如果您的组织使用 AWS Bedrock、Google Cloud Vertex AI 或 LLM 网关来访问 Claude,您可以在没有 Claude 账户的情况下使用 Claude for Excel 和 Claude for PowerPoint 加载项。该加载项通过您组织的基础设施连接,因此您的提示和响应保持在您现有的信任边界内。
有三条连接路径,具体取决于您的组织如何访问 Claude:
LLM 网关:加载项将请求发送到您的网关(LiteLLM、Portkey、Kong 等),该网关将其路由到您选择的提供商。这与 Claude Code 使用的模式相同。如果您的组织已经通过 LLM 网关运行 Claude Code,您可以将 Office 加载项指向同一端点——无需新的基础设施。
Bedrock 直连:加载项通过 Microsoft Entra ID 进行身份验证,直接调用 AWS Bedrock,中间没有网关。
Vertex AI 直连:加载项通过 Google OAuth 进行身份验证,直接调用 Vertex AI。
您的 IT 管理员在部署期间选择路径。作为最终用户,无论您的组织使用哪条路径,体验都是相同的。
要求
要求因连接路径而异。
所有路径:
已安装 Claude for Excel 或 Claude for PowerPoint(来自 Microsoft AppSource 或由您的管理员部署)
Microsoft 365 with Entra ID(用于管理员同意,以及在直连云路径中用于令牌颁发)
LLM 网关:
来自您的 IT 团队的网关 URL 和 API 令牌
Bedrock 直连:
一个 AWS 账户,在目标区域启用了 Claude 模型访问
一个 IAM OIDC 身份提供商和配置为信任 Microsoft Entra ID 令牌的角色
Vertex AI 直连:
一个 Google Cloud 项目,启用了 Vertex AI API,且在目标区域有 Claude 模型访问
一个配置了加载项重定向 URI 的 Google OAuth 客户端
您组织的 IT 团队管理这些资源。如果您没有所需的凭据,请联系他们——Anthropic 无法为您提供或重置这些凭据。
网络允许列表
加载项需要访问特定域才能正常运行。具体域取决于您的组织是直接使用 Anthropic API(1P)还是使用第三方平台(3P)。与您的网络或安全团队共享适用的表格,以便他们可以将这些域加入允许列表。
重要提示:在所有配置中——包括第三方配置——您的提示和 Claude 的响应仅传输到您选择的推理提供商(您的网关、Bedrock 或 Vertex AI)。下面列出的指向 Anthropic 的域(例如 pivot.claude.ai)仅用于加载项的界面、功能配置和操作遥测。它们不传输提示或响应内容。
Anthropic API(1P)
如果您组织中的人员使用 Claude 账户登录,且推理转到 api.anthropic.com,请使用此表。
域 | 需要时间 | 用途 |
pivot.claude.ai | 始终 | 加载项主机。提供任务窗格 UI,并代理分析、图标搜索、技能下载和遥测。 |
claude.ai | 始终 | Anthropic OAuth 登录和功能标志评估。 |
api.anthropic.com | 始终 | Claude 推理 API、文件上传、代码执行容器和 MCP 连接器注册表。 |
appsforoffice.microsoft.com | 始终 | Microsoft Office.js 运行时脚本。每个 Office 加载项都需要。 |
o1158394.ingest.us.sentry.io | 可选 | 崩溃和错误报告。阻止此域仅会降低诊断能力;加载项仍可正常工作。 |
mcp-proxy.anthropic.com | 如果使用 MCP 连接器 | MCP 连接器工具调用的代理。 |
bridge.claudeusercontent.com | 如果使用跨应用工作 | 用于跨应用工作功能的 WebSocket 桥接。 |
第三方平台 (3P)
如果您组织中的用户使用 Microsoft Entra ID 登录,且推理转到您的 LLM 网关、Bedrock 或 Vertex AI,请使用此表。
域 | 需要条件 | 用途 |
pivot.claude.ai | 始终 | 加载项主机。提供任务窗格 UI,并代理分析、图标搜索和遥测。 |
claude.ai/api/ | 始终 | 功能标志评估。无需登录;加载项仅从此处获取其配置。 |
appsforoffice.microsoft.com | 始终 | Microsoft Office.js 运行时脚本(每个 Office 加载项都需要)。 |
login.microsoftonline.com | 始终 | 通过嵌套应用身份验证进行 Microsoft Entra ID 登录。读取管理员配置的网关配置并为直接云身份验证颁发令牌。 |
o1158394.ingest.us.sentry.io | 可选 | 崩溃和错误报告。阻止此操作仅会降低诊断效果;加载项仍可正常工作。 |
