本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# Microsoft SharePoint 動作整合
使用 Microsoft SharePoint 動作連接器,透過自然語言直接在 Amazon Quick 中管理清單、項目、檔案和 Excel 工作手冊。
Amazon Quick 支援 Microsoft SharePoint 的多種身分驗證方法。選擇最適合您組織安全需求的方法。
+ **預設 OAuth 應用程式** – 使用 AWS受管 OAuth 應用程式。不需要額外的登入資料。使用者直接與其 Microsoft 帳戶進行身分驗證。
+ **自訂 OAuth 應用程式** – 使用在 Microsoft Entra 中註冊的客戶受管應用程式。此選項可讓您的組織完全控制 OAuth 組態。使用者代表登入使用者進行身分驗證 (委派許可)。
+ **Service-to-Service OAuth** – 使用用戶端憑證進行server-to-server身分驗證,無需使用者互動 (應用程式許可)。適合自動化工作流程。
如需 Amazon Quick 支援的身分驗證方法的詳細資訊,請參閱 [身分驗證方法](quick-action-auth.md)。
## 開始之前
在設定整合之前,請確定您有下列項目。
+ 具有 SharePoint 存取權的 Microsoft 365 帳戶。
+ 對於**自訂 OAuth 應用程式**或**Service-to-Service OAuth**:存取 Microsoft 網站上的 Microsoft [Entra 管理中心](https://entra.microsoft.com/),至少具有應用程式開發人員許可。
+ 如需訂閱需求,請參閱 [在主控台中設定整合](integration-console-setup-process.md)。
## 設定 Microsoft Entra
如果您使用的是**預設 OAuth 應用程式**身分驗證,請略過本節並繼續 [在 Amazon Quick 中設定連接器](#sharepoint-action-integration-setup)。
設定 Amazon Quick 之前,請在 Microsoft Entra 中建立應用程式註冊。在移至 Amazon Quick 主控台之前,請先完成 Entra 中的所有以下步驟。
如需應用程式註冊的詳細資訊,請參閱 [Microsoft 文件中的使用 Microsoft 身分平台註冊應用程式](https://learn.microsoft.com/en-us/entra/identity-platform/quickstart-register-app)。
### 註冊應用程式
1. 開啟 [Microsoft Entra 管理中心](https://entra.microsoft.com/)。
1. 在左側導覽中,選擇 **Entra ID**,然後選擇**應用程式註冊**。
1. 選擇**新增註冊**。
1. 在**名稱**中,輸入整合的描述性名稱。
1. 對於**支援的 帳戶類型**,**僅選擇此組織目錄中的帳戶**。
1. 針對**重新導向 URI**,選取 **Web** 並輸入 `https://{{{region}}}.quicksight.aws.amazon.com/sn/oauthcallback`。將 {{{region}}} 取代為部署 Amazon Quick 執行個體 AWS 的區域。
1. 選擇**註冊**。
1. 在概觀頁面上,複製**應用程式 (用戶端) ID** 和**目錄 (租戶) ID**。您需要這些值才能進行 Amazon Quick 組態。
### 建立用戶端秘密
Amazon Quick 需要用戶端秘密才能向 Microsoft Entra 進行身分驗證。此秘密可做為應用程式註冊的密碼。
1. 從您的應用程式註冊中,選擇**憑證和秘密**。
1. 選擇**新增用戶端秘密**。
1. 輸入描述並選擇過期期間。
1. 選擇**新增**。
1. 立即複製 **值**。此值只會顯示一次。
**重要**
複製秘密**值**,而不是秘密 ID。值是用於身分驗證的較長字串。
### 設定 API 許可
Microsoft Graph 支援此整合的兩種許可類型。委派許可允許應用程式代表登入的使用者採取行動。應用程式許可允許應用程式在沒有登入使用者的情況下採取行動。如需詳細資訊,請參閱 [Microsoft 文件中的 Microsoft Graph 許可概觀](https://learn.microsoft.com/en-us/graph/permissions-overview)。
1. 從您的應用程式註冊中選擇 **API 許可**。
1. 選擇**新增許可**,然後選擇 **Microsoft Graph**。
1. 根據您的身分驗證方法選擇**委派許可**或**應用程式許可**,然後從下方適當的資料表新增許可。
1. 選擇**授予 【您的租戶名稱】 管理員同意**以核准許可。
**對於使用者身分驗證 (委派許可):**
在 Entra 應用程式註冊中將以下內容新增為委派許可。如需完整許可參考,請參閱 [Microsoft 文件中的 Microsoft Graph 許可參考](https://learn.microsoft.com/en-us/graph/permissions-reference)。
**SharePoint 動作整合 – 委派許可**
| 權限 | Description |
| --- | --- |
| Files.ReadWrite | 允許應用程式讀取、建立、更新和刪除登入使用者的檔案。 |
