Associer Microsoft OneDrive à l'ingestion de données

Cette page explique comment connecter Microsoft OneDrive à Gemini Enterprise à l'aide de l'ingestion de données.

Procédez comme suit pour synchroniser les données depuis OneDrive.

Une fois que vous avez configuré votre source de données et importé des données pour la première fois, le datastore synchronise les données de cette source à la fréquence que vous avez sélectionnée lors de la configuration.

Limites

La synchronisation incrémentielle ne détecte pas les actions au niveau des dossiers, comme Copier, Déplacer ou Renommer.

Avant de commencer

Pour appliquer le contrôle des accès aux sources de données et sécuriser les données dans Gemini Enterprise, assurez-vous d'avoir configuré votre fournisseur d'identité.

À propos de l'enregistrement d'application Microsoft Entra ID

Pour pouvoir créer le connecteur dans Gemini Enterprise, vous devez configurer un enregistrement d'application Microsoft Entra ID pour permettre un accès sécurisé à OneDrive. La façon dont vous enregistrez l'application dépend de la méthode d'authentification que vous sélectionnez lors de la création du connecteur dans Gemini Enterprise. Vous pouvez choisir l'une des méthodes suivantes :

  • Identifiants fédérés :

    • Permet à Google d'accéder de manière sécurisée à OneDrive à l'aide de jetons signés de manière cryptographique, ce qui évite d'avoir recours à un véritable compte principal d'utilisateur.

    • Nécessite un ID d'objet pour enregistrer Gemini Enterprise dans Entra. Cette option est disponible lorsque vous créez le connecteur OneDrive dans Gemini Enterprise.

    • Lorsque vous enregistrez votre application dans Entra ID, vous devez recueillir les informations suivantes :

      • URI de l'instance :
        • Pour tous les sites de premier niveau : https://DOMAIN_OR_SERVER.onedrive.com (par exemple, mydomain.onedrive.com)
        • Pour un seul site : https://DOMAIN_OR_SERVER.onedrive.com/[sites/]WEBSITE (par exemple, mydomain.onedrive.com/sites/sample-site)
      • ID du locataire
      • ID client

      Ces informations sont nécessaires pour compléter le processus d'authentification et créer le connecteur OneDrive dans Gemini Enterprise.

    • Google vous recommande d'utiliser cette méthode.

  • Jeton d'actualisation OAuth 2.0 :

    • Permet de contrôler précisément qui se connecte à l'API OneDrive.

    • Lorsque vous enregistrez votre application dans Entra ID, vous devez recueillir les informations suivantes :

      • URI de l'instance : il se présente sous la forme suivante :
        • Pour tous les sites de premier niveau : https://DOMAIN_OR_SERVER.onedrive.com (par exemple, mydomain.onedrive.com)
        • Pour un seul site : https://DOMAIN_OR_SERVER.onedrive.com/[sites/]WEBSITE (par exemple, mydomain.onedrive.com/sites/sample-site)
      • ID du locataire
      • ID client
      • Code secret du client

      Ces informations sont nécessaires pour compléter le processus d'authentification et créer le data store OneDrive dans Gemini Enterprise.

    • Le processus d'authentification inclut la connexion à votre compte OneDrive.

    • Cette méthode est adaptée si la configuration de votre compte OneDrive nécessite une authentification à deux facteurs.

    • Vous devez créer un utilisateur OneDrive, ce qui peut entraîner des coûts de licence supplémentaires.

  • Attribution de mot de passe OAuth 2.0 :

    • Permet de contrôler précisément qui se connecte à l'API OneDrive.

    • Lorsque vous enregistrez votre application dans Entra ID, vous devez recueillir les informations suivantes :

      • URI de l'instance :
        • Pour tous les sites de premier niveau : https://DOMAIN_OR_SERVER.onedrive.com (par exemple, mydomain.onedrive.com)
        • Pour un seul site : https://DOMAIN_OR_SERVER.onedrive.com/[sites/]WEBSITE (par exemple, mydomain.onedrive.com/sites/sample-site)
      • ID du locataire
      • ID client
      • Code secret du client

      Ces informations sont nécessaires pour compléter le processus d'authentification et créer le data store OneDrive dans Gemini Enterprise.

