Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Document-level Zugriffskontrollen
Admin-managed SharePoint Wissensdatenbanken unterstützen optional die Zugriffskontrolle auf Dokumentenebene. Wenn diese Option aktiviert ist, synchronisiert Amazon Quick SharePoint bei jedem Crawl Zugriffskontrolllisten (ACLs). Das System überprüft die Berechtigungen jedes Benutzers zum Zeitpunkt der Abfrage, sodass Benutzer nur Antworten aus Dokumenten sehen, auf die sie zugreifen dürfen. SharePoint
Funktionsweise
Wenn ein Benutzer einen Amazon Quick Agent anfragt, der eine vom Administrator verwaltete SharePoint Wissensdatenbank mit aktiviertem ACL-Management verwendet, erzwingt das System Zugriffskontrollen in zwei Schritten:
-
Pre-retrieval Filterung — Amazon Quick führt eine semantische Suche anhand des Vektorindex durch, um die relevantesten Dokumentpassagen zu finden. Das System wendet Zugriffskontrolllisten an, die SharePoint beim letzten Crawl synchronisiert wurden. Dadurch wird ein vorläufiger Satz von Kandidatendokumenten erstellt.
-
Real-time Überprüfung — Das System verifiziert die Kandidatendokumente in Echtzeit, indem es den aktuellen Zugriff des anfragenden Benutzers überprüft. SharePoint Nur Dokumente, auf die der Benutzer derzeit zugreifen darf, sind in der Antwort enthalten.
Dieser zweistufige Ansatz bietet eine Zugriffskontrolle auf Dokumentenebene, die auch dann aktuell bleibt, wenn sich die SharePoint Berechtigungen zwischen den Synchronisierungen ändern.
Aktivieren Sie das ACL-Management
Das ACL-Management wird bei der Erstellung der Wissensdatenbank im Schritt Zusätzliche Einstellungen konfiguriert. Markieren Sie das Kontrollkästchen Dokumentenzugriff mit ACLs kontrollieren, um es zu aktivieren.
Wichtig
Die ACL-Verwaltung kann nach der Erstellung der Wissensdatenbank nicht mehr geändert werden. Wenn Sie diese Einstellung ändern müssen, müssen Sie eine neue Wissensdatenbank erstellen.
Um das ACL-Management zu aktivieren, muss Ihre Entra-App-Registrierung über die folgenden Berechtigungen verfügen:
-
User.Read.AllundGroupMember.Read.Allauf Microsoft Graph. -
Sites.FullControl.Allauf der SharePoint Ressource oderSites.Selectedmit gewährten Berechtigungen pro Site.
Weitere Informationen zu den bewährten Methoden von ACL finden Sie unterBewährte Methoden für die Verwaltung von ACLs in Wissensdatenbanken.
Real-time Überprüfung des Zugriffs
Die Phase der Überprüfung in Echtzeit verwendet einen delegierten OAuth-Flow, der automatisch von Amazon Quick verwaltet wird. Quick erstellt und verwaltet eine separate Microsoft Entra-Anwendung speziell für diesen Zweck. Für diese App ist keine Kundenkonfiguration erforderlich. Sie unterscheidet sich sowohl von der vom Administrator verwalteten App-Registrierung, die Sie während der Einrichtung erstellt haben, als auch von allen benutzerverwalteten OAuth-Apps.
-
Ein Benutzer stellt im Quick Chat-Assistenten eine Frage.
-
Wenn es sich bei der Antwort um SharePoint Inhalte aus einer ACL-enabled Wissensdatenbank handelt, fordert Quick den Benutzer auf, sich SharePoint anzumelden.
-
Der Benutzer meldet sich an und akzeptiert das Microsoft-Zustimmungsdialogfeld (falls die Zustimmung des Administrators nicht erteilt wurde).
-
Quick verwendet das delegierte Token des Benutzers, um den Zugriff auf jedes Kandidatendokument in Echtzeit zu überprüfen.
-
Nur Dokumente, auf die der Benutzer derzeit Zugriff hat, SharePoint sind in der Antwort enthalten.
Die Anmeldung ist ein einmaliger Schritt. Die delegierten Anmeldeinformationen verwenden ein Aktualisierungstoken und sind ungefähr 90 Tage gültig.
Delegierte Berechtigungen
Die Echtzeit-ACL-App fordert die folgenden delegierten Berechtigungen an:
| Berechtigung | Scope | Zweck |
|---|---|---|
| Lesen Sie Elemente in allen Websitesammlungen | Sites.Read.All |
Überprüfen Sie den Benutzerzugriff auf den Inhalt der SharePoint Website. |
| Lesen Sie Ihre Dateien | Files.Read.All |
Überprüfen Sie den Benutzerzugriff auf bestimmte Dateien. |
| Sehen Sie sich Ihr Basisprofil an | User.Read |
Identifizieren Sie den angemeldeten Benutzer. |
| Behalten Sie den Zugriff auf Daten, auf die Sie ihm Zugriff gewährt haben | offline_access |
Aktualisieren Sie die Token, damit sich Benutzer nicht häufig erneut authentifizieren müssen. |
Zustimmung des Administrators
Die ACL-Prüfung in Echtzeit verwendet eine andere Microsoft Entra-Anwendung als die, die bei der benutzerverwalteten Installation oder der vom Administrator verwalteten App-Registrierung verwendet wird. Wenn Ihre Organisation die Zustimmung eines Administrators benötigt, muss ein Administrator die Zustimmung für jede Anwendung unabhängig erteilen.
Wenn Sie die ACL-Verwaltung bei der Erstellung der Wissensdatenbank aktivieren, bietet die Amazon Quick-Konsole einen direkten Link, über den Sie die Zustimmung des Administrators erteilen können. Dieser Link bezieht sich auf die ACL-Anwendung in Echtzeit. Wenn Sie ein Microsoft 365-Administrator sind, können Sie die Zustimmung direkt von der Konsole aus erteilen. Andernfalls teilen Sie den Link mit Ihrem Administrator.
Wenn die Zustimmung des Administrators nicht erteilt wird, wird jedem Benutzer bei seiner ersten Anfrage, die SharePoint Inhalt betrifft, das Einwilligungsdialogfeld angezeigt. Nach der Annahme werden sie etwa 90 Tage lang nicht erneut aufgefordert.
Ausführliche Anweisungen zur Erteilung der Administrator-Zustimmung über das Zustimmungsdialogfeld oder das Microsoft Entra Admin Center finden Sie unterErteilen Sie die unternehmensweite Zustimmung des Administrators.
Nächste Schritte
Weitere Informationen zu den bewährten Methoden von ACL finden Sie unterBewährte Methoden für die Verwaltung von ACLs in Wissensdatenbanken. Informationen zum Erstellen von vom Administrator verwalteten SharePoint Wissensdatenbanken finden Sie unter. Admin-managed Einrichtung (Dienstanmeldedaten)
