Microsoft SharePoint Online per Datenaufnahme verbinden

Auf dieser Seite wird beschrieben, wie Sie SharePoint Online über die Datenaufnahme mit Gemini Enterprise verbinden.

In diesem Abschnitt werden die Authentifizierungsmethoden und die Vorgehensweise zum Erstellen eines SharePoint Online-Connectors in Gemini Enterprise und zum Aufnehmen von Daten von Ihren SharePoint Online-Websites beschrieben.

Hinweis

Wenn Sie die Zugriffssteuerung für Datenquellen erzwingen und Daten in Gemini Enterprise schützen möchten, müssen Sie Ihren Identitätsanbieter konfigurieren.

Entra-Anwendungsregistrierung

Bevor Sie den Connector in Gemini Enterprise erstellen können, müssen Sie eine Entra-Anwendungsregistrierung einrichten, um den sicheren Zugriff auf SharePoint zu ermöglichen. Wie Sie die Anwendung registrieren, hängt von der Authentifizierungsmethode ab, die Sie beim Erstellen des Connectors in Gemini Enterprise gewählt haben. Sie können eine der folgenden Methoden auswählen:

Föderierte Anmeldedaten:
- Ermöglicht Google den sicheren Zugriff auf SharePoint mithilfe von kryptografisch signierten Tokens, sodass kein echtes Nutzerhauptkonto erforderlich ist.
- Macht für die Registrierung von Gemini Enterprise in Entra eine Subjekt-ID erforderlich. Diese Option ist verfügbar, wenn Sie den SharePoint-Connector in Gemini Enterprise erstellen.
- Wenn Sie Ihre Anwendung in Entra registrieren, müssen Sie die folgenden Informationen bereithalten:
  - Instanz-URI:
    - Für alle Websites der ersten Ebene: https://DOMAIN_OR_SERVER.sharepoint.com – z. B. mydomain.sharepoint.com.
    - Für eine einzelne Website: https://DOMAIN_OR_SERVER.sharepoint.com/[sites/]WEBSITE – z. B. mydomain.sharepoint.com/sites/sample-site.
  - Mandanten-ID
  - Client-ID
  Diese Angaben sind erforderlich, um die Authentifizierung abzuschließen und den SharePoint-Connector in Gemini Enterprise zu erstellen.
- Google empfiehlt, diese Methode zu verwenden.
OAuth 2.0 Aktualisierungstoken:
- Ermöglicht eine detaillierte Steuerung darüber, wer eine Verbindung zur SharePoint-API herstellen kann.
- Wenn Sie Ihre Anwendung in Entra registrieren, müssen Sie die folgenden Informationen bereithalten:
  - Instanz-URI: Dieser hat das folgende Format:
    - Für alle Websites der ersten Ebene: https://DOMAIN_OR_SERVER.sharepoint.com – z. B. mydomain.sharepoint.com.
    - Für eine einzelne Website: https://DOMAIN_OR_SERVER.sharepoint.com/[sites/]WEBSITE – z. B. mydomain.sharepoint.com/sites/sample-site.
  - Mandanten-ID
  - Client-ID
  - Clientschlüssel
  Diese Angaben sind erforderlich, um die Authentifizierung abzuschließen und den SharePoint-Connector in Gemini Enterprise zu erstellen.
- Zur Authentifizierung müssen Sie sich in Ihrem SharePoint-Konto anmelden.
- Diese Methode eignet sich, wenn für Ihre SharePoint-Einrichtung eine 2-Faktor-Authentifizierung erforderlich ist.
- Hierfür müssen Sie einen neuen SharePoint-Nutzer erstellen, was zusätzliche Lizenzkosten verursachen kann.
OAuth 2.0-Passwortgewährung:
- Ermöglicht eine detaillierte Steuerung darüber, wer eine Verbindung zur SharePoint-API herstellen kann.
- Wenn Sie Ihre Anwendung in Entra registrieren, müssen Sie die folgenden Informationen bereithalten:
  - Instanz-URI: Dieser hat das folgende Format:
    - Für alle Websites der ersten Ebene: https://DOMAIN_OR_SERVER.sharepoint.com – z. B. mydomain.sharepoint.com.
    - Für eine einzelne Website: https://DOMAIN_OR_SERVER.sharepoint.com/[sites/]WEBSITE – z. B. mydomain.sharepoint.com/sites/sample-site.
  - Mandanten-ID
  - Client-ID
  - Clientschlüssel
  Diese Angaben sind erforderlich, um die Authentifizierung abzuschließen und den SharePoint-Connector in Gemini Enterprise zu erstellen.
- Für die Authentifizierung müssen Sie den Nutzernamen und das Passwort angeben, die Sie von Ihrem Entra-Administrator erhalten haben.
- Diese Methode eignet sich, wenn für Ihre SharePoint-Einrichtung keine 2-Faktor-Authentifizierung erforderlich ist.
- Hierfür müssen Sie einen neuen SharePoint-Nutzer erstellen, was zusätzliche Lizenzkosten verursachen kann.

