注: このドキュメントは、Gemini Enterprise の Standard、Plus、Frontline の各エディションに適用されます。Business エディションについては、Gemini Enterprise - Business エディションのヘルプセンターをご覧ください。

Microsoft SharePoint の構成

Gemini Enterprise を Microsoft SharePoint に正常に接続するには、次の構成手順を完了する必要があります。

認証と権限を設定する

Microsoft Entra 管理センターで認証と権限を設定する必要があります。この操作は、コネクタがデータにアクセスして同期できるようにするために不可欠です。

Microsoft SharePoint コネクタ用の Microsoft Entra アプリを登録する

Gemini Enterprise で Microsoft SharePoint コネクタを作成する前に、安全なアクセスを有効にするように Microsoft Entra アプリケーションを登録します。

Entra で Gemini Enterprise を OAuth 2.0 アプリケーションとして登録する手順は次のとおりです。

Microsoft Entra 管理センターに移動します。
ナビゲーションメニューで [Entra ID] を展開し、[App registrations] を選択します。
[App registrations] ページで、[New registration] を選択します。
[Register an application] ページで、次の操作を行います。
1. [Name] フィールドに、ネットワークの名前を入力します。
2. [Supported account types] セクションで、[Accounts in this organizational directory only] を選択します。
3. [Redirect URI] セクションで、次の操作を行います。
  1. プラットフォームリストで、Web を選択します。
  2. [Redirect URI] フィールドに「https://vertexaisearch.cloud.google.com/console/oauth/sharepoint_oauth.html」と入力します。
4. [Register] をクリックします。Microsoft Entra によってアプリが作成され、アプリの概要ページが表示されます。
アプリのナビゲーションメニューで、[Authentication] をクリックします。
[Add redirect URI] をクリックします。
プラットフォーム選択ペインで、次の操作を行います。
1. [Web] を選択します。
2. [Redirect URI] フィールドに「https://vertexaisearch.cloud.google.com/oauth-redirect」と入力します。
3. [構成] をクリックします。

データ取り込み用の連携認証情報を追加する

接続モードとして [データの取り込み] を使用し、認証方法として [連携認証情報] を使用する場合は、次の操作を行います。

アプリのナビゲーションメニューで、[Certificates & secrets] をクリックします。
[連携認証情報] タブを選択します。
[Add credential]（認証情報を追加）をクリックします。
[連携認証情報のシナリオ] リストから [その他の発行元] を選択します。
[発行者] フィールドに「https://accounts.google.com」と入力します。
[Subject identifier] フィールドに、 Google Cloud コンソールから取得した値を入力します。この値は、データセクションの Microsoft SharePoint データストアの作成時に生成されます。
[名前] フィールドに、連携認証情報の一意のラベルを入力します。
[追加] をクリックしてアクセス権を付与します。

OAuth 2.0 構成を作成する

OAuth 2.0 認証方法を使用して接続を作成するには、Microsoft Entra アプリケーション登録ページからクライアント ID、クライアントシークレット、テナント ID を取得する必要があります。

クライアント ID とクライアントシークレットを取得する

クライアント ID を取得するには、次の操作を行います。
1. アプリのナビゲーションメニューで、[概要] を選択します。
2. アプリケーション（クライアント）ID をコピーします。
アプリのクライアントシークレットを取得するには、次の操作を行います。
1. アプリのナビゲーションメニューで、[Certificates & secrets] を選択します。
2. [New client secret] をクリックします。
3. クライアントシークレットペインで、次の操作を行います。
  1. [Description] フィールドに、スナップショットの説明を入力します。
  2. [Expires] リストで、有効期限を選択します。
  3. [追加] をクリックします。
4. [Value] 列からクライアントシークレットをコピーします。

インスタンス URI を取得する

インスタンス URI の形式は次のいずれかです。

すべての第 1 レベルのサイト: https://DOMAIN_OR_SERVER.sharepoint.com （例: mydomain.sharepoint.com）。
単一サイト: https://DOMAIN_OR_SERVER.sharepoint.com/sites/WEBSITE （例: mydomain.sharepoint.com/sites/sample-site）。

テナント ID を取得する

テナント ID は、Microsoft Entra 管理センターの概要ページの [Tenant ID] ボックスにあります。

Microsoft API 権限を構成する

アプリに必要な API 権限を構成するには、次の操作を行います。

アプリのページに移動します。
アプリのナビゲーションメニューで、[API permissions] を選択します。
[Add permissions] をクリックします。
[Request API permissions] ダイアログで、[Microsoft Graph] を選択します。

接続モードに基づいて、次の権限を検索して選択します。

連携検索接続モードでは、Graph API の権限は必要ありません。

フェデレーション認証情報を使用するデータ取り込み接続モードの場合:

権限	タイプ	説明
`GroupMember.Read.All`	アプリケーション	ログインしているユーザーがいないすべてのグループのメンバーシップと基本的なグループプロパティをコネクタが読み取れるようにします。
`User.Read`	委任	ログインしているユーザーのプロファイルをコネクタが読み取れるようにします。また、コネクタがログインユーザーの基本的な会社情報を読み取れるようにします。
サイト制御オプション
オプション 1: `Sites.FullControl.All`	アプリケーション	コネクタがすべてのサイトコレクションを完全に制御できるようにします。
オプション 2: `Sites.Selected`	アプリケーション	コネクタがサイトコレクションのサブセットにアクセスできるようにします。特定のサイトコレクションと付与された権限は、SharePoint Online で構成できます。
プロファイルの読み取りオプション
オプション 1: `User.Read.All`	アプリケーション	コネクタがユーザープロファイルを読み取れるようにします。
オプション 2: `User.ReadBasic.All`	アプリケーション	コネクタが組織内の他のユーザーの基本的なプロファイルプロパティを読み取れるようにします。

OAuth 2.0 更新トークンを使用するデータ取り込み接続モードの場合:

権限	タイプ	説明
`GroupMember.Read.All`	アプリケーション	ログインしているユーザーがいないすべてのグループのメンバーシップと基本的なグループプロパティをコネクタが読み取れるようにします。
`User.Read`	委任	ログインしているユーザーのプロファイルをコネクタが読み取れるようにします。また、コネクタがログインユーザーの基本的な会社情報を読み取れるようにします。
`User.Read.All`	アプリケーション	コネクタがユーザープロファイルを読み取れるようにします。
サイト制御オプション
オプション 1: `Sites.FullControl.All`	アプリケーション	コネクタがすべてのサイトコレクションを完全に制御できるようにします。
オプション 2: `Sites.Selected`	アプリケーション	コネクタがサイトコレクションのサブセットにアクセスできるようにします。特定のサイトコレクションと付与された権限は、SharePoint Online で構成できます。

連携検索またはデータの取り込みのいずれかの接続モードで [アクション] を有効にする場合は、次の権限も選択します。

権限	タイプ	説明
`Sites.ReadWrite.All`	委任	ログインしているユーザーに代わって、コネクタがすべてのサイトコレクションのドキュメントとリストアイテムを編集または削除できるようにします。
`Files.ReadWrite`	委任	コネクタがログインユーザーのファイルの読み取り、作成、更新、削除を行えるようにします。
`Files.ReadWrite.All`	委任	ログインしているユーザーがアクセスできるすべてのファイルをコネクタが読み取り、作成、更新、削除できるようにします。
`Sites.Manage.All`	委任	ユーザーに代わって、コネクタがすべてのサイトコレクションでドキュメントライブラリとリストを作成または削除できるようにします。

[Add Permissions] をクリックします。
[Request API permissions] ペインで、[Microsoft SharePoint] を選択します。

接続モードに基づいて、次の権限を検索して選択します。

連携検索接続モードの場合:

権限	タイプ	説明
`Sites.Search.All`	委任	現在ログインしているユーザーに代わって、コネクタが検索クエリを実行し、サイトの基本情報を読み取れるようにします。検索結果は、アプリの権限ではなくユーザーの権限に基づいています。
サイト制御オプション
オプション 1: `AllSites.Read`	委任	ログインしているユーザーに代わって、コネクタがすべてのサイトコレクションのドキュメントとリストアイテムを読み取れるようにします。
オプション 2: `Sites.Selected`	委任	コネクタが、ログインしているユーザーを使用してサイトコレクションのサブセットにアクセスできるようにします。特定のサイトコレクションと付与された権限は、SharePoint Online で構成できます。

フェデレーション認証情報を使用するデータ取り込み接続モードの場合:

権限	タイプ	説明
サイト制御オプション
オプション 1: `Sites.FullControl.All`	アプリケーション	コネクタがすべてのサイトコレクションを完全に制御できるようにします。
オプション 2: `Sites.Selected`	アプリケーション	コネクタが、ログインしているユーザーを使用してサイトコレクションのサブセットにアクセスできるようにします。特定のサイトコレクションと付与された権限は、SharePoint Online で構成できます。

OAuth 2.0 更新トークンを使用するデータ取り込み接続モードの場合:

権限	タイプ	説明
サイト制御オプション
オプション 1: `AllSites.FullControl`	委任	ログインしているユーザーに代わって、コネクタがすべてのサイトコレクションを完全に制御できるようにします。
オプション 2: `Sites.Selected`	委任	コネクタが、ログインしているユーザーを使用してサイトコレクションのサブセットにアクセスできるようにします。特定のサイトコレクションと付与された権限は、SharePoint Online で構成できます。

連携検索またはデータの取り込みのいずれかの接続モードで [アクション] を有効にする場合は、次の権限も選択します。

権限	タイプ	説明
`AllSites.Write`	委任	ログインしているユーザーに代わって、コネクタがすべてのサイトコレクションのドキュメントとリストアイテムの作成、読み取り、更新、削除を行えるようにします。

[Add Permissions] をクリックします。
注: Sites.Selected を使用する場合は、選択したサイトに fullcontrol 権限を付与する必要があります。また、この権限を有効にするには、Gemini Enterprise で SharePoint データストアを作成する際に、次のいずれかを行う必要があります。
- 特定のサイト URL を SharePoint コネクタインスタンス URL として使用します（例: mydomain.sharepoint.com/sites/sample-site）。
- Gemini Enterprise データストアを設定する際に、正確な siteName フィルタを指定します。
管理者の同意を付与します。同意を付与する方法については、Microsoft Entra ID のドキュメントのアプリケーションに対してテナント全体の管理者の同意を付与するをご覧ください。

選択したサイトに `fullcontrol` 権限を付与する

Microsoft Graph で選択したサイトの制御を許可する Sites.Selected オプションを選択した場合は、Gemini Enterprise アプリケーションに fullcontrol 権限を付与する必要があります。これを行うには、次のいずれかの方法を使用します。

PowerShell
Microsoft Graph

PowerShell

PnP PowerShell を使用して権限を付与する一般的な構文については、PnP PowerShell を使用して権限を付与するをご覧ください。

FullControl 権限を付与するには、PowerShell で次のコマンドを実行します。
```
Grant-PnPAzureADAppSitePermission -AppId CLIENT_ID -DisplayName DISPLAY_NAME -Permissions FullControl -Site SITE_URL
```
次のように置き換えます。
- CLIENT_ID: Microsoft Entra アプリケーションのクライアント ID。
- SITE_URL: SharePoint サイトのサイト URL（https://example.sharepoint.com/sites/ExampleSite1 など）。
- DISPLAY_NAME: Microsoft Entra アプリケーションの表示名。

Microsoft Graph

Microsoft Graph を使用して権限を付与するプロセス全体については、Microsoft Graph を使用した権限の付与をご覧ください。

Microsoft Graph エクスプローラーを使用して、次のメソッドを呼び出します。これらのメソッドを呼び出せるのは、サイト所有者のみです。

サイト ID を取得します。
```
GET `https://graph.microsoft.com/v1.0/sites/HOSTNAME:SITE_PATH`
```
次のように置き換えます。
- HOSTNAME: SharePoint サイトのホスト名（例: example.sharepoint.com）。
- SITE_PATH: SharePoint サイトのパス（/sites/ExampleSite1 や /teams/ExampleSite2 など）。
前の手順で取得した ID のサイトへのアクセス権を fullcontrol に付与します。
- 次の POST リクエストを送信します。
```
   POST `https://graph.microsoft.com/v1.0/sites/SITE_ID/permissions`
```
- 次のリクエスト本文を使用します。
```
{
  "roles": ["fullControl"],
  "grantedToIdentities": [{
    "application": {
      "id": "CLIENT_ID",
      "displayName": "DISPLAY_NAME"
    }
  }]
}
```
  次のように置き換えます。
  - SITE_ID: 前の手順で取得した SharePoint サイトのサイト ID。形式は example.sharepoint.com,48332b69-85ab-0000-0000-dbb7132863e7,2d165439-0000-0000-b0fe-030b976868a0 です。
  - CLIENT_ID: Microsoft Entra アプリケーションのクライアント ID。
  - DISPLAY_NAME: Microsoft Entra アプリケーションの表示名。

Microsoft SharePoint の構成 コレクションでコンテンツを整理 必要に応じて、コンテンツの保存と分類を行います。