| Sites.ReadWrite.All | 允許應用程式代表登入使用者編輯或刪除文件,並列出所有網站集合中的項目。 |
| offline\_access | 允許應用程式重新整理存取權杖,而不需要使用者再次登入。這可減少使用者需要重新驗證身分的頻率。 |
**對於服務身分驗證 (應用程式許可):**
在 Entra 應用程式註冊中將以下內容新增為應用程式許可。
**SharePoint 動作整合 – 應用程式許可**
| 權限 | Description |
| --- | --- |
| Sites.ReadWrite.All | 允許應用程式建立、讀取、更新和刪除所有網站集合中的文件和列出項目,而無需登入使用者。 |
**重要**
透過服務身分驗證,所有動作都會以服務帳戶的形式執行。有權存取此整合的任何使用者都可以跨服務帳戶可存取的所有網站集合執行動作。根據您的組織安全需求,適當地範圍應用程式許可。
### 記錄您的登入資料
離開 Microsoft Entra 管理中心之前,請確認您有下列值。您需要它們才能進行 Amazon Quick 組態。
**Microsoft Entra 的必要登入資料**
| Value | 在哪裡找到它 |
| --- | --- |
| 應用程式 (用戶端) ID | 應用程式註冊概觀頁面 |
| 目錄 (租戶) ID | 應用程式註冊概觀頁面 |
| 用戶端秘密值 | 憑證與秘密頁面 |
## 在 Amazon Quick 中設定連接器
### 從可用索引標籤連線
如果您想要使用預設 OAuth 應用程式身分驗證,您可以直接從**可用**索引標籤連線,而不需要其他組態。
1. 在 Amazon Quick 主控台中,選擇**連接器**。
1. 在**可用**索引標籤上,尋找 **SharePoint** 並選擇**連線**。
1. 完成 Microsoft 登入流程,並授予請求的許可。
若要改為使用自訂 OAuth 應用程式或服務Service-to-Service OAuth 設定連接器,請使用**為您的團隊建立**索引標籤,如下所述。
### 從為您的團隊建立索引標籤建立
完成任何必要的 Entra 組態後,請在 Amazon Quick 中建立連接器。
1. 在 Amazon Quick 主控台中,選擇**連接器**。
1. 選擇**為您的團隊建立**索引標籤。
1. 尋找並選擇 **Microsoft SharePoint**。
**注意**
如果 Microsoft SharePoint 連接器已存在,則會顯示一個對話方塊,其中包含您現有的連接器。若要使用現有的連接器,請選擇它。若要建立新的,請選擇**否,建立新的**。
1. 在**整合類型**頁面上,選取在 **Microsoft SharePoint Online 中執行動作**,然後選擇**下一步**。
1. 輸入連接器**的名稱**。或者,選擇 **\+ 新增描述**以新增描述。
1. 針對**連線類型**,選擇**公有網路**。
1. 針對 **OAuth 組態**,選擇下列其中一種身分驗證方法,並設定必要欄位。
1. 對於**預設 OAuth 應用程式**:
不需要額外的登入資料。選擇 **Next** (下一步) 繼續。
1. 對於**自訂 OAuth 應用程式** (具有委派許可的使用者身分驗證),請設定下列欄位:
+ **基本 URL** (選用) – Microsoft Graph API 基本 URL。範例:`https://graph.microsoft.com/v1.0`
+ **用戶端 ID** – 來自您 Entra 應用程式註冊的應用程式 (用戶端) ID。
+ **用戶端秘密** – 來自您 Entra 應用程式註冊的用戶端秘密值。
+ **權杖 URL** – 權杖端點。範例:`https://login.microsoftonline.com/{{{tenant-id}}}/oauth2/v2.0/token`
+ **授權 URL** – 授權端點。範例:`https://login.microsoftonline.com/{{{tenant-id}}}/oauth2/v2.0/authorize`
+ **重新導向 URL** – 預先填入 Amazon Quick 回呼 URL。
1. 對於**Service-to-Service OAuth** (具有應用程式許可的服務身分驗證),請設定下列欄位:
+ **基本 URL** (選用) – Microsoft Graph API 基本 URL。範例:`https://graph.microsoft.com/v1.0`
+ **用戶端 ID** – 來自您 Entra 應用程式註冊的應用程式 (用戶端) ID。
+ **用戶端秘密** – 來自您 Entra 應用程式註冊的用戶端秘密值。
+ **權杖 URL** – 權杖端點。範例:`https://login.microsoftonline.com/{{{tenant-id}}}/oauth2/v2.0/token`
**注意**
Amazon Quick 會自動設定用戶端憑證字符請求 (`https://graph.microsoft.com/.default`) 的範圍。您不需要手動進行設定。
1. 選擇**下一步**。
1. 如果您選擇**預設 OAuth 應用程式**或**自訂 OAuth 應用程式**,會開啟 Microsoft 授權視窗。檢閱請求的許可,然後選擇**接受**。
如果您看到錯誤而非同意對話方塊,您的組織可能會限制第三方應用程式存取。請參閱 [Microsoft 365 的管理員同意](#sharepoint-action-admin-consent)。