Wichtige Überlegungen beim Erteilen von SharePoint-Berechtigungen

Google empfiehlt und verwendet das Prinzip der geringsten Berechtigung, um nur die Berechtigungen zuzuweisen, die zum Ausführen einer bestimmten Aufgabe erforderlich sind. Weitere Informationen zu den von Google empfohlenen Best Practices finden Sie unter IAM sicher verwenden.

Damit Sie Ihre Anwendung in Microsoft Entra registrieren und einen SharePoint-Connector in Gemini Enterprise erstellen können, müssen Sie jedoch die vollständige Kontrolle über alle oder ausgewählte Websites gewähren. Das mag wie eine übermäßige Berechtigung erscheinen. Der Grund dafür ist, dass Gemini Enterprise mit der Berechtigung Sites.Read.All nicht die SharePoint-Nutzergruppen und Rollenzuweisungen abrufen kann, mit Sites.FullControl.All und Sites.Selected mit fullcontrol jedoch schon.

Wenn Sie Ihren Connector in Gemini Enterprise konfigurieren, können Sie Folgendes tun, um den Zugriff des Connectors einzuschränken:

Geben Sie einen bestimmten Instanz-URI an, der den Zugriff auf eine einzelne Website beschränkt.
Wählen Sie einzelne Entitäten auf der Website aus, die Sie synchronisieren möchten.

Sollten Sie weitere Bedenken hinsichtlich der erforderlichen Berechtigungen haben, empfiehlt Google, sich an den Microsoft-Support zu wenden.

Föderierte Anmeldedaten einrichten

Führen Sie folgende Schritte aus, um die App-Registrierung zu konfigurieren, Berechtigungen zu erteilen und die Authentifizierung einzurichten. Google empfiehlt die Verwendung der Methode mit föderierten Anmeldedaten.

Einige häufige Fehlermeldungen, die während dieses Vorgangs auftreten können, sind unter Fehlermeldungen aufgeführt.

Client-ID des Dienstkontos abrufen:
1. Rufen Sie in der Google Cloud Console die Seite Gemini Enterprise auf.
2. Klicken Sie im Navigationsmenü auf Datenspeicher.
3. Klicken Sie auf Datenspeicher erstellen.
4. Suchen Sie auf der Seite Datenquelle auswählen nach SharePoint Online oder scrollen Sie zu dieser Option, um die Drittanbieterquelle zu verbinden.
5. Notieren Sie die Subjekt-ID. Klicken Sie noch nicht auf Weiter. Führen Sie die nächsten Schritte in dieser Aufgabe aus und schließen Sie dann die Schritte in der Google Cloud Console ab. Folgen Sie dazu der Anleitung unter SharePoint-Connector erstellen.
  
  Notieren Sie die Subjekt-ID, klicken Sie aber noch nicht auf „Weiter“.
Anwendung in Microsoft Entra registrieren:
1. Rufen Sie das Microsoft Entra Admin Center auf.
2. Maximieren Sie im Menü den Bereich Anwendungen und wählen Sie Anwendungsregistrierungen aus.
3. Wählen Sie auf der Seite Anwendungsregistrierungen die Option Neue Registrierung aus.
  
  Neue Anwendung im Microsoft Entra Admin Center registrieren
4. Erstellen Sie eine Anwendungsregistrierung auf der Seite Anwendung registrieren:
  - Wählen Sie im Bereich Unterstützte Kontotypen die Option Nur Konten im Organisationsverzeichnis aus.
  - Wählen Sie im Bereich Weiterleitungs-URI die Option Web aus und geben Sie den Weiterleitungs-URI https://vertexaisearch.cloud.google.com/console/oauth/sharepoint_oauth.html ein.
  - Behalten Sie die anderen Standardeinstellungen bei und klicken Sie auf Registrieren.
    
    Kontotyp auswählen und Weiterleitungs-URI eingeben
5. Notieren Sie die Client-ID und die Mandanten-ID.
  
  Detailseite der Anwendung:
Föderierte Anmeldedaten hinzufügen:
1. Rufen Sie Zertifikate & Secrets > Föderierte Anmeldedaten > Anmeldedaten hinzufügen auf.
  
  Föderierte Anmeldedaten in Microsoft Entra hinzufügen
2. Verwenden Sie die folgenden Einstellungen:
  - Szenario mit föderierten Anmeldedaten: Anderer Aussteller
  - Aussteller: https://accounts.google.com
  - Subjekt-ID: Verwenden Sie den Wert der Subjekt-ID, den Sie in Schritt 1.a.v. in der Google Cloud Console notiert haben.
  - Name: Geben Sie einen eindeutigen Namen an.
3. Klicken Sie auf Hinzufügen, um Zugriff zu gewähren.
  
  Google-Konto mit Microsoft Entra ID verbinden

API-Berechtigungen festlegen

Anwendung auswählen, für die API-Berechtigungen festgelegt werden sollen — Wählen Sie die Anwendung aus, für die Sie API-Berechtigungen festlegen möchten.

Fügen Sie die folgenden Microsoft Graph-Berechtigungen hinzu und erteilen Sie sie. Sie können zwischen den Optionen für die Website-Steuerung (Sites.FullControl.All und Sites.Selected) und den Optionen für das Lesen von Profilen (User.Read.All und User.ReadBasic.All) wählen:

Microsoft Graph-Berechtigungen für föderierte Anmeldedaten

Berechtigung	Typ	Beschreibung	Begründung
`GroupMember.Read.All`	Anwendung	Alle Gruppenmitgliedschaften lesen	Über diese Berechtigung kann Gemini Enterprise die Mitgliedschaften der Nutzergruppen auf der SharePoint-Website nachvollziehen.
`User.Read`	Delegiert	Anmelden und Nutzerprofil lesen	Dies ist eine Standardberechtigung, die nicht entfernt werden darf. Wenn Sie die Berechtigung entfernen, wird in SharePoint eine Fehlermeldung angezeigt, in der Sie aufgefordert werden, die Berechtigung wiederherzustellen.
Optionen für die Website-Steuerung
Option 1: `Sites.FullControl.All`	Anwendung	Vollständige Kontrolle über alle Websites	Mit dieser Berechtigung kann Gemini Enterprise die SharePoint-Nutzergruppen und Rollenzuweisungen abrufen, die nicht in der `Sites.Read.All`-Berechtigung enthalten sind. Außerdem kann Gemini Enterprise Dokumente, Ereignisse, Kommentare, Anhänge und Dateien auf allen SharePoint-Websites indexieren. Wenn die Gewährung der vollständigen Kontrolle über alle Websites übermäßig wirkt, verwenden Sie Option 2: `Sites.Selected`, die eine detaillierte Steuerung ermöglicht.
Option 2: `Sites.Selected`	Anwendung	Kontrolle über ausgewählte Websites	Mit dieser Berechtigung kann Gemini Enterprise die SharePoint-Nutzergruppen und Rollenzuweisungen abrufen, die nicht in der `Sites.Read.All`-Berechtigung enthalten sind. Außerdem kann Gemini Enterprise Dokumente, Ereignisse, Kommentare, Anhänge und Dateien auf ausgewählten SharePoint-Websites indexieren. Diese Berechtigung bietet eine detailliertere Steuerung als `Sites.FullControl.All`. Hinweis: Wenn Sie `Sites.Selected` verwenden, müssen Sie den ausgewählten Websites die Berechtigung `fullcontrol` erteilen. Damit diese Berechtigung wirksam wird, müssen Sie außerdem mindestens eine der folgenden Aktionen ausführen, wenn Sie den SharePoint-Connector in Gemini Enterprise erstellen: Verwenden Sie in Schritt 5 eine bestimmte Website-URL als URL für die SharePoint-Connector-Instanz, z. B. `mydomain.sharepoint.com/sites/sample-site`. Geben Sie in Schritt 6 beim Einrichten des Gemini Enterprise-Connectors genaue `siteName`-Filter an.
Optionen zum Lesen von Profilen
Option 1: `User.Read.All`	Anwendung	Vollständige Profile aller Nutzer lesen	Über diese Berechtigung kann Gemini Enterprise die Datenzugriffssteuerung für Ihre SharePoint-Inhalte nachvollziehen.
Option 2: `User.ReadBasic.All`	Anwendung	Grundlegende Profile aller Nutzer lesen	Über diese Berechtigung kann Gemini Enterprise die Datenzugriffssteuerung für Ihre SharePoint-Inhalte nachvollziehen.

