¿Cuál es el primer paso del checklist de gobernanza para Claude y Copilot?

Confirmar el estado del toggle de subprocesador en tu propio tenant desde el Microsoft 365 Admin Center. Microsoft despliega por olas, así que debes verificar la disponibilidad antes de prometer cualquier feature al negocio.

¿Quién debe aprobar la habilitación del conector de Claude?

Requiere doble aprobación. En planes Team y Enterprise, el owner de la organización habilita el conector y un Global Administrator de Microsoft Entra otorga consentimiento a nivel de tenant. Nadie lo activa por su cuenta.

¿Qué IP saliente debo revisar en Conditional Access?

La IP saliente del conector de Microsoft 365 para Claude es 160.79.104.0/21. Alinea tus reglas de Conditional Access con ese rango. MFA y device compliance se mantienen en pleno vigor.

¿Cómo se auditan las llamadas del conector de Claude?

Cada llamada queda registrada en el log de auditoría de Microsoft 365, accesible desde el Compliance Center, además de los logs de autenticación de Anthropic. Anthropic mantiene SOC 2 Type II e ISO 27001.

Checklist de gobernanza · Junio 2026

Checklist de gobernanza para habilitar Claude junto a Copilot

Para habilitar Claude junto a Copilot de forma segura, tu equipo de IT y seguridad debe verificar seis cosas: el subprocesador en el Admin Center, los grupos piloto en Entra ID, la doble aprobación, las reglas de Conditional Access, los permisos a revocar y el monitoreo de logs. Esta es la lista paso a paso.

¿Por dónde empieza el checklist de gobernanza?

Empieza por confirmar el estado del toggle de subprocesador en tu propio tenant. El 7 de enero de 2026, Microsoft hizo a Anthropic subprocesador oficial y encendió Claude por defecto en Microsoft 365 Copilot para la mayoría de tenants comerciales. Microsoft despliega por olas, así que el primer paso es verificar, no asumir. Esta página es la lista accionable: si buscas el porqué detrás de cada control, el explicativo está en la guía de gobernanza enlazada al final.

Paso 1: confirmar el subprocesador en el Admin Center

Abre el Microsoft 365 Admin Center y verifica el estado del toggle de Claude antes de prometer cualquier feature al negocio. El toggle de admin existe desde el 8 de diciembre de 2025, y el setting legacy “independent processor” se decomisionó el 1 de mayo de 2026.

Confirmar que Anthropic aparece habilitado como subprocesador bajo Microsoft Product Terms y el Data Protection Addendum.
Verificar la cobertura de Enterprise Data Protection y Customer Copyright Commitment para tu plan.
Recordar las excepciones: EU/EFTA y Reino Unido están Off por defecto, y las nubes gubernamentales (GCC, GCC High, DoD) y soberanas no tienen el modelo.
Dejar registro escrito del estado del toggle con fecha, porque el despliegue por olas puede cambiar tu disponibilidad.

Paso 2: definir grupos piloto en Entra ID

Antes de abrir Claude a toda la organización, define un grupo piloto acotado en Microsoft Entra ID. Esto te da un perímetro controlado para observar comportamiento real, medir adopción y validar políticas sin exponer a todos los usuarios desde el día uno.

Crear un grupo de seguridad en Entra ID (por ejemplo Finanzas, Estrategia o PMO).
Acotar el alcance del piloto a ese grupo, no al tenant completo.
Documentar criterios de salida: qué métricas o controles deben cumplirse antes de ampliar.

Paso 3: habilitar el conector con doble aprobación

El conector de Microsoft 365 para Claude requiere doble aprobación por diseño: nadie lo activa por su cuenta. En planes Team y Enterprise, el owner de la organización debe habilitarlo y, además, un Global Administrator de Microsoft Entra debe dar consentimiento a nivel de tenant.

Owner de la organización: habilitar el conector M365 para Claude.
Global Administrator de Entra: otorgar consentimiento a nivel de tenant.
Confirmar que opera con permisos delegados (Claude solo ve lo que el usuario ya puede ver) y solo lectura: no crea, modifica ni borra contenido.
Validar que no cachea el contenido de archivos y que está alojado por Anthropic vía MCP.

Paso 4: revisar Conditional Access y la IP saliente

El conector hereda tus políticas de Entra, así que tu equipo de red debe alinear las reglas de Conditional Access con el tráfico saliente de Anthropic. La IP saliente del conector es 160.79.104.0/21. MFA, Conditional Access y device compliance se mantienen en pleno vigor.

Control	Qué verificar
IP saliente	Alinear reglas con el rango 160.79.104.0/21.
MFA	Confirmar que sigue aplicando sin excepción.
Device compliance	Validar que las políticas de dispositivo se respetan.
Publisher	Anthropic es publisher verificado por Microsoft.

Paso 5: definir qué permisos revocar

Decide de antemano cómo limitar o revertir el alcance si una revisión de seguridad lo exige. Tener la ruta de revocación documentada antes de habilitar el conector convierte una incidencia en un procedimiento, no en una crisis.

Mapear qué permisos delegados se otorgaron y a qué grupos.
Definir el procedimiento para retirar a un usuario o grupo del conector.
Documentar cómo revocar el consentimiento a nivel de tenant si fuera necesario.

Paso 6: monitorear los logs de auditoría

Cada llamada del conector queda registrada en el log de auditoría de Microsoft 365. Establece un monitoreo continuo desde el primer día del piloto para tener trazabilidad completa y detectar uso anómalo.

Habilitar la revisión de los logs de auditoría de M365 desde el Compliance Center.
Sumar los logs de autenticación de Anthropic para trazabilidad de punta a punta.
Apoyarte en las certificaciones de Anthropic como evidencia: SOC 2 Type II, ISO 27001 y cumplimiento GDPR.

¿Y la automatización completa más allá de Copilot?

Importante no sobre-vender lo que vive dentro de Microsoft. Funciones como Agent Mode en Excel son asistencia dentro del producto, con límites: model-switching para tareas individuales, gobernado por Microsoft. La automatización completa (conectores MCP a sistemas core, agentes a la medida, ventana de 1M tokens) es la capa de plataforma Claude, no la capa Copilot. Definir esa frontera en el checklist evita expectativas infladas.

Descarga el checklist y los siguientes pasos

Convierte esta lista en un documento accionable para tu equipo: VORANTIS ofrece una Guía de Gobernanza en PDF descargable con todos estos pasos. Bájala en la Guía de Gobernanza de Claude para Microsoft 365 y conoce el panorama completo en Claude para equipos Microsoft.