    • Le processus d'authentification consiste à fournir le nom d'utilisateur et le mot de passe fournis par votre administrateur Entra ID.

    • Cette méthode est adaptée si la configuration de votre compte OneDrive ne nécessite pas d'authentification à deux facteurs.

    • Cette méthode nécessite de créer un utilisateur OneDrive, ce qui peut entraîner des coûts de licence supplémentaires.

Configurer des identifiants fédérés

Suivez la procédure ci-dessous pour configurer l'enregistrement de l'application, accorder des autorisations et établir l'authentification. Google vous recommande d'utiliser la méthode des identifiants fédérés.

Certains messages d'erreur courants que vous pouvez rencontrer au cours de ce processus sont listés dans Messages d'erreur.

  1. Obtenez l'ID client du compte de service :

    1. Dans la console Google Cloud , accédez à la page Gemini Enterprise.
    2. Dans le menu de navigation, cliquez sur Datastores.
    3. Cliquez sur  Créer un datastore.
    4. Sur la page Sélectionner une source de données, faites défiler la page ou recherchez OneDrive pour connecter votre source tierce.
    5. Notez l'identifiant de l'objet. Ne cliquez pas encore sur Continuer. Effectuez les étapes suivantes de cette tâche, puis celles de la console Google Cloud en suivant les instructions de la section Créer un connecteur OneDrive.

  2. Enregistrez l'application dans Entra ID :

    1. Accédez au Centre d'administration Microsoft Entra.
    2. Dans le menu, développez la section Applications, puis sélectionnez App registrations (Enregistrements d'applications).

    3. Sur la page App registrations (Enregistrements d'applications), sélectionnez New registration (Nouvel enregistrement).

      Enregistrer une nouvelle application dans Entra
      Enregistrer une nouvelle application dans le Centre d'administration Microsoft Entra

    4. Créez un enregistrement d'application sur la page Register an application (Enregistrer une application) :

      • Dans la section Supported account types (Types de comptes compatibles), sélectionnez Accounts in the organizational directory only (Comptes dans l'annuaire de l'organisation uniquement).
      • Dans la section Redirect URI (URI de redirection), sélectionnez Web, puis saisissez l'URI de redirection https://vertexaisearch.cloud.google.com/console/oauth/onedrive_oauth.html.
      • Conservez les valeurs par défaut des autres paramètres, puis cliquez sur Register (Enregistrer).

      Enregistrer des comptes dans l'annuaire organisationnel uniquement
      Sélection du type de compte et saisie de l'URI de redirection

    5. Notez l'ID client et l'ID du locataire.

      Résumé de la page d'informations sur l'application
      Page d'informations sur l'application

  3. Ajoutez des identifiants fédérés :

    1. Accédez à Certificates & secrets > Federated credentials > Add credential (Certificats et codes secrets > Identifiants fédérés > Ajouter un identifiant).

      Ajouter des identifiants fédérés dans Entra
      Ajout d'identifiants fédérés dans Microsoft Entra

    2. Utilisez les paramètres suivants :

      • Federated credential scenario (Scénario d'identifiants fédérés) : Other issuer (Autre émetteur)

      • Issuer (Émetteur) : https://accounts.google.com

      • Subject identifier (Identifiant de l'objet) : utilisez la valeur de l'identifiant d'objet que vous avez notée à l'étape précédente.

      • Name (Nom) : indiquez un nom unique.

    3. Cliquez sur Add (Ajouter) pour accorder l'accès.

      Associer votre compte Google à Microsoft Entra ID
      Association du compte Google à Microsoft Entra ID

  4. Définissez les autorisations de l'API.

    Sélectionnez l'application pour définir les autorisations de l'API.
    Sélection de l'application pour définir les autorisations de l'API

    1. Ajoutez et accordez les autorisations Microsoft Graph suivantes. Vous pouvez choisir entre les options de contrôle du site (Sites.FullControl.All et Sites.Selected) et les options de lecture du profil (User.Read.All et User.ReadBasic.All) :

      Autorisations Microsoft Graph pour les identifiants fédérés

      Autorisation Type Description Justification
      GroupMember.Read.All Application Lire toutes les appartenances à des groupes Cette autorisation permet à Gemini Enterprise de comprendre les appartenances aux groupes d'utilisateurs sur le site OneDrive.
      User.Read Délégué Se connecter et lire le profil de l'utilisateur

      Il s'agit d'une autorisation par défaut qui ne doit pas être supprimée. Lorsque vous la supprimez, OneDrive affiche un message d'erreur vous demandant de rétablir cette autorisation.