Fügen Sie die folgenden SharePoint-Berechtigungen hinzu und erteilen Sie sie. Sie können zwischen Sites.FullControl.All und Sites.Selected wählen:

SharePoint-Berechtigungen für föderierte Anmeldedaten

Berechtigung Typ Beschreibung Begründung

Berechtigung	Typ	Beschreibung	Begründung
Option 1: `Sites.FullControl.All`	Anwendung	Vollständige Kontrolle über alle Websites	Mit dieser Berechtigung kann Gemini Enterprise die SharePoint-Nutzergruppen und Rollenzuweisungen abrufen, die nicht in der `Sites.Read.All`-Berechtigung enthalten sind. Außerdem kann Gemini Enterprise Dokumente, Ereignisse, Kommentare, Anhänge und Dateien auf allen SharePoint-Websites indexieren. Wenn die Gewährung der vollständigen Kontrolle über alle Websites übermäßig wirkt, verwenden Sie Option 2: `Sites.Selected`, die eine detaillierte Steuerung ermöglicht.
Option 2: `Sites.Selected`	Anwendung	Kontrolle über ausgewählte Websites	Mit dieser Berechtigung kann Gemini Enterprise die SharePoint-Nutzergruppen und Rollenzuweisungen abrufen, die nicht in der `Sites.Read.All`-Berechtigung enthalten sind. Außerdem kann Gemini Enterprise Dokumente, Ereignisse, Kommentare, Anhänge und Dateien auf ausgewählten SharePoint-Websites indexieren. Hinweis: Wenn Sie `Sites.Selected` verwenden, müssen Sie den ausgewählten Websites die Berechtigung `fullcontrol` erteilen. Damit diese Berechtigung wirksam wird, müssen Sie außerdem mindestens eine der folgenden Aktionen ausführen, wenn Sie den SharePoint-Connector in Gemini Enterprise erstellen: Verwenden Sie in Schritt 5 eine bestimmte Website-URL als URL für die SharePoint-Connector-Instanz, z. B. `mydomain.sharepoint.com/sites/sample-site`. Geben Sie in Schritt 6 beim Einrichten des Gemini Enterprise-Connectors genaue `siteName`-Filter an.

Option 1: Sites.FullControl.All

Anwendung

Vollständige Kontrolle über alle Websites

Mit dieser Berechtigung kann Gemini Enterprise die SharePoint-Nutzergruppen und Rollenzuweisungen abrufen, die nicht in der Sites.Read.All-Berechtigung enthalten sind. Außerdem kann Gemini Enterprise Dokumente, Ereignisse, Kommentare, Anhänge und Dateien auf allen SharePoint-Websites indexieren.

Wenn die Gewährung der vollständigen Kontrolle über alle Websites übermäßig wirkt, verwenden Sie Option 2: Sites.Selected, die eine detaillierte Steuerung ermöglicht.

Option 2: Sites.Selected

Anwendung

Kontrolle über ausgewählte Websites

Prüfen Sie, ob die hinzugefügten Berechtigungen in der Spalte Status als Granted aufgeführt sind und ein grünes Häkchensymbol haben.

API-Berechtigungen (Anwendung) für Microsoft Graph anfordern

Erteilen Sie die Einwilligung des Administrators. Informationen zum Erteilen der Einwilligung finden Sie in der Microsoft Entra-Dokumentation unter Einer Anwendung Administratoreinwilligung auf Mandantenebene erteilen.

OAuth 2.0 für Aktualisierungstoken und Passwortgewährung einrichten

Mit der OAuth 2.0-Methode können Sie eine Entra ID-Anwendungsregistrierung einrichten und den sicheren Zugriff auf SharePoint aktivieren. Diese Methode umfasst Schritte zum Konfigurieren der Anwendungsregistrierung, zum Erteilen von Berechtigungen und zum Einrichten der Authentifizierung.

Google empfiehlt, föderierte Anmeldedaten einzurichten, anstatt die OAuth 2.0-Authentifizierung zu konfigurieren.

Mit dem folgenden Verfahren können Sie die Anwendung in Entra ID registrieren und dabei die OAuth 2.0-Authentifizierung für das Aktualisierungstoken und die Passwortgewährung verwenden. Diese Methode wird bevorzugt, wenn Sie eine detaillierte Steuerung über die Berechtigungen der SharePoint REST API benötigen, damit Sie den Ressourcenzugriff auf das Nutzerkonto einschränken können.

Einige häufige Fehlermeldungen, die während dieses Vorgangs auftreten können, sind unter Fehlermeldungen aufgeführt.

In der folgenden Tabelle werden die SharePoint-Rollen beschrieben, die für OAuth 2.0-Authentifizierungsmethoden empfohlen werden:

Rollen ansehen

Empfohlene SharePoint-Rollen für OAuth 2.0-Authentifizierungsmethoden
Rollen	Registrierung von Clientanwendungen	Inhalte aller Entitäten abrufen	ACL abrufen	Identität abrufen	Hinweise
Website-Admins	Nein	Ja	Ja	Ja
Administrator der Websitesammlung	Nein	Ja	Ja	Ja
Globaler Administrator	Ja	Nein	Ja	Nein	Einschränkung: Der globale Administrator kann keine Identitäts-, Kommentar- und Anhangsentitäten abrufen.
Websiteinhaber	Nein	Ja	Ja	Nein	Einschränkung: Der Websiteinhaber ist mit dem Microsoft 365-Admin Center / Entra Admin Center und nicht speziell mit SharePoint verbunden.
Anwendungsadministrator	Ja	–	–	–	Die Rolle „Anwendungsadministrator“ bezieht sich auf das Microsoft 365 Admin Center/Entra ID Admin Center. Sie ist nicht auf SharePoint beschränkt.

