View a markdown version of this page

Dienstanmeldedaten einrichten - Amazon Quick
VoraussetzungenBerechtigungenWährend der Einrichtung erhobene WerteSchritt 1: Erstellen Sie einen asymmetrischen AWS KMS-SignaturschlüsselSchritt 2: Generieren Sie ein selbstsigniertes ZertifikatSchritt 3: Registrieren Sie eine Anwendung in Microsoft Entra IDSchritt 3b: Erteilen Sie Berechtigungen auf Site-Ebene (nur) Sites.SelectedSchritt 4: Erteilen Sie Amazon Quick die Erlaubnis für den KMS-SchlüsselNächste Schritte

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Dienstanmeldedaten einrichten

Bevor Sie die Wissensdatenbank in Amazon Quick erstellen, führen Sie die folgenden Konfigurationsschritte in AWS und Microsoft Entra ID durch. Sie erstellen einen KMS-Signaturschlüssel, generieren ein Zertifikat, registrieren eine Anwendung in Entra und erteilen Amazon Quick die Erlaubnis, den Schlüssel zu verwenden.

Dieses Setup umfasst mehrere Systeme und erfordert möglicherweise die Koordination zwischen verschiedenen Administratoren in Ihrer Organisation. In der folgenden Tabelle sind die einzelnen Schritte und die Rollen, die zu ihrer Ausführung erforderlich sind, zusammengefasst.

Einrichtungsschritte und Rollen
Schritt Was machst du Rolle erforderlich
1. KMS-Schlüssel Erstellen Sie einen asymmetrischen Signaturschlüssel in AWS KMS. AWS Administrator (Zugriff auf KMS und IAM-Konsole)
2. Zertifikat Generieren Sie mithilfe des öffentlichen KMS-Schlüssels ein selbstsigniertes Zertifikat. Wie Schritt 1 (AWS CLI und OpenSSL erforderlich)
3. Geben Sie die App ein Registrieren Sie eine Anwendung in Microsoft Entra, weisen Sie API-Berechtigungen zu und laden Sie das Zertifikat hoch. Microsoft 365 Global Admin oder Administrator mit privilegierter Rolle
3b. Sites.Selected (fakultativ) Erstellen Sie eine temporäre Admin-App und gewähren Sie über die Microsoft Graph-API Berechtigungen pro Site. Microsoft 365 Global Admin (wie Schritt 3)
4. Zugriff auf KMS-Schlüssel Erteilen Sie Amazon Quick die Erlaubnis, den KMS-Schlüssel zum Signieren zu verwenden. Amazon Quick Administrator (Admin Pro)
5. KB erstellen Erstellen Sie die Wissensdatenbank in Amazon Quick mit den Anmeldeinformationen aus den vorherigen Schritten. Jeder Amazon Quick-Benutzer (Author Pro oder Admin Pro)
Tipp

In vielen Organisationen kann eine einzelne Person mit AWS sowohl Microsoft 365-Administratorzugriff als auch alle Schritte ausführen. Wenn die Zuständigkeiten auf mehrere Teams aufgeteilt sind, können Sie diese Tabelle gemeinsam nutzen, um die Einrichtung zu koordinieren.

Voraussetzungen

Stellen Sie vor dem Beginn sicher, dass Sie über Folgendes verfügen:

  • Ein AWS Konto mit einer aktiven Amazon Quick-Instance.

  • Zugriff auf die AWS KMS-Konsole (zum Erstellen des Signaturschlüssels).

  • Amazon Quick Administratorzugriff (Admin Pro-Rolle) zur Erteilung von KMS-Schlüsselberechtigungen.

  • Ein Microsoft 365-Mandant mit SharePoint Online.

  • Globaler Administrator- oder privilegierter Rollenadministratorzugriff in Microsoft Entra ID.

  • OpenSSL 3.0 oder höher und AWS CLI lokal installiert.

  • Das AWS Konto und die Amazon Quick-Instance müssen sich in derselben Region befinden.

Berechtigungen

Die von Ihnen zugewiesenen Berechtigungen hängen von zwei Optionen ab:

  • Ob Sie beabsichtigen, die Zugriffskontrolle auf Dokumentebene (ACL-Crawling) zu aktivieren.

