如果您的组织使用 AWS Bedrock、Google Cloud Vertex AI、Azure AI Foundry 或 LLM 网关来访问 Claude,您可以使用 Claude for Excel、Claude for PowerPoint 和 Claude for Word 加载项,而无需 Claude 账户。该加载项通过您组织的基础设施连接,因此您的提示和响应保持在现有的信任边界内。
有四条连接路径,具体取决于您的组织如何访问 Claude:
LLM 网关:加载项将请求发送到您的网关(LiteLLM、Portkey、Kong 等),该网关将其路由到您选择的提供商。这与 Claude Code 使用的模式相同。如果您的组织已通过 LLM 网关运行 Claude Code,您可以将 Office 加载项指向同一端点——无需新的基础设施。
Bedrock 直连:加载项通过 Microsoft Entra ID 进行身份验证,直接调用 AWS Bedrock,中间没有网关。
Vertex AI 直连:加载项通过 Google OAuth 进行身份验证,直接调用 Vertex AI。
Foundry 直连:加载项使用其 API 密钥直接通过您的 Azure AI Foundry 资源进行身份验证。
您的 IT 管理员在部署期间选择路径。作为最终用户,无论您的组织使用哪条路径,体验都是相同的。
要求
要求因连接路径而异。
所有路径:
已安装 Claude for Excel、Claude for PowerPoint 或 Claude for Word(来自 Microsoft AppSource 或由您的管理员部署)
具有 Entra ID 的 Microsoft 365(用于管理员同意,以及在直连云路径中用于令牌颁发)
LLM 网关:
来自您的 IT 团队的网关 URL 和 API 令牌
Bedrock 直连:
一个 AWS 账户,在目标区域启用了 Claude 模型访问
一个 IAM OIDC 身份提供商和配置为信任 Microsoft Entra ID 令牌的角色
Vertex AI 直连:
一个 Google Cloud 项目,启用了 Vertex AI API,且在目标区域有 Claude 模型访问
一个 Google OAuth 客户端,配置了加载项的重定向 URI
Foundry 直连:
一个 Azure AI Foundry 资源,至少部署了一个 Claude 模型(Claude Opus 4.6、Opus 4.5、Sonnet 4.6 或 Sonnet 4.5)
部署名称必须保留为默认模型 ID(例如 claude-opus-4-6);暂不支持自定义部署名称。适配器按模型 ID 进行探测,因此重命名的部署将无法找到。
资源的 API 密钥,来自 Azure Portal → 您的 Foundry 资源 → 密钥和端点 → 密钥 1
您组织的 IT 团队管理这些资源。如果您没有所需的凭据,请联系他们——Anthropic 无法为您提供或重置这些凭据。
网络允许列表
加载项需要访问特定域才能正常运行。具体域取决于您的组织是直接使用 Anthropic API (1P) 还是使用第三方平台 (3P)。与您的网络或安全团队共享适用的表格,以便他们可以将这些域加入允许列表。
重要:在所有配置中——包括第三方——您的提示和 Claude 的响应仅传输到您选择的推理提供商(您的网关、Bedrock、Vertex AI 或 Azure AI Foundry)。下面列出的指向 Anthropic 的域(例如 pivot.claude.ai)仅用于加载项的界面、功能配置和操作遥测。它们不传输提示或响应内容。
Anthropic API (1P)
如果您组织中的人员使用 Claude 账户登录,且推理转到 api.anthropic.com,请使用此表格。
域 | 何时需要 | 用途 |
pivot.claude.ai | 始终 | 加载项主机。提供任务窗格 UI,并代理分析、图标搜索、技能下载和遥测。 |
claude.ai | 始终 | Anthropic OAuth 登录和功能标志评估。 |
api.anthropic.com | 始终 | Claude 推理 API、文件上传、代码执行容器和 MCP 连接器注册表。 |
appsforoffice.microsoft.com | 始终 | Microsoft Office.js 运行时脚本。每个 Office 加载项都需要。 |
o1158394.ingest.us.sentry.io | 可选 | 崩溃和错误报告。阻止此域仅会降低诊断能力;加载项仍可正常工作。 |
mcp-proxy.anthropic.com | 如果使用 MCP 连接器 | MCP 连接器工具调用的代理。 |
bridge.claudeusercontent.com | 如果跨应用工作 | 跨应用工作功能的 WebSocket 桥接。 |
第三方平台 (3P)
如果您组织中的人员使用 Microsoft Entra ID 登录,且推理转到您的 LLM 网关、Bedrock 或 Vertex AI,请使用此表。