      Files.Read.All Application Lire les fichiers dans toutes les collections de sites

      Cette autorisation permet à Gemini Enterprise de lire tous les fichiers dans toutes les collections de sites.

      Options de contrôle du site
      Option 1 : Sites.FullControl.All Application Contrôle total sur tous les sites

      Cette autorisation permet à Gemini Enterprise d'obtenir les groupes d'utilisateurs et les attributions de rôles OneDrive, qui ne sont pas inclus dans l'autorisation Sites.Read.All. Elle permet également à Gemini Enterprise d'indexer les documents, les événements, les commentaires, les pièces jointes et les fichiers sur tous les sites OneDrive.

      Si vous pensez que le contrôle total sur tous les sites est excessif, utilisez l'option 2 Sites.Selected pour bénéficier d'un contrôle précis.

      Option 2 : Sites.Selected Application Contrôle sur les sites sélectionnés

      Cette autorisation permet à Gemini Enterprise d'obtenir les groupes d'utilisateurs et les attributions de rôles OneDrive, qui ne sont pas inclus dans l'autorisation Sites.Read.All. Elle permet également à Gemini Enterprise d'indexer les documents, les événements, les commentaires, les pièces jointes et les fichiers sur les sites OneDrive sélectionnés. Cette autorisation offre un contrôle plus précis que Sites.FullControl.All.
      Options de lecture du profil
      Option 1 : User.Read.All Application Lire les profils complets de tous les utilisateurs Cette autorisation permet à Gemini Enterprise de comprendre le contrôle d'accès aux données de votre contenu OneDrive.
      Option 2 : User.ReadBasic.All Application Lire les profils de base de tous les utilisateurs Cette autorisation permet à Gemini Enterprise de comprendre le contrôle d'accès aux données de votre contenu OneDrive.

    2. Ajoutez et accordez les autorisations OneDrive suivantes. Vous pouvez choisir entre Sites.FullControl.All et Sites.Selected :

      Autorisations OneDrive pour les identifiants fédérés

      Autorisation Type Description Justification
      Option 1 : Sites.FullControl.All Application Contrôle total sur tous les sites

      Cette autorisation permet à Gemini Enterprise d'obtenir les groupes d'utilisateurs et les attributions de rôles OneDrive, qui ne sont pas inclus dans l'autorisation Sites.Read.All. Elle permet également à Gemini Enterprise d'indexer les documents, les événements, les commentaires, les pièces jointes et les fichiers sur tous les sites OneDrive.

      Si vous pensez que le contrôle total sur tous les sites est excessif, utilisez l'option 2 Sites.Selected pour bénéficier d'un contrôle précis.
      Option 2 : Sites.Selected Application Contrôle sur les sites sélectionnés Cette autorisation permet à Gemini Enterprise d'obtenir les groupes d'utilisateurs et les attributions de rôles OneDrive, qui ne sont pas inclus dans l'autorisation Sites.Read.All. Elle permet également à Gemini Enterprise d'indexer les documents, les événements, les commentaires, les pièces jointes et les fichiers sur les sites OneDrive sélectionnés.

    3. Pour les autorisations ajoutées, vérifiez que la colonne Status (État) indique Granted et comporte une coche verte.

  5. Accordez le consentement administrateur. Pour savoir comment accorder l'autorisation, consultez Accorder le consentement administrateur au niveau locataire à une application dans la documentation Microsoft Entra.

Configurer OAuth 2.0 pour l'attribution du jeton d'actualisation et du mot de passe

La méthode OAuth 2.0 vous permet de configurer un enregistrement d'application Entra ID et d'activer l'accès sécurisé à OneDrive. Cette méthode inclut des étapes permettant de configurer l'enregistrement de l'application, d'accorder des autorisations et d'établir l'authentification.

Vous pouvez suivre la procédure suivante pour enregistrer l'application dans Entra ID à l'aide de l'authentification OAuth 2.0 afin d'attribuer le jeton d'actualisation et le mot de passe. Cette méthode est préférable si vous avez besoin d'un contrôle précis sur les autorisations de l'API REST OneDrive afin de limiter l'accès aux ressources sur le compte utilisateur.