您的 LLM 网关 URL | 如果使用 LLM 网关 | 您组织的 LLM 网关(LiteLLM、Portkey、Kong 等)。推理转到此处而不是 api.anthropic.com。 |
sts.amazonaws.com | 如果直接使用 Bedrock | AWS STS。将 Entra ID 令牌交换为临时 Bedrock 凭证。 |
bedrock-runtime.<region>.amazonaws.com | 如果直接使用 Bedrock | Bedrock 推理端点。将 <region> 替换为您配置的 AWS 区域(例如 us-east-1)。 |
accounts.google.com | 如果直接使用 Vertex AI | Google OAuth 同意屏幕。 |
oauth2.googleapis.com | 如果直接使用 Vertex AI | Google OAuth 令牌交换和刷新。 |
aiplatform.googleapis.com | 如果直接使用 Vertex AI | Vertex AI 全局推理端点。 |
<region>-aiplatform.googleapis.com | 如果直接使用 Vertex AI | Vertex AI 区域推理端点。将 <region> 替换为您配置的 GCP 区域(例如 us-east5)。 |
为第三方使用部署加载项(IT 管理员)
使用 claude-in-office 插件在整个组织中配置和部署加载项。此工具在单个引导流程中处理云资源配置(如果使用 Bedrock 或 Vertex AI 直接)、生成加载项清单和获取管理员同意。
使用设置向导
安装插件并运行交互式设置向导:
claude plugin marketplace add anthropics/financial-services-plugins
claude plugin install claude-in-office@financial-services-plugins
/claude-in-office:setup
向导将引导您完成连接路径:
LLM 网关:收集您的网关 URL 和令牌,生成清单,并处理 Azure 管理员同意。
Bedrock 直接:创建 IAM OIDC 身份提供者和角色,生成清单,并处理 Azure 管理员同意。
Vertex AI 直接:引导您创建 Google OAuth 客户端,生成清单,并处理 Azure 管理员同意。
向导完成后,加载项已准备好进行租户范围的部署。
注意:Bedrock 和 Vertex AI 路径需要 Node.js 来生成和验证清单。向导会检查它,如果缺少它会提示您安装。
您可以在 claude-in-office 会话中使用以下命令:
命令 | 功能 |
| 交互式向导—配置云资源、管理员同意、写入清单 |
| 生成自定义加载项清单 XML |
| 为加载项的应用注册生成 Azure 管理员同意 URL |
| 通过 Microsoft Graph 扩展属性写入每用户配置 |
向导配置的内容
向导根据您的连接路径自动创建资源。以下是它设置的内容:
LLM 网关:无需配置云资源。向导收集您的网关 URL 和令牌,然后生成清单。
Bedrock 直接:创建信任 Microsoft Entra ID 令牌的 IAM OIDC 身份提供者、具有 bedrock:InvokeModel 和 bedrock:InvokeModelWithResponseStream 权限的角色,以及限定于 Claude 加载项应用程序 ID 的信任策略。
Vertex AI 直接:引导您在 GCP 控制台中创建 Google OAuth 客户端(此步骤无法通过 CLI 自动化)、启用 Vertex AI API,并捕获清单的客户端 ID 和密钥。
每用户配置
如果某些值因用户而异—例如,不同的网关令牌或不同团队的不同 AWS 角色—向导可以通过 Microsoft Graph 扩展属性写入每用户配置。在初始设置后,使用每用户密钥运行 /claude-in-office:update-user-attrs。
部署到 Microsoft 365
向导生成清单后:
打开 Microsoft 365 管理中心,转到 设置 > 集成应用 > 上传自定义应用。
选择"Office 加载项"作为应用类型,然后上传 manifest.xml 文件。
选择谁获得加载项:
如果所有用户共享相同的配置,请选择"整个组织"。
如果您在上一步中写入了每用户属性,请分配给 特定用户/组,完全匹配已配置的用户。其他任何人打开加载项时都不会有配置。
接受权限并完成部署。
传播到用户最多需要 24 小时(通常快得多)。加载项到达后会在 Excel 和 PowerPoint 中的 主页 > 加载项 下显示。
注意:从试点组开始以确认加载项有效,然后扩大分配范围。您可以稍后更改分配而无需重新部署。
部署加载项后,您的用户可以按照以下步骤进行连接。
最终用户连接说明
LLM 网关
打开 Excel 或 PowerPoint 并启动 Claude 加载项。
在登录屏幕上,选择"企业网关"。
输入您的 IT 团队提供的 网关 URL 和 API 令牌。
网关 URL:您的 LLM 代理的 HTTPS 基础 URL(例如,https://llm-gateway.yourcompany.com)。