Anwendungsregistrierung erstellen:
1. Rufen Sie das Entra Admin Center auf.
2. Erstellen Sie eine Anwendungsregistrierung:
  - Unterstützte Kontotypen: Nur Konten im Organisationsverzeichnis.
  - Weiterleitungs-URI: https://vertexaisearch.cloud.google.com/console/oauth/sharepoint_oauth.html
3. Notieren Sie die Client-ID und die Mandanten-ID.
Clientschlüssel hinzufügen:
1. Rufen Sie Zertifikate & Secrets > Neuer Clientschlüssel auf.
2. Notieren Sie den Secret-String.

API-Berechtigungen festlegen

Fügen Sie die folgenden Microsoft Graph-Berechtigungen hinzu und erteilen Sie sie. Sie können zwischen Sites.FullControl.All und Sites.Selected wählen:

Microsoft Graph-Berechtigungen für die OAuth 2.0-Authentifizierung

Berechtigung	Typ	Beschreibung	Begründung
`GroupMember.Read.All`	Anwendung	Alle Gruppenmitgliedschaften lesen	Über diese Berechtigung kann Gemini Enterprise die Mitgliedschaften der Nutzergruppen auf der SharePoint-Website nachvollziehen.
`User.Read`	Delegiert	Anmelden und Nutzerprofil lesen	Dies ist eine Standardberechtigung, die nicht entfernt werden darf. Wenn Sie die Berechtigung entfernen, wird in SharePoint eine Fehlermeldung angezeigt, in der Sie aufgefordert werden, die Berechtigung wiederherzustellen.
Option 1: `Sites.FullControl.All`	Anwendung	Vollständige Kontrolle über alle Websites	Mit dieser Berechtigung kann Gemini Enterprise die SharePoint-Nutzergruppen und Rollenzuweisungen abrufen, die nicht in der `Sites.Read.All`-Berechtigung enthalten sind. Außerdem kann Gemini Enterprise Dokumente, Ereignisse, Kommentare, Anhänge und Dateien auf allen SharePoint-Websites indexieren.
Option 2: `Sites.Selected`	Anwendung	Kontrolle über ausgewählte Websites	Mit dieser Berechtigung kann Gemini Enterprise die SharePoint-Nutzergruppen und Rollenzuweisungen abrufen, die nicht in der `Sites.Read.All`-Berechtigung enthalten sind. Außerdem kann Gemini Enterprise Dokumente, Ereignisse, Kommentare, Anhänge und Dateien auf ausgewählten SharePoint-Websites indexieren. Diese Berechtigung bietet eine detailliertere Steuerung als `Sites.FullControl.All`. Hinweis: Wenn Sie `Sites.Selected` verwenden, müssen Sie den ausgewählten Websites die Berechtigung `fullcontrol` erteilen. Damit diese Berechtigung wirksam wird, müssen Sie außerdem mindestens eine der folgenden Aktionen ausführen, wenn Sie den SharePoint-Connector in Gemini Enterprise erstellen: Verwenden Sie in Schritt 5 eine bestimmte Website-URL als URL für die SharePoint-Connector-Instanz, z. B. `mydomain.sharepoint.com/sites/sample-site`. Geben Sie in Schritt 6 beim Einrichten des Gemini Enterprise-Connectors genaue `siteName`-Filter an.
`User.Read.All`	Anwendung	Vollständige Profile aller Nutzer lesen	Über diese Berechtigung kann Gemini Enterprise die Datenzugriffssteuerung für Ihre SharePoint-Inhalte nachvollziehen.

Fügen Sie die folgenden SharePoint-Berechtigungen für die OAuth 2.0-Authentifizierung hinzu und erteilen Sie sie. Sie können zwischen AllSites.FullControl und Sites.Selected wählen:

SharePoint-Berechtigungen für die OAuth 2.0-Authentifizierung

Berechtigung	Typ	Beschreibung	Begründung
Option 1: `AllSites.FullControl`	Delegiert	Vollständige Kontrolle über alle Websites	Mit dieser Berechtigung kann Gemini Enterprise die SharePoint-Nutzergruppen und Rollenzuweisungen abrufen, die nicht in der `Sites.Read.All`-Berechtigung enthalten sind. Außerdem kann Gemini Enterprise Dokumente, Ereignisse, Kommentare, Anhänge und Dateien auf allen SharePoint-Websites indexieren.
Option 2: `Sites.Selected`	Delegiert	Kontrolle über ausgewählte Websites	Mit dieser Berechtigung kann Gemini Enterprise die SharePoint-Nutzergruppen und Rollenzuweisungen abrufen, die nicht in der `Sites.Read.All`-Berechtigung enthalten sind. Außerdem kann Gemini Enterprise Dokumente, Ereignisse, Kommentare, Anhänge und Dateien auf ausgewählten SharePoint-Websites indexieren. Diese Berechtigung bietet eine detailliertere Steuerung als `AllSites.FullControl`. Hinweis: Wenn Sie `Sites.Selected` verwenden, müssen Sie den ausgewählten Websites die Berechtigung `fullcontrol` erteilen. Damit diese Berechtigung wirksam wird, müssen Sie außerdem mindestens eine der folgenden Aktionen ausführen, wenn Sie den SharePoint-Connector in Gemini Enterprise erstellen: Verwenden Sie in Schritt 5 eine bestimmte Website-URL als URL für die SharePoint-Connector-Instanz, z. B. `mydomain.sharepoint.com/sites/sample-site`. Geben Sie in Schritt 6 beim Einrichten des Gemini Enterprise-Connectors genaue `siteName`-Filter an.

Prüfen Sie, ob die hinzugefügten Berechtigungen in der Spalte Status als Granted aufgeführt sind und ein grünes Häkchensymbol haben.
Verwenden Sie ein dediziertes Nutzerkonto mit eingeschränktem Zugriff auf bestimmte Websites. Prüfen Sie, ob dieses Konto Inhaberzugriff auf die ausgewählten Websites hat.

Erteilen Sie die Einwilligung des Administrators. Informationen zum Erteilen der Einwilligung finden Sie in der Microsoft Entra-Dokumentation unter Einer Anwendung Administratoreinwilligung auf Mandantenebene erteilen.

`fullcontrol` Berechtigung für ausgewählte Websites erteilen

Wenn Sie die Option Sites.Selected auswählen, um die Kontrolle über ausgewählte Websites in Microsoft Graph zu gewähren, müssen Sie der Gemini Enterprise-Anwendung die Berechtigung fullcontrol erteilen. Dazu haben Sie folgende Möglichkeiten:

PowerShell
Microsoft Graph

PowerShell

Eine allgemeine Syntax zum Erteilen von Berechtigungen mit PnP PowerShell finden Sie unter Berechtigungen über PnP PowerShell erteilen.

Führen Sie den folgenden Befehl aus, um die Berechtigung FullControl zu erteilen:
```
Grant-PnPAzureADAppSitePermission -AppId CLIENT_ID -DisplayName DISPLAY_NAME -Permissions FullControl -Site SITE_URL
```
Ersetzen Sie Folgendes:
- CLIENT_ID: Client-ID der Microsoft Entra-Anwendung.
- SITE_URL: Website-URL für Ihre SharePoint-Website, z. B. https://example.sharepoint.com/sites/ExampleSite1.
- DISPLAY_NAME: eine Beschreibung für die Microsoft Entra-Anwendung.

Microsoft Graph

Informationen zum allgemeinen Verfahren zum Erteilen von Berechtigungen über Microsoft Graph finden Sie unter Berechtigungen über Microsoft Graph erteilen.

Verwenden Sie den Microsoft Graph Explorer, um die folgenden Methoden aufzurufen. Diese Methoden können nur von einem Websiteinhaber aufgerufen werden.

Website-ID abrufen:
```
GET `https://graph.microsoft.com/v1.0/sites/HOSTNAME:SITE_PATH`
```
Ersetzen Sie Folgendes:
- HOSTNAME: Hostname der SharePoint-Website, z. B. example.sharepoint.com.
- SITE_PATH: Pfad der SharePoint-Website, z. B. /sites/ExampleSite1 oder /teams/ExampleSite2.
Gewähren Sie fullcontrol Zugriff auf die Website, deren ID Sie im vorherigen Schritt abgerufen haben.
- Senden Sie die folgende POST-Anfrage:
```
   POST `https://graph.microsoft.com/v1.0/sites/SITE_ID/permissions`
```
- Verwenden Sie den folgenden Anfragetext:
```
{
  "roles": ["fullcontrol"],
  "grantedToIdentities": [{
    "application": {
      "id": "CLIENT_ID",
      "displayName": "DISPLAY_NAME"
    }
  }]
}
```
  Ersetzen Sie Folgendes:
  - SITE_ID: Website-ID für Ihre SharePoint-Website, die Sie im vorherigen Schritt erhalten haben. Das Format sieht folgendermaßen aus: example.sharepoint.com,48332b69-85ab-0000-00o0-dbb7132863e7,2d165439-0000-0000-b0fe-030b976868a0.
  - CLIENT_ID: Client-ID der Microsoft Entra-Anwendung.
  - DISPLAY_NAME: Beschreibung für die Microsoft Entra-Anwendung.