1. 在**檢閱**頁面上,檢閱連接器的可用動作。選擇**下一步**。
1. 在**發佈**頁面上,選擇誰可以存取連接器。您可以為組織中的每個人啟用存取權,或搜尋特定的團隊或群組。
1. 選擇**發布**。
## 可用動作
設定整合之後,即可執行下列動作。
**Microsoft SharePoint 可用的動作**
| Category | Action | Description |
| --- | --- | --- |
| 清單和項目 | 檢視項目 | 取得清單中的項目集合。 |
| 清單和項目 | 取得項目 | 傳回清單中項目的中繼資料。 |
| 清單和項目 | 取得清單 | 傳回清單的中繼資料。 |
| 清單和項目 | 更新項目 | 更新清單項目上的屬性。 |
| 清單和項目 | 刪除項目 | 從清單中移除項目。 |
| 檔案 | 上傳檔案 | 上傳新檔案或更新現有檔案。支援高達 250 MB 的檔案。 |
| 檔案 | 搜尋網站磁碟機項目 | 搜尋符合查詢的項目階層。 |
| Excel 工作手冊 | 清單工作表 | 擷取工作表物件的清單。 |
| Excel 工作手冊 | 新增工作表 | 將新的工作表新增至工作手冊。 |
| Excel 工作手冊 | 閱讀工作表 | 擷取工作表物件的屬性。 |
| Excel 工作手冊 | 更新工作表 | 更新工作表物件的屬性。 |
| Excel 工作手冊 | 刪除工作表 | 從工作手冊中刪除工作表。 |
| Excel 工作手冊 | 讀取儲存格 | 依資料列和資料欄號碼取得單一儲存格的值。 |
| Excel 工作手冊 | 寫入儲存格 | 依資料列和資料欄號碼設定單一儲存格的值。 |
| Excel 工作手冊 | 讀取範圍 | 取得範圍的值。 |
| Excel 工作手冊 | 寫入範圍 | 更新範圍的值。 |
| Excel 工作手冊 | 清除範圍 | 清除範圍值、格式、填充和邊界。 |
| Excel 工作手冊 | 刪除範圍 | 刪除與範圍相關聯的儲存格。 |
| Excel 工作手冊 | 取得使用範圍 | 取得包含具有值或格式之儲存格的最小範圍。 |
## 管理和疑難排解
若要編輯、共用或刪除整合,請參閱 [管理現有的整合](integration-workflows.md#managing-existing-integrations)。
### 驗證問題
+ **不正確的應用程式註冊** – 驗證 Microsoft Entra 中的應用程式註冊包含必要的 API 許可,並且已授予管理員同意。
+ **過期的用戶端秘密** – 檢查用戶端秘密是否已在**憑證和秘密**中過期,並視需要產生新的秘密。
+ **不正確的重新導向 URI** – 驗證 Microsoft Entra 中的重新導向 URI 符合 `https://{{{region}}}.quicksight.aws.amazon.com/sn/oauthcallback`。
### 常見錯誤訊息
+ **`Access denied. You do not have permission to perform this action`** – 已驗證的使用者沒有必要的許可。請聯絡您的管理員以驗證並授予適當的許可。
+ **`AADSTS50020: User account from identity provider does not exist in tenant`** – 使用者帳戶未在正確的 Microsoft Entra 租用戶中設定。確認使用者帳戶存在於符合應用程式註冊中目錄 (租用戶) ID 的租用戶中。
## Microsoft 365 的管理員同意
當您使用**預設 OAuth 應用程式**身分驗證方法時,Amazon Quick 會使用 AWS受管應用程式來代表登入的使用者存取 Microsoft SharePoint。大多數使用者可以完成設定,無需任何額外的步驟。不過,如果您的 Microsoft 365 租用戶限制第三方應用程式存取,則 Microsoft 365 管理員必須先授予一次性同意,使用者才能連線。
如果您在連接器設定期間登入時發生錯誤,您的組織可能會限制第三方應用程式存取。與您的 Microsoft 365 管理員共用以下資訊:
+ **做法:**授予管理員對 Amazon Quick Microsoft SharePoint 整合應用程式的同意。
+ **原因:**Amazon Quick 需要對 SharePoint 網站、清單、檔案和 Excel 工作手冊的委派存取權,才能代表使用者執行動作。
管理員可以透過下列其中一種方式授予同意:
+ **透過同意對話方塊** – 全域管理員或特殊權限角色管理員啟動連接器設定流程。在 Microsoft 登入對話方塊中,他們會選取**代表您組織的同意**核取方塊,然後選擇**接受**。
+ **透過 Microsoft Entra 管理中心** – 登入 Microsoft [網站上的 Microsoft Entra 管理中心](https://entra.microsoft.com/)。選擇**企業應用程式**、尋找 Amazon Quick 應用程式、選擇**許可**,然後選擇**授予{{您組織的}}管理員同意**。
授予同意後,組織中的任何使用者都可以連線,而不會收到個別同意的提示。
**注意**
若要檢查您的租戶是否限制使用者同意,請前往 Microsoft Entra 管理中心,然後選擇**企業應用程式**、**同意和許可**、**使用者同意設定**。如果設定為**不允許使用者同意**,則管理員必須先授予同意,使用者才能使用連接器。