如果您的組織使用 AWS Bedrock、Google Cloud Vertex AI、Azure AI Foundry 或 LLM 閘道來存取 Claude,您可以使用 Claude for Excel、Claude for PowerPoint 和 Claude for Word 附加元件,無需 Claude 帳戶。該附加元件透過您組織的基礎設施連接,因此您的提示和回應保持在現有的信任邊界內。
有四條連接路徑,取決於您的組織如何存取 Claude:
LLM 閘道:附加元件將請求傳送到您的閘道(LiteLLM、Portkey、Kong 等),該閘道將其路由到您選擇的提供者。這與 Claude Code 使用的模式相同。如果您的組織已經透過 LLM 閘道執行 Claude Code,您可以將 Office 附加元件指向同一端點——無需新的基礎設施。
Bedrock 直接:附加元件透過 Microsoft Entra ID 進行身份驗證,直接呼叫 AWS Bedrock,中間沒有閘道。
Vertex AI 直接:附加元件透過 Google OAuth 進行身份驗證,直接呼叫 Vertex AI。
Foundry 直接:附加元件使用其 API 金鑰直接透過您的 Azure AI Foundry 資源進行身份驗證。
您的 IT 管理員在部署期間選擇路徑。作為最終使用者,無論您的組織使用哪條路徑,體驗都是相同的。
需求
需求因連接路徑而異。
所有路徑:
已安裝 Claude for Excel、Claude for PowerPoint 或 Claude for Word(來自 Microsoft AppSource 或由您的管理員部署)
具有 Entra ID 的 Microsoft 365(用於管理員同意,以及在直接雲端路徑中用於權杖簽發)
LLM 閘道:
來自您 IT 團隊的閘道 URL 和 API 權杖
Bedrock 直接:
一個 AWS 帳戶,在目標區域啟用了 Claude 模型存取
一個 IAM OIDC 身份提供者和角色,配置為信任 Microsoft Entra ID 權杖
Vertex AI 直接:
一個 Google Cloud 專案,啟用了 Vertex AI API,且在目標區域有 Claude 模型存取
一個 Google OAuth 用戶端,配置了附加元件的重新導向 URI
Foundry 直接:
一個 Azure AI Foundry 資源,至少部署了一個 Claude 模型(Claude Opus 4.6、Opus 4.5、Sonnet 4.6 或 Sonnet 4.5)
部署名稱必須保留為預設模型 ID(例如 claude-opus-4-6);暫不支援自訂部署名稱。適配器按模型 ID 進行探測,因此重新命名的部署將無法找到。
資源的 API 金鑰,來自 Azure Portal → 您的 Foundry 資源 → 金鑰和端點 → 金鑰 1
您組織的 IT 團隊管理這些資源。如果您沒有所需的認證,請聯絡他們——Anthropic 無法為您提供或重設這些認證。
網路允許清單
附加元件需要到達特定網域才能運作。哪些網域取決於您的組織是直接使用 Anthropic API (1P) 還是使用第三方平台 (3P)。與您的網路或安全團隊分享適用的表格,以便他們可以將這些網域加入允許清單。
重要:在所有配置中——包括第三方——您的提示和 Claude 的回應僅傳送到您選擇的推理提供者(您的閘道、Bedrock、Vertex AI 或 Azure AI Foundry)。下面列出的指向 Anthropic 的網域(例如 pivot.claude.ai)用於附加元件的介面、功能配置和操作遙測。它們不傳輸提示或回應內容。
Anthropic API (1P)
如果您組織中的人員使用 Claude 帳戶登入,且推理傳送到 api.anthropic.com,請使用此表格。
網域 | 何時需要 | 用途 |
pivot.claude.ai | 始終 | 附加元件主機。提供工作窗格 UI,並代理分析、圖示搜尋、技能下載和遙測。 |
claude.ai | 始終 | Anthropic OAuth 登入和功能旗標評估。 |
api.anthropic.com | 始終 | Claude 推理 API、檔案上傳、程式碼執行容器和 MCP 連接器登錄。 |
appsforoffice.microsoft.com | 始終 | Microsoft Office.js 執行時指令碼。每個 Office 附加元件都需要。 |
o1158394.ingest.us.sentry.io | 選用 | 當機和錯誤報告。阻止此項只會降低診斷品質;附加元件仍可運作。 |
mcp-proxy.anthropic.com | 如果使用 MCP 連接器 | MCP 連接器工具呼叫的代理。 |
bridge.claudeusercontent.com | 如果跨應用程式工作 | 跨應用程式功能的 WebSocket 橋接。 |
第三方平台 (3P)
如果您組織中的人員使用 Microsoft Entra ID 登入,且推論會傳送到您的 LLM 閘道、Bedrock 或 Vertex AI,請使用此表格。
