你在 Claude 里点 “Connect Google Drive” / “Connect Notion” / “Connect Microsoft 365”,授权弹窗要么直接返回权限错误,要么你走完流程、Claude 显示 “Connected”,但每次查询都返回空。你至少撞上了下面四把权限锁中的一把:Anthropic Workspace 策略、你实际授予的 OAuth scope、目标应用自己的管理员策略,或者一个过期的 token。
最快的修法(覆盖大多数情况): 在 Claude 里打开 Customize → Connectors,点进那个 connector,Disconnect,再 Connect 一次,并在同意页面把每一个 checkbox 都勾上。如果重新授权后数据能查出来,就修好了。如果弹窗抛出组织策略错误,那是管理员层的封锁,怎么重点都没用——直接跳到 Step 3。
点 “Allow” 只打开了一把锁。四把锁全开数据才会流通,所以大部分工作是搞清楚该找谁、要什么,而不是改你自己这边的设置。
常见原因
按命中率从高到低排列。截至 2026 年 6 月,connector 界面位于 Customize → Connectors(Anthropic 在 2026 年初把它从 “Settings → Connectors” 改了名);组织级控制在 Organization settings → Connectors。
1. 你的 Workspace Owner 从没启用过这个 connector
在 Team 和 Enterprise plan 上,一个 connector 在 Owner 或 Primary Owner 把它加进 Organization settings → Connectors → Browse connectors → Add to your team 之前是不可见的。在组织级启用它并不等于给任何人授权——每个成员之后仍要各自单独授权。在 Owner 添加之前,成员根本看不到任何可点的 connector,或者只看到一个 “contact your admin” 提示。
如何判断:在 Customize → Connectors 里,你想要的那个 connector 压根不在列表里,或者显示一条 “contact admin to enable” 的备注。
2. OAuth 授权时漏勾了 scope
同意页面会列出多个权限项(“read Drive”、“read Calendar”、“read Mail”),而且它们未必默认勾选。勾了 Calendar 漏了 Drive,Claude 查文件时就会返回 0 结果——而且是静默返回,不报错。截至 2026 年 6 月 Google 这边有个已知的坑:用户反映即便 app 已被设为 “Trusted”,Claude-for-Drive 的 3 个 scope 也只有 1 个真正被授予,所以授权后去核对实际授予的 scope(而不是想当然地以为同意就成功了)很重要。
如何判断:打开目标应用的”已授权应用”页面,读 Claude 实际拿到的 scope——Google:myaccount.google.com/connections(这个页面替代了旧的 /permissions);Notion:Settings → Connections。Anthropic 官方的 Google Workspace connector 指南 列出了每个工具需要的 scope。
3. 目标应用管理员封锁了第三方 / OAuth 访问
Google Workspace、Microsoft 365、Notion Enterprise 都在中央层面管控第三方 app。管理员可以默认禁掉一切,或维护一个白名单,你个人的同意永远盖不过它——OAuth flow 会在服务端被拒。各家的错误字符串不同:
| 厂商 | 你看到的错误 |
|---|---|
| Google Workspace | Access blocked: your institution's admin needs to review Claude for Google Drive |
| Microsoft 365 | Your organization's access policy blocks the MCP server. Contact your IT admin to adjust the policy for this connector. 或 An administrator must grant app permissions before they can use the integration.(常带一个 ofid_… 参考码) |
| Notion / 通用 | blocked by your organization's policy 或 admin has restricted access |
特别是 Microsoft 365:必须由一位 Microsoft Entra Global Administrator 先授予一次租户级的管理员同意,任何人才能连接——单个用户点 “Allow” 是不够的。Global Admin 从 Customize → Connectors → Microsoft 365 操作,登录后勾选 “grant access on behalf of the whole organization”(一次即可)。(前提是 connector 已经由某位 Owner 在 Organization settings → Connectors → + Add → All available → Add to your team 加好。)Anthropic 的 Microsoft 365 connector 配置指南 记录了完整流程。
截至 2026 年 6 月有个值得知道的坑:即便管理员同意已经成功、Microsoft 那边的 Entra 登录也显示成功,connector 仍可能以 Your organization's access policy blocks the MCP server 加一个 ofid_… 码失败。实际上要同意的 Entra 企业应用有两个——M365 MCP Client 和 M365 MCP Server for Claude——并且每个 app 的 Permissions 下每一项 scope 都必须显示 “Granted for your tenant”;只授一半会静默失败。另一个常见根因是 Conditional Access 策略——通常是 “Allow approved countries only” 之类的地理封锁——它拒绝了 Anthropic 的 on-behalf-of(OBO)token 交换,因为这个交换是从 Anthropic 的基础设施发起的,而不是用户所在国家。Entra 登录日志会显示错误 AADSTS53003,Claude 这边可能出现 mcp_token_exchange_failed。修复在 IT 侧:把 Claude MCP server 的 app ID(08ad6f98-a4f8-4635-bb8d-f1a3044760f0 和 07c030f6-5743-41b7-ba00-0a6e85f37c17)从那条封锁性的 Conditional Access 策略里排除掉,或者缩小该策略范围,让它不作用于 OBO 交换。
