂定接受邀请

Calendars.ReadWrite

outlook_set_vacation

设置自动回复(外出)消息

MailboxSettings.ReadWrite

outlook_create_filter

创建收件箱规则

MailboxSettings.ReadWrite

outlook_delete_filter

删除收件箱规则

MailboxSettings.ReadWrite

sharepoint_upload_file

在库或文件夹中创建新文件

Files.ReadWrite.All

sharepoint_update_file

替换现有文件的内容

Files.ReadWrite.All

sharepoint_create_folder

创建新文件夹

Files.ReadWrite.All

sharepoint_rename_item

重命名文件或文件夹

Files.ReadWrite.All

sharepoint_move_item

移动文件或文件夹

Files.ReadWrite.All

sharepoint_copy_item

复制文件或文件夹

Files.ReadWrite.All

sharepoint_delete_item

删除文件或文件夹(到回收站)

Files.ReadWrite.All

注意:outlook_send_emailoutlook_forward_mailoutlook_send_draftoutlook_create_eventoutlook_update_event 不支持"始终允许"。

当组织启用写入工具时,连接器还会公开用于发送和组织电子邮件、管理草稿和日历事件、更新邮箱设置以及在 OneDrive 和 SharePoint 中创建和更新文件的写入工具。Teams 保持只读状态。

写入工具包括以下内置保护措施:

  • 归属:Claude 发送的电子邮件包含标识为代理启动的归属标头。文件和日历写入目前未标记。

  • 速率限制:按用户限制适用于写入、发送和收件人。

  • 附件限制:任何写入工具都不支持附件——发送、转发和草稿都会拒绝包含附件的邮件。

  • 默认阻止:在写入工具启动前使用连接器的组织默认阻止写入工具,直到管理员启用它们。

权限列表

基本权限

  • User.Read - 登录并读取用户资料(基本要求)

邮件权限

日历权限

用户目录

聊天权限

频道权限

会议权限

文件权限

网站权限

写入权限

作为更新的同意集的一部分请求;仅在启用写入工具时使用:

当前限制

  • Teams为只读:Claude无法发布Teams消息或修改Teams设置。其他写入工具需要管理员启用。

  • 仅用户级别访问:不支持使用服务主体身份验证进行访问。

常见问题

我们能否在企业范围推出前用小型试点组进行测试?

可以。建议的方法是使用应用分配来限制谁可以使用连接器:

  • 启用连接器(团队和企业所有者在组织设置中启用;个人计划用户可以直接连接)。

  • Microsoft Entra管理员完成预同意设置

  • 使用Microsoft Entra企业应用分配来限制对特定用户或组的访问(例如,仅将"IT安全测试组"分配给应用)。

  • 逐步扩展组以进行渐进式部署

我们如何确保在多租户环境中我们的组织与其他组织之间不会发生数据泄露?

多租户隔离确保完全分离:

  • 服务器使用通用租户配置来接受来自任何 Microsoft Entra ID 租户的令牌

  • 每个用户的令牌包含其组织的租户 ID(tid 声明),该 ID 会被验证

  • 通过 OBO 获得的 Graph API 令牌会自动限定范围到用户及其租户

  • 跨租户令牌访问通过 Microsoft Graph 的 OAuth 2.0 实现的设计在密码学上被阻止

如果有人尝试使用个人 Microsoft 账户连接会发生什么?

连接器需要与 Microsoft 商业计划相关联的 Microsoft Entra 租户。个人 Microsoft 账户(@outlook.com、@hotmail.com)无法用于身份验证。尝试使用个人账户连接的人员将收到身份验证错误。

您是否有用于合规性的审计日志?

是的。连接器进行的所有 Graph API 调用都记录在您组织的 Microsoft 365 审计日志中,您可以通过 M365 合规中心访问。这些日志显示时间戳、用户、执行的操作和访问的资源,保留期与您的 Microsoft 365 审计策略相匹配。此外,Anthropic 记录身份验证和工具执行事件。

如果我们发现未授权的使用,我们可以撤销访问权限吗?

有多种撤销方法:

  • 个人级别:用户通过自定义 > 连接器断开连接

  • 管理员级别:在 Team 和 Enterprise 计划上,所有者在 Claude 组织设置中禁用连接器(影响所有团队成员)。

  • 权限级别:在 Microsoft Entra 管理中心撤销特定权限

  • 租户级别:在 Microsoft Entra 管理中心撤销所有权限

Anthropic 有哪些认证?

Anthropic 具有以下认证:

  • SOC 2 Type II(年度审计)

  • ISO 27001 认证

  • GDPR 合规(提供 DPA)

  • Microsoft 发布者验证应用程序

其他资源

这是否解答了您的问题?