Certains messages d'erreur courants que vous pouvez rencontrer au cours de ce processus sont listés dans Messages d'erreur.

Le tableau suivant décrit les rôles OneDrive recommandés pour les méthodes d'authentification OAuth 2.0 :

  1. Créez un enregistrement d'application :

    1. Accédez au Centre d'administration Entra ID.

    2. Créez un enregistrement d'application :

      • Types de comptes compatibles : Comptes dans l'annuaire organisationnel uniquement.
      • URI de redirection : https://vertexaisearch.cloud.google.com/console/oauth/onedrive_oauth.html

    3. Notez l'ID client et l'ID du locataire.

  2. Ajoutez le code secret du client :

    1. Accédez à Certificates & secrets > New client secret (Certificats et codes secrets > Nouveau code secret du client).
    2. Notez la chaîne du code secret.

  3. Définissez les autorisations de l'API.

    1. Ajoutez et accordez les autorisations Microsoft Graph suivantes. Vous pouvez choisir entre Sites.FullControl.All et Sites.Selected :

      Autorisations Microsoft Graph pour l'authentification OAuth 2.0

      Autorisation Type Description Justification
      GroupMember.Read.All Application Lire toutes les appartenances à des groupes Cette autorisation permet à Gemini Enterprise de comprendre les appartenances aux groupes d'utilisateurs sur le site OneDrive.
      User.Read Délégué Se connecter et lire le profil de l'utilisateur

      Il s'agit d'une autorisation par défaut qui ne doit pas être supprimée. Lorsque vous la supprimez, OneDrive affiche un message d'erreur vous demandant de rétablir cette autorisation.

      Option 1 : Sites.FullControl.All Application Contrôle total sur tous les sites

      Cette autorisation permet à Gemini Enterprise d'obtenir les groupes d'utilisateurs et les attributions de rôles OneDrive, qui ne sont pas inclus dans l'autorisation Sites.Read.All. Elle permet également à Gemini Enterprise d'indexer les documents, les événements, les commentaires, les pièces jointes et les fichiers sur tous les sites OneDrive.

      Option 2 : Sites.Selected Application Contrôle sur les sites sélectionnés

      Cette autorisation permet à Gemini Enterprise d'obtenir les groupes d'utilisateurs et les attributions de rôles OneDrive, qui ne sont pas inclus dans l'autorisation Sites.Read.All. Elle permet également à Gemini Enterprise d'indexer les documents, les événements, les commentaires, les pièces jointes et les fichiers sur les sites OneDrive sélectionnés. Cette autorisation offre un contrôle plus précis que Sites.FullControl.All.
      User.Read.All Application Lire les profils complets de tous les utilisateurs Cette autorisation permet à Gemini Enterprise de comprendre le contrôle d'accès aux données de votre contenu OneDrive.

    2. Ajoutez et accordez les autorisations OneDrive suivantes pour l'authentification OAuth 2.0. Vous pouvez choisir entre AllSites.FullControl et Sites.Selected :

      Autorisations OneDrive pour l'authentification OAuth 2.0

      Autorisation Type Description Justification
      Option 1 : AllSites.FullControl Délégué Contrôle total sur tous les sites

      Cette autorisation permet à Gemini Enterprise d'obtenir les groupes d'utilisateurs et les attributions de rôles OneDrive, qui ne sont pas inclus dans l'autorisation Sites.Read.All. Elle permet également à Gemini Enterprise d'indexer les documents, les événements, les commentaires, les pièces jointes et les fichiers sur tous les sites OneDrive.

      Option 2 : Sites.Selected Délégué Contrôle sur les sites sélectionnés

      Cette autorisation permet à Gemini Enterprise d'obtenir les groupes d'utilisateurs et les attributions de rôles OneDrive, qui ne sont pas inclus dans l'autorisation Sites.Read.All. Elle permet également à Gemini Enterprise d'indexer les documents, les événements, les commentaires, les pièces jointes et les fichiers sur les sites OneDrive sélectionnés. Cette autorisation offre un contrôle plus précis que AllSites.FullControl.