  • Ob Sie Zugriff auf alle SharePoint Websites oder nur auf bestimmte Websites gewähren möchten.

Wählen Sie Ihren Berechtigungsbereich

Standardmäßig verwendet die Registrierung der Entra-App Sites.Read.All oderSites.FullControl.All, wodurch Zugriff auf alle SharePoint Websites in Ihrem Mandanten gewährt wird. Wenn Ihre Organisation Zugriff mit den geringsten Rechten benötigt, können Sie stattdessen verwenden. Sites.Selected Mit kann Sites.Selected die App nur auf Websites zugreifen, denen Sie ausdrücklich die Erlaubnis erteilen.

Vergleich des Berechtigungsumfangs
Scope Zugriff Zusätzliche Schritte
Alle Websites (Standard) Die App kann alle SharePoint Websites im Mandanten lesen.
Sites.Selected Die App kann nur auf Websites zugreifen, die Sie ausdrücklich gewähren. Erfordert eine temporäre Admin-App und einen Microsoft Graph-API-Aufruf für jede Site. Siehe Schritt 3b: Erteilen Sie Berechtigungen auf Site-Ebene (nur) Sites.Selected.
Anmerkung

Wenn Sie dies verwendenSites.Selected, müssen Sie den Zugriff für jede Site einzeln gewähren. Für alle neuen Websites, die in future zur Wissensdatenbank hinzugefügt werden, ist ebenfalls eine separate Genehmigungserteilung erforderlich.

Alle Websites — nur Inhalt (keine ACL)

Content-only Berechtigungen
API Berechtigung Typ
Microsoft Graph Sites.Read.All Anwendung
SharePoint REST Sites.Read.All Anwendung

Alle Websites — mit ACL-Crawling

ACL-Crawling-Berechtigungen
API Berechtigung Typ
Microsoft Graph Sites.Read.All Anwendung
Microsoft Graph User.Read.All Anwendung
Microsoft Graph GroupMember.Read.All Anwendung
SharePoint REST Sites.FullControl.All Anwendung
Wichtig

Wählen Sie entweder die Berechtigungen für alle Websites in den vorherigen Tabellen oder die Sites.Selected Berechtigungen in den folgenden Tabellen aus. Kombinieren Sie nicht beide. Wenn Sie sich nicht sicher sind, beginnen Sie mit All-Sites. Bei Bedarf können Sie Sites.Selected später eine neue Registrierung für die Entra-App erstellen.

Sites.Selected — Nur Inhalt (keine ACL)

Sites.Selected Berechtigungen nur für Inhalte
API Berechtigung Typ
Microsoft Graph Sites.Selected Anwendung
SharePoint REST Sites.Selected Anwendung

Sites.Selected — mit ACL-Crawling

Sites.Selected ACL-Crawling-Berechtigungen
API Berechtigung Typ
Microsoft Graph Sites.Selected Anwendung
Microsoft Graph User.Read.All Anwendung
Microsoft Graph GroupMember.Read.All Anwendung
SharePoint REST Sites.Selected Anwendung
Anmerkung

OneNote crawling (Notes.Read.All) wird in einem vom Administrator verwalteten Setup nicht unterstützt. Microsoft hat am 31. März 2025 reine App-Token für OneNote APIs eingestellt. User-managed einrichtenFür OneNote Inhalte verwenden.

Während der Einrichtung erhobene Werte

In der folgenden Tabelle sind die Werte zusammengefasst, die Sie während der Installation erstellen oder sammeln, und wo Sie sie verwenden.

Referenz für Werte
Wert Im Schritt erstellt Wird im Schritt verwendet
KMS-Schlüssel ARN 1 (KM) 2 (Zertifikat), 4 (IAM), Schnelle Einrichtung
Zertifikatsdatei () certificate.cer 2 (Zertifikat) 3 (Upload eingeben)
Fingerabdruck des Zertifikats (base64url) 2 (Zertifikat) Quick Setup
ID der Anwendung (Client) 3 (Eingabe) Quick Setup
Verzeichnis-ID (Mandant) 3 (Eingabe) Quick Setup
SharePoint Domain-URL Ihr M365-Mandant Quick Setup

Schritt 1: Erstellen Sie einen asymmetrischen AWS KMS-Signaturschlüssel

Amazon Quick verwendet einen asymmetrischen AWS KMS-Schlüssel, um OAuth-Assertionen bei der Authentifizierung mit Microsoft Entra ID zu signieren. Der private Schlüssel verlässt KMS niemals. Nur der öffentliche Schlüssel wird exportiert und in ein Zertifikat eingebettet, das in Ihre Entra-App-Registrierung hochgeladen wird.

