什麼是 Microsoft 365 連接器
Microsoft 365 連接器是一個 Anthropic 託管的整合,使 Claude 能夠通過用戶委派的權限安全地訪問 Microsoft 365 服務(Outlook、SharePoint、OneDrive、Teams)。Anthropic 已完成 Microsoft 的發布商驗證流程,將我們經過驗證的 Microsoft 合作夥伴網絡帳戶與此應用程序相關聯,以確認我們的組織身份。
連接器作為 安全代理 運行,您的 Microsoft 365 文檔、電子郵件和文件保留在您的租戶中。連接器僅在活動查詢期間按需檢索數據,不緩存文件內容。憑證由 Anthropic 的後端基礎設施加密和管理。MCP 服務器本身不存儲或管理這些憑證。Microsoft 的 Azure SDK 處理代表用戶的令牌交換和按用戶基礎的緩存,以訪問 Graph API。
訪問限制
訪問可以完全受限
連接器提供 多層訪問控制 以滿足您的安全要求。有關 Microsoft 365 連接器管理的詳細信息,請參閱 啟用和使用 Microsoft 365 連接器。
1. 組織級別的門控
Team 和 Enterprise 計劃用戶對連接器的訪問需要兩步批准流程。首先,所有者必須通過導航到「管理設置」→「連接器」→「瀏覽連接器」→「添加 Microsoft 365」,在 Claude 管理設置中明確啟用 Microsoft 365 連接器。在授予此批准之前,用戶無法訪問。
其次,在所有者啟用連接器後,Microsoft Entra 全局管理員必須完成個人身份驗證並代表整個組織授予同意,然後任何團隊成員才能連接。
2. Microsoft Entra 管理員預同意要求
在用戶可以訪問連接器之前,Microsoft Entra 管理員必須完成一次性設置,該設置將:
在 Microsoft Entra ID 中添加兩個服務主體和企業應用程序(M365 MCP 客戶端和 M365 MCP 服務器)。這為您租戶中的 Microsoft 365 連接器應用程序建立了服務級別的身份
為您的 Microsoft 365 租戶授予管理員預同意
可選地限制允許使用連接器的 Microsoft Entra ID 用戶和組
可選地限制連接器允許使用的權限,以選擇性地控制哪些 Microsoft 365 服務可訪問
3. 細粒度權限撤銷
您可以通過 Microsoft Entra 管理中心選擇性地禁用特定功能。例如:
限制 | 操作 | 效果 |
所有訪問 | 在 Claude 管理設置中禁用連接器 | 完全關閉 |
僅 SharePoint | 在 Entra 中撤銷 Sites.Read.All 權限 | 阻止 SharePoint |
電子郵件訪問 | 在 Entra 中撤銷 Mail.Read 權限 | 阻止 Outlook |
Teams 聊天 | 在 Entra 中撤銷 Chat.Read 權限 | 阻止 Teams |
OneDrive 文件 | 撤銷 Files.Read 和/或 Files.Read.All | 阻止從 OneDrive 讀取文件 |
更改對組織中的所有用戶立即生效。請注意,用戶也可以選擇在聊天或會話期間禁用他們有權使用的功能,方法是選擇性地關閉連接器的工具。
4. Microsoft 條件訪問集成
連接器完全支持您現有的 Entra(Azure AD)策略:
多因素身份驗證(MFA):為連接器訪問強制執行 MFA
設備合規性:要求託管/合規設備
IP 限制:將 Microsoft 身份驗證限制為公司網絡或 VPN
基於組的訪問:限制為特定安全組
5. 用戶級別權限
Microsoft 365 連接器使用 委派權限。
用戶只能訪問他們 已經有權限 的 Microsoft 365 數據
SharePoint 搜索需要 Sites.Read.All 權限。不支持特定於站點的權限(使用 *.Selected 權限),因為基礎搜索是租戶範圍的。
用戶無法繞過 SharePoint 共享設置或文件夾權限
用戶無法訪問其他用戶的私人文件或電子郵件
委派權限本質上尊重 Microsoft 365 數據丟失防護(DLP)策略
6. 令牌管理
刷新令牌在默認情況下在 90 天不活動後過期,需要重新身份驗證。這可以在 Microsoft Entra ID 中使用令牌生命週期策略進行自定義。
訪問令牌通常在 Microsoft Entra ID 默認值內的 60-90 分鐘內過期,並自動刷新
管理員或用戶可以隨時通過 Microsoft Entra