域 | 需要时间 | 用途 |
pivot.claude.ai | 始终 | 加载项主机。提供任务窗格 UI,并代理分析、图标搜索和遥测。 |
claude.ai/api/ | 始终 | 功能标志评估。无需登录;加载项仅从此处获取其配置。 |
appsforoffice.microsoft.com | 始终 | Microsoft Office.js 运行时脚本(每个 Office 加载项都需要)。 |
login.microsoftonline.com | 始终 | 通过嵌套应用身份验证进行 Microsoft Entra ID 登录。读取管理员配置的网关配置并为直接云身份验证颁发令牌。 |
o1158394.ingest.us.sentry.io | 可选 | 崩溃和错误报告。阻止此操作仅会降低诊断效果;加载项仍可正常工作。 |
您的 LLM 网关 URL | 如果使用 LLM 网关 | 您组织的 LLM 网关(LiteLLM、Portkey、Kong 等)。推理转到此处而不是 api.anthropic.com。 |
sts.amazonaws.com | 如果直接使用 Bedrock | AWS STS。将 Entra ID 令牌交换为临时 Bedrock 凭证。 |
bedrock-runtime.<region>.amazonaws.com | 如果直接使用 Bedrock | Bedrock 推理端点。将 <region> 替换为您配置的 AWS 区域(例如 us-east-1)。 |
accounts.google.com | 如果直接使用 Vertex AI | Google OAuth 同意屏幕。 |
oauth2.googleapis.com | 如果直接使用 Vertex AI | Google OAuth 令牌交换和刷新。 |
aiplatform.googleapis.com | 如果直接使用 Vertex AI | Vertex AI 全局推理端点。 |
<region>-aiplatform.googleapis.com | 如果直接使用 Vertex AI | Vertex AI 区域推理端点。将 <region> 替换为您配置的 GCP 区域(例如 us-east5)。 |
<resource>.services.ai.azure.com
| 如果直接使用 Foundry | Azure AI Foundry 推理端点。将 <resource> 替换为您的资源名称。 |
为第三方使用部署加载项(IT 管理员)
使用 claude-in-office 插件在整个组织中配置和部署加载项。此工具处理配置云资源(如果使用 Bedrock 或 Vertex AI 直接连接)、生成加载项清单和在单个引导流程中获取管理员同意。
使用设置向导
安装插件并运行交互式设置向导:
claude plugin marketplace add anthropics/financial-services-plugins
claude plugin install claude-in-office@financial-services-plugins
/claude-in-office:setup
向导将引导您完成连接路径:
LLM 网关:收集您的网关 URL 和令牌,确定要使用的 API 格式,生成清单,并处理 Azure 管理员同意。
Bedrock 直接连接:创建 IAM OIDC 身份提供程序和角色,生成清单,并处理 Azure 管理员同意。
Vertex AI 直接连接:引导您创建 Google OAuth 客户端,生成清单,并处理 Azure 管理员同意。
Foundry 直接连接:捕获
azure_resource_name和azure_api_key,然后生成清单。
向导完成后,加载项已准备好进行租户范围的部署。
注意:Bedrock 和 Vertex AI 路径需要 Node.js 来生成和验证清单。向导会检查它,如果缺少,会提示您安装。
您可以在 claude-in-office 会话中使用以下命令:
命令 | 功能 |
| 交互式向导——配置云资源、管理员同意、写入清单 |
| 生成自定义加载项清单 XML |
| 为加载项的应用注册生成 Azure 管理员同意 URL |
| 通过 Microsoft Graph 扩展属性写入每用户配置 |
向导配置的内容
向导根据您的连接路径自动创建资源。以下是它设置的内容:
LLM 网关:无需配置云资源。向导收集您的网关 URL 和令牌,然后生成清单。
Bedrock 直接连接:创建信任 Microsoft Entra ID 令牌的 IAM OIDC 身份提供程序、具有 bedrock:InvokeModel 和 bedrock:InvokeModelWithResponseStream 权限的角色,以及限定于 Claude 加载项应用程序 ID 的信任策略。
Vertex AI 直接连接:引导您在 GCP 控制台中创建 Google OAuth 客户端(此步骤无法通过 CLI 自动化)、启用 Vertex AI API,并捕获清单的客户端 ID 和密钥。