Erstellen Sie den KMS-Schlüssel

  1. Öffnen Sie die AWS KMS-Konsole.

  2. Klicken Sie in linken Navigationsleiste auf Vom Kunden verwaltete Schlüssel.

  3. Klicken Sie auf Create key.

Konfigurieren Sie den Schlüssel

Legen Sie auf der Seite Schlüssel konfigurieren die folgenden Werte fest:

Konfiguration des KMS-Schlüssels
Einstellung Wert
Schlüsseltyp Asymmetrisch
Schlüsselnutzung Signieren und überprüfen
Schlüsselspezifikation RSA_2048
Ursprung des Schlüsselmaterials KMS (empfohlen)
Regionalität Single-Region Schlüssel (Standard). Multi-Region Schlüssel werden nicht unterstützt.

Beschriftungen hinzufügen

Geben Sie auf der Seite Labels hinzufügen einen Alias für den Schlüssel ein. Beispiel: quick-sharepoint-service-auth.

Anmerkung

Die Schlüsseladministrator- und Schlüsselverwendungsberechtigungen auf den folgenden Seiten sind optional. Die Standardwerte sind für dieses Setup ausreichend. In Schritt 4 gewähren Sie Amazon Quick separat Zugriff auf den Schlüssel.

Wählen Sie „Zur Überprüfung überspringen“ und anschließend „Fertig stellen“, um den Schlüssel zu erstellen.

Notieren Sie den Schlüssel-ARN

Öffnen Sie nach der Erstellung des Schlüssels die Schlüsseldetailseite und notieren Sie den Schlüssel-ARN. Der ARN hat das folgende Format:

arn:aws:kms:us-west-2:123456789012:key/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx

Sie benötigen diesen Wert in den Schritten 2, 4 und beim Erstellen der Wissensdatenbank in Quick.

Schritt 2: Generieren Sie ein selbstsigniertes Zertifikat

Microsoft Entra ID benötigt ein X.509 Zertifikat, um signierte Assertionen zu validieren. Da der private KMS-Schlüssel AWS KMS niemals verlässt, können Sie ihn nicht direkt mit OpenSSL verwenden. Stattdessen generieren Sie ein temporäres lokales key pair und erstellen eine Zertifikatsignieranforderung. Verwenden Sie dann die -force_pubkey OpenSSL-Option, um den öffentlichen KMS-Schlüssel in das endgültige Zertifikat einzufügen. Das Ergebnis ist ein selbstsigniertes Zertifikat, dessen öffentlicher Schlüssel mit dem KMS-Schlüsselpaar übereinstimmt.

Voraussetzungen

  • AWS CLI installiert und konfiguriert.

  • OpenSSL 3.0 oder höher.

  • Der KMS-Schlüssel-ARN aus Schritt 1.

Generieren Sie das Zertifikat

Führen Sie die folgenden Befehle in einem Terminal aus. Ersetzen Sie die placeholder Werte durch Ihre eigenen.

Überprüfen Sie die OpenSSL-Version

openssl version

Vergewissern Sie sich, dass die Ausgabe Version 3.0 oder höher anzeigt.

Exportieren Sie den öffentlichen KMS-Schlüssel

aws kms get-public-key \
    --key-id KMS_KEY_ARN \
    --region REGION \
    --output text \
    --query PublicKey | base64 --decode > public_key.der
Anmerkung

Verwenden Sie unter macOS base64 -D je nach Ihrer Shell-Umgebung base64 --decode oder.

