NotebookLM Enterprise einrichten

Auf dieser Seite werden die Startaufgaben beschrieben, die Sie ausführen müssen, um NotebookLM Enterprise einzurichten.

Nachdem Sie die Aufgaben auf dieser Seite ausgeführt haben, können Ihre Nutzer Notebooks in NotebookLM Enterprise erstellen und verwenden.

Identitätseinrichtung

Damit Sie die Einrichtung abschließen können, muss der Identitätsanbieter (IdP) Ihrer Organisation in Google Cloudkonfiguriert sein. Die korrekte Einrichtung der Identität ist aus zwei Gründen wichtig:

• So können Ihre Nutzer mit ihren aktuellen Unternehmensanmeldedaten auf die NotebookLM Enterprise-Benutzeroberfläche zugreifen.

• So wird dafür gesorgt, dass Nutzer nur die Notebooks sehen, die ihnen gehören oder für die sie freigegeben wurden.

Unterstützte Frameworks

Die folgenden Authentifizierungsframeworks werden unterstützt:

• Cloud Identity:

  • Fall 1: Wenn Sie Cloud Identity oder Google Workspace verwenden, sind alle Nutzeridentitäten und ‑gruppen vorhanden und werden überGoogle Cloudverwaltet. Weitere Informationen zu Cloud Identity finden Sie in der Cloud Identity-Dokumentation.

  • Fall 2: Sie verwenden einen externen Identitätsanbieter und haben Identitäten mit Cloud Identity synchronisiert. Ihre Endnutzer verwenden Cloud Identity zur Authentifizierung, bevor sie auf Google-Ressourcen oder Google Workspace zugreifen.

  • Fall 3: Sie verwenden einen externen Identitätsanbieter und haben Identitäten mit Cloud Identity synchronisiert. Sie verwenden jedoch weiterhin Ihren vorhandenen externen IdP für die Authentifizierung. Sie haben SSO mit Cloud Identity so konfiguriert, dass sich Ihre Nutzer zuerst über Cloud Identity anmelden und dann zu Ihrem externen IdP weitergeleitet werden. Möglicherweise haben Sie diese Synchronisierung bereits beim Einrichten anderer Google Cloud Ressourcen oder Google Workspace durchgeführt.

• Mitarbeiteridentitätsföderation: Wenn Sie einen externen Identitätsanbieter (Microsoft Entra ID, Okta, Ping, PingFederate oder einen anderen OIDC- oder SAML 2.0-IdP) verwenden, Ihre Identitäten aber nicht mit Cloud Identity synchronisieren möchten, müssen Sie die Mitarbeiteridentitätsföderation in Google Cloudeinrichten, bevor Sie die Zugriffssteuerung für Datenquellen für Gemini Enterprise aktivieren können.

  Das Attribut google.subject muss dem E-Mail-Adressfeld im externen IdP zugeordnet werden. Im Folgenden finden Sie Beispielzuordnungen für die Attribute google.subject und google.groups für häufig verwendete IdPs:

  • Microsoft Entra ID

    • Microsoft Entra ID mit OIDC-Protokoll

      google.subject=assertion.email
      google.groups=assertion.groups
      

    • Microsoft Entra ID mit SAML-Protokoll

      google.subject=assertion.attributes['http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name'][0]
      google.groups=assertion.attributes['http://schemas.microsoft.com/ws/2008/06/identity/claims/groups']
      

    • Microsoft Entra ID mit großen Gruppen

    Wenn Sie Microsoft Entra ID verwenden und mehr als 150 Gruppen haben, sollten Sie ein System for Cross-domain Identity Management (SCIM) einrichten, um Identitäten mit Google Cloud oder Microsoft Entra ID mit erweiterten Attributenzu verwalten. Dabei wird Microsoft Graph verwendet, um Gruppennamen abzurufen. Wenn Sie SCIM einrichten, können Sie (und Ihre Endnutzer) beim Freigeben von Notebooks Gruppennamen anstelle von Gruppen-IDs eingeben. Weitere Informationen Wenn Sie SCIM oder erweiterte Attribute verwenden, wird die Zuordnung des Attributs google.groups ignoriert.

  • Okta

    • Okta mit OIDC-Protokoll

      google.subject=assertion.email
      google.groups=assertion.groups
      

    • Okta mit SAML-Protokoll

      google.subject=assertion.subject
      google.groups=assertion.attributes['groups']
      

Sie können nur einen Identitätsanbieter pro Google Cloud Projekt auswählen.

Hinweise

Bevor Sie mit den Verfahren auf dieser Seite beginnen, muss eine der folgenden Bedingungen erfüllt sein:

• Sie verwenden Cloud Identity als IdP oder

• Sie verwenden einen externen Identitätsanbieter und haben SSO mit Cloud Identity konfiguriert oder

• Sie verwenden einen Drittanbieter-IdP, haben die Mitarbeiteridentitätsföderation eingerichtet und kennen den Namen Ihres Mitarbeiterpools.