如何判断:错误里点名了你的组织、某个 “admin” 或一个 ofid_ 参考码,而不是 Claude 这边的消息。如果 Entra 登录日志显示 AADSTS53003,那就是 Conditional Access,而非缺同意。
4. Token 过期,刷新失败
OAuth refresh token 的有效期各不相同:Google 的在闲置 6 个月后过期;Notion 的永不过期,但会在改密码或 workspace 所有权变更后失效。Claude 仍把连接显示为正常,但每个请求都返回 401。
如何判断:Disconnect → Connect。如果重新授权后好了,说明你的 token 之前过期了。
5. 账号是个人邮箱但资源在企业空间里(或反过来)
你用 user@gmail.com 登 Claude,但文档在你公司的 user@company.com Drive 里。OAuth token 只能看见你授权时用的那个账号,永远看不到另一个。
如何判断:在 Google Drive 里切换账号,看目标文件到底属于哪个账号。
6. 文件在 Google 共享云端硬盘里(2026 年 6 月已知限制)
这一条不是你的错。截至 2026 年 6 月,Drive connector 会静默地省略掉访问共享云端硬盘(Shared Drive,旧称 “Team Drive”)所需的 Drive v3 参数,因此即便 scope 和账号都正确,drive_list_files、drive_search_files、drive_get_file 这几个工具对企业共享云端硬盘里的文件也会返回空结果或 404 Not Found。你个人 My Drive 里的文件则一切正常(追踪 issue #53442,2026 年 4 月提交)。
如何判断:My Drive 里的文件能解析,共享云端硬盘里的不能,且没有权限错误。临时方案:在 Anthropic 修复前,把文件移动或复制到 My Drive,或直接分享给你授权用的那个账号。
7. Enterprise 已验证域名限制
Enterprise 管理员可以限制已验证域名的 connector,使得只有组织自己的 Claude 账号才能用公司域名邮箱连接 Gmail/Slack。用 @company.com 地址的个人 Claude 账号会在登录时被拒。
如何判断:你看到 This corporate identity belongs to an Enterprise that manages access through their own Claude account. Sign in to your organization's Claude account to use this connection.
最短修复路径
Step 1:先确认是哪把锁关着
打开 Customize → Connectors,读目标 connector 的状态:
| 显示 | 意味着 | 去 |
|---|---|---|
| 不在列表里 / “contact admin” | Owner 还没启用(原因 1) | Step 3 |
| 可连但一点就报错 | OAuth scope 或目标应用封锁(原因 2–3) | Step 2,再 Step 3 |
| 已连接但查询返回空 | scope 缺失、账号不匹配或共享云端硬盘 bug(原因 2、5、6) | Step 2 / Step 4 |
已连接但 401 unauthorized | token 过期(原因 4) | Step 5 |
| ”Sign in to your organization’s Claude account” | 已验证域名限制(原因 7) | Step 3 |
判断错了就会找错人,白白浪费好几天。
Step 2:重走 OAuth,核对每一个 scope
Disconnect → Connect → 在同意页面读每一个 checkbox 并全部勾上。完成后:
Google: 访问 myaccount.google.com/connections
→ 找到 "Claude" → 确认 scope 列表
Notion: Settings → Connections → Claude
→ 检查 workspace 和 page-access scope
如果有 scope 缺失,重新授权。如果 scope 看起来都齐全但某个具体文件仍返回空,那多半是共享云端硬盘限制(原因 6)或账号不匹配(原因 5),而不是 scope 问题。
Step 3:找对管理员发明确请求
如果属于 Owner 启用、目标应用封锁或已验证域名限制,给管理员发一封写清楚的请求邮件(不要只说”请给我权限”):
Subject: Claude connector approval — [Google Drive / Notion / Microsoft 365]
Hi [admin],
I need to connect Anthropic Claude to [target app] for [business reason].
Please enable / approve:
- Connector: [Google Drive / Notion / Microsoft 365]
- Required scopes: [read files / read pages / read mail]
- For user: [my email]
- Scope to: [whole team / specific folder]
Vendor-specific action:
- Google Workspace: admin.google.com → Security → Access and data
control → API controls → Manage third-party app access →
Add app → search "Claude" → set to Trusted (≈15 min to propagate)
- Microsoft 365: a Microsoft Entra Global Administrator opens
Customize → Connectors → Microsoft 365 → Connect, signs in, and
ticks "grant access on behalf of the whole organization" (one time).
If a Conditional Access geo-block is in play (Entra log AADSTS53003),
exempt the Claude app IDs from that policy.