Konvertiert den öffentlichen Schlüssel in das PEM-Format

openssl rsa -pubin -inform DER -in public_key.der -outform PEM -out kms_public_key.pem

Generieren Sie ein temporäres lokales key pair

openssl genrsa -out temp_private_key.pem 2048

Erstellen Sie eine Anforderung zum Signieren eines Zertifikats

openssl req -new \
    -key temp_private_key.pem \
    -out cert.csr \
    -subj "/CN=QuickSharePointServiceAuth/O=YourOrganization/C=US"

Generieren Sie das Zertifikat mit dem öffentlichen KMS-Schlüssel

openssl x509 -req \
    -in cert.csr \
    -signkey temp_private_key.pem \
    -out certificate.pem \
    -days 730 \
    -force_pubkey kms_public_key.pem
Anmerkung

OpenSSL zeigt die Warnung Signature key and public key of cert do not match an. Dies ist zu erwarten, da das Zertifikat mit dem temporären lokalen Schlüssel signiert ist, aber den öffentlichen KMS-Schlüssel enthält. Das Zertifikat ist gültig und funktioniert ordnungsgemäß mit Microsoft Entra.

Für den Entra-Upload in das DER-Format konvertieren

openssl x509 -in certificate.pem -outform DER -out certificate.cer

Temporäre Dateien bereinigen

rm -f temp_private_key.pem cert.csr public_key.der kms_public_key.pem certificate.pem
Wichtig

Behalte die certificate.cer Datei. Sie laden es in Schritt 3 auf Microsoft Entra ID hoch.

Berechnen Sie den Fingerabdruck des Zertifikats

Führen Sie den folgenden Befehl aus, um den Base64-URL-codierten Fingerabdruck SHA-1 des Zertifikats zu berechnen:

openssl dgst -sha1 -binary certificate.cer | base64 | tr '+/' '-_' | tr -d '='

Notieren Sie diesen Wert. Sie geben ihn ein, wenn Sie die Wissensdatenbank in Quick erstellen.

Anmerkung

Der base64url-kodierte Fingerabdruck unterscheidet sich von dem hexadezimalen Fingerabdruck, der im Microsoft Entra-Portal angezeigt wird. Quick benötigt das Format base64url.

Schritt 3: Registrieren Sie eine Anwendung in Microsoft Entra ID

Dieser Schritt ist unabhängig davon erforderlich, ob Sie Berechtigungen für alle Websites verwenden oder. Sites.Selected Der einzige Unterschied besteht darin, welche API-Berechtigungen Sie in API-Berechtigungen konfigurieren diesem Abschnitt zuweisen.

Registrieren Sie die Anwendung

  1. Melden Sie sich im Microsoft Entra Admin Center an.

  2. Erweitern Sie in der linken Navigationsleiste Entra ID und wählen Sie App-Registrierungen aus.

  3. Wählen Sie Neue Registrierung.

  4. Geben Sie unter Name QuickSharePointServiceAuth ein.

  5. Wählen Sie unter Unterstützte Kontotypen die Option Nur Konten in diesem Organisationsverzeichnis (Einzelmandant) aus.

  6. Lassen Sie das Feld Umleitungs-URI leer. Ein Umleitungs-URI ist nicht erforderlich, da die Anwendung den Ablauf der Client-Anmeldeinformationen und keinen interaktiven Anmeldefluss verwendet.

  7. Wählen Sie Registrieren aus.

Notieren Sie die Anwendungsdetails

Notieren Sie auf der Seite mit der Anwendungsübersicht die folgenden Werte:

Anwendungsdetails
Wert Speicherort
Anwendungs-(Client-)ID Wird auf der Übersichtsseite unter Essentials angezeigt.
Verzeichnis-ID (Mandanten-ID) Wird auf der Übersichtsseite unter Essentials angezeigt.

API-Berechtigungen konfigurieren

Fügen Sie die Berechtigungen hinzu, die Ihrem Anwendungsfall entsprechen. Wählen Sie die Berechtigungen aus den Tabellen im Berechtigungen Abschnitt aus. Basieren Sie Ihre Auswahl auf Ihrem Berechtigungsbereich (alle Websites oder Sites.Selected) und darauf, ob Sie ACL-Crawling aktivieren.

