翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# ドキュメントレベルのアクセスコントロール
<a name="sharepoint-kb-acl"></a>

管理者管理の SharePoint ナレッジベースは、オプションでドキュメントレベルのアクセスコントロールをサポートします。有効にすると、Amazon Quick はクロールのたびに SharePoint からアクセスコントロールリスト (ACLs) を同期します。システムはクエリ時に各ユーザーのアクセス許可を検証するため、ユーザーは SharePoint でアクセスが許可されているドキュメントからの回答のみを表示します。

## 仕組み
<a name="sharepoint-kb-acl-how-it-works"></a>

ユーザーが ACL 管理を有効にして管理者管理の SharePoint ナレッジベースを使用する Amazon Quick エージェントにクエリを実行すると、システムは次の 2 つの段階でアクセスコントロールを適用します。

1. **取得前フィルタリング** – Amazon Quick は、ベクトルインデックスに対してセマンティック検索を実行して、最も関連性の高いドキュメントパッセージを見つけます。システムは、前回のクロール中に SharePoint から同期されたアクセスコントロールリストを適用します。これにより、候補ドキュメントの予備セットが生成されます。

1. **リアルタイム検証** – システムは、SharePoint でのクエリユーザーの現在のアクセスを確認することで、候補ドキュメントをリアルタイムで検証します。現在アクセスが許可されているドキュメントのみがレスポンスに含まれます。

この 2 段階のアプローチは、同期間で SharePoint アクセス許可が変更されても最新の状態を維持するドキュメントレベルのアクセスコントロールを提供します。

## ACL 管理を有効にする
<a name="sharepoint-kb-acl-enable"></a>

ACL 管理は、**追加設定**ステップのナレッジベースの作成中に設定されます。**ACLsによるドキュメントアクセスのコントロール**チェックボックスを選択して有効にします。

**重要**  
ナレッジベースの作成後に ACL 管理を変更することはできません。この設定を変更する必要がある場合は、新しいナレッジベースを作成する必要があります。

ACL 管理を有効にするには、Entra アプリ登録に次のアクセス許可が必要です。
+ `User.Read.All` Microsoft Graph `GroupMember.Read.All`の および 。
+ `Sites.FullControl.All` SharePoint リソース、またはサイトごとのアクセス許可が付与`Sites.Selected`されている。

ACL のベストプラクティスの詳細については、「」を参照してください[ナレッジベースで ACLs を管理するためのベストプラクティス](acl-best-practices-kb.md)。

## リアルタイムアクセス検証
<a name="sharepoint-kb-acl-realtime"></a>

リアルタイム検証ステージでは、Amazon Quick によって自動的に管理される委任 OAuth フローを使用します。Quick は、この目的のために別の Microsoft Entra アプリケーションを作成および管理します。このアプリには顧客設定は必要ありません。これは、セットアップ時に作成した管理者管理のアプリ登録と、ユーザー管理の OAuth アプリの両方とは異なります。

1. ユーザーがクイックチャットアシスタントで質問をします。

1. 回答に ACL 対応のナレッジベースの SharePoint コンテンツが含まれる場合、Quick はユーザーに **SharePoint にサインイン**するよう促します。

1. ユーザーはサインインし、Microsoft の同意ダイアログを受け入れます (管理者の同意が付与されていない場合）。

1. Quick は、ユーザーの委任トークンを使用して、各候補ドキュメントへのアクセスをリアルタイムで検証します。

1. SharePoint で現在アクセスできるドキュメントのみがレスポンス SharePoint に含まれます。

サインインは 1 回限りのステップです。委任認証情報は更新トークンを使用し、約 90 日間続きます。

### 委任されたアクセス許可
<a name="sharepoint-kb-acl-realtime-permissions"></a>

リアルタイム ACL アプリは、次の委任されたアクセス許可をリクエストします。


**リアルタイム ACL – 委任されたアクセス許可**  

| アクセス許可 | スコープ | 目的 | 
| --- | --- | --- | 
| すべてのサイトコレクションの項目の読み取り | Sites.Read.All | SharePoint サイトコンテンツへのユーザーアクセスを確認します。 | 
| ファイルを読み取る | Files.Read.All | 特定のファイルへのユーザーアクセスを確認します。 | 
| 基本プロファイルを表示する | User.Read | サインインしたユーザーを特定します。 | 
| アクセス権を付与したデータへのアクセスを維持する | offline\$1access | トークンを更新して、ユーザーが頻繁に再認証する必要がないようにします。 | 

### 管理者の同意
<a name="sharepoint-kb-acl-admin-consent"></a>

リアルタイム ACL チェックでは、ユーザー管理のセットアップまたは管理者管理のアプリ登録で使用されるアプリケーションとは別の Microsoft Entra アプリケーションを使用します。組織が管理者の同意を必要とする場合、管理者はアプリケーションごとに個別に同意を付与する必要があります。

ナレッジベースの作成中に ACL 管理を有効にすると、Amazon Quick コンソールに管理者の同意を付与するための直接リンクが表示されます。このリンクは、リアルタイム ACL アプリケーション用です。Microsoft 365 管理者の場合は、コンソールから直接同意を付与できます。それ以外の場合は、管理者とリンクを共有します。

管理者の同意が付与されていない場合、各ユーザーは SharePoint コンテンツを含む最初のクエリで同意ダイアログを表示します。承諾後、約 90 日間は再度プロンプトが表示されません。

同意ダイアログまたは Microsoft Entra 管理センターを通じて管理者に同意を付与する詳細な手順については、「」を参照してください[組織全体の管理者の同意を付与する](sharepoint-kb-user-managed.md#entra-admin-consent)。

## 次の手順
<a name="sharepoint-kb-acl-next-steps"></a>

ACL のベストプラクティスの詳細については、「」を参照してください[ナレッジベースで ACLs を管理するためのベストプラクティス](acl-best-practices-kb.md)。管理者管理の SharePoint ナレッジベースの作成については、「」を参照してください[管理者管理のセットアップ (サービス認証情報)](sharepoint-kb-admin-managed.md)。