API 令牌:您的代理期望的持有者令牌。加载项在每个请求中的 Authorization: Bearer <token> 标头中发送此令牌。
加载项通过向网关发送测试请求来检查连接。如果成功,您将看到主应用体验。
您的凭据存储在浏览器的 localStorage 中加载项的沙箱 iframe 内。它们不会同步到 Anthropic 的服务器。由于 Office 加载项在 Microsoft 应用程序内的沙箱 iframe 中运行,它无法像 Claude Code 那样使用您的操作系统密钥链—因此,只输入网关颁发的令牌,而不是原始云提供商凭据。
Bedrock 或 Vertex AI 直接
打开 Excel 或 PowerPoint 并启动 Claude 加载项。
使用您的 Microsoft 工作帐户登录。加载项使用您的 Entra ID 令牌向您的云提供商进行身份验证—无需单独的云凭据。
加载项读取您的管理员配置的配置并直接连接到 Bedrock 或 Vertex AI。
如果您在登录时看到错误,请与您的 IT 团队确认您的帐户在分配给加载项的组中。
更改或更新您的连接
如果您的 API 令牌过期或您的 IT 团队给您一个新的 URL,请转到加载项侧边栏中的"设置",输入新值,然后选择"测试连接"。
IT 团队的网关要求
Office 加载项仅通过统一端点支持 Anthropic Messages API 格式。这比 Claude Code 更具体,Claude Code 也直接支持 Bedrock InvokeModel 和 Vertex rawPredict 格式。
必需的端点
您的网关必须公开这两个端点:
端点 | 描述 |
/v1/messages | 向Claude发送消息。支持流式和非流式响应。 |
/v1/models | 列出可用的模型。 |
必需的请求头
网关必须将以下请求头从加载项转发到上游提供商:
anthropic-beta — 启用加载项所需的测试版功能。
anthropic-version — 指定请求/响应格式的API版本。
未能转发这些请求头可能导致功能减少或阻止加载项工作。
模型发现
登录时,加载项通过GET /v1/messages验证令牌,然后尝试通过GET /v1/models发现可用的Claude模型。如果您的网关在该路径上未公开模型列表,加载项将回退到提示用户手动输入模型ID。
与Claude Code网关设置的差异
方面 | Claude Code | Claude for Excel and PowerPoint |
支持的API格式 | Anthropic Messages、Bedrock InvokeModel、Vertex rawPredict | 仅Anthropic Messages(统一端点) |
端点类型 | 统一和传递 | 仅统一 |
凭证存储 | 操作系统密钥链或环境变量 | 浏览器localStorage(沙箱iframe) |
身份验证配置 | 环境变量、设置文件、辅助脚本 | 在加载项UI中手动输入(网关)或Entra ID(直接云) |
令牌刷新 | 支持用于轮换的辅助脚本 | 在设置中手动重新输入(网关)或通过Entra ID自动进行(直接云) |
自定义模型名称 | 可通过环境变量配置 | 在v1中不可配置 |
使用LiteLLM的网关配置示例
警告:LiteLLM PyPI版本1.82.7和1.82.8被恶意软件感染,存在凭证盗取风险。请勿安装这些版本。如果您已经安装了:
删除该软件包
轮换受影响系统上的所有凭证
按照BerriAI/litellm#24518中的补救步骤操作
LiteLLM是第三方代理服务。Anthropic不认可、维护或审计LiteLLM的安全性或功能。本指南仅供参考,可能会过时。请自行判断使用。
许多组织使用LiteLLM作为其网关。以下是用于将Office加载项请求路由到Anthropic、Bedrock或Vertex的最小litellm_config.yaml。
直接路由到Anthropic
yaml
model_list:
- model_name: claude-sonnet-4-5-20250929
litellm_params:
model: claude-sonnet-4-5-20250929
api_key: os.environ/ANTHROPIC_API_KEY
litellm_settings:
drop_params: true
路由到Amazon Bedrock
yaml
model_list:
- model_name: claude-sonnet-4-5-20250929
litellm_params:
model: bedrock/anthropic.claude-sonnet-4-5-20250929-v1:0
aws_region_name: us-east-1
litellm_settings:
drop_params: true
路由到Google Cloud Vertex AI
yaml
model_list:
- model_name: claude-sonnet-4-5-20250929
litellm_params:
