本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
文件層級存取控制
管理員受管 SharePoint 知識庫可選擇性支援文件層級存取控制。啟用時,Amazon Quick 會在每個網路爬取期間從 SharePoint 同步存取控制清單 (ACLs)。系統會在查詢時驗證每個使用者的許可,因此使用者只會看到他們獲授權在 SharePoint 中存取的文件的答案。
運作方式
當使用者查詢使用管理員管理的 SharePoint 知識庫並啟用 ACL 管理的 Amazon Quick 代理程式時,系統會分兩個階段強制執行存取控制:
-
擷取前篩選 – Amazon Quick 會對向量索引執行語意搜尋,以尋找最相關的文件段落。系統會套用上次網路爬取期間從 SharePoint 同步的存取控制清單。這會產生一組初步的候選文件。
-
即時驗證 – 系統會檢查使用者在 SharePoint 中的目前存取權,以即時驗證候選文件。只有使用者目前獲授權存取的文件才會包含在回應中。
這種兩階段方法提供文件層級的存取控制,即使 SharePoint 許可在同步之間變更,也能保持最新狀態。
啟用 ACL 管理
其他設定步驟中的 ACL 管理是在知識庫建立期間設定。選取使用 ACLs控制文件存取核取方塊以啟用它。
重要
建立知識庫後,無法變更 ACL 管理。如果您需要變更此設定,您必須建立新的知識庫。
若要啟用 ACL 管理,您的 Entra 應用程式註冊必須具有下列許可:
-
User.Read.AllMicrosoft GraphGroupMember.Read.All上的 和 。 -
Sites.FullControl.All在 SharePoint 資源上,或授予Sites.Selected每個站台的許可。
如需 ACL 最佳實務的詳細資訊,請參閱 在知識庫中管理 ACLs最佳實務。
即時存取驗證
即時驗證階段使用 Amazon Quick 自動管理的委派 OAuth 流程。快速建立和管理單獨的 Microsoft Entra 應用程式,專門用於此目的。此應用程式不需要客戶組態。它不同於您在設定期間建立的管理員受管應用程式註冊,以及任何使用者受管的 OAuth 應用程式。
-
使用者在快速聊天助理中提出問題。
-
如果答案涉及啟用 ACL 知識庫的 SharePoint 內容, 會快速提示使用者登入 SharePoint。
-
使用者登入並接受 Microsoft 同意對話方塊 (如果尚未授予管理員同意)。
-
Quick 使用使用者的委派字符來即時驗證對每個候選文件的存取。
-
回應中僅包含使用者目前在 SharePoint 中可存取的文件。
登入是一次性步驟。委派的登入資料使用重新整理權杖,並持續約 90 天。
委派的許可
即時 ACL 應用程式會請求下列委派許可:
| 權限 | Scope (範圍) | 用途 |
|---|---|---|
| 讀取所有網站集合中的項目 | Sites.Read.All |
驗證使用者對 SharePoint 網站內容的存取。 |
| 讀取您的檔案 | Files.Read.All |
驗證使用者對特定檔案的存取。 |
| 檢視您的基本設定檔 | User.Read |
識別登入使用者。 |
| 維護您授予其存取權的資料存取權 | offline_access |
重新整理權杖,讓使用者不需要頻繁重新驗證身分。 |
管理員同意
即時 ACL 檢查使用與使用者受管設定或管理員受管應用程式註冊中使用的應用程式不同的 Microsoft Entra 應用程式。如果您的組織需要管理員同意,管理員必須獨立授予每個應用程式的同意。
當您在知識庫建立期間啟用 ACL 管理時,Amazon Quick 主控台會提供授予管理員同意的直接連結。此連結適用於即時 ACL 應用程式。如果您是 Microsoft 365 管理員,您可以直接從主控台授予同意。否則,請與您的管理員共用連結。
如果未授予管理員同意,則每個使用者都會在其涉及 SharePoint 內容的第一個查詢上看到同意對話方塊。接受後,大約 90 天內不會再次提示它們。
如需透過同意對話方塊或 Microsoft Entra 管理中心授予管理員同意的詳細說明,請參閱 授予整個組織的管理員同意。
後續步驟
如需 ACL 最佳實務的詳細資訊,請參閱 在知識庫中管理 ACLs最佳實務。如需建立管理員受管 SharePoint 知識庫的資訊,請參閱 管理員受管設定 (服務登入資料)。
