Microsoft SharePoint 設定

如要順利將 Gemini Enterprise 連結至 Microsoft SharePoint,請完成下列設定步驟。

設定驗證和權限

您必須在 Microsoft Entra 系統管理中心設定驗證和權限。這項步驟至關重要,因為連接器需要存取及同步處理資料。

為 Microsoft SharePoint 連接器註冊 Microsoft Entra 應用程式

在 Gemini Enterprise 中建立 Microsoft SharePoint 連接器前,請先註冊 Microsoft Entra 應用程式,確保存取安全無虞。

如要在 Entra 中將 Gemini Enterprise 註冊為 OAuth 2.0 應用程式,請按照下列步驟操作:

  1. 前往 Microsoft Entra 系統管理中心
  2. 在導覽選單中展開「Entra ID」,然後選取「App registrations」
  3. 在「App registrations」頁面中,按一下「New registration」

  4. 在「Register an application」(註冊應用程式) 頁面中,執行下列操作:

    1. 在「Name」(名稱) 欄位中,輸入應用程式名稱。
    2. 在「Supported account types」(支援的帳戶類型) 專區,選取「Accounts in this organizational directory only」(僅限這個組織目錄中的帳戶)
    3. 在「Redirect URI」(重新導向 URI) 部分執行下列操作:
      1. 在平台清單中選取 Web
      2. 在重新導向 URI 欄位中輸入 https://vertexaisearch.cloud.google.com/console/oauth/sharepoint_oauth.html
    4. 按一下「Register」(註冊)。Microsoft Entra 會建立應用程式,並顯示應用程式的總覽頁面。

  5. 在應用程式導覽選單中,按一下「驗證」

  6. 按一下「新增重新導向 URI」

  7. 在平台選取窗格中,執行下列操作:

    1. 選取「Web」
    2. 在「Redirect URI」欄位中,輸入 https://vertexaisearch.cloud.google.com/oauth-redirect
    3. 按一下 [設定]

建立 OAuth 2.0 設定

如要使用 OAuth 2.0 驗證方法建立連線,您需要從 Microsoft Entra 應用程式註冊頁面取得用戶端 ID、用戶端密鑰和租戶 ID。

取得用戶端 ID 和用戶端密鑰

  1. 如要取得應用程式的用戶端 ID 和密鑰,請按照下列步驟操作:

    1. 前往應用程式頁面。
    2. 在應用程式導覽選單中,選取「憑證和密鑰」
    3. 按一下「New client secret」
    4. 在用戶端密鑰窗格中,執行下列操作:
      1. 在「Description」(說明) 欄位中輸入密鑰的說明。
      2. 在「Expires」(到期) 清單中,選取到期時間長度。
      3. 按一下「新增」。
    5. 複製「值」欄中顯示的密鑰 (Client Secret) 和「密鑰 ID」欄中的 ID (Client ID),並妥善保存,以供日後使用。

取得執行個體 URI

執行個體 URI 採用下列其中一種格式:

  • 所有第一層網站:https://DOMAIN_OR_SERVER.sharepoint.com ,例如 mydomain.sharepoint.com
  • 單一網站:https://DOMAIN_OR_SERVER.sharepoint.com/sites/WEBSITE ,例如 mydomain.sharepoint.com/sites/sample-site

取得租戶 ID

您可以在 Microsoft Entra 系統管理中心的總覽頁面,找到「租戶 ID」方塊。

設定 Microsoft API 權限

如要為應用程式設定必要的 API 權限,請按照下列步驟操作:

  1. 前往應用程式頁面。

  2. 在應用程式導覽選單中,選取「API 權限」

  3. 按一下「新增權限」

  4. 在「Request API permissions」窗格中,選取「Microsoft Graph」

  5. 根據連線模式搜尋並選取下列權限:

    如果是「聯合搜尋」連線模式,則不需要 Graph API 權限。

    如果「資料擷取」連線模式使用「聯合憑證」

    權限 類型 說明
    GroupMember.Read.All 應用程式 允許連接器讀取所有群組的成員資格和基本群組屬性,不必登入使用者帳戶。
    User.Read 委派型 允許連接器讀取已登入使用者的設定檔。此外,連接器也能讀取已登入使用者的基本公司資訊。
    網站控制選項
    選項 1:Sites.FullControl.All 應用程式 允許連接器全權控管所有網站集合。
    選項 2:Sites.Selected 應用程式 允許連接器存取部分網站集合。您可以在 SharePoint Online 中設定特定網站集合和授予的權限。
    個人資料讀取選項
    選項 1:User.Read.All 應用程式 允許連接器讀取使用者設定檔。
    選項 2:User.ReadBasic.All 應用程式 允許連接器讀取機構中其他使用者的基本設定檔屬性。

    如果是資料擷取連線模式,且使用 OAuth 2.0 更新權杖

    權限 類型 說明
    GroupMember.Read.All 應用程式 允許連接器讀取所有群組的成員資格和基本群組屬性,不必登入使用者帳戶。
    User.Read 委派型 允許連接器讀取已登入使用者的設定檔。此外,連接器也能讀取已登入使用者的基本公司資訊。
    User.Read.All 應用程式 允許連接器讀取使用者設定檔。
    網站控制選項
    選項 1:Sites.FullControl.All 應用程式 允許連接器全權控管所有網站集合。
    選項 2:Sites.Selected 應用程式 允許連接器存取部分網站集合。您可以在 SharePoint Online 中設定特定網站集合和授予的權限。