Foundry 直接连接:无需配置云资源;向导收集清单的资源名称和 API 密钥。
每用户配置
如果某些值因用户而异——例如,不同的网关令牌或不同团队的不同 AWS 角色——向导可以通过 Microsoft Graph 扩展属性写入每用户配置。在初始设置后,使用每用户密钥运行 /claude-in-office:update-user-attrs。
部署到 Microsoft 365
向导生成清单后:
打开 Microsoft 365 管理中心,转到 设置 > 集成应用 > 上传自定义应用。
选择"Office 加载项"作为应用类型,然后上传 manifest.xml 文件。
选择谁获得加载项:
如果所有用户共享相同的配置,选择"整个组织"。
如果您在上一步中写入了每用户属性,请分配给与配置的用户完全匹配的 特定用户/组。其他任何人打开加载项时都不会有配置。
接受权限并完成部署。
传播到用户最多需要 24 小时(通常快得多)。加载项到达后会在 Excel、PowerPoint 和 Word 中的 主页 > 加载项 下显示。
注意:从试点组开始以确认加载项有效,然后扩大分配范围。您可以稍后更改分配而无需重新部署。
部署加载项后,您的用户可以按照以下步骤进行连接。
最终用户连接说明
LLM 网关
打开 Excel、PowerPoint 或 Word 并启动 Claude 加载项。
在登录屏幕上,选择"企业网关"。
输入您的 IT 团队提供的 网关 URL 和 API 令牌。
网关 URL:您的 LLM 代理的 HTTPS 基础 URL(例如,https://llm-gateway.yourcompany.com)。
API 令牌:您的代理期望的持有者令牌。加载项在每个请求中以 Authorization: Bearer <token> 标头发送此令牌。
加载项通过向网关发送测试请求来检查连接。如果成功,您将看到主应用体验。
您的凭据存储在本地浏览器的 localStorage 中,位于加载项的沙箱 iframe 内。它们不会同步到 Anthropic 的服务器。由于 Office 加载项在 Microsoft 应用程序内的沙箱 iframe 中运行,它无法像 Claude Code 那样使用您的操作系统密钥链——因此,只输入网关颁发的令牌,而不是原始云提供商凭据。
Bedrock、Vertex AI 或 Foundry 直接连接
打开 Excel、PowerPoint 或 Word,然后启动 Claude 加载项。
使用您的提供商的身份验证方法进行身份验证:
Bedrock 或 Vertex AI:使用您的 Microsoft 工作帐户登录。该加载项使用您的 Entra ID 令牌向您的云提供商进行身份验证——无需单独的云凭据。
Foundry:如果您的管理员预先填充了 Azure 资源名称和 API 密钥,该加载项会自动连接。否则,输入您的 IT 团队提供的值,然后选择"连接"。
该加载项读取您的管理员配置的配置,并直接连接到 Bedrock 或 Vertex AI。
如果在登录时看到错误,请与您的 IT 团队确认您的帐户在分配给该加载项的组中。
更改或更新您的连接
如果您的 API 令牌过期或您的 IT 团队给您一个新的 URL,请转到加载项侧边栏中的"设置",输入新值,然后选择"测试连接"。
IT 团队的网关要求
Office 加载项支持与 Claude Code 相同的三种 API 格式。在您的加载项清单中设置 gateway_api_format,以告诉加载项您的网关使用哪种格式。
CORS 要求
该加载项的任务窗格从 https://pivot.claude.ai 加载。因此,对您的网关的每个请求都是跨源的,浏览器将无声地丢弃任何缺少 CORS 标头的响应。
您的网关必须在每个响应上返回 Access-Control-Allow-Origin: https://pivot.claude.ai(或 *):GET、POST、OPTIONS 和所有错误响应。仅在 OPTIONS 预检上设置它是不够的。对于预检,返回 Access-Control-Allow-Headers: *。
必需的端点
您的网关必须公开的端点取决于它使用的 API 格式。在您的清单中设置 gateway_api_format 以匹配。
gateway_api_format: anthropic(默认)
端点 | 描述 |
POST /v1/messages | 向 Claude 发送消息。支持流式和非流式响应。 |
GET /v1/models | 列出可用的模型。 |
gateway_api_format: bedrock
端点 | 描述 |
POST /model/{model-id}/invoke | 发送消息并接收完整响应。 |
POST /model/{model-id}/invoke-with-response-stream | 发送消息并接收流式响应。 |