model: vertex_ai/claude-sonnet-4-5-20250929
vertex_project: your-gcp-project-id
vertex_location: us-east5
litellm_settings:
drop_params: true
路由到Azure
yaml
model_list:
- model_name: claude-sonnet-4-5-20250929
litellm_params:
model: azure_ai/claude-sonnet-4-5-20250929
api_base: https://your-resource.services.ai.azure.com/anthropic
api_key: os.environ/AZURE_API_KEY
extra_headers:
x-api-key: os.environ/AZURE_API_KEY
litellm_settings:
drop_params: true
有关详细的设置说明,请参阅 LiteLLM 的 Anthropic 格式文档。
Anthropic 收集的信息
即使推理通过您自己的基础设施进行,该插件也会与 pivot.claude.ai 通信以加载其界面,并与 claude.ai/api/ 通信以评估功能标志。这些连接传输操作遥测数据——例如使用了哪些功能、性能计时和错误率——以便 Anthropic 可以维护和改进插件体验。它们不会传输您的提示或 Claude 的响应。
Anthropic 根据 AWS Bedrock、Google Cloud Vertex AI 或 Microsoft Azure 的条款收集信息,与 Anthropic 与客户的协议一致。Anthropic 无法访问客户的 AWS、Google 或 Microsoft 实例,包括其中包含的提示或输出。Anthropic 不会使用此类内容训练生成模型,也不会将其用于其他目的。Anthropic 可以访问元数据——例如工具使用、令牌计数和类似项目——并将此类元数据用于分析和产品改进目的。
有关您的组织网关或云提供商记录的内容的详细信息,请联系您的 IT 团队。
这与使用 Claude 账户登录的区别
当您使用 Claude 账户登录时,插件直接连接到 Anthropic。当您通过第三方平台连接时,插件会将推理请求发送到您的组织基础设施,您的 IT 团队控制该流量的路由和记录方式。
某些依赖于拥有 Claude 账户的功能尚未通过第三方平台提供,但我们正在努力添加支持:
功能 | Claude 账户 | 第三方平台 |
与您的电子表格或演示文稿聊天 | ✓ | ✓ |
读取和编辑单元格、幻灯片、公式 | ✓ | ✓ |
连接器(S&P、FactSet 等) | ✓ | 即将推出 |
跨应用程序工作 | ✓ | — |
技能 | ✓ | 即将推出 |
文件上传 | ✓ | — |
网络搜索 | ✓ | 仅限 Vertex |
如果您的团队需要这些功能,请与您的 Claude 管理员讨论哪种登录方式适合您的组织。
故障排除
连接被拒绝"或网络错误"
网关 URL 或云端点无法从用户的网络访问。验证 URL 是否正确、服务是否正在运行,以及是否没有防火墙或 VPN 限制阻止连接。检查上面的 网络允许列表部分,确认所有必需的域都被允许。
401 未授权或"无效令牌"
身份验证令牌无效或已过期。对于网关连接,请与您的 IT 团队确认令牌。对于直接云连接,验证用户的 Entra ID 账户是否在分配的组中,以及 OIDC 信任或 OAuth 客户端是否配置正确。
403 禁止或"访问被拒绝"
令牌有效但缺少正确的权限。对于 Bedrock,验证 IAM 角色是否具有 bedrock:InvokeModel 权限。对于 Vertex,验证服务账户是否具有 aiplatform.endpoints.predict 权限。对于网关,请与您的 IT 管理员检查令牌的范围。
404 未找到
插件无法访问预期的 API 路径。对于网关,验证 URL 是否为基础 URL(例如,https://litellm-server:4000)——不要在 URL 字段中包含 /v1/messages。
500 或其他服务器错误
网关或云提供商遇到内部错误。检查您的网关日志(例如,如果使用 LiteLLM,则为 docker logs litellm)以查找上游提供商错误。重试请求,如果问题仍然存在,请联系您的 IT 管理员。
没有可用的模型
插件找不到 Claude 模型。对于网关,您的网关可能不会在 GET /v1/models 处公开模型列表。您的 IT 团队可以配置网关以提供模型列表,或者给您一个特定的模型 ID 以手动输入。对于 Bedrock 或 Vertex,确认您的账户和区域中至少启用了一个 Claude 模型(Claude Sonnet 4.5 或更高版本)。
流式响应失败或挂起
验证您的网关是否支持服务器发送事件 (SSE) 传递。某些代理配置会剥离或缓冲 SSE 连接,这会阻止流式响应到达插件。
我期望的功能不可用
连接器、技能、文件上传和跨应用工作功能目前在第三方平台上不可用。如果您需要这些功能,请咨询您的管理员是否可以改用 Claude 账户登录。