網域 | 必要時機 | 用途 |
pivot.claude.ai | 一律 | 增益集主機。提供工作窗格 UI,並代理分析、圖示搜尋和遙測。 |
claude.ai/api/ | 一律 | 功能旗標評估。無需登入;增益集只會從此處擷取其設定。 |
appsforoffice.microsoft.com | 一律 | Microsoft Office.js 執行階段指令碼(每個 Office 增益集都需要)。 |
login.microsoftonline.com | 一律 | 透過巢狀應用程式驗證的 Microsoft Entra ID 登入。讀取管理員佈建的閘道設定,並為直接雲端驗證發行權杖。 |
o1158394.ingest.us.sentry.io | 選用 | 當機和錯誤報告。封鎖此項只會降低診斷品質;增益集仍可運作。 |
您的 LLM 閘道 URL | 如果使用 LLM 閘道 | 您組織的 LLM 閘道 (LiteLLM、Portkey、Kong 等)。推論會傳送到此處,而不是 api.anthropic.com。 |
sts.amazonaws.com | 如果直接使用 Bedrock | AWS STS。將 Entra ID 權杖交換為暫時 Bedrock 認證。 |
bedrock-runtime.<region>.amazonaws.com | 如果直接使用 Bedrock | Bedrock 推論端點。將 <region> 取代為您設定的 AWS 區域(例如 us-east-1)。 |
accounts.google.com | 如果直接使用 Vertex AI | Google OAuth 同意畫面。 |
oauth2.googleapis.com | 如果直接使用 Vertex AI | Google OAuth 權杖交換和重新整理。 |
aiplatform.googleapis.com | 如果直接使用 Vertex AI | Vertex AI 全域推論端點。 |
<region>-aiplatform.googleapis.com | 如果直接使用 Vertex AI | Vertex AI 區域推論端點。將 <region> 取代為您設定的 GCP 區域(例如 us-east5)。 |
<resource>.services.ai.azure.com
| 如果直接使用 Foundry | Azure AI Foundry 推論端點。將 <resource> 取代為您的資源名稱。 |
為第三方使用部署增益集(IT 管理員)
使用 claude-in-office 外掛程式在整個組織中設定和部署增益集。此工具可處理佈建雲端資源(如果使用 Bedrock 或 Vertex AI 直接連線)、產生增益集資訊清單,以及在單一引導式流程中取得管理員同意。
使用設定精靈
安裝外掛程式並執行互動式設定精靈:
claude plugin marketplace add anthropics/financial-services-plugins
claude plugin install claude-in-office@financial-services-plugins
/claude-in-office:setup
精靈會引導您完成連線路徑:
LLM 閘道:收集您的閘道 URL 和權杖、判斷要使用的 API 格式、產生資訊清單,以及處理 Azure 管理員同意。
Bedrock 直接連線:建立 IAM OIDC 身分識別提供者和角色、產生資訊清單,以及處理 Azure 管理員同意。
Vertex AI 直接連線:引導您建立 Google OAuth 用戶端、產生資訊清單,以及處理 Azure 管理員同意。
Foundry 直接連線:擷取
azure_resource_name和azure_api_key,然後產生資訊清單。
精靈完成後,增益集即可部署至整個租用戶。
注意:Bedrock 和 Vertex AI 路徑需要 Node.js 來產生和驗證資訊清單。精靈會檢查它,如果遺失則提示您安裝。
您可以在 claude-in-office 工作階段內使用下列命令:
命令 | 功能 |
| 互動式精靈—佈建雲端資源、管理員同意、寫入資訊清單 |
| 產生自訂增益集資訊清單 XML |
| 為增益集的應用程式註冊產生 Azure 管理員同意 URL |
| 透過 Microsoft Graph 擴充屬性寫入每位使用者的設定 |
精靈佈建的內容
精靈會根據您的連線路徑自動建立資源。以下是它設定的內容:
LLM 閘道:無雲端資源需要佈建。精靈會收集您的閘道 URL 和權杖,然後產生資訊清單。
Bedrock 直接連線:建立信任 Microsoft Entra ID 權杖的 IAM OIDC 身分識別提供者、具有 bedrock:InvokeModel 和 bedrock:InvokeModelWithResponseStream 權限的角色,以及限定於 Claude 增益集應用程式 ID 的信任原則。
