¿El conector de Claude puede modificar datos en mi tenant?

No. Es de solo lectura: no crea, modifica ni borra contenido. Claude lee SharePoint, OneDrive, Outlook y Teams, pero no escribe.

¿Claude puede ver archivos a los que el usuario no tiene acceso?

No. Usa permisos delegados: Claude actúa en nombre de cada usuario y solo accede a lo que ese usuario ya puede ver. MFA, Conditional Access y device compliance siguen aplicando sin excepción.

Guía de gobernanza · Junio 2026

Cómo conectar Claude a Microsoft 365 de forma segura: guía para líderes de IT

Habilitar Claude junto a Microsoft 365 no es un riesgo de seguridad si se hace bien. El conector oficial de Microsoft 365 para Claude está diseñado para respetar tus controles existentes, no para esquivarlos. Esta guía explica, en lenguaje de gobernanza, exactamente qué pasa con tus datos y qué controles tienes.

¿Es seguro conectar Claude a Microsoft 365?

Sí, cuando se configura correctamente. El conector de Microsoft 365 para Claude usa permisos delegados de Entra ID, lo que significa que Claude solo accede a los datos que el usuario que hace la pregunta ya tiene permiso de ver. Es de solo lectura, no almacena el contenido de tus archivos y requiere aprobación administrativa doble antes de que cualquiera pueda usarlo.

Los siete controles que tu equipo de seguridad va a querer verificar

1. Permisos de solo lectura. El conector no puede crear, modificar ni borrar contenido en tu tenant. Claude lee SharePoint, OneDrive, Outlook y Teams; no escribe.

2. Permisos delegados, no de aplicación. Claude actúa en nombre de cada usuario individual. Si un usuario no tiene acceso a un sitio de SharePoint o a un canal privado de Teams, Claude tampoco lo tiene.

3. Doble aprobación. Nadie habilita esto por su cuenta. En planes Team y Enterprise, el owner de la organización debe activar el conector y, además, un Global Administrator de Microsoft Entra debe dar consentimiento a nivel de tenant.

4. Tus políticas siguen aplicando. El conector hereda tus políticas de Entra: MFA, Conditional Access y device compliance se mantienen en pleno vigor.

5. Sin almacenamiento de archivos. El conector recupera datos bajo demanda durante la conversación y no cachea el contenido. Tus documentos nunca salen permanentemente de tu tenant.

6. Auditable de punta a punta. Cada llamada del conector queda registrada en tu log de auditoría de Microsoft 365, accesible desde el Compliance Center, además de los logs de autenticación de Anthropic.

7. Certificaciones enterprise. Anthropic mantiene SOC 2 Type II, ISO 27001, cumplimiento GDPR y es publisher verificado por Microsoft.

¿Y la residencia de datos en LATAM?

Aquí hay un matiz importante. Los modelos Anthropic usados dentro de Copilot están actualmente excluidos del EU Data Boundary, lo que es relevante para reguladores europeos. Para clientes LATAM con requisitos estrictos de residencia, VORANTIS despliega los agentes a la medida sobre AWS Bedrock con opción de región São Paulo y Zero Data Retention, alineado a CNBV, CNSF, SFC y LGPD. Esta es la diferencia entre usar Claude vía Copilot (gobernado por Microsoft) y desplegar la plataforma Claude con control total sobre dónde viven los datos.

Checklist de habilitación

Confirmar que Anthropic está habilitado como subprocesador en el Microsoft 365 Admin Center.
Definir grupos piloto vía Entra ID (por ejemplo Finanzas, Estrategia, PMO).
Habilitar el conector M365 para Claude con doble aprobación.
Revisar políticas de Conditional Access (la IP saliente de Anthropic es 160.79.104.0/21).
Definir qué permisos revocar si se desea limitar el alcance.
Establecer monitoreo de logs de auditoría.

El puente, no el miedo

La gobernanza bien explicada convierte un “no” de seguridad en un “sí” condicionado. VORANTIS acompaña a tu equipo de IT y compliance en cada uno de estos pasos. Conoce el panorama completo en Claude para equipos Microsoft o entiende la diferencia entre Claude vía Copilot y la plataforma completa.