Fehlermeldungen

Die folgende Tabelle enthält Fehlermeldungen, die beim Verbinden von SharePoint mit Gemini Enterprise häufig auftreten können, sowie kurze Beschreibungen dazu.

Fehlercode	Fehlermeldung
`SHAREPOINT_MISSING_PERMISSION_1`	Die erforderliche REST API-Rolle („Sites.FullControl.All“ oder „Sites.Selected“) fehlt. Bei delegierten Berechtigungen fehlt „AllSites.FullControl“ oder „Sites.Selected“.
`SHAREPOINT_MISSING_PERMISSION_2`	Die erforderliche Graph API-Rolle („Sites.FullControl.All“ oder „Sites.Selected“) fehlt.
`SHAREPOINT_MISSING_PERMISSION_3`	Die erforderliche Graph API-Rolle „GroupMember.Read.All“ fehlt.
`SHAREPOINT_MISSING_PERMISSION_4`	Die erforderliche Graph API-Rolle („User.Read.All“ oder „User.ReadBasic.All“) fehlt.
`SHAREPOINT_INVALID_SITE_URI`	Das Graph API-Zugriffstoken konnte nicht abgerufen werden. Mögliche Ursachen: Ungültige Client-ID, ungültiger Secret-Wert oder fehlende föderierte Anmeldedaten.
`SHAREPOINT_INVALID_AUTH`	Das Graph API-Zugriffstoken konnte nicht abgerufen werden. Mögliche Ursachen: Ungültige Client-ID, ungültiger Secret-Wert oder fehlende föderierte Anmeldedaten.
`SHAREPOINT_INVALID_JSON`	JSON-Inhalt konnte nicht geparst werden.
`SHAREPOINT_TOO_MANY_REQUESTS`	Es wurden zu viele HTTP-Anfragen an SharePoint gesendet. Die HTTP-Antwort 429 wurde empfangen.

SharePoint Online-Connector erstellen

Nachdem Sie Ihre Anwendung in Entra registriert haben, können Sie den SharePoint-Connector in der Google Cloud Console erstellen.

Console

So synchronisieren Sie über die Google Cloud Console SharePoint-Daten mit Gemini Enterprise: In diesen Schritten wird die Methode mit föderierten Anmeldedaten veranschaulicht, die die empfohlene Methode ist:

Rufen Sie in der Google Cloud Console die Seite Gemini Enterprise auf.

Gemini Enterprise
Klicken Sie im Navigationsmenü auf Datenspeicher.
Klicken Sie auf Datenspeicher erstellen.
Suchen Sie auf der Seite Datenquelle auswählen nach SharePoint oder scrollen Sie zu dieser Option, um die Drittanbieterquelle zu verbinden.

SharePoint als Datenquelle suchen und auswählen
Geben Sie Ihre SharePoint Online-Authentifizierungsinformationen ein.

Authentifizierungsinformationen hinzufügen
- Geben Sie den SharePoint-Website-URI als Instanz-URI ein.
  - Für alle Websites der ersten Ebene: https://DOMAIN_OR_SERVER.sharepoint.com
  - Für eine einzelne Website: https://DOMAIN_OR_SERVER.sharepoint.com/[sites/]WEBSITE
  Wenn Ihnen beim Einrichten der föderierten Anmeldedaten in Entra die Berechtigung Sites.Selected gewährt wurde, müssen Sie entweder die genauen Websites angeben, die Sie indexieren möchten, oder in Schritt 7 Filter angeben, um die genauen Websites einzuschließen.
Wählen Sie die zu synchronisierenden Entitäten aus:
- Anhang
- Kommentar
- Ereignis
- Seite
- Datei
Entitäten auswählen, die synchronisiert werden sollen, und Häufigkeit der Synchronisierung festlegen
Wenn Sie nur bestimmte Website-Entitäten in den Index aufnehmen möchten, klicken Sie auf Filter.

Filter zum Einbeziehen von Website-Entitäten angeben

Hinweis: Die Option Aus Index ausschließen ist nicht verfügbar.
Klicken Sie auf Speichern.
Klicken Sie auf Weiter.
Wählen Sie eine Region für Ihren Datenspeicher aus.
Geben Sie einen Namen für den Datenspeicher ein.
Wählen Sie eine Synchronisierungshäufigkeit für den Datenspeicher aus. Nachdem Sie Ihre Datenquelle eingerichtet und Daten zum ersten Mal importiert haben, synchronisiert der Datenspeicher Daten aus dieser Quelle in der Häufigkeit, die Sie bei der Einrichtung ausgewählt haben.
- Die Häufigkeit der Datensynchronisierung liegt zwischen drei Stunden und sieben Tagen.
- Die Häufigkeit der Identitätssynchronisierung liegt zwischen 30 Minuten und 7 Tagen.
Klicken Sie auf Erstellen. Gemini Enterprise erstellt den Datenspeicher und zeigt ihn auf der Seite Datenspeicher an.
Wenn Sie den Status der Aufnahme prüfen möchten, rufen Sie die Seite Datenspeicher auf und klicken auf den Namen des Datenspeichers, um entsprechende Details auf der Seite Daten anzeigen zu lassen. Der Connector-Status ändert sich von Wird erstellt zu Wird ausgeführt, wenn mit der Synchronisierung von Daten begonnen wird. Wenn die Datenaufnahme abgeschlossen ist, ändert sich der Status zu Aktiv. Das bedeutet, dass die Verbindung zu Ihrer Datenquelle eingerichtet ist und auf die nächste geplante Synchronisierung gewartet wird.

Connector-Status auf der Detailseite des Datenspeichers

Je nach Datenmenge kann die Aufnahme einige Minuten oder mehrere Stunden dauern.

Echtzeitsynchronisierung aktivieren

Bei der Echtzeitsynchronisierung werden nur Dokumententitäten synchronisiert, keine Daten, die sich auf Identitätsentitäten beziehen. Die folgende Tabelle zeigt, welche Dokumentereignisse mit der Echtzeitsynchronisierung unterstützt werden.

SharePoint-Entitäten	Erstellen	Aktualisieren	Löschen	Berechtigungsänderungen
Anlagen
Kommentare
Veranstaltungen
Dateien
Seiten

So aktivieren Sie die Echtzeitsynchronisierung für Ihren Datenspeicher:

Rufen Sie in der Google Cloud Console die Seite Gemini Enterprise auf.

Gemini Enterprise
Klicken Sie im Navigationsmenü auf Datenspeicher.
Klicken Sie auf den Namen des SharePoint-Datenspeichers, für den Sie die Echtzeitsynchronisierung aktivieren möchten.
Warten Sie, bis auf der Seite Daten des Datenspeichers der Connector-Status zu Aktiv wechselt.
Klicken Sie im Feld Echtzeitsynchronisierung auf Ansehen/bearbeiten.

Einstellungen der Echtzeitsynchronisierung ansehen und bearbeiten
Klicken Sie auf den Button Echtzeitsynchronisierung aktivieren, um die Position „Ein“ festzulegen.
Geben Sie einen Wert für Clientschlüssel an. Dieser Wert wird verwendet, um SharePoint-Webhook-Ereignisse zu prüfen. Wir empfehlen, einen String mit 20 Zeichen zu verwenden.

Echtzeitsynchronisierung aktivieren und Clientschlüssel angeben
Klicken Sie auf Speichern.

Warten Sie, bis sich das Feld Echtzeitsynchronisierung in Wird ausgeführt ändert.

Suchmaschine testen

Nachdem Sie Ihre Suchmaschine konfiguriert haben, testen Sie deren Funktionen. Achten Sie darauf, dass die Ergebnisse gemäß den Nutzerzugriffsrechten ausgegeben werden.

Webanwendung aktivieren:
1. Rufen Sie die Konfigurationen für die Anwendungsintegration auf und aktivieren Sie Webanwendung aktivieren.
Webanwendung testen:
1. Klicken Sie neben dem Link zur Webanwendung auf Öffnen und melden Sie sich mit einem Nutzerkonto in Ihrem Personalpool an.
2. Prüfen Sie, ob die Suchergebnisse auf Elemente beschränkt sind, auf die der angemeldete Nutzer zugreifen kann.

Personalpool konfigurieren

Mit dem Personalpool können Sie Nutzer von externen Identitätsanbietern wie Azure oder Okta in der Google Cloud Console verwalten und authentifizieren. So konfigurieren Sie Ihren Personalpool und aktivieren die Webanwendung für einen nahtlosen Nutzerzugriff:

Erstellen Sie einen Personalpool auf Organisationsebene in Google Cloud . Folgen Sie dazu der entsprechenden Einrichtungsanleitung:
Konfigurieren Sie den Personalpool in Gemini Enterprise > Einstellungen für die Region, in der Sie Ihre Anwendung erstellen.

Weitere Informationen

Wenn Sie Ihren Datenspeicher an eine App anhängen möchten, erstellen Sie eine App und wählen Sie Ihren Datenspeicher aus. Folgen Sie dazu der Anleitung unter App erstellen.
Hier finden Sie eine Vorschau der Suchergebnisse nach der Erstellung der App und des Datenspeichers.