Microsoft SharePoint-Konfiguration

Damit Sie Gemini Enterprise erfolgreich mit Microsoft SharePoint verbinden können, müssen Sie die folgenden Konfigurationsschritte ausführen.

Authentifizierung und Berechtigungen einrichten

Sie müssen die Authentifizierung und Berechtigungen im Microsoft Entra Admin Center einrichten. Das ist wichtig, damit der Connector auf Daten zugreifen und sie synchronisieren kann.

Microsoft Entra-App für Microsoft SharePoint-Connector registrieren

Bevor Sie den Microsoft SharePoint-Connector in Gemini Enterprise erstellen, registrieren Sie eine Microsoft Entra-Anwendung, um den sicheren Zugriff zu ermöglichen.

So registrieren Sie Gemini Enterprise als OAuth 2.0-Anwendung in Entra:

  1. Rufen Sie das Microsoft Entra Admin Center auf.
  2. Maximieren Sie im Navigationsmenü Entra ID und wählen Sie App-Registrierungen aus.
  3. Klicken Sie auf der Seite App-Registrierungen auf Neue Registrierung.

  4. Führen Sie auf der Seite Anwendung registrieren die folgenden Schritte aus:

    1. Geben Sie im Feld Name einen Namen für Ihre App ein.
    2. Wählen Sie im Bereich Unterstützte Kontotypen die Option Nur Konten in diesem Organisationsverzeichnis aus.
    3. Führen Sie im Abschnitt Weiterleitungs-URI die folgenden Schritte aus:
      1. Wählen Sie in der Plattformliste Web aus.
      2. Geben Sie im Feld „Weiterleitungs-URI“ https://vertexaisearch.cloud.google.com/console/oauth/sharepoint_oauth.html ein.
    4. Klicken Sie auf Registrieren. Microsoft Entra erstellt die App und zeigt die Übersichtsseite der App an.

  5. Klicken Sie im Navigationsmenü der App auf Authentifizierung.

  6. Klicken Sie auf Weiterleitungs-URI hinzufügen.

  7. Führen Sie im Bereich zur Plattformauswahl die folgenden Schritte aus:

    1. Wählen Sie Web aus.
    2. Geben Sie im Feld Weiterleitungs-URI den Wert https://vertexaisearch.cloud.google.com/oauth-redirect ein.
    3. Klicken Sie auf Konfigurieren.

OAuth 2.0-Konfiguration erstellen

Wenn Sie eine Verbindung mit der OAuth 2.0-Authentifizierungsmethode erstellen möchten, benötigen Sie eine Client-ID, einen Clientschlüssel und Ihre Mandanten-ID von der Registrierungsseite Ihrer Microsoft Entra-Anwendung.

Client-ID und Clientschlüssel abrufen

  1. So rufen Sie die Client-ID und das Client-Secret für die App ab:

    1. Rufen Sie die App-Seite auf.
    2. Wählen Sie im App-Navigationsmenü Zertifikate und Secrets aus.
    3. Klicken Sie auf Neuer geheimer Clientschlüssel.
    4. Gehen Sie im Bereich „Clientschlüssel“ so vor:
      1. Geben Sie im Feld Beschreibung eine Beschreibung für das Secret ein.
      2. Wählen Sie in der Liste Läuft ab eine Ablaufdauer aus.
      3. Klicken Sie auf Hinzufügen.
    5. Kopieren Sie den in der Spalte Wert (Client Secret) angezeigten geheimen Schlüssel und die Kennung in der Spalte Geheime ID (Client ID) und speichern Sie beide sicher für die spätere Verwendung.

Instanz-URI abrufen

Der Instanz-URI hat eines der folgenden Formate:

  • Für alle Websites der ersten Ebene: https://DOMAIN_OR_SERVER.sharepoint.com – z. B. mydomain.sharepoint.com.
  • Für eine einzelne Website: https://DOMAIN_OR_SERVER.sharepoint.com/sites/WEBSITE – z. B. mydomain.sharepoint.com/sites/sample-site.

Mandanten-ID abrufen

Ihre Mandanten-ID finden Sie im Microsoft Entra Admin Center auf der Übersichtsseite im Feld Mandanten-ID.

Microsoft-API-Berechtigungen konfigurieren

So konfigurieren Sie die erforderlichen API-Berechtigungen für die App:

  1. Rufen Sie die App-Seite auf.

  2. Wählen Sie im App-Navigationsmenü API-Berechtigungen aus.

  3. Klicken Sie auf Berechtigungen hinzufügen.

  4. Wählen Sie im Bereich API-Berechtigungen anfordern die Option Microsoft Graph aus.

  5. Suchen Sie je nach Verbindungsmodus nach den folgenden Berechtigungen und wählen Sie sie aus:

    Für den Verbindungsmodus Föderierte Suche sind keine Graph API-Berechtigungen erforderlich.

    Für den Verbindungsmodus Datenaufnahme mit föderierten Anmeldedaten:

    Berechtigung Typ Beschreibung
    GroupMember.Read.All Anwendung Ermöglicht dem Connector, Mitgliedschaften und grundlegende Gruppeneigenschaften für alle Gruppen ohne angemeldeten Nutzer zu lesen.
    User.Read Delegiert Ermöglicht dem Connector, das Profil angemeldeter Nutzer zu lesen. Außerdem kann der Connector grundlegende Unternehmensinformationen angemeldeter Nutzer lesen.
    Optionen für die Website-Steuerung
    Option 1: Sites.FullControl.All Anwendung Ermöglicht dem Connector die vollständige Kontrolle über alle Websitesammlungen.
    Option 2: Sites.Selected Anwendung Ermöglicht dem Connector den Zugriff auf eine Teilmenge von Websitesammlungen. Die jeweiligen Websitesammlungen und die erteilten Berechtigungen können in SharePoint Online konfiguriert werden.
    Optionen zum Lesen von Profilen
    Option 1: User.Read.All Anwendung Ermöglicht dem Connector, Nutzerprofile zu lesen.
    Option 2: User.ReadBasic.All Anwendung Ermöglicht dem Connector, eine grundlegende Gruppe von Profileigenschaften anderer Nutzer in der Organisation zu lesen.

    Für den Verbindungsmodus Data ingestion (Datenerfassung) mit OAuth 2.0-Aktualisierungstoken:

    Berechtigung Typ Beschreibung
    GroupMember.Read.All Anwendung Ermöglicht dem Connector, Mitgliedschaften und grundlegende Gruppeneigenschaften für alle Gruppen ohne angemeldeten Nutzer zu lesen.
    User.Read Delegiert Ermöglicht dem Connector, das Profil angemeldeter Nutzer zu lesen. Außerdem kann der Connector grundlegende Unternehmensinformationen von angemeldeten Nutzern lesen.
    User.Read.All Anwendung Ermöglicht dem Connector, Nutzerprofile zu lesen.
    Optionen für die Website-Steuerung
    Option 1: Sites.FullControl.All Anwendung Ermöglicht dem Connector die vollständige Kontrolle über alle Websitesammlungen.
    Option 2: Sites.Selected Anwendung Ermöglicht dem Connector den Zugriff auf eine Teilmenge von Websitesammlungen. Die jeweiligen Websitesammlungen und die erteilten Berechtigungen können in SharePoint Online konfiguriert werden.

    Wenn Sie Aktionen für den Verbindungsmodus Föderierte Suche oder Datenaufnahme aktivieren, wählen Sie auch die folgenden Berechtigungen aus:

    Berechtigung Typ Beschreibung
    Sites.ReadWrite.All Delegiert Ermöglicht dem Connector, im Namen des angemeldeten Nutzers Dokumente und Listenelemente in allen Websitesammlungen zu bearbeiten oder zu löschen.
    Files.ReadWrite Delegiert Ermöglicht dem Connector, die Dateien des angemeldeten Nutzers zu lesen, zu erstellen, zu aktualisieren und zu löschen.
    Files.ReadWrite.All Delegiert Ermöglicht dem Connector, alle Dateien zu lesen, zu erstellen, zu aktualisieren und zu löschen, auf die der angemeldete Nutzer zugreifen kann.
    Sites.Manage.All Delegiert Ermöglicht dem Connector, im Namen des Nutzers Dokumentbibliotheken und Listen in allen Websitesammlungen zu erstellen oder zu löschen.

  6. Klicken Sie auf Berechtigungen hinzufügen.

  7. Wählen Sie im Bereich API-Berechtigungen anfordern die Option Microsoft SharePoint aus.

  8. Suchen Sie je nach Verbindungsmodus nach den folgenden Berechtigungen und wählen Sie sie aus:

    Für den Verbindungsmodus Föderierte Suche:

    Berechtigung Typ Beschreibung
    Sites.Search.All Delegiert Ermöglicht dem Connector, Suchanfragen auszuführen und grundlegende Websiteinformationen im Namen des aktuell angemeldeten Nutzers zu lesen. Die Suchergebnisse basieren auf den Berechtigungen des Nutzers und nicht auf den Berechtigungen der App.
    Optionen für die Website-Steuerung
    Option 1: AllSites.Read Delegiert Ermöglicht dem Connector, Dokumente und Listenelemente in allen Websitesammlungen im Namen des angemeldeten Nutzers zu lesen.
    Option 2: Sites.Selected Delegiert Ermöglicht dem Connector, mit einem angemeldeten Nutzer auf eine Teilmenge von Websitesammlungen zuzugreifen. Die jeweiligen Websitesammlungen und die erteilten Berechtigungen können in SharePoint Online konfiguriert werden.

