如果您的組織使用 AWS Bedrock、Google Cloud Vertex AI 或 LLM 閘道來存取 Claude,您可以在沒有 Claude 帳戶的情況下使用 Claude for Excel 和 Claude for PowerPoint 增益集。該增益集透過您組織的基礎設施連接,因此您的提示和回應會保留在您現有的信任邊界內。
有三種連接路徑,取決於您的組織如何存取 Claude:
LLM 閘道:增益集將請求傳送到您的閘道(LiteLLM、Portkey、Kong 等),該閘道將其路由到您選擇的提供者。這與 Claude Code 使用的模式相同。如果您的組織已經透過 LLM 閘道執行 Claude Code,您可以將 Office 增益集指向同一端點—無需新的基礎設施。
Bedrock 直接連接:增益集透過 Microsoft Entra ID 進行驗證,並直接呼叫 AWS Bedrock,中間沒有閘道。
Vertex AI 直接連接:增益集透過 Google OAuth 進行驗證,並直接呼叫 Vertex AI。
您的 IT 管理員在部署期間選擇路徑。作為終端使用者,無論您的組織使用哪條路徑,體驗都是相同的。
需求
需求因連接路徑而異。
所有路徑:
已安裝 Claude for Excel 或 Claude for PowerPoint(來自 Microsoft AppSource 或由您的管理員部署)
具有 Entra ID 的 Microsoft 365(用於管理員同意,以及在直接雲端路徑中用於權杖簽發)
LLM 閘道:
來自您 IT 團隊的閘道 URL 和 API 權杖
Bedrock 直接連接:
一個 AWS 帳戶,在目標區域啟用了 Claude 模型存取
一個 IAM OIDC 身分提供者和角色,配置為信任 Microsoft Entra ID 權杖
Vertex AI 直接連接:
一個 Google Cloud 專案,已啟用 Vertex AI API,且在目標區域具有 Claude 模型存取
一個 Google OAuth 用戶端,配置有增益集的重新導向 URI
您組織的 IT 團隊管理這些資源。如果您沒有所需的認證,請聯絡他們—Anthropic 無法為您提供或重設這些認證。
網路允許清單
增益集需要到達特定網域才能運作。哪些網域取決於您的組織是直接使用 Anthropic API (1P) 還是使用第三方平台 (3P)。與您的網路或安全團隊分享適用的表格,以便他們可以將這些網域加入允許清單。
重要:在所有配置中(包括第三方)—您的提示和 Claude 的回應僅傳送到您選擇的推論提供者(您的閘道、Bedrock 或 Vertex AI)。下面列出的指向 Anthropic 的網域(例如 pivot.claude.ai)用於增益集的介面、功能配置和操作遙測。它們不攜帶提示或回應內容。
Anthropic API (1P)
如果您組織中的人員使用 Claude 帳戶登入,且推論傳送到 api.anthropic.com,請使用此表格。
網域 | 必需時機 | 用途 |
pivot.claude.ai | 始終 | 增益集主機。提供工作窗格 UI,並代理分析、圖示搜尋、技能下載和遙測。 |
claude.ai | 始終 | Anthropic OAuth 登入和功能旗標評估。 |
api.anthropic.com | 始終 | Claude 推論 API、檔案上傳、程式碼執行容器和 MCP 連接器登錄。 |
appsforoffice.microsoft.com | 始終 | Microsoft Office.js 執行階段指令碼。每個 Office 增益集都需要。 |
o1158394.ingest.us.sentry.io | 選用 | 當機和錯誤報告。封鎖此項只會降低診斷品質;增益集仍可運作。 |
mcp-proxy.anthropic.com | 如果使用 MCP 連接器 | MCP 連接器工具呼叫的代理。 |
bridge.claudeusercontent.com | 如果使用跨應用程式工作 | 用於跨應用程式工作功能的 WebSocket 橋接。 |
第三方平台 (3P)
如果貴組織中的人員使用 Microsoft Entra ID 登入,且推論會傳送到您的 LLM 閘道、Bedrock 或 Vertex AI,請使用此表格。