    如果為「聯合搜尋」或「資料擷取」連線模式啟用「動作」,請同時選取下列權限:

    權限 類型 說明
    Sites.ReadWrite.All 委派型 允許連接器代表登入的使用者,編輯或刪除所有網站集合中的文件和清單項目。
    Files.ReadWrite 委派型 允許連接器讀取、建立、更新及刪除已登入使用者的檔案。
    Files.ReadWrite.All 委派型 允許連接器讀取、建立、更新及刪除登入使用者可存取的所有檔案。
    Sites.Manage.All 委派型 允許連接器代表使用者在所有網站集合中建立或刪除文件庫和清單。

  6. 按一下 [Add Permissions] (新增權限)

  7. 在「Request API permissions」(要求 API 權限) 窗格中,選取「Microsoft SharePoint」

  8. 根據連線模式搜尋並選取下列權限:

    「聯合搜尋」連線模式:

    權限 類型 說明
    Sites.Search.All 委派型 允許連接器代表目前登入的使用者執行搜尋查詢,並讀取基本網站資訊。搜尋結果會根據使用者的權限顯示,而非應用程式的權限。
    網站控制選項
    選項 1:AllSites.Read 委派型 允許連接器代表登入的使用者,讀取所有網站集合中的文件和清單項目。
    選項 2:Sites.Selected 委派型 允許連接器透過已登入的使用者存取部分網站集合。您可以在 SharePoint Online 中設定特定網站集合和授予的權限。

    如果「資料擷取」連線模式使用「聯合憑證」

    權限 類型 說明
    網站控制選項
    選項 1:Sites.FullControl.All 應用程式 允許連接器全權控管所有網站集合。
    選項 2:Sites.Selected 應用程式 允許連接器透過已登入的使用者存取部分網站集合。您可以在 SharePoint Online 中設定特定網站集合和授予的權限。

    如果是資料擷取連線模式,且使用 OAuth 2.0 更新權杖

    權限 類型 說明
    網站控制選項
    選項 1:AllSites.FullControl 委派型 允許連接器代表登入的使用者,完全控管所有網站集合。
    選項 2:Sites.Selected 委派型 允許連接器透過已登入的使用者存取部分網站集合。您可以在 SharePoint Online 中設定特定網站集合和授予的權限。

    如果為「聯合搜尋」或「資料擷取」連線模式啟用「動作」,請同時選取下列權限:

    權限 類型 說明
    AllSites.Write 委派型 允許連接器代表登入的使用者,在所有網站集合中建立、讀取、更新及刪除文件和清單項目。

  9. 按一下 [Add Permissions] (新增權限)

  10. 授予管理員同意。請參閱「Grant tenant-wide administrator consent to an application」(授予應用程式全租戶管理員同意聲明) 這篇 Microsoft Entra 說明文件,瞭解如何授予同意聲明。

授予所選網站 fullcontrol 權限

如果選擇 Sites.Selected 選項,在 Microsoft Graph 中授予所選網站的控制權,則必須將 fullcontrol 權限授予 Gemini Enterprise 應用程式。您可以使用下列其中一種方法來進行合併:

  • PowerShell
  • Microsoft Graph

PowerShell

如需使用 PnP PowerShell 授予權限的一般語法,請參閱使用 PnP PowerShell 授予權限

  1. 如要授予 FullControl 權限,請在 PowerShell 中執行下列指令:

    Grant-PnPAzureADAppSitePermission -AppId CLIENT_ID -DisplayName DISPLAY_NAME -Permissions FullControl -Site SITE_URL

    更改下列內容:

    • CLIENT_ID:Microsoft Entra 應用程式的用戶端 ID。
    • SITE_URL:SharePoint 網站的網站網址,例如 https://example.sharepoint.com/sites/ExampleSite1
    • DISPLAY_NAME:Microsoft Entra 應用程式的顯示名稱。

Microsoft Graph

如要瞭解如何使用 Microsoft Graph 授予權限的整體程序,請參閱使用 Microsoft Graph 授予權限

使用 Microsoft Graph 探索工具呼叫下列方法。只有網站擁有者可以呼叫這些方法。

  1. 取得網站 ID:

    GET `https://graph.microsoft.com/v1.0/sites/HOSTNAME:SITE_PATH`

    更改下列內容:

    • HOSTNAME:SharePoint 網站的主機名稱,例如 example.sharepoint.com
    • SITE_PATH:SharePoint 網站的路徑,例如 /sites/ExampleSite1/teams/ExampleSite2

  2. 授予 fullcontrol 存取權,存取您在上一個步驟中擷取 ID 的網站。

    • 傳送下列 POST 要求:

         POST `https://graph.microsoft.com/v1.0/sites/SITE_ID/permissions`

    • 使用下列要求主體:

      {
  "roles": ["fullControl"],
  "grantedToIdentities": [{
    "application": {
      "id": "CLIENT_ID",
      "displayName": "DISPLAY_NAME"
    }
  }]
}

      更改下列內容:

      • SITE_ID:您在上一步中收到的 SharePoint 網站 ID。格式為 example.sharepoint.com,48332b69-85ab-0000-0000-dbb7132863e7,2d165439-0000-0000-b0fe-030b976868a0
      • CLIENT_ID:Microsoft Entra 應用程式的用戶端 ID。
      • DISPLAY_NAME:Microsoft Entra 應用程式的顯示名稱。