Vertex AI 直接連線:引導您在 GCP 主控台中建立 Google OAuth 用戶端(此步驟無法透過 CLI 自動化)、啟用 Vertex AI API,以及擷取資訊清單的用戶端 ID 和密碼。
Foundry 直接連線:無雲端資源需要佈建;精靈會收集資訊清單的資源名稱和 API 金鑰。
每位使用者的設定
如果某些值因使用者而異—例如,不同的閘道權杖或不同團隊的不同 AWS 角色—精靈可以透過 Microsoft Graph 擴充屬性寫入每位使用者的設定。初始設定後,使用每位使用者的金鑰執行 /claude-in-office:update-user-attrs。
部署至 Microsoft 365
精靈產生您的資訊清單後:
開啟 Microsoft 365 管理中心並前往 設定 > 整合應用程式 > 上傳自訂應用程式。
選取「Office 增益集」作為應用程式類型,然後上傳 manifest.xml 檔案。
選擇誰可以取得增益集:
如果所有使用者共用相同的設定,請選取「整個組織」。
如果您在上一步中寫入了每位使用者的屬性,請指派給 特定使用者/群組,完全符合已設定的人員。其他任何人開啟增益集時都不會有設定。
接受權限並完成部署。
傳播至使用者最多需要 24 小時(通常快得多)。增益集到達後會出現在 Excel、PowerPoint 和 Word 的 首頁 > 增益集 下。
注意:從試驗群組開始以確認增益集有效,然後擴大指派範圍。您稍後可以變更指派而無需重新部署。
部署增益集後,您的使用者可以按照下列步驟進行連線。
終端使用者的連線指示
LLM 閘道
開啟 Excel、PowerPoint 或 Word 並啟動 Claude 增益集。
在登入畫面上,選取「企業閘道」。
輸入您的 IT 團隊提供的 閘道 URL 和 API 權杖。
閘道 URL:您的 LLM Proxy 的 HTTPS 基底 URL(例如,https://llm-gateway.yourcompany.com)。
API 權杖:您的 Proxy 預期的持有人權杖。增益集在每個要求中以 Authorization: Bearer <token> 標頭傳送此權杖。
增益集會透過傳送測試要求至閘道來檢查連線。如果成功,您會看到主應用程式體驗。
您的認證儲存在本機於增益集沙箱 iframe 內的瀏覽器 localStorage 中。它們不會同步至 Anthropic 的伺服器。由於 Office 增益集在 Microsoft 應用程式內的沙箱 iframe 中執行,它無法像 Claude Code 一樣使用您的 OS 金鑰鏈—因此,只輸入閘道發行的權杖,不要輸入原始雲端提供者認證。
Bedrock、Vertex AI 或 Foundry 直接連接
開啟 Excel、PowerPoint 或 Word,然後啟動 Claude 增益集。
使用您提供者的方法進行驗證:
Bedrock 或 Vertex AI:使用您的 Microsoft 工作帳戶登入。增益集使用您的 Entra ID 權杖向您的雲端提供者進行驗證,無需單獨的雲端認證。
Foundry:如果您的管理員預先填入了 Azure 資源名稱和 API 金鑰,增益集會自動連接。否則,輸入您的 IT 團隊提供的值,然後選取「連接」。
增益集讀取管理員佈建的設定,並直接連接到 Bedrock 或 Vertex AI。
如果登入時出現錯誤,請與您的 IT 團隊確認您的帳戶是否在指派給增益集的群組中。
變更或更新您的連接
如果您的 API 權杖過期或您的 IT 團隊提供了新的 URL,請前往增益集側邊欄中的「設定」,輸入新值,然後選取「測試連接」。
IT 團隊的閘道需求
Office 增益集支援與 Claude Code 相同的三種 API 格式。在增益集資訊清單中設定 gateway_api_format,以告知增益集您的閘道使用哪種格式。
CORS 需求
增益集的工作窗格從 https://pivot.claude.ai 載入。因此,對您的閘道的每個請求都是跨來源的,瀏覽器將無聲地捨棄任何缺少 CORS 標頭的回應。
您的閘道必須在每個回應上傳回 Access-Control-Allow-Origin: https://pivot.claude.ai(或 *):GET、POST、OPTIONS 和所有錯誤回應。僅在 OPTIONS 預檢上設定它是不夠的。對於預檢,傳回 Access-Control-Allow-Headers: *。
必需的端點
您的閘道必須公開的端點取決於它使用的 API 格式。在您的資訊清單中設定 gateway_api_format 以相符。
gateway_api_format: anthropic(預設)
端點 | 描述 |
POST /v1/messages | 傳送訊息給 Claude。支援串流和非串流回應。 |
GET /v1/models | 列出可用的模型。 |
gateway_api_format: bedrock
端點 | 描述 |
POST /model/{model-id}/invoke | 傳送訊息並接收完整回應。 |
POST /model/{model-id}/invoke-with-response-stream | 傳送訊息並接收串流回應。 |