原生 Bedrock InvokeModel 直通。gateway_url 必须指向直通前缀(例如,https://litellm.example.com/bedrock)。
gateway_api_format: vertex
端点 | 描述 |
POST /projects/{project}/locations/{region}/publishers/anthropic/models/{model-id}:rawPredict | 发送消息并接收完整响应。 |
POST /projects/{project}/locations/{region}/publishers/anthropic/models/{model-id}:streamRawPredict | 发送消息并接收流式响应。 |
原生 Vertex 直通。gateway_url 必须包含 API 版本段(例如,https://litellm.example.com/vertex_ai/v1)。还需要 gcp_project_id 和 gcp_region,以便加载项可以构建路径。
必需的标头
对于 anthropic 和 vertex 格式,网关必须将 anthropic-version 请求标头转发到上游提供商。
对于 bedrock 格式,SDK 将 anthropic_version 放在请求正文中——网关必须在那里保留它。
未能转发标头或保留正文字段可能会导致功能减少或阻止加载项工作。
授权标头
该加载项可以在 x-api-key 或 Authorization 标头中发送您的网关的授权令牌。
模型发现
登录时,加载项尝试通过 GET /v1/models 发现可用的 Claude 模型。如果您的网关在该路径上不公开模型列表,加载项会回退到提示用户手动输入模型 ID。
与 Claude Code 网关设置的差异
方面 | Claude Code | Claude for Excel、PowerPoint 和 Word |
凭证存储 | OS 密钥链或环境变量 | 浏览器 localStorage(沙箱 iframe) |
身份验证配置 | 环境变量、设置文件、辅助脚本 | 在加载项 UI 中手动输入(网关)、Entra ID(直接云)或 Azure API 密钥(Foundry) |
令牌刷新 | 支持用于轮换的辅助脚本 | 在设置中手动重新输入(网关)或通过 Entra ID 自动进行(直接云) |
自定义模型名称 | 可通过环境变量配置 | 在 v1 中不可配置 |
使用 LiteLLM 的网关配置示例
警告:LiteLLM PyPI 版本 1.82.7 和 1.82.8 被恶意软件入侵,存在凭证窃取风险。请勿安装这些版本。如果您已经安装了:
删除该软件包
轮换受影响系统上的所有凭证
按照 BerriAI/litellm#24518 中的补救步骤进行操作
LiteLLM 是第三方代理服务。Anthropic 不认可、维护或审计 LiteLLM 的安全性或功能。本指南仅供参考,可能会过时。使用风险自负。
许多组织使用 LiteLLM 作为其网关。以下是一个最小的 litellm_config.yaml,用于将 Office 加载项请求路由到 Anthropic、Bedrock 或 Vertex。
直接路由到 Anthropic
yaml
model_list:
- model_name: claude-sonnet-4-5-20250929
litellm_params:
model: claude-sonnet-4-5-20250929
api_key: os.environ/ANTHROPIC_API_KEY
litellm_settings:
drop_params: true
路由到 Amazon Bedrock
yaml
model_list:
- model_name: claude-sonnet-4-5-20250929
litellm_params:
model: bedrock/anthropic.claude-sonnet-4-5-20250929-v1:0
aws_region_name: us-east-1
litellm_settings:
drop_params: true
路由到 Google Cloud Vertex AI
yaml
model_list:
- model_name: claude-sonnet-4-5-20250929
litellm_params:
model: vertex_ai/claude-sonnet-4-5-20250929
vertex_project: your-gcp-project-id
vertex_location: us-east5
litellm_settings:
drop_params: true
路由到 Azure
yaml
model_list:
- model_name: claude-sonnet-4-5-20250929
litellm_params:
model: azure_ai/claude-sonnet-4-5-20250929