Projekt erstellen und API aktivieren

Wenn Sie bereits ein Google Cloud Projekt haben, das Sie verwenden möchten, beginnen Sie mit Schritt 2.

Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

• Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
• Create a project: To create a project, you need the Project Creator (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

Verify that billing is enabled for your Google Cloud project.

Enable the Discovery Engine API.

Roles required to enable APIs

To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

Enable the API

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

• Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
• Create a project: To create a project, you need the Project Creator (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

Verify that billing is enabled for your Google Cloud project.

Enable the Discovery Engine API.

Roles required to enable APIs

To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

Enable the API

Rolle „Cloud NotebookLM Admin“ zuweisen

Als Projektinhaber müssen Sie allen Nutzern, die NotebookLM Enterprise in diesem Projekt verwalten sollen, die Rolle „Cloud NotebookLM Admin“ zuweisen:

1. Rufen Sie in der Google Cloud Console die Seite IAM auf.

   IAM aufrufen
2. Wählen Sie das Projekt aus.
3. Klicken Sie auf person_add Zugriffsrechte erteilen.

4. Geben Sie im Feld Neue Hauptkonten die Nutzer-ID ein. Dies ist in der Regel die E‑Mail-Adresse eines Google-Kontos oder einer Nutzergruppe.

5. Wählen Sie in der Liste Rolle auswählen die Option Cloud NotebookLM-Administrator aus. Weitere Informationen finden Sie unter Nutzerrollen.
6. Klicken Sie auf Speichern.

IdP für NotebookLM Enterprise festlegen

Der Projektinhaber oder ein Nutzer mit der Rolle „Cloud NotebookLM Admin“ kann den IdP einrichten.

1. Rufen Sie in der Google Cloud Console die Seite Gemini Enterprise auf.

   Gemini Enterprise

2. Klicken Sie unter „NotebookLM Enterprise“ auf Verwalten.

3. Setzen Sie Identitätseinstellung auf Google Identity Provider oder Identität von Drittanbieter.

   Weitere Informationen finden Sie oben unter Identität einrichten.

4. Wenn Sie einen externen IdP verwenden und sich für die Einrichtung der Mitarbeiteridentitätsföderation entschieden haben, geben Sie den Namen Ihres Mitarbeiterpools und Ihres Workforce-Pool-Anbieters an.

5. Kopieren Sie den Link.

   Sie senden diesen Link an alle Endnutzer von NotebookLM Enterprise. Dies ist der Link zur Benutzeroberfläche, die sie zum Erstellen, Bearbeiten und Freigeben von Notebooks verwenden.

Optional: Vom Kunden verwaltete Verschlüsselungsschlüssel registrieren

Wenn Sie vom Kunden verwaltete Verschlüsselungsschlüssel (Customer-Managed Encryption Keys, CMEK) anstelle der standardmäßigen Google-Verschlüsselung verwenden möchten, folgen Sie der Anleitung zum Registrieren eines Schlüssels für NotebookLM Enterprise unter Vom Kunden verwaltete Verschlüsselungsschlüssel.

Normalerweise müssen Sie CMEK nur verwenden, wenn Ihre Organisation strenge behördliche Anforderungen oder interne Richtlinien hat, die die Kontrolle über Verschlüsselungsschlüssel vorschreiben. In den meisten Fällen ist die Standardverschlüsselung von Google ausreichend. Allgemeine Informationen zu CMEK finden Sie in der Cloud Key Management Service-Dokumentation.

Nutzern NotebookLM Enterprise-Rollen zuweisen

In diesem Abschnitt wird beschrieben, wie Sie Ihren Nutzern die IAM-Rollen zuweisen, die sie für den Zugriff auf Notebooks, deren Verwaltung und Freigabe benötigen.

1. Rufen Sie in der Google Cloud Console die Seite IAM auf.

   IAM aufrufen
2. Wählen Sie das Projekt aus.
3. Klicken Sie auf person_add Zugriffsrechte erteilen.

4. Geben Sie im Feld Neue Hauptkonten die Nutzer-ID ein. Dies ist in der Regel die E-Mail-Adresse für ein Google-Konto, eine Nutzergruppe oder die Kennung für einen Nutzer in einem Workforce Identity-Pool. Weitere Informationen finden Sie unter Workforce-Pool-Nutzer in IAM-Richtlinien darstellen oder bei Ihrem Administrator.

5. Wählen Sie in der Liste Rolle auswählen die Rolle Cloud NotebookLM User aus.
6. Klicken Sie auf Speichern.

Zusätzlich zur Rolle Cloud NotebookLM User benötigen Nutzer eine Lizenz für NotebookLM Enterprise. Lizenzen für NotebookLM Enterprise erwerben

Nächste Schritte

• Lizenzen für NotebookLM Enterprise erhalten