原生 Bedrock InvokeModel 傳遞。gateway_url 必須指向傳遞前置詞(例如,https://litellm.example.com/bedrock)。
gateway_api_format: vertex
端點 | 描述 |
POST /projects/{project}/locations/{region}/publishers/anthropic/models/{model-id}:rawPredict | 傳送訊息並接收完整回應。 |
POST /projects/{project}/locations/{region}/publishers/anthropic/models/{model-id}:streamRawPredict | 傳送訊息並接收串流回應。 |
原生 Vertex 傳遞。gateway_url 必須包含 API 版本區段(例如,https://litellm.example.com/vertex_ai/v1)。也需要 gcp_project_id 和 gcp_region,以便增益集可以建立路徑。
必需的標頭
對於 anthropic 和 vertex 格式,閘道必須將 anthropic-version 請求標頭轉發給上游提供者。
對於 bedrock 格式,SDK 將 anthropic_version 放在請求本文中 — 閘道必須在那裡保留它。
未能轉發標頭或保留本文欄位可能會導致功能降低或阻止增益集運作。
授權標頭
增益集可以在 x-api-key 或 Authorization 標頭中傳送您的閘道的授權權杖。
模型探索
登入時,增益集會嘗試透過 GET /v1/models 探索可用的 Claude 模型。如果您的閘道在該路徑上未公開模型清單,增益集會回退到提示使用者手動輸入模型 ID。
與 Claude Code 閘道設定的差異
方面 | Claude Code | Claude for Excel、PowerPoint 和 Word |
認證儲存 | OS 金鑰鏈或環境變數 | 瀏覽器 localStorage(沙箱 iframe) |
驗證設定 | 環境變數、設定檔案、協助指令碼 | 在增益集 UI 中手動輸入(閘道)、Entra ID(直接雲端)或 Azure API 金鑰(Foundry) |
權杖重新整理 | 支援協助指令碼進行輪換 | 在設定中手動重新輸入(閘道)或透過 Entra ID 自動進行(直接雲端) |
自訂模型名稱 | 可透過環境變數設定 | 在 v1 中無法設定 |
使用 LiteLLM 的範例閘道設定
警告:LiteLLM PyPI 版本 1.82.7 和 1.82.8 遭到竊取認證的惡意軟體入侵。請勿安裝這些版本。如果您已經安裝了這些版本:
移除套件
輪換受影響系統上的所有認證
按照 BerriAI/litellm#24518 中的補救步驟進行
LiteLLM 是第三方代理服務。Anthropic 不認可、維護或審計 LiteLLM 的安全性或功能。本指南僅供參考,可能會過時。請自行決定是否使用。
許多組織使用 LiteLLM 作為其閘道。以下是用於將 Office 增益集請求路由到 Anthropic、Bedrock 或 Vertex 的最小 litellm_config.yaml。
直接路由到 Anthropic
yaml
model_list:
- model_name: claude-sonnet-4-5-20250929
litellm_params:
model: claude-sonnet-4-5-20250929
api_key: os.environ/ANTHROPIC_API_KEY
litellm_settings:
drop_params: true
路由到 Amazon Bedrock
yaml
model_list:
- model_name: claude-sonnet-4-5-20250929
litellm_params:
model: bedrock/anthropic.claude-sonnet-4-5-20250929-v1:0
aws_region_name: us-east-1
litellm_settings:
drop_params: true
路由到 Google Cloud Vertex AI
yaml
model_list:
- model_name: claude-sonnet-4-5-20250929
litellm_params:
model: vertex_ai/claude-sonnet-4-5-20250929
vertex_project: your-gcp-project-id
vertex_location: us-east5
litellm_settings:
drop_params: true
路由到 Azure
yaml
model_list:
- model_name: claude-sonnet-4-5-20250929
litellm_params:
model: azure_ai/claude-sonnet-4-5-20250929