Nur Inhalt — Microsoft Graph

  • Sites.Read.All

Nur Inhalt — SharePoint

  • Sites.Read.All

ACL-Crawling — Microsoft Graph (zusätzlich)

  • Sites.Read.All

  • User.Read.All

  • GroupMember.Read.All

ACL-Crawling — SharePoint

  • Sites.FullControl.All

Anmerkung

Sites.FullControl.Allist für das ACL-Crawling erforderlich, da die SharePoint REST-API vollständige Zugriffsberechtigungen zum Lesen von Berechtigungszuweisungen auf Site- und Elementebene benötigt. Wenn Sie dies verwendenSites.Selected, finden Sie den alternativen Schritt 3b: Erteilen Sie Berechtigungen auf Site-Ebene (nur) Sites.Selected Berechtigungssatz.

  1. Wählen Sie in der linken Navigationsleiste Ihrer App-Registrierung die Option API-Berechtigungen aus.

  2. Wählen Sie Berechtigung hinzufügen aus.

  3. Wählen Sie Microsoft Graph.

  4. Wählen Sie Anwendungsberechtigungen aus.

  5. Suchen Sie nach den erforderlichen Microsoft Graph-Berechtigungen für Ihren Anwendungsfall, wählen Sie sie aus und wählen Sie dann Berechtigungen hinzufügen aus.

  6. Wählen Sie erneut „Berechtigung hinzufügen“ aus.

  7. Wählen Sie SharePoint(unter Microsoft APIs).

  8. Wählen Sie Anwendungsberechtigungen aus.

  9. Suchen Sie nach den erforderlichen SharePoint Berechtigungen für Ihren Anwendungsfall, wählen Sie sie aus und wählen Sie dann Berechtigungen hinzufügen aus.

Wichtig

Wählen Sie den Tab Anwendungsberechtigungen und nicht Delegierte Berechtigungen aus. Admin-managed Setup verwendet den Ablauf der Client-Anmeldeinformationen, für den Anwendungsberechtigungen erforderlich sind.

  1. Wählen Sie auf der Seite mit den API-Berechtigungen die Option Administratorzustimmung erteilen für [Ihre Organisation] aus.

  2. Bestätigen Sie die Zustimmung, wenn Sie dazu aufgefordert werden.

Wichtig

Für Anwendungsberechtigungen ist die Zustimmung des Administrators erforderlich. Ohne sie kann die Anwendung nicht auf SharePoint Daten zugreifen.

Laden Sie das Zertifikat hoch

  1. Wählen Sie in der linken Navigationsleiste Ihrer App-Registrierung Zertifikate und Geheimnisse aus.

  2. Wählen Sie die Registerkarte Certificates (Zertifikate) aus.

  3. Wählen Sie Zertifikat hochladen.

  4. Wählen Sie die certificate.cer Datei aus, die Sie in Schritt 2 generiert haben.

  5. Wählen Sie Hinzufügen aus.

Anmerkung

Das Entra-Portal zeigt den Fingerabdruck des Zertifikats im Hexadezimalformat an. Dies unterscheidet sich von dem Base64url-codierten Fingerabdruck, den Sie in Schritt 2 berechnet haben. Verwenden Sie den Wert base64url, wenn Sie die Wissensdatenbank in Quick konfigurieren.

Schritt 3b: Erteilen Sie Berechtigungen auf Site-Ebene (nur) Sites.Selected

Wenn Sie Sites.Selected als Berechtigungsbereich ausgewählt haben, müssen Sie Ihrer Amazon Quick Entra-App ausdrücklich Zugriff auf jede SharePoint Website gewähren. Dies erfordert eine temporäre Admin-App mit der Sites.FullControl.All Berechtigung, die Microsoft Graph-API aufzurufen.

Überspringen Sie diesen Schritt, wenn Sie den Berechtigungsbereich für alle Websites verwenden (Sites.Read.AlloderSites.FullControl.All).

Rufen Sie die Site-ID für jede SharePoint Site ab

Sie benötigen die Site-ID für jede SharePoint Site, auf die Sie Zugriff gewähren möchten. Um eine Site-ID zu erhalten:

  1. Navigieren Sie in Ihrem Browser zu der SharePoint Site (z. B.https://yourcompany.sharepoint.com/sites/SiteName).

  2. Fügen Sie den Link /_api/site/id an die URL an und drücken Sie die Eingabetaste. Beispiel: https://yourcompany.sharepoint.com/sites/SiteName/_api/site/id

  3. Auf der Seite wird eine XML-Antwort angezeigt, die die Site-ID (eine GUID) enthält. Notieren Sie diesen Wert.

Wiederholen Sie den Vorgang für jede Site, die Sie in die Wissensdatenbank aufnehmen möchten.