    3. Pour les autorisations ajoutées, vérifiez que la colonne Status (État) indique Granted et comporte une coche verte.

      Vérifier les autorisations de l'API
      Vérification des autorisations de l'API

    4. Utilisez un compte utilisateur dédié avec un accès limité à des sites spécifiques. Vérifiez que ce compte dispose d'un accès Propriétaire aux sites sélectionnés.

  4. Accordez le consentement administrateur. Pour savoir comment accorder l'autorisation, consultez Accorder le consentement administrateur au niveau locataire à une application dans la documentation Microsoft Entra ID.

Messages d'erreur

Le tableau suivant décrit les messages d'erreur courants que vous pouvez rencontrer lorsque vous associez OneDrive à Gemini Enterprise.

Code d'erreur Message d'erreur
ONEDRIVE_MISSING_PERMISSION_1 Rôle d'API REST requis manquant (Sites.FullControl.All ou Sites.Selected). Pour les autorisations déléguées, AllSites.FullControl ou Sites.Selected manquant.
ONEDRIVE_MISSING_PERMISSION_2 Rôle d'API Graph requis manquant (Sites.FullControl.All ou Sites.Selected).
ONEDRIVE_MISSING_PERMISSION_3 Le rôle GroupMember.Read.All requis pour l'API Graph est manquant.
ONEDRIVE_MISSING_PERMISSION_4 Rôle d'API Graph requis manquant (User.Read.All ou User.ReadBasic.All).
ONEDRIVE_INVALID_SITE_URI Échec de la récupération du jeton d'accès à l'API Graph. Causes possibles : ID client ou valeur de code secret non valide, ou identifiants fédérés manquants.
ONEDRIVE_INVALID_AUTH Échec de la récupération du jeton d'accès à l'API Graph. Causes possibles : ID client ou valeur de code secret non valide, ou identifiants fédérés manquants.
ONEDRIVE_INVALID_JSON Échec de l'analyse du contenu JSON.
ONEDRIVE_TOO_MANY_REQUESTS Trop de requêtes HTTP envoyées à OneDrive ; réponse HTTP 429 reçue.

  1. Fichier manifeste :

    1. Accédez à l'onglet Manifest (Fichier manifeste).

    2. Supprimez le contenu entre [ et ] sous requiredResourceAccess.

      manifest-file
      Modifier le fichier manifeste

    3. Collez le code JSON suivant entre les crochets.

      {
 "resourceAppId": "00000003-0000-0000-c000-000000000000",
 "resourceAccess": [
   {
     "id": "01d4889c-1287-42c6-ac1f-5d1e02578ef6",
     "type": "Role"
   },
   {
     "id": "5b567255-7703-4780-807c-7be8301ae99b",
     "type": "Role"
   },
   {
     "id": "df021288-bdef-4463-88db-98f22de89214",
     "type": "Role"
   }
 ]
}

    4. Revenez aux autorisations de l'API.

    5. Vérifiez que toutes les autorisations requises sont présentes.

    6. Accordez le consentement administrateur.

Créer un connecteur OneDrive

Console

Pour synchroniser les données de OneDrive avec Gemini Enterprise à l'aide de la console Google Cloud , procédez comme suit :

  1. Dans la console Google Cloud , accédez à la page Gemini Enterprise.

    Gemini Enterprise

  2. Dans le menu de navigation, cliquez sur Datastores.

  3. Cliquez sur  Créer un datastore.

  4. Sur la page Sélectionner une source de données, faites défiler la page ou recherchez OneDrive pour connecter votre source tierce.

  5. Sous Paramètres d'authentification, sélectionnez la méthode d'authentification à utiliser.

    1. Saisissez vos informations d'authentification.

    2. Cliquez sur Continuer.

      onedrive-ingestion-auth-methods
      Sélection de la méthode d'authentification et saisie des informations d'authentification

  6. Sélectionnez les entités suivantes à synchroniser :

    • Fichier

  7. Pour filtrer les entités de l'index ou vous assurer qu'elles y sont incluses, cliquez sur Filtrer (Filtrer).

    • fileName ne correspond qu'au nom de fichier.
    • filePath doit être un chemin d'accès complet à l'API Microsoft Graph, généralement précédé du préfixe /drive/root:. Par exemple, si le lien direct OneDrive est https:/example-my.onedrive.com/personal/user_example_com/Documents/folder1/folder2, alors filePath est /drive/root:/folder1/folder2.

    onedrive-filters
    Spécifier des filtres pour inclure ou exclure des entités

  8. Cliquez sur Continuer.

  9. Sélectionnez la fréquence de synchronisation pour la synchronisation complète et la fréquence de synchronisation incrémentielle pour la synchronisation incrémentielle des données. Pour en savoir plus, consultez Planification de synchronisation.