網域 | 必要時機 | 用途 |
pivot.claude.ai | 一律 | 增益集主機。提供工作窗格 UI,並代理分析、圖示搜尋和遙測。 |
claude.ai/api/ | 一律 | 功能旗標評估。無需登入;增益集只會從此處擷取其設定。 |
appsforoffice.microsoft.com | 一律 | Microsoft Office.js 執行階段指令碼 (每個 Office 增益集都需要)。 |
login.microsoftonline.com | 一律 | 透過巢狀應用程式驗證進行 Microsoft Entra ID 登入。讀取管理員佈建的閘道設定,並發行直接雲端驗證的權杖。 |
o1158394.ingest.us.sentry.io | 選用 | 當機和錯誤報告。封鎖此項只會降低診斷品質;增益集仍可正常運作。 |
您的 LLM 閘道 URL | 如果使用 LLM 閘道 | 貴組織的 LLM 閘道 (LiteLLM、Portkey、Kong 等)。推論會傳送到此處,而不是 api.anthropic.com。 |
sts.amazonaws.com | 如果直接使用 Bedrock | AWS STS。將 Entra ID 權杖交換為暫時 Bedrock 認證。 |
bedrock-runtime.<region>.amazonaws.com | 如果直接使用 Bedrock | Bedrock 推論端點。將 <region> 取代為您設定的 AWS 區域 (例如 us-east-1)。 |
accounts.google.com | 如果直接使用 Vertex AI | Google OAuth 同意畫面。 |
oauth2.googleapis.com | 如果直接使用 Vertex AI | Google OAuth 權杖交換和重新整理。 |
aiplatform.googleapis.com | 如果直接使用 Vertex AI | Vertex AI 全球推論端點。 |
<region>-aiplatform.googleapis.com | 如果直接使用 Vertex AI | Vertex AI 區域推論端點。將 <region> 取代為您設定的 GCP 區域 (例如 us-east5)。 |
為第三方使用部署增益集 (IT 管理員)
使用 claude-in-office 外掛程式在整個組織中設定和部署增益集。此工具會在單一引導式流程中處理雲端資源佈建 (如果直接使用 Bedrock 或 Vertex AI)、產生增益集資訊清單,以及取得管理員同意。
使用設定精靈
安裝外掛程式並執行互動式設定精靈:
claude plugin marketplace add anthropics/financial-services-plugins
claude plugin install claude-in-office@financial-services-plugins
/claude-in-office:setup
精靈會引導您完成連線路徑:
LLM 閘道:收集您的閘道 URL 和權杖、產生資訊清單,以及處理 Azure 管理員同意。
Bedrock 直接:建立 IAM OIDC 身分識別提供者和角色、產生資訊清單,以及處理 Azure 管理員同意。
Vertex AI 直接:引導您建立 Google OAuth 用戶端、產生資訊清單,以及處理 Azure 管理員同意。
精靈完成後,增益集就可以部署到整個租用戶。
注意:Bedrock 和 Vertex AI 路徑需要 Node.js 來進行資訊清單產生和驗證。精靈會檢查它,如果缺少,會提示您安裝。
您可以在 claude-in-office 工作階段中使用以下命令:
命令 | 功能 |
| 互動式精靈—佈建雲端資源、管理員同意、寫入資訊清單 |
| 產生自訂的增益集資訊清單 XML |
| 為增益集的應用程式註冊產生 Azure 管理員同意 URL |
| 透過 Microsoft Graph 擴充屬性寫入每位使用者的設定 |
精靈佈建的內容
精靈會根據您的連線路徑自動建立資源。以下是它設定的內容:
LLM 閘道:無需佈建雲端資源。精靈會收集您的閘道 URL 和權杖,然後產生資訊清單。