Erstellen Sie eine temporäre Admin-App

Die Admin-App wird nur verwendet, um Ihrer Amazon Quick-App Berechtigungen auf Site-Ebene zu gewähren. Sie können sie löschen, nachdem Sie diesen Schritt abgeschlossen haben.

  1. Gehen Sie im Microsoft Entra Admin Center zu App-Registrierungen und wählen Sie Neue Registrierung aus.

  2. Geben Sie unter Name einen aussagekräftigen Namen ein, z. B. Quick-SharePoint-PermissionGranter

  3. Wählen Sie unter Unterstützte Kontotypen die Option Nur Konten in diesem Organisationsverzeichnis (Einzelmandant) aus.

  4. Lassen Sie das Feld Umleitungs-URI leer und wählen Sie Registrieren aus.

  5. Notieren Sie sich die Anwendungs-ID (Client) auf der Übersichtsseite.

  6. Wählen Sie API-Berechtigungen und dann Berechtigung hinzufügen aus.

  7. Wählen Sie Microsoft Graph und dann Anwendungsberechtigungen. Suchen Sie nach und wählen SieSites.FullControl.All. Wählen Sie Add permissions (Berechtigungen hinzufügen) aus.

  8. Wählen Sie Administratorzustimmung für [Ihre Organisation] gewähren aus und bestätigen Sie.

  9. Wählen Sie Certificates & Secrets und dann New client secret aus. Geben Sie eine Beschreibung ein, wählen Sie einen Ablaufzeitraum und klicken Sie auf Hinzufügen.

  10. Notieren Sie den geheimen Wert sofort. Dieser Wert wird nur einmal angezeigt.

Wichtig

Kopieren Sie den geheimen Wert, nicht die geheime ID. Der Wert ist die längere Zeichenfolge, die für die Authentifizierung verwendet wird.

Holen Sie sich ein Zugriffstoken

Verwenden Sie die Anmeldeinformationen der Admin-App, um ein OAuth-Token von Microsoft Entra abzurufen. Ersetzen Sie die placeholder Werte durch die Client-ID, den geheimen Wert und die Mandanten-ID Ihrer Admin-App.

macOS und Linux (bash)

curl -s --location "https://login.microsoftonline.com/TENANT_ID/oauth2/v2.0/token" \
  --header "Content-Type: application/x-www-form-urlencoded" \
  --data-urlencode "grant_type=client_credentials" \
  --data-urlencode "client_id=ADMIN_APP_CLIENT_ID" \
  --data-urlencode "client_secret=ADMIN_APP_SECRET_VALUE" \
  --data-urlencode "scope=https://graph.microsoft.com/.default"

Windows () PowerShell

$tokenResponse = Invoke-RestMethod `
  -Uri "https://login.microsoftonline.com/TENANT_ID/oauth2/v2.0/token" `
  -Method Post `
  -ContentType "application/x-www-form-urlencoded" `
  -Body @{
    grant_type    = "client_credentials"
    client_id     = "ADMIN_APP_CLIENT_ID"
    client_secret = "ADMIN_APP_SECRET_VALUE"
    scope         = "https://graph.microsoft.com/.default"
  }
$adminToken = $tokenResponse.access_token

Die Antwort enthält ein access_token Feld. Notieren Sie sich diesen Wert für den nächsten Schritt.