    Für den Verbindungsmodus Datenaufnahme mit Föderierte Anmeldedaten:

    Berechtigung Typ Beschreibung
    Optionen für die Website-Steuerung
    Option 1: Sites.FullControl.All Anwendung Ermöglicht dem Connector die vollständige Kontrolle über alle Websitesammlungen.
    Option 2: Sites.Selected Anwendung Ermöglicht dem Connector, mit einem angemeldeten Nutzer auf eine Teilmenge von Websitesammlungen zuzugreifen. Die jeweiligen Websitesammlungen und die erteilten Berechtigungen können in SharePoint Online konfiguriert werden.

    Für den Verbindungsmodus Data ingestion (Datenerfassung) mit OAuth 2.0-Aktualisierungstoken:

    Berechtigung Typ Beschreibung
    Optionen für die Website-Steuerung
    Option 1: AllSites.FullControl Delegiert Ermöglicht dem Connector, im Namen des angemeldeten Nutzers die vollständige Kontrolle über alle Websitesammlungen zu haben.
    Option 2: Sites.Selected Delegiert Ermöglicht dem Connector, mit einem angemeldeten Nutzer auf eine Teilmenge von Websitesammlungen zuzugreifen. Die jeweiligen Websitesammlungen und die erteilten Berechtigungen können in SharePoint Online konfiguriert werden.

    Wenn Sie Aktionen für den Verbindungsmodus Föderierte Suche oder Datenaufnahme aktivieren, wählen Sie auch die folgenden Berechtigungen aus:

    Berechtigung Typ Beschreibung
    AllSites.Write Delegiert Ermöglicht dem Connector, im Namen des angemeldeten Nutzers Dokumente und Listenelemente in allen Websitesammlungen zu erstellen, zu lesen, zu aktualisieren und zu löschen.

  9. Klicken Sie auf Berechtigungen hinzufügen.

  10. Erteilen Sie die Einwilligung des Administrators. Informationen zum Erteilen der Einwilligung finden Sie in der Microsoft Entra-Dokumentation unter Einer Anwendung Administratoreinwilligung auf Mandantenebene erteilen.

fullcontrol-Berechtigung für ausgewählte Websites erteilen

Wenn Sie die Option Sites.Selected auswählen, um die Kontrolle über ausgewählte Websites in Microsoft Graph zu gewähren, müssen Sie der Gemini Enterprise-Anwendung die Berechtigung fullcontrol erteilen. Dazu haben Sie folgende Möglichkeiten:

  • PowerShell
  • Microsoft Graph

PowerShell

Eine allgemeine Syntax zum Erteilen von Berechtigungen mit PnP PowerShell finden Sie unter Berechtigungen über PnP PowerShell erteilen.

  1. Führen Sie den folgenden Befehl in PowerShell aus, um die Berechtigung FullControl zu erteilen :

    Grant-PnPAzureADAppSitePermission -AppId CLIENT_ID -DisplayName DISPLAY_NAME -Permissions FullControl -Site SITE_URL

    Ersetzen Sie Folgendes:

    • CLIENT_ID: Client-ID der Microsoft Entra-Anwendung.
    • SITE_URL: Website-URL für Ihre SharePoint-Website, z. B. https://example.sharepoint.com/sites/ExampleSite1.
    • DISPLAY_NAME: der Anzeigename für die Microsoft Entra-Anwendung.

Microsoft Graph

Informationen zum allgemeinen Verfahren zum Erteilen von Berechtigungen über Microsoft Graph finden Sie unter Berechtigungen über Microsoft Graph erteilen.

Verwenden Sie den Microsoft Graph Explorer, um die folgenden Methoden aufzurufen. Diese Methoden können nur von einem Websiteinhaber aufgerufen werden.

  1. Website-ID abrufen:

    GET `https://graph.microsoft.com/v1.0/sites/HOSTNAME:SITE_PATH`

    Ersetzen Sie Folgendes:

    • HOSTNAME: Hostname der SharePoint-Website, z. B. example.sharepoint.com.
    • SITE_PATH: Pfad der SharePoint-Website, z. B. /sites/ExampleSite1 oder /teams/ExampleSite2.

  2. Gewähren Sie fullcontrol Zugriff auf die Website, deren ID Sie im vorherigen Schritt abgerufen haben.

    • Senden Sie die folgende POST-Anfrage:

         POST `https://graph.microsoft.com/v1.0/sites/SITE_ID/permissions`

    • Verwenden Sie den folgenden Anfragetext:

      {
  "roles": ["fullControl"],
  "grantedToIdentities": [{
    "application": {
      "id": "CLIENT_ID",
      "displayName": "DISPLAY_NAME"
    }
  }]
}

      Ersetzen Sie Folgendes:

      • SITE_ID: Website-ID für Ihre SharePoint-Website, die Sie im vorherigen Schritt erhalten haben. Das Format sieht folgendermaßen aus: example.sharepoint.com,48332b69-85ab-0000-0000-dbb7132863e7,2d165439-0000-0000-b0fe-030b976868a0.
      • CLIENT_ID: Client-ID der Microsoft Entra-Anwendung.
      • DISPLAY_NAME: der Anzeigename für die Microsoft Entra-Anwendung.