Bedrock 直接:建立信任 Microsoft Entra ID 權杖的 IAM OIDC 身分識別提供者、具有 bedrock:InvokeModel 和 bedrock:InvokeModelWithResponseStream 權限的角色,以及限定於 Claude 增益集應用程式 ID 的信任原則。
Vertex AI 直接:引導您在 GCP 主控台中建立 Google OAuth 用戶端(此步驟無法透過 CLI 自動化)、啟用 Vertex AI API,以及擷取資訊清單的用戶端 ID 和密碼。
每位使用者的設定
如果某些值因使用者而異—例如,不同的閘道權杖或不同團隊的不同 AWS 角色—精靈可以透過 Microsoft Graph 擴充屬性寫入每位使用者的設定。在初始設定後,使用 /claude-in-office:update-user-attrs 搭配每位使用者的金鑰執行。
部署到 Microsoft 365
精靈產生您的資訊清單後:
開啟 Microsoft 365 管理中心,然後前往 設定 > 整合應用程式 > 上傳自訂應用程式。
選取「Office 增益集」作為應用程式類型,然後上傳 manifest.xml 檔案。
選擇誰可以取得增益集:
如果所有使用者共用相同的設定,請選取「整個組織」。
如果您在上一步中寫入了每位使用者的屬性,請指派給 特定使用者/群組,完全符合已設定的人員。其他任何人開啟增益集時都不會有設定。
接受權限並完成部署。
傳播到使用者最多需要 24 小時(通常快得多)。增益集到達後會出現在 Excel 和 PowerPoint 的 首頁 > 增益集 下。
注意:先從試驗群組開始以確認增益集有效,然後擴大指派。您稍後可以變更指派而無需重新部署。
部署增益集後,您的使用者可以按照以下步驟進行連線。
終端使用者的連線指示
LLM 閘道
開啟 Excel 或 PowerPoint 並啟動 Claude 增益集。
在登入畫面上,選取「企業閘道」。
輸入您的 IT 團隊提供的 閘道 URL 和 API 權杖。
閘道 URL:您的 LLM Proxy 的 HTTPS 基底 URL(例如,https://llm-gateway.yourcompany.com)。
API 權杖:您的 Proxy 預期的持有人權杖。增益集在每個請求中以 Authorization: Bearer <token> 標頭傳送此權杖。
增益集會透過向閘道傳送測試請求來檢查連線。如果成功,您會看到主應用程式體驗。
您的認證儲存在本機瀏覽器的 localStorage 中,位於增益集的沙箱 iframe 內。它們不會同步到 Anthropic 的伺服器。由於 Office 增益集在 Microsoft 應用程式內的沙箱 iframe 中執行,它無法像 Claude Code 那樣使用您的作業系統金鑰鏈—因此,只輸入閘道發行的權杖,而不是原始雲端提供者認證。
Bedrock 或 Vertex AI 直接
開啟 Excel 或 PowerPoint 並啟動 Claude 增益集。
使用您的 Microsoft 工作帳戶登入。增益集使用您的 Entra ID 權杖向您的雲端提供者進行驗證—不需要單獨的雲端認證。
增益集會讀取您的管理員佈建的設定,並直接連線到 Bedrock 或 Vertex AI。
如果您在登入時看到錯誤,請與您的 IT 團隊確認您的帳戶是否在指派給增益集的群組中。
變更或更新您的連線
如果您的 API 權杖過期或您的 IT 團隊給您新的 URL,請前往增益集側邊欄中的「設定」,輸入新值,然後選取「測試連線」。
IT 團隊的閘道需求
Office 增益集僅透過統一端點支援 Anthropic Messages API 格式。這比 Claude Code 更具體,Claude Code 也直接支援 Bedrock InvokeModel 和 Vertex rawPredict 格式。
必要的端點
您的網關必須公開這兩個端點:
端點 | 說明 |
/v1/messages | 向 Claude 傳送訊息。支援串流和非串流回應。 |
/v1/models | 列出可用的模型。 |
必需的標頭
網關必須將以下請求標頭從增益集轉發到上游提供者:
anthropic-beta — 啟用增益集所需的測試版功能。
