Microsoft Teams integration

Use o conector de ação do Microsoft Teams para enviar mensagens, gerenciar canais, agendar reuniões e gerenciar a colaboração em equipe diretamente no Amazon Quick por meio de linguagem natural.

O Amazon Quick oferece suporte a vários métodos de autenticação para o Microsoft Teams. Escolha o método mais adequado aos requisitos de segurança da sua organização.

• Aplicativo OAuth padrão — usa um aplicativo OAuth AWS gerenciado. Nenhuma credencial adicional é necessária. Os usuários se autenticam diretamente com sua conta da Microsoft.

• Aplicativo OAuth personalizado — usa um aplicativo gerenciado pelo cliente registrado no Microsoft Entra. Essa opção dá à sua organização controle total sobre a configuração do OAuth. Os usuários se autenticam em nome de um usuário conectado (permissões delegadas).

• Service-to-Service OAuth — usa credenciais do cliente para autenticação de servidor a servidor sem interação do usuário (permissões do aplicativo). Adequado para fluxos de trabalho automatizados.

Para obter mais informações sobre os métodos de autenticação compatíveis com o Amazon Quick, consulteMétodos de autenticação.

Antes de começar

Certifique-se de ter o seguinte antes de configurar a integração.

• Uma conta Microsoft 365 com acesso ao Teams.

• Para aplicativo OAuth personalizado ou Service-to-Service OAuth: acesso ao centro de administração do Microsoft Entra no site da Microsoft com pelo menos permissões de desenvolvedor de aplicativos.

• Para obter os requisitos de assinatura, consulteConfigurar integrações no console.

Configurar o Microsoft Entra

Se você estiver usando a autenticação padrão do aplicativo OAuth, pule esta seção e prossiga para. Configurando o conector no Amazon Quick

Antes de configurar o Amazon Quick, crie um registro de aplicativo no Microsoft Entra. Conclua todas as etapas a seguir no Entra antes de migrar para o console do Amazon Quick.

Para obter mais informações sobre registros de aplicativos, consulte Registrar um aplicativo na plataforma de identidade da Microsoft na documentação da Microsoft.

Registre o aplicativo

1. Abra o centro de administração do Microsoft Entra.

2. No painel de navegação à esquerda, escolha Inserir ID e, em seguida, escolha Registros de aplicativos.

3. Escolha Novo registro.

4. Em Nome, insira um nome descritivo para sua integração.

5. Para Tipos de conta compatíveis, escolha Contas somente neste diretório organizacional.

6. Em URI de redirecionamento, selecione Web e insirahttps://{region}.quicksight.aws.amazon.com/sn/oauthcallback. {region}Substitua pela AWS região em que sua instância Amazon Quick está implantada.

7. Escolha Registrar.

8. Na página de visão geral, copie o ID do aplicativo (cliente) e o ID do diretório (locatário). Você precisa desses valores para a configuração do Amazon Quick.

Crie um segredo de cliente

O Amazon Quick precisa de um segredo de cliente para se autenticar com o Microsoft Entra. Esse segredo funciona como uma senha para o registro do aplicativo.

1. No registro do seu aplicativo, escolha Certificados e segredos.

2. Escolha Novo segredo do cliente.

3. Insira uma descrição e escolha um período de expiração.

4. Escolha Adicionar.

5. Copie o valor imediatamente. Esse valor só é exibido uma vez.

Importante

Copie o valor secreto, não o ID secreto. O valor é a string mais longa usada para autenticação.

Configurar permissões de API

O Microsoft Graph oferece suporte a dois tipos de permissão para essa integração. As permissões delegadas permitem que o aplicativo atue em nome de um usuário conectado. As permissões do aplicativo permitem que o aplicativo atue sem um usuário conectado. Para obter mais informações, consulte Visão geral das permissões do Microsoft Graph na documentação da Microsoft.

1. No registro do seu aplicativo, escolha as permissões da API.

2. Escolha Adicionar uma permissão e, em seguida, escolha Microsoft Graph.

3. Escolha Permissões delegadas ou Permissões de aplicativos com base no seu método de autenticação e adicione as permissões da tabela apropriada abaixo.

4. Escolha Conceder consentimento do administrador para [nome do seu inquilino] para aprovar as permissões.

Para autenticação do usuário (permissões delegadas):

Adicione o seguinte como permissões delegadas no registro do aplicativo Entra. Para obter a referência completa de permissões, consulte a referência de permissões do Microsoft Graph na documentação da Microsoft.

Integração de ações de equipes — permissões delegadas

Permissão	Description
Chat.ReadWrite	Permite que o aplicativo leia e grave as mensagens de bate-papo do usuário conectado.
ChatMessage.Send	Permite que o aplicativo envie mensagens de bate-papo em nome do usuário conectado.
Team.ReadBasic.All	Permite que o aplicativo leia os nomes e as descrições das equipes em nome do usuário conectado.
Channel.ReadBasic.All	Permite que o aplicativo leia os nomes e as descrições dos canais em nome do usuário conectado.
Channel.Create	Permite que o aplicativo crie canais em qualquer equipe em nome do usuário conectado.
ChannelMessage.Read.All	Permite que o aplicativo leia todas as mensagens do canal em nome do usuário conectado.
ChannelMessage.Send	Permite que o aplicativo envie mensagens em canais em nome do usuário conectado.
ChannelMember.ReadWrite.All	Permite que o aplicativo adicione e remova membros dos canais em nome do usuário conectado.
TeamMember.ReadWrite.All	Permite que o aplicativo adicione e remova membros de todas as equipes em nome do usuário conectado.
User.Read.All	Permite que o aplicativo leia o conjunto completo de propriedades do perfil de todos os usuários em nome do usuário conectado.
OnlineMeetings.ReadWrite	Permite que o aplicativo leia e crie reuniões on-line em nome do usuário conectado.
OnlineMeetingTranscript.Read.All	Permite que o aplicativo leia todas as transcrições de reuniões on-line em nome do usuário conectado.
Calendars.ReadWrite	Permite que o aplicativo leia e grave eventos nos calendários do usuário em nome do usuário conectado.
offline_access	Permite que o aplicativo atualize os tokens de acesso sem exigir que o usuário faça login novamente. Isso reduz a frequência com que os usuários precisam se autenticar novamente.

Para autenticação de serviços (permissões do aplicativo):

Adicione o seguinte como permissões do aplicativo no registro do aplicativo Entra.

Integração de ações de equipes — permissões de aplicativos

Permissão	Description
Chat.Read.All	Permite que o aplicativo leia todas as mensagens de bate-papo em sua organização sem um usuário conectado.
Chat.Send	Permite que o aplicativo envie mensagens de bate-papo sem um usuário conectado.
Team.ReadBasic.All	Permite que o aplicativo leia os nomes e as descrições de todas as equipes sem um usuário conectado.
Channel.ReadBasic.All	Permite que o aplicativo leia todos os nomes e descrições dos canais sem um usuário conectado.
ChannelMessage.Read.All	Permite que o aplicativo leia todas as mensagens do canal sem um usuário conectado.
ChannelMessage.Send	Permite que o aplicativo envie mensagens para qualