Microsoft SharePoint 設定

如要順利將 Gemini Enterprise 連結至 Microsoft SharePoint,請完成下列設定步驟。

設定驗證和權限

您必須在 Microsoft Entra 系統管理中心設定驗證和權限。這項步驟至關重要,因為連接器需要存取及同步處理資料。

註冊 Microsoft Entra 應用程式,以供 Microsoft SharePoint 連接器使用

在 Gemini Enterprise 中建立 Microsoft SharePoint 連接器前,請先註冊 Microsoft Entra 應用程式,確保存取安全無虞。

如要在 Entra 中將 Gemini Enterprise 註冊為 OAuth 2.0 應用程式,請按照下列步驟操作:

  1. 前往 Microsoft Entra 系統管理中心
  2. 在導覽選單中展開「Entra ID」,然後選取「App registrations」
  3. 在「App registrations」頁面中,按一下「New registration」

  4. 在「Register an application」(註冊應用程式) 頁面中,執行下列操作:

    1. 在「Name」(名稱) 欄位中,輸入應用程式名稱。
    2. 在「Supported account types」(支援的帳戶類型) 專區,選取「Accounts in this organizational directory only」(僅限這個組織目錄中的帳戶)
    3. 在「Redirect URI」(重新導向 URI) 部分執行下列操作:
      1. 在平台清單中選取 Web
      2. 在重新導向 URI 欄位中輸入 https://vertexaisearch.cloud.google.com/console/oauth/sharepoint_oauth.html
    4. 按一下「Register」(註冊)。Microsoft Entra 會建立應用程式,並顯示應用程式的總覽頁面。

  5. 在應用程式導覽選單中,按一下「驗證」

  6. 按一下「新增重新導向 URI」

  7. 在平台選取窗格中,執行下列操作:

    1. 選取「網頁」
    2. 在「Redirect URI」欄位中,輸入 https://vertexaisearch.cloud.google.com/oauth-redirect
    3. 按一下「Configure」(設定)

新增資料擷取的聯合憑證

如果您使用「資料擷取」做為連線模式,並使用「聯合憑證」做為驗證方法,請執行下列步驟:

  1. 在應用程式導覽選單中,按一下「憑證和密碼」
  2. 選取「同盟憑證」分頁標籤。
  3. 按一下「新增憑證」
  4. 從「同盟憑證情境」清單中選取「其他簽發機構」
  5. 在「Issuer」欄位中,輸入 https://accounts.google.com
  6. 在「Subject identifier」(主體 ID) 欄位中,輸入從 Google Cloud 控制台取得的值。這個值是在資料部分的 Microsoft SharePoint 資料儲存庫建立期間產生。
  7. 在「名稱」欄位中,輸入同盟憑證的專屬標籤。
  8. 點按「Add」(新增) 授予存取權。

建立 OAuth 2.0 設定

如要使用 OAuth 2.0 驗證方法建立連線,您需要從 Microsoft Entra 應用程式註冊頁面取得用戶端 ID、用戶端密鑰和租戶 ID。

取得用戶端 ID 和用戶端密鑰

  1. 如要取得用戶端 ID,請按照下列步驟操作:

    1. 在應用程式導覽選單中,選取「總覽」
    2. 複製「應用程式 (用戶端) ID」

  2. 如要取得應用程式的用戶端密鑰,請按照下列步驟操作:

    1. 在應用程式導覽選單中,選取「憑證和密鑰」
    2. 按一下「New client secret」
    3. 在用戶端密鑰窗格中執行下列操作:
      1. 在「Description」(說明) 欄位中輸入密鑰的說明。
      2. 在「Expires」(到期) 清單中,選取到期時間長度。
      3. 按一下 [新增]。
    4. 從「值」欄複製用戶端密鑰。

取得執行個體 URI

執行個體 URI 採用下列其中一種格式:

  • 所有第一層網站:https://DOMAIN_OR_SERVER.sharepoint.com ,例如 mydomain.sharepoint.com
  • 單一網站:https://DOMAIN_OR_SERVER.sharepoint.com/sites/WEBSITE ,例如 mydomain.sharepoint.com/sites/sample-site

取得租戶 ID

您可以在 Microsoft Entra 系統管理中心的總覽頁面,找到「租戶 ID」方塊。

設定 Microsoft API 權限

如要為應用程式設定必要的 API 權限,請按照下列步驟操作:

  1. 前往應用程式頁面。

  2. 在應用程式導覽選單中,選取「API 權限」

  3. 按一下「新增權限」

  4. 在「Request API permissions」窗格中,選取「Microsoft Graph」

  5. 根據連線模式搜尋並選取下列權限:

    如果是「聯合搜尋」連線模式,則不需要 Graph API 權限。

    如果是使用「聯合憑證」的「資料擷取」連線模式:

    權限 類型 說明
    GroupMember.Read.All 應用程式 允許連接器讀取所有群組的成員資格和基本群組屬性,不必登入使用者帳戶。
    User.Read 委派型 允許連接器讀取已登入使用者的設定檔。此外,連接器也能讀取已登入使用者的基本公司資訊。
    網站控制選項
    選項 1:Sites.FullControl.All 應用程式 允許連接器全權控管所有網站集合。
    選項 2:Sites.Selected 應用程式 允許連接器存取部分網站集合。您可以在 SharePoint Online 中設定特定網站集合和授予的權限。
    個人資料讀取選項
    選項 1:User.Read.All 應用程式 允許連接器讀取使用者設定檔。
    選項 2:User.ReadBasic.All 應用程式 允許連接器讀取機構中其他使用者的基本設定檔屬性。

    如果是資料擷取連線模式,且使用 OAuth 2.0 更新權杖

    權限 類型 說明
    GroupMember.Read.All 應用程式 允許連接器讀取所有群組的成員資格和基本群組屬性,不必登入使用者帳戶。
    User.Read 委派型 允許連接器讀取已登入使用者的設定檔。此外,連接器也能讀取已登入使用者的基本公司資訊。
    User.Read.All 應用程式 允許連接器讀取使用者設定檔。
    網站控制選項
    選項 1:Sites.FullControl.All 應用程式 允許連接器全權控管所有網站集合。
    選項 2:Sites.Selected 應用程式 允許連接器存取部分網站集合。您可以在 SharePoint Online 中設定特定網站集合和授予的權限。

    如果為「聯合搜尋」或「資料擷取」連線模式啟用「動作」,請同時選取下列權限:

    權限 類型 說明
    Sites.ReadWrite.All 委派型 允許連接器代表登入的使用者,編輯或刪除所有網站集合中的文件和清單項目。
    Files.ReadWrite 委派型 允許連接器讀取、建立、更新及刪除已登入使用者的檔案。
    Files.ReadWrite.All 委派型 允許連接器讀取、建立、更新及刪除登入使用者可存取的所有檔案。
    Sites.Manage.All 委派型 允許連接器代表使用者在所有網站集合中建立或刪除文件庫和清單。

  6. 按一下 [Add Permissions] (新增權限)

  7. 在「Request API permissions」(要求 API 權限) 窗格中,選取「Microsoft SharePoint」

  8. 根據連線模式搜尋並選取下列權限:

    如果是「聯合搜尋」連線模式:

    權限 類型 說明
    Sites.Search.All 委派型 允許連接器代表目前登入的使用者執行搜尋查詢,並讀取基本網站資訊。搜尋結果會根據使用者的權限顯示,而非應用程式的權限。
    網站控制選項
    選項 1:AllSites.Read 委派型 允許連接器代表登入的使用者,讀取所有網站集合中的文件和清單項目。
    選項 2:Sites.Selected 委派型 允許連接器透過已登入的使用者存取部分網站集合。您可以在 SharePoint Online 中設定特定網站集合和授予的權限。

    如果是使用「聯合憑證」的「資料擷取」連線模式:

    權限 類型 說明
    網站控制選項
    選項 1:Sites.FullControl.All 應用程式 允許連接器全權控管所有網站集合。
    選項 2:Sites.Selected 應用程式 允許連接器透過已登入的使用者存取部分網站集合。您可以在 SharePoint Online 中設定特定網站集合和授予的權限。

    如果是資料擷取連線模式,且使用 OAuth 2.0 更新權杖

    權限 類型 說明
    網站控制選項
    選項 1:AllSites.FullControl 委派型 允許連接器代表登入的使用者,完全控管所有網站集合。
    選項 2:Sites.Selected 委派型 允許連接器透過已登入的使用者存取部分網站集合。您可以在 SharePoint Online 中設定特定網站集合和授予的權限。

    如果為「聯合搜尋」或「資料擷取」連線模式啟用「動作」,請同時選取下列權限:

    權限 類型 說明
    AllSites.Write 委派型 允許連接器代表登入的使用者,在所有網站集合中建立、讀取、更新及刪除文件和清單項目。

  9. 按一下 [Add Permissions] (新增權限)

  10. 授予管理員同意。請參閱「Grant tenant-wide administrator consent to an application」(授予應用程式全租戶管理員同意聲明) 這篇 Microsoft Entra 說明文件,瞭解如何授予同意聲明。

授予所選網站 fullcontrol 權限

如果選擇 Sites.Selected 選項,在 Microsoft Graph 中授予所選網站的控制權,則必須將 fullcontrol 權限授予 Gemini Enterprise 應用程式。您可以使用下列其中一種方法來進行合併:

  • PowerShell
  • Microsoft Graph

PowerShell

如需使用 PnP PowerShell 授予權限的一般語法,請參閱使用 PnP PowerShell 授予權限

  1. 如要授予 FullControl 權限,請在 PowerShell 中執行下列指令:

    Grant-PnPAzureADAppSitePermission -AppId CLIENT_ID -DisplayName DISPLAY_NAME -Permissions FullControl -Site SITE_URL

    更改下列內容:

    • CLIENT_ID:Microsoft Entra 應用程式的用戶端 ID。
    • SITE_URL:SharePoint 網站的網站網址,例如 https://example.sharepoint.com/sites/ExampleSite1
    • DISPLAY_NAME:Microsoft Entra 應用程式的顯示名稱。

Microsoft Graph

如要瞭解如何使用 Microsoft Graph 授予權限的整體程序,請參閱使用 Microsoft Graph 授予權限

使用 Microsoft Graph 探索工具呼叫下列方法。只有網站擁有者可以呼叫這些方法。

  1. 取得網站 ID:

    GET `https://graph.microsoft.com/v1.0/sites/HOSTNAME:SITE_PATH`

    更改下列內容:

    • HOSTNAME:SharePoint 網站的主機名稱,例如 example.sharepoint.com
    • SITE_PATH:SharePoint 網站的路徑,例如 /sites/ExampleSite1/teams/ExampleSite2

  2. 授予 fullcontrol 存取權,存取您在上一個步驟中擷取 ID 的網站。

    • 傳送下列 POST 要求:

         POST `https://graph.microsoft.com/v1.0/sites/SITE_ID/permissions`

    • 使用下列要求主體:

      {
  "roles": ["fullControl"],
  "grantedToIdentities": [{
    "application": {
      "id": "CLIENT_ID",
      "displayName": "DISPLAY_NAME"
    }
  }]
}

      更改下列內容:

      • SITE_ID:您在上一步中收到的 SharePoint 網站 ID。格式為 example.sharepoint.com,48332b69-85ab-0000-0000-dbb7132863e7,2d165439-0000-0000-b0fe-030b976868a0
      • CLIENT_ID:Microsoft Entra 應用程式的用戶端 ID。
      • DISPLAY_NAME:Microsoft Entra 應用程式的顯示名稱。