KI-Assistenten wie Claude werden in vielen Organisationen bereits produktiv eingesetzt. Bisher lief das meist über Copy-paste: Inhalte aus E-Mails oder Dokumenten werden manuell in den Chat übertragen, Claude antwortet, fertig. Das ändert sich jetzt. Mit dem neuen Microsoft-365-Connector kann Claude direkt auf Unternehmensdata zugreifen, ohne manuelle Zwischenschritte. Für Admins bedeutet das: Das Thema landet auf dem Schreibtisch.
Voraussetzung: Der Connector funktioniert ausschließlich mit einem Microsoft-365-Geschäftskonto, das an einen Microsoft Entra Tenant gebunden ist (jeder Microsoft Business Plan). Private Microsoft-Konten (@outlook.com, @hotmail.com, @live.com) werden nicht unterstützt. Der Connector ist auf allen Claude-Plänen verfügbar – Free, Pro, Max, Team und Enterprise.
Was der Connector konkret kann
Claude bekommt lesenden Zugriff auf vier Bereiche der Microsoft-365-Umgebung. In SharePoint und OneDrive kann Claude Dokumente durchsuchen und analysieren – projektbezogene Unterlagen, strategische Planungen, Spezifikationen, was auch immer im Tenant abgelegt ist und für den verbundenen Nutzer zugänglich ist. In Outlook kann Claude E-Mail-Threads durchsuchen, nach Absendern, Datumsbereich oder Betreff filtern und Kommunikationsmuster auswerten. Über den Teams-Connector lassen sich Chat-Verläufe und Channel-Diskussionen abrufen, an denen der Nutzer beteiligt ist. Und über den Kalender-Zugriff kann Claude Meetinginhalte, Teilnehmer und Terminmuster analysieren.
Wichtig für die Einschätzung: Es handelt sich ausschließlich um lesenden Zugriff. Claude kann keine Inhalte erstellen, verändern oder löschen. Der Connector greift außerdem nur auf Daten zu, die der jeweilige Nutzer ohnehin sehen darf – es gibt keine Privilegien-Eskalation durch den Connector.
Claude spiegelt die bestehenden Microsoft-365-Berechtigungen des Nutzers. Wer im Tenant keinen Zugriff auf einen SharePoint-Bereich hat, bekommt ihn auch über Claude nicht.
Was technisch im Hintergrund passiert
Der Connector wird als zwei Enterprise Applications im Entra Tenant registriert: M365 MCP Client for Claude und M365 MCP Server for Claude. Beide kommunizieren über die Microsoft Graph API und nutzen ausschließlich delegierte Berechtigungen. Das bedeutet: Claude handelt immer im Namen des angemeldeten Nutzers, nie mit einem eigenständigen Dienstkonto mit weitergehenden Rechten.
Die Authentifizierung läuft über Entra ID. Zugriffstoken werden nicht dauerhaft gespeichert, und Daten aus der Microsoft-365-Umgebung verlassen den Tenant nur für die Dauer einer aktiven Anfrage. Es gibt kein kontinuierliches Crawling oder Indexing im Hintergrund.
Einrichtung: Wer muss was tun?
Bevor irgendjemand den Connector nutzen kann, muss ein Microsoft Entra Global Administrator einmalig den Admin Consent erteilen. Das geschieht entweder, indem der Global Admin selbst den Connector in seinem Claude-Konto verbindet und dabei die Zustimmung im Namen der gesamten Organisation erteilt, oder über den manuellen Weg direkt im Entra Admin Center.
Für den manuellen Weg werden die beiden Service Principals über die Microsoft Graph API angelegt und anschließend der Admin Consent über entsprechende URLs erteilt. Das ist der richtige Weg, wenn der Global Administrator kein eigenes Claude-Konto hat oder wenn ihr eine kontrolliertere Einrichtung bevorzugt.
Bei Team- und Enterprise-Plänen kommt ein weiterer Schritt dazu: Ein Organization Owner muss den Connector zusätzlich in den Organisationseinstellungen von Claude aktivieren, bevor Nutzer ihn überhaupt sehen. Das ist der primäre Hebel, mit dem ihr als Admin steuert, ob der Connector überhaupt ausgerollt wird.
Zugriff gezielt einschränken
Zwei Einschränkungsmöglichkeiten sind für Admins relevant. Erstens lässt sich über die Entra Enterprise Application steuern, welche Nutzer oder Gruppen sich überhaupt verbinden dürfen. Dazu setzt ihr in der Entra-App M365 MCP Server for Claude die Eigenschaft „Zuweisung erforderlich?" auf Ja und tragt die berechtigten Benutzer oder Gruppen unter „Benutzer und Gruppen" ein. Das Gleiche müsst ihr für die M365 MCP Client for Claude-App wiederholen, damit beide Komponenten konsistent eingeschränkt sind.
