OAuth 2.0 ROPC フロー認証方法を使用して Amazon Q Business を SharePoint (オンライン) と統合する

企業は、組織のさまざまなシステムに散在する膨大な量の情報にアクセスして利用するという重大な課題に直面しています。個々のユーザーのデータ アクセス レベルを考慮しながら、質問するだけで会社全体のナレッジ ベースから即座に正確な回答を得ることができたらどうでしょうか?

Enterprises face significant challenges accessing and utilizing the vast amounts of information scattered across an organization’s various systems. What if you could simply ask a question and get instant, accurate answers from your company’s entire knowledge base, while accounting for an individual user’s data access levels?

企業は、組織のさまざまなシステムに散在する膨大な量の情報にアクセスして利用するという重大な課題に直面しています。個々のユーザーのデータ アクセス レベルを考慮しながら、質問するだけで会社全体のナレッジ ベースから即座に正確な回答が得られるとしたらどうでしょうか?

Amazon Q Business is a game changing AI assistant that’s revolutionizing how enterprises interact with their data. With Amazon Q Business, you can access relevant information through natural language conversations, drawing insights from diverse data sources within your organization, adhering to the permissions granted to your user account.

Amazon Q Business は、企業がデータを扱う方法に革命をもたらす、革新的な AI アシスタントです。 Amazon Q Business を使用すると、ユーザーアカウントに付与された権限を遵守しながら、自然言語での会話を通じて関連情報にアクセスし、組織内のさまざまなデータソースから洞察を得ることができます。

At its core, Amazon Q Business works by first indexing the content from a variety of data sources using built-in data source connectors. These connectors function as an integration layer, unifying content from diverse systems such as Salesforce, Microsoft Exchange, and SharePoint into a centralized index. This consolidated index powers the natural language processing and response generation capabilities of Amazon Q. When a user asks a question using the built-in web experience, Amazon Q Business retrieves relevant content from the index, taking into account user profiles and permissions. It then uses large language models (LLMs) to provide accurate, personalized, and well-written responses based on the consolidated data.

その中核となる Amazon Q Business は、まず組み込みのデータ ソース コネクタを使用して、さまざまなデータ ソースのコンテンツにインデックスを付けることで機能します。これらのコネクタは統合レイヤーとして機能し、Salesforce、Microsoft Exchange、SharePoint などのさまざまなシステムのコンテンツを一元化されたインデックスに統合します。この統合インデックスは、Amazon Q の自然言語処理と応答生成機能を強化します。ユーザーが組み込みの Web エクスペリエンスを使用して質問すると、Amazon Q Business は、ユーザーのプロファイルと権限を考慮して、インデックスから関連するコンテンツを取得します。次に、大規模言語モデル (LLM) を使用して、統合されたデータに基づいて、正確でパーソナライズされた、よく書かれた応答を提供します。

For a full list of Amazon Q supported data source connectors, refer to Supported connectors.

Amazon Q でサポートされるデータソースコネクタの完全なリストについては、「サポートされるコネクタ」を参照してください。

This approach is useful when you need Amazon Q Business to crawl through OneNote or if you don’t want to deal with certificates or in scenarios that require regular password rotation.

このアプローチは、Amazon Q Business が OneNote をクロールする必要がある場合、証明書を処理したくない場合、または定期的なパスワードのローテーションが必要なシナリオに役立ちます。

We provide a step-by-step guide for the Azure AD configuration and demonstrate how to set up the Amazon Q connector to establish this secure integration.

Azure AD 構成のステップバイステップ ガイドを提供し、この安全な統合を確立するために Amazon Q コネクタをセットアップする方法を示します。

Solution overview

ソリューションの概要

SharePoint is a web-based solution developed by Microsoft that enables organizations to collaborate, manage documents, and share information efficiently. It offers a wide range of features, including using document libraries, viewing lists, publishing pages, sharing events and links, and allowing users to make comments, making it a great tool for team collaboration and content management.

SharePoint は Microsoft が開発した Web ベースのソリューションで、組織が効率的に共同作業、ドキュメントを管理し、情報を共有できるようにします。ドキュメント ライブラリの使用、リストの表示、ページの公開、イベントとリンクの共有、ユーザーによるコメントの許可など、幅広い機能を提供しており、チームのコラボレーションやコンテンツ管理に最適なツールです。

After integrating SharePoint Online with Amazon Q Business, you can ask questions using natural language about the content stored in the SharePoint sites. For example, if your organization’s human resources team manages an internal SharePoint site and maintains a list of holidays for geographical regions, you can ask, “What are the company holidays for this year?” Amazon Q Business will then list region-specific holidays based on your location (country).

SharePoint Online を Amazon Q Business と統合すると、SharePoint サイトに保存されているコンテンツについて自然言語を使用して質問できるようになります。たとえば、組織の人事チームが社内 SharePoint サイトを管理し、地理的地域の休日のリストを管理している場合、「今年の会社の休日は何ですか?」と尋ねることができます。 Amazon Q Business は、所在地 (国) に基づいて地域固有の祝日をリストします。

The following diagram illustrates the solution architecture. In the upcoming sections, we show you how to implement this architecture. After you integrate Amazon Q Business using the SharePoint connector, Amazon Q Business will crawl through the SharePoint content and update the index whenever content changes. Each published event, page, link, file, comment, OneNote, and attachment on the SharePoint site is treated as a document. In addition to the documents, it also crawls through access control lists (ACLs) for each document (user and group information) and stores them in the . This allows end-users to see chat responses generated only from the documents they have access to.

次の図は、ソリューション アーキテクチャを示しています。次のセクションでは、このアーキテクチャを実装する方法を示します。 SharePoint コネクタを使用して Amazon Q Business を統合すると、Amazon Q Business は SharePoint コンテンツをクロールし、コンテンツが変更されるたびにインデックスを更新します。 SharePoint サイト上で公開された各イベント、ページ、リンク、ファイル、コメント、OneNote、添付ファイルはドキュメントとして扱われます。ドキュメントに加えて、各ドキュメント (ユーザーおよびグループ情報) のアクセス制御リスト (ACL) もクロールし、それらを に保存します。これにより、エンドユーザーは、アクセス権のあるドキュメントからのみ生成されたチャット応答を確認できるようになります。

You can configure Azure AD using either of the following methods:

次のいずれかの方法を使用して Azure AD を構成できます。

We demonstrate both methods in the following sections.

次のセクションで両方の方法を説明します。

Prerequisites

前提条件

To follow along, you need the following prerequisites:

手順を進めるには、次の前提条件が必要です。

Configure Azure AD using the Azure AD console

Azure AD コンソールを使用して Azure AD を構成する

To configure Azure AD using the GUI, complete the steps in this section.

GUI を使用して Azure AD を構成するには、このセクションの手順を実行します。

Register an Azure AD application

Azure AD アプリケーションを登録する

Complete the following steps to register an Azure AD application in the Azure AD tenant that is linked to the SharePoint Online/O365 tenant:

SharePoint Online/O365 テナントにリンクされている Azure AD テナントに Azure AD アプリケーションを登録するには、次の手順を実行します。

An application will be created. You will see a page like the following screenshot.

アプリケーションが作成されます。次のスクリーンショットのようなページが表示されます。

Now you can configure the newly registered application with Microsoft Graph and SharePoint API permissions.

これで、新しく登録したアプリケーションに Microsoft Graph および SharePoint API のアクセス許可を構成できるようになりました。

When configuring permissions, you have two different options:

権限を構成する場合、次の 2 つの異なるオプションがあります。

For option 1, install the MS Graph PowerShell SDK as a prerequisite.

オプション 1 の場合、前提条件として MS Graph PowerShell SDK をインストールします。

Option 1: Manually allow access to specific SharePoint sites

オプション 1: 特定の SharePoint サイトへのアクセスを手動で許可する

If you choose option 1, to grant access to specific sites instead of all sites, you need to complete additional prerequisites.

オプション 1 を選択した場合、すべてのサイトではなく特定のサイトへのアクセスを許可するには、追加の前提条件を完了する必要があります。

Make sure you have access to another application in Microsoft Entra ID with Sites.FullControl.All application-level permissions, along with its client ID and client secret. This application won’t be used by the Amazon Q Business connector, but it’s needed to grant Sites.Selected permissions only to the application you just registered. If you don’t have access to an application with Sites.FullControl permissions, you can follow the previous steps to register a new application and grant Sites.FullControl as described in option 2. We refer to this application as SitesFullControlApp.

Sites.FullControl.All アプリケーション レベルのアクセス許可と、そのクライアント ID およびクライアント シークレットを使用して、Microsoft Entra ID 内の別のアプリケーションにアクセスできることを確認してください。このアプリケーションは Amazon Q Business コネクタでは使用されませんが、登録したばかりのアプリケーションにのみ Sites.Selected アクセス許可を付与するために必要です。 Sites.FullControl 権限を持つアプリケーションにアクセスできない場合は、前の手順に従って新しいアプリケーションを登録し、オプション 2 で説明されているように Sites.FullControl を付与できます。このアプリケーションを SitesFullControlApp と呼びます。

To configure your permissions using option 1, complete the following steps:

オプション 1 を使用して権限を構成するには、次の手順を実行します。

You will see the permissions listed as shown in the following screenshot.

次のスクリーンショットに示すように、権限がリストされます。

After granting admin consent, your permissions should look like the following screenshot.

管理者の同意を与えると、権限は次のスクリーンショットのようになります。

The output from the PowerShell script will look like the following screenshot.

PowerShell スクリプトからの出力は、次のスクリーンショットのようになります。

This completes the steps to configure permissions for a specific set of SharePoint site collections.

これで、SharePoint サイト コレクションの特定のセットに対するアクセス許可を構成する手順は完了です。

Option 2: Manually allow

オプション 2: 手動で許可する