api_base: https://your-resource.services.ai.azure.com/anthropic
api_key: os.environ/AZURE_API_KEY
extra_headers:
x-api-key: os.environ/AZURE_API_KEY
litellm_settings:
drop_params: true
有关详细的设置说明,请参阅 LiteLLM 的 Anthropic 格式文档。
Anthropic 收集的内容
即使推理通过您自己的基础设施进行,加载项也会与 pivot.claude.ai 通信以加载其界面,并与 claude.ai/api/ 通信以评估功能标志。这些连接传输操作遥测数据——例如使用了哪些功能、性能计时和错误率——以便 Anthropic 可以维护和改进加载项体验。它们不传输您的提示或 Claude 的响应。
Anthropic 根据 AWS Bedrock、Google Cloud Vertex AI 或 Microsoft Azure 的条款收集信息,与 Anthropic 与客户的协议一致。Anthropic 无法访问客户的 AWS、Google 或 Microsoft 实例,包括其中包含的提示或输出。Anthropic 不使用此类内容训练生成模型,也不将其用于其他目的。Anthropic 可以访问元数据——例如工具使用、令牌计数和类似项目——并将此类元数据用于分析和产品改进目的。
有关您的组织网关或云提供商记录的内容的详细信息,请联系您的 IT 团队。
要将完整的审计跟踪——包括提示、工具输入、工具输出和文档参考——路由到您自己的基础设施,请参阅 为 Office 代理配置自定义 OpenTelemetry 收集器。
这与使用 Claude 账户登录的区别
当您使用 Claude 账户登录时,加载项直接连接到 Anthropic。当您通过第三方平台连接时,加载项会将推理请求发送到您的组织基础设施,您的 IT 团队控制该流量的路由和记录方式。
某些依赖于拥有 Claude 账户的功能尚未通过第三方平台提供,但我们正在努力添加支持:
功能 | Claude 账户 | 第三方平台 |
与您的电子表格、演示文稿或文档聊天 | ✓ | ✓ |
读取和编辑单元格、幻灯片、公式和文档文本 | ✓ | ✓ |
连接器(标普、FactSet 等) | ✓ | 即将推出 |
跨应用工作 | ✓ | — |
技能 | ✓ | 即将推出 |
文件上传 | ✓ | — |
网络搜索 | ✓ | 仅限 Vertex |
如果您的团队需要这些功能,请与您的 Claude 管理员联系,了解哪种登录方式适合您的组织。
故障排除
连接被拒绝"或网络错误"
网关 URL 或云端点无法从用户的网络访问。验证 URL 是否正确、服务是否正在运行,以及是否没有防火墙或 VPN 限制阻止连接。检查上面的网络允许列表部分,确认所有必需的域都被允许。
401 未授权或"无效令牌"
身份验证令牌无效或已过期。对于网关连接,请与您的 IT 团队确认令牌。对于直接云连接,验证用户的 Entra ID 帐户是否在分配的组中,以及 OIDC 信任或 OAuth 客户端是否配置正确。对于 Foundry,在 Azure 门户 → 密钥和端点中重新生成密钥。
403 禁止访问或"访问被拒绝"
令牌有效但缺少正确的权限。对于 Bedrock,验证 IAM 角色是否具有 bedrock:InvokeModel 权限。对于 Vertex,验证服务帐户是否具有 aiplatform.endpoints.predict 权限。对于网关,请与您的 IT 管理员检查令牌的范围。对于 Foundry,检查资源的网络规则,或确认密钥属于正确的资源。
404 未找到
加载项无法访问预期的 API 路径。对于网关,验证 URL 是否为基础 URL(例如,https://litellm-server:4000)—不要在 URL 字段中包含 /v1/messages。
500 或其他服务器错误
网关或云提供商遇到内部错误。检查您的网关日志(例如,如果使用 LiteLLM,则为 docker logs litellm)以查找上游提供商错误。重试请求,如果问题仍然存在,请联系您的 IT 管理员。
没有可用的模型
加载项找不到 Claude 模型。对于网关,您的网关可能不会在 GET /v1/models 处公开模型列表。您的 IT 团队可以配置网关以提供模型列表,或为您提供要手动输入的特定模型 ID。对于 Bedrock 或 Vertex,确认您的帐户和区域中至少启用了一个 Claude 模型(Claude Sonnet 4.5 或更高版本)。对于 Foundry,确认资源中至少部署了一个 Claude 模型(模型目录)。
流式响应失败或挂起
验证您的网关是否支持服务器发送事件 (SSE) 传递。某些代理配置会剥离或缓冲 SSE 连接,这会阻止流式响应到达加载项。
我期望的功能不可用
连接器、技能、文件上传和跨应用工作尚不可通过第三方平台使用。如果您需要这些功能,请询问您的管理员是否可以改用 Claude 帐户登录。