api_base: https://your-resource.services.ai.azure.com/anthropic
api_key: os.environ/AZURE_API_KEY
extra_headers:
x-api-key: os.environ/AZURE_API_KEY
litellm_settings:
drop_params: true
如需詳細的設定說明,請參閱 LiteLLM 的 Anthropic 格式文件。
Anthropic 收集的內容
即使推論透過您自己的基礎設施進行,增益集也會與 pivot.claude.ai 通訊以載入其介面,並與 claude.ai/api/ 通訊以評估功能旗標。這些連線會傳輸操作遙測(例如使用了哪些功能、效能計時和錯誤率),以便 Anthropic 可以維護和改進增益集體驗。它們不會傳輸您的提示或 Claude 的回應。
Anthropic 根據 AWS Bedrock、Google Cloud Vertex AI 或 Microsoft Azure 的條款收集資訊,與 Anthropic 與客戶的協議一致。Anthropic 無法存取客戶的 AWS、Google 或 Microsoft 執行個體,包括其中包含的提示或輸出。Anthropic 不會使用此類內容訓練生成模型,也不會將其用於其他目的。Anthropic 可以存取中繼資料(例如工具使用、權杖計數和類似項目),並將此類中繼資料用於分析和產品改進目的。
如需了解您的組織閘道或雲端提供者記錄的詳細資訊,請聯絡您的 IT 團隊。
若要將完整稽核軌跡(包括提示、工具輸入、工具輸出和文件參考)路由到您自己的基礎設施,請參閱 為 Office 代理設定自訂 OpenTelemetry 收集器。
這與使用 Claude 帳戶登入的差異
當您使用 Claude 帳戶登入時,增益集會直接連線到 Anthropic。當您透過第三方平台連線時,增益集會改為將推論請求傳送到您的組織基礎設施,而您的 IT 團隊會控制該流量的路由和記錄方式。
某些依賴於擁有 Claude 帳戶的功能尚未透過第三方平台提供,但我們正在努力新增支援:
功能 | Claude 帳戶 | 第三方平台 |
與您的試算表、簡報或文件聊天 | ✓ | ✓ |
讀取和編輯儲存格、投影片、公式和文件文字 | ✓ | ✓ |
連接器(S&P、FactSet 等) | ✓ | 即將推出 |
跨應用程式工作 | ✓ | — |
技能 | ✓ | 即將推出 |
檔案上傳 | ✓ | — |
網路搜尋 | ✓ | 僅限 Vertex |
如果您的團隊需要這些功能,請與您的 Claude 管理員聯繫,了解哪種登入方式適合您的組織。
疑難排解
「連線被拒絕」或網路錯誤
閘道 URL 或雲端端點無法從使用者的網路存取。驗證 URL 是否正確、服務是否正在執行,以及是否沒有防火牆或 VPN 限制阻止連線。檢查上方的「網路允許清單」部分,確認所有必要的網域都已允許。
401 未授權或「無效的權杖」
驗證權杖無效或已過期。對於閘道連線,請與您的 IT 團隊確認權杖。對於直接雲端連線,驗證使用者的 Entra ID 帳戶是否在指派的群組中,以及 OIDC 信任或 OAuth 用戶端是否設定正確。對於 Foundry,在 Azure 入口網站 → 金鑰和端點中重新產生金鑰。
403 禁止或「存取被拒絕」
權杖有效但缺少適當的權限。對於 Bedrock,驗證 IAM 角色是否具有 bedrock:InvokeModel 權限。對於 Vertex,驗證服務帳戶是否具有 aiplatform.endpoints.predict 權限。對於閘道,請與您的 IT 管理員檢查權杖的範圍。對於 Foundry,檢查資源的網路規則,或確認金鑰屬於正確的資源。
404 找不到
增益集無法到達預期的 API 路徑。對於閘道,驗證 URL 是否為基礎 URL(例如 https://litellm-server:4000)—不要在 URL 欄位中包含 /v1/messages。
500 或其他伺服器錯誤
閘道或雲端提供者遇到內部錯誤。檢查您的閘道日誌(例如,如果使用 LiteLLM,則為 docker logs litellm)以查看上游提供者錯誤。重試請求,如果問題仍然存在,請聯繫您的 IT 管理員。
「沒有可用的模型」
增益集找不到 Claude 模型。對於閘道,您的閘道可能不會在 GET /v1/models 公開模型清單。您的 IT 團隊可以設定閘道以提供模型清單,或給您一個特定的模型 ID 以手動輸入。對於 Bedrock 或 Vertex,確認您的帳戶和區域中至少啟用了一個 Claude 模型(Claude Sonnet 4.5 或更新版本)。對於 Foundry,確認資源中至少部署了一個 Claude 模型(模型目錄)。
串流回應失敗或掛起
驗證您的閘道是否支援伺服器傳送事件 (SSE) 傳遞。某些代理設定會移除或緩衝 SSE 連線,這會防止串流回應到達增益集。
我預期的功能無法使用
連接器、技能、檔案上傳和跨應用程式工作尚未透過第三方平台提供。如果您需要這些功能,請詢問您的管理員是否可以改用 Claude 帳戶登入。