    Si vous souhaitez planifier des synchronisations complètes distinctes pour les données d'entité et d'identité, développez le menu sous Synchronisation complète, puis sélectionnez Options personnalisées.

    Options personnalisées pour la synchronisation complète des données.
    Définir des plannings distincts pour la synchronisation complète des entités et la synchronisation complète des identités.

  10. Sélectionnez une région pour votre datastore.

  11. Attribuez un nom à votre datastore

  12. Cliquez sur Créer. Gemini Enterprise crée votre datastore et l'affiche sur la page Datastores.

  13. Pour vérifier l'état de l'ingestion, accédez à la page Datastores, puis cliquez sur le nom de votre datastore pour afficher des informations détaillées sur la page Données. L'état du connecteur passe de Création à Exécution lorsqu'il commence à synchroniser les données. Une fois l'ingestion terminée, l'état devient Actif pour indiquer que la connexion à votre source de données est configurée et qu'elle attend la prochaine synchronisation planifiée.

    Selon la taille de vos données, l'ingestion peut prendre de quelques minutes à plusieurs heures.

Activer la synchronisation en temps réel

Pour activer la synchronisation en temps réel pour votre datastore, procédez comme suit.

  1. Dans la console Google Cloud , accédez à la page Gemini Enterprise.

    Gemini Enterprise

  2. Dans le menu de navigation, cliquez sur Datastores.

  3. Cliquez sur le nom du datastore OneDrive pour lequel vous souhaitez activer la synchronisation en temps réel.

  4. Sur la page Données du datastore, attendez que l'état du connecteur passe à Actif.

  5. Dans le champ Synchronisation en temps réel, cliquez sur Afficher/Modifier.

    Afficher et modifier les paramètres de synchronisation en temps réel
    Affichez et modifiez les paramètres de synchronisation en temps réel.

  6. Cliquez sur le bouton Activer la synchronisation en temps réel pour l'activer.

  7. Indiquez une valeur dans le champ Code secret du client. Cette valeur permet de vérifier les événements du webhook OneDrive. Nous vous recommandons d'utiliser une chaîne de 20 caractères.

    Activer la synchronisation en temps réel et fournir un code secret du client
    Activez la synchronisation en temps réel et fournissez un code secret du client.

  8. Cliquez sur Enregistrer.

    Attendez que le champ Synchronisation en temps réel passe à Exécution.

Codes d'erreur

Le tableau suivant liste les codes d'erreur OneDrive et leur description.

Code d'erreur Description
ONEDRIVE_MISSING_PERMISSION_1 L'application ne dispose pas du rôle Files.Read.All requis pour l'API Graph.
ONEDRIVE_MISSING_PERMISSION_2 L'application ne dispose pas du rôle Group.Read.All requis pour l'API Graph.
ONEDRIVE_MISSING_PERMISSION_3 L'application ne dispose pas du rôle User.Read.All ou User.ReadBasic.All requis pour l'API Graph.
ONEDRIVE_INVALID_SITE_URI L'URL de l'instance n'est pas valide.
ONEDRIVE_INVALID_AUTH Erreur lors de la récupération du jeton d'accès à l'API Graph. Cela peut être dû à un ID client ou à une valeur de code secret non valide, ou à des identifiants fédérés manquants.
ONEDRIVE_UNCATEGORIZED_ERROR Le fichier contient une LCA non valide ou n'en contient pas.
ONEDRIVE_TOO_MANY_REQUESTS Trop de requêtes HTTP sont envoyées à OneDrive. Réponse HTTP 429 reçue.

Étapes suivantes

  • Pour associer votre datastore à une application, créez une application et sélectionnez votre datastore en suivant les étapes décrites dans Créer une application.

  • Pour prévisualiser l'apparence de vos résultats de recherche une fois votre application et votre datastore configurés, consultez Prévisualiser les résultats de recherche.