Erteilen Sie Berechtigungen auf Site-Ebene

Verwenden Sie das Admin-Token, um Ihrer Amazon Quick Entra-App fullcontrol Zugriff auf jede SharePoint Site zu gewähren. Ersetzen Sie die placeholder Werte durch Ihre Site-ID, Ihr Admin-Token und die Client-Anwendungs-ID und den Anzeigenamen aus Schritt 3.

macOS und Linux (bash)

curl -s --location "https://graph.microsoft.com/v1.0/sites/SITE_ID/permissions" \
  --header "Content-Type: application/json" \
  --header "Authorization: Bearer ADMIN_TOKEN" \
  --data '{
    "roles": ["fullcontrol"],
    "grantedToIdentities": [{
      "application": {
        "id": "CLIENT_APP_ID",
        "displayName": "CLIENT_APP_NAME"
      }
    }]
  }'

Windows () PowerShell

$body = @{
    roles = @("fullcontrol")
    grantedToIdentities = @(
        @{
            application = @{
                id          = "CLIENT_APP_ID"
                displayName = "CLIENT_APP_NAME"
            }
        }
    )
} | ConvertTo-Json -Depth 10

Invoke-RestMethod `
  -Uri "https://graph.microsoft.com/v1.0/sites/SITE_ID/permissions" `
  -Method Post `
  -Headers @{
    "Content-Type"  = "application/json"
    "Authorization" = "Bearer $adminToken"
  } `
  -Body $body

Zu einer erfolgreichen Antwort gehört "roles": ["fullcontrol"] auch die ID der Client-App im grantedToIdentities Feld.

Wichtig

Wiederholen Sie diesen Befehl für jede SharePoint Site, die Sie in die Wissensdatenbank aufnehmen möchten. Für alle neuen Websites, die in future hinzugefügt werden, ist ebenfalls eine separate Genehmigungserteilung erforderlich.

Bereinigen

Nachdem Sie allen erforderlichen Websites Berechtigungen erteilt haben, können Sie die temporäre Admin-App aus dem Microsoft Entra Admin Center löschen. Die von Ihnen erteilten Berechtigungen auf Site-Ebene bleiben unabhängig von der Admin-App in Kraft.

Anmerkung

Die temporäre Admin-App wird nur in Ihrer lokalen Umgebung verwendet, um die Microsoft Graph-API aufzurufen. Amazon Quick sieht die Admin-App oder ihre Anmeldeinformationen nie und hat auch keinen Zugriff darauf. Nur die Anmeldeinformationen der Client-App werden Amazon Quick zur Verfügung gestellt, wenn Sie die Wissensdatenbank erstellen.

Schritt 4: Erteilen Sie Amazon Quick die Erlaubnis für den KMS-Schlüssel

Amazon Quick benötigt die Erlaubnis, den KMS-Schlüssel zum Signieren von OAuth-Assertionen zu verwenden. Sie erteilen diese Berechtigung über die Amazon Quick Admin-Konsole.

Anmerkung

Für diesen Schritt ist Amazon Quick-Administratorzugriff (Admin Pro-Rolle) erforderlich. Wenn Sie kein Administrator sind, bitten Sie Ihren Amazon Quick-Administrator, diesen Schritt mit dem KMS-Schlüssel ARN aus Schritt 1 abzuschließen.

Wichtig

Wenn Ihre Organisation ihre eigene Amazon Quick IAM-Servicerolle verwaltet, treffen die folgenden Konsolenschritte möglicherweise nicht zu. Stellen Sie stattdessen sicher, dass die Rolle über kms:Sign Berechtigungen für den KMS-Schlüssel ARN aus Schritt 1 verfügt.

  1. Wählen Sie in Amazon Quick im linken Navigationsbereich die Option Konto verwalten aus.

  2. Wählen Sie unter Berechtigungen die Option AWS Ressourcen aus.

  3. Scrollen Sie auf der AWS Ressourcenseite zu AWS Key Management Service und aktivieren Sie das Kontrollkästchen.

  4. Wählen Sie „Schlüssel auswählen“.

  5. Geben Sie im Dialogfeld KMS-Schlüssel auswählen den KMS-Schlüssel-ARN ein, den Sie in Schritt 1 aufgezeichnet haben, und wählen Sie Hinzufügen aus.

  6. Der Schlüssel ARN wird in der Liste angezeigt. Wählen Sie Finish (Abschließen).

  7. Wählen Sie unten auf der AWS Ressourcenseite Speichern aus.

Nächste Schritte

Nachdem Sie die Einrichtung abgeschlossen haben, stellen Sie die SharePoint Online-Wissensdatenbank-Verbindung in Amazon Quick her. Detaillierte Anweisungen finden Sie unter Erstellen Sie die Wissensdatenbank in Amazon Quick.