Zweitens könnt ihr einzelne Berechtigungen selektiv widerrufen. Wenn ihr etwa nicht wollt, dass Claude auf Teams-Chat-Verläufe zugreift, lässt sich die entsprechende Berechtigung im Entra Admin Center unter den Admin Consent-Berechtigungen der Enterprise Application entziehen. Nutzer, die dann versuchen, auf diesen Bereich zuzugreifen, bekommen einen Fehler zurück. Zum Wiederherstellen einzelner Berechtigungen muss der Admin Consent erneut erteilt werden.
Hinweis zur SharePoint-Suche: Der Connector sucht SharePoint tenant-weit mit den Berechtigungen des jeweiligen Nutzers. Eine Einschränkung auf einzelne Sites ist technisch nicht möglich. Wer bestimmte Inhaltsbereiche vollständig ausschließen möchte, muss das über SharePoint-Berechtigungen selbst steuern.
Welche Berechtigungen der Connector anfordert
Beim ersten Verbinden wird eine Reihe von delegierten Berechtigungen angefordert. Für den Grundzugang (User.Read, openid, profile, email, offline_access) ist das Standard-OAuth-Verhalten. Dazu kommen bereichsspezifische Berechtigungen:
- E-Mail:
Mail.Read,Mail.ReadBasic,Mail.Read.Shared,MailboxFolder.Read,MailboxItem.Read - Kalender:
Calendars.Read,Calendars.Read.Shared - Teams Chat:
Chat.Read,Chat.ReadBasic,ChatMember.Read,ChatMessage.Read - Teams Channels:
Channel.ReadBasic.All,ChannelMessage.Read.All - Meetings:
OnlineMeetings.Read,OnlineMeetingTranscript.Read.All,OnlineMeetingAiInsight.Read,OnlineMeetingArtifact.Read.All,OnlineMeetingRecording.Read.All - Dateien:
Files.Read,Files.Read.All,Sites.Read.All - Verzeichnis:
User.ReadBasic.All(für Verfügbarkeitsabfragen)
Alle Berechtigungen sind delegiert und read-only. Schreibzugriffe sind im aktuellen Stand des Connectors nicht vorgesehen.
Was Admins jetzt prüfen sollten
Wenn ihr noch keine Entscheidung getroffen habt, ob der Connector in eurer Organisation verfügbar sein soll, ist jetzt der richtige Zeitpunkt dafür. Bei Team- und Enterprise-Plänen könnt ihr ihn schlicht nicht in den Organisationseinstellungen aktivieren, dann kann niemand ihn nutzen. Bei Free, Pro und Max-Plänen ist das nicht möglich – dort liegt die Kontrolle ausschließlich über die Entra-seitige Einschränkung und den Global Admin Consent.
- Global Admin Consent prüfen: Hat jemand den Connector bereits verbunden und dabei versehentlich den Consent im Namen der Organisation erteilt? Das lässt sich im Entra Admin Center unter Enterprise Applications nachvollziehen. Sucht nach M365 MCP Client for Claude und M365 MCP Server for Claude.
- Rollout-Entscheidung treffen: Wenn der Connector freigegeben werden soll, legt vorher fest, für wen. Die Einschränkung über Entra Enterprise Application ist die sauberste Methode, um den Rollout kontrolliert zu steuern.
- Berechtigungen nach Bedarf einschränken: Prüft, welche Datenbereiche tatsächlich benötigt werden. Wenn Teams-Transkripte oder Meeting-Recordings für euren Anwendungsfall nicht relevant sind, zieht die entsprechenden Berechtigungen vorsorglich zurück.
- Verbindung jederzeit widerrufbar: Nutzer können den Connector in den Claude-Einstellungen unter Connectors jederzeit trennen. Admins können die Enterprise Application im Entra Admin Center deaktivieren oder löschen, was die Verbindung für alle Nutzer im Tenant sofort unterbricht.
Der Connector ist technisch solide aufgebaut und hält sich an etablierte Muster für Entra-Integrationen. Die Frage ist weniger, ob er sicher ist, sondern ob ihr als Organisation bewusst entschieden habt, wem ihr diesen Zugriff geben wollt – und das ist letztlich eine Governance-Entscheidung, keine rein technische.
Wenn ihr Unterstützung bei der Bewertung oder bei der sicheren Einrichtung des Connectors benötigt, sprecht uns gerne an.