anthropic-version — 指定請求/回應格式的 API 版本。
未能轉發這些標頭可能會導致功能減少或阻止增益集正常運作。
模型探索
登入時,增益集會透過 GET /v1/messages 驗證權杖,然後嘗試透過 GET /v1/models 探索可用的 Claude 模型。如果您的網關在該路徑上未公開模型清單,增益集會回退到提示使用者手動輸入模型 ID。
與 Claude Code 網關設定的差異
方面 | Claude Code | Claude for Excel and PowerPoint |
支援的 API 格式 | Anthropic Messages、Bedrock InvokeModel、Vertex rawPredict | 僅限 Anthropic Messages(統一端點) |
端點類型 | 統一和傳遞 | 僅限統一 |
認證儲存 | OS 金鑰鏈或環境變數 | 瀏覽器 localStorage(沙箱 iframe) |
驗證設定 | 環境變數、設定檔、協助程式指令碼 | 在增益集 UI(網關)中手動輸入或 Entra ID(直接雲端) |
權杖重新整理 | 支援用於輪換的協助程式指令碼 | 在設定中手動重新輸入(網關)或透過 Entra ID 自動進行(直接雲端) |
自訂模型名稱 | 可透過環境變數設定 | 在 v1 中不可設定 |
使用 LiteLLM 的範例網關設定
警告:LiteLLM PyPI 版本 1.82.7 和 1.82.8 遭到竊取認證的惡意軟體入侵。請勿安裝這些版本。如果您已經安裝了它們:
移除套件
輪換受影響系統上的所有認證
遵循 BerriAI/litellm#24518 中的補救步驟
LiteLLM 是第三方代理服務。Anthropic 不認可、維護或審計 LiteLLM 的安全性或功能。本指南僅供參考,可能會過時。請自行決定是否使用。
許多組織使用 LiteLLM 作為其網關。以下是用於將 Office 增益集請求路由到 Anthropic、Bedrock 或 Vertex 的最小 litellm_config.yaml。
直接路由到 Anthropic
yaml
model_list:
- model_name: claude-sonnet-4-5-20250929
litellm_params:
model: claude-sonnet-4-5-20250929
api_key: os.environ/ANTHROPIC_API_KEY
litellm_settings:
drop_params: true
路由到 Amazon Bedrock
yaml
model_list:
- model_name: claude-sonnet-4-5-20250929
litellm_params:
model: bedrock/anthropic.claude-sonnet-4-5-20250929-v1:0
aws_region_name: us-east-1
litellm_settings:
drop_params: true
路由到 Google Cloud Vertex AI
yaml
model_list:
- model_name: claude-sonnet-4-5-20250929
litellm_params:
model: vertex_ai/claude-sonnet-4-5-20250929
vertex_project: your-gcp-project-id
vertex_location: us-east5
litellm_settings:
drop_params: true
路由到 Azure
yaml
model_list:
- model_name: claude-sonnet-4-5-20250929
litellm_params:
model: azure_ai/claude-sonnet-4-5-20250929
api_base: https://your-resource.services.ai.azure.com/anthropic
api_key: os.environ/AZURE_API_KEY
extra_headers:
x-api-key: os.environ/AZURE_API_KEY
litellm_settings:
drop_params: true
如需詳細的設定說明,請參考 LiteLLM 的 Anthropic 格式文件。
Anthropic 收集的資訊
即使推理透過您自己的基礎設施進行,該外掛程式仍會與 pivot.claude.ai 通訊以載入其介面,並與 claude.ai/api/ 通訊以評估功能旗標。這些連線會傳輸操作遙測資料(例如使用的功能、效能計時和錯誤率),以便 Anthropic 可以維護和改進外掛程式體驗。它們不會傳輸您的提示或 Claude 的回應。
Anthropic 根據 AWS Bedrock、Google Cloud Vertex AI 或 Microsoft Azure 的條款收集資訊,與 Anthropic 與客戶的協議一致。Anthropic 無法存取客戶的 AWS、Google 或 Microsoft 執行個體,包括其中包含的提示或輸出。Anthropic 不會使用此類內容訓練生成模型,也不會將其用於其他目的。Anthropic 可以存取中繼資料(例如工具使用、權杖計數和類似項目),並將此類中繼資料用於分析和產品改進目的。
如需了解您的組織閘道或雲端提供者記錄的詳細資訊,請聯絡您的 IT 團隊。
這與使用 Claude 帳戶登入的差異
當您使用 Claude 帳戶登入時,外掛程式會直接連線到 Anthropic。當您透過第三方平台連線時,外掛程式會改為將推理要求傳送到您的組織基礎設施,而您的 IT 團隊會控制該流量的路由和記錄方式。
某些依賴 Claude 帳戶的功能尚未透過第三方平台提供,但我們正在努力新增支援:
功能 | Claude 帳戶 | 第三方平台 |
與您的試算表或簡報交談 | ✓ | ✓ |
讀取和編輯儲存格、投影片、公式 | ✓ | ✓ |
連接器 (S&P、FactSet 等) | ✓ | 即將推出 |
跨應用程式工作 | ✓ | — |
技能 | ✓ | 即將推出 |
檔案上傳 | ✓ | — |
網路搜尋 | ✓ | 僅限 Vertex |
如果您的團隊需要這些功能,請與您的 Claude 管理員討論哪種登入方式適合您的組織。
疑難排解
「連線被拒絕」或網路錯誤
無法從使用者的網路到達閘道 URL 或雲端端點。驗證 URL 是否正確、服務是否正在執行,以及是否沒有防火牆或 VPN 限制阻止連線。檢查上方的 網路允許清單部分,以確認所有必要的網域都被允許。
401 未授權或「無效的權杖」
驗證權杖無效或已過期。對於閘道連線,請與您的 IT 團隊確認權杖。對於直接雲端連線,驗證使用者的 Entra ID 帳戶是否在指派的群組中,以及 OIDC 信任或 OAuth 用戶端是否設定正確。
403 禁止或「存取被拒絕」
權杖有效但缺少正確的權限。對於 Bedrock,驗證 IAM 角色是否具有 bedrock:InvokeModel 權限。對於 Vertex,驗證服務帳戶是否具有 aiplatform.endpoints.predict 權限。對於閘道,請與您的 IT 管理員檢查權杖的範圍。
404 找不到
外掛程式無法到達預期的 API 路徑。對於閘道,驗證 URL 是否為基底 URL(例如 https://litellm-server:4000)—不要在 URL 欄位中包含 /v1/messages。
500 或其他伺服器錯誤
閘道或雲端提供者遇到內部錯誤。檢查您的閘道記錄(例如,如果使用 LiteLLM,則為 docker logs litellm)以查看上游提供者錯誤。重試要求,如果問題仍然存在,請聯絡您的 IT 管理員。
「沒有可用的模型」
外掛程式找不到 Claude 模型。對於閘道,您的閘道可能不會在 GET /v1/models 公開模型清單。您的 IT 團隊可以設定閘道以提供模型清單,或為您提供要手動輸入的特定模型 ID。對於 Bedrock 或 Vertex,確認您的帳戶和區域中至少啟用了一個 Claude 模型 (Claude Sonnet 4.5 或更新版本)。
串流回應失敗或掛起
驗證您的閘道是否支援伺服器傳送事件 (SSE) 傳遞。某些代理設定會移除或緩衝 SSE 連線,這會防止串流回應到達外掛程式。
我預期的功能無法使用
連接器、技能、檔案上傳和跨應用程式工作目前無法透過第三方平台使用。如果您需要這些功能,請詢問您的管理員是否可以改用 Claude 帳戶登入。