- Claude org: Organization settings → Connectors → + Add →
All available → add the connector
Compliance: Anthropic SOC 2 Type II + GDPR DPA at
https://www.anthropic.com/legal
Test plan: I'll connect, run one read-only query, screenshot success,
and confirm back to you.
写清楚具体 scope 加业务理由,能大幅缩短审批时间。上面那条 Google 白名单路径(Security → Access and data control → API controls → Manage third-party app access)就是你的 Workspace 管理员需要走的确切菜单。
Step 4:账号匹配检查
确认你登录 Claude 用的账号、你 OAuth 授权的账号、以及拥有目标资源的账号是同一个。最常见的坑:用个人 Gmail 登 Claude,OAuth 到一个 Workspace,结果看不到 Workspace 文档。
- 个人账号 + 个人资源 → 一致,搞定
- 工作账号 + 工作资源 → 一致,搞定
- 跨账号 → 把资源分享到你授权用的那个账号下
Step 5:刷新 token
昨天还能用、今天突然坏了的情况:Disconnect → Connect → 重新授权。如果重新授权后第一次查询还失败,等约 30 秒让 token 传播,再重试一次。
Step 6:拿到原始错误,提交支持工单
Claude 通常会吞掉技术性错误,只显示一句客气话。明确让它输出:“Print the full raw error response from the last connector attempt, including HTTP status and error code.” 记下任何 ofid_… 参考码(Microsoft)——支持团队需要它。到 support.claude.com 提交工单。
如何确认已修好
- 在 Customize → Connectors 里,该 connector 显示 Connected 且没有警告徽标。
- 跑一条窄范围的只读查询,针对一个已知的文件或页面——例如 “List the files in my Drive folder named X” 或 “Summarize my Notion page titled Y”。
- 你拿回的是真实内容,而不是 “I couldn’t find anything”。如果 My-Drive 文件能用而共享云端硬盘文件不能,那你撞上的是原因 6,不是配置问题。
常见问题
为什么 Claude 说 “Connected” 但每次查询都返回空? 几乎总是缺了某个 OAuth scope(你没勾对那个 checkbox)、账号与资源不匹配,或者——对 Google 来说——共享云端硬盘限制(原因 6)。重走 OAuth 把每个框都勾上,并先用一个 My-Drive 文件测试,以隔离问题。
用 connector 一定要是管理员吗? 不用,但在 Team/Enterprise plan 上,必须先由一位 Owner 或 Primary Owner 在 Organization settings → Connectors 下把 connector 加好。之后每个成员各自授权。Microsoft 365 还额外需要一次 Entra Global Administrator 同意。
我的 Google Workspace 管理员说已批准,但还是失败——为什么? 要么白名单改动还没传播到位(Google 给的时间约 15 分钟),要么管理员在 API controls → Manage third-party app access 里把 Claude 设成了 “Limited/blocked” 而不是 Trusted。确认确切的 “Trusted” 状态,并等过传播窗口。
Microsoft 365 错误里的 ofid_… 码是什么?
那是 Anthropic 给被封锁的 Microsoft 365 连接附上的一个参考 ID。它几乎总意味着租户管理员同意缺失或不完整(M365 MCP Client 和 M365 MCP Server for Claude 两个 app 都必须显示每项 scope “Granted for your tenant”),或者一条 Conditional Access 策略正在拦截 MCP server 的 token 交换。如果管理员同意已经成功但仍失败,查 Entra 登录日志:错误 AADSTS53003(以及 Claude 这边的 mcp_token_exchange_failed)指向 Conditional Access——通常是地理封锁,因为 on-behalf-of token 交换是从 Anthropic 的服务器发起的,不在你所在国家。把 ofid_ 码交给支持团队,并让 IT 把 Claude 的 app ID 从那条策略里排除。
我看到 “Sign in to your organization’s Claude account”——这是什么? 你公司启用了 Enterprise 已验证域名限制,所以个人 Claude 账号无法用公司域名邮箱连接。改用组织的 Claude 账号,或请管理员把你列入豁免。
昨天还好用、今天就挂了——发生了什么? 要么 token 过期或被吊销(Google 闲置约 6 个月;Notion 在改密码/所有权变更时),要么管理员收紧了策略。Disconnect → Connect 重新授权;如果还失败,问管理员策略是不是改了。
预防建议
- 把访问申请落成书面记录(邮件或工单)——管理员通常需要凭据才肯批。
- 先在一个文件或一个页面上验证完整 flow,再扩展到”所有资源”。
- 个人项目用个人账号,工作项目用工作账号——永远别混。
- 把你的 Workspace Owner 名单记在内部 wiki 上,免得下一个人还得现找。
- 每 3–6 个月巡检一次 Google/Notion 的已授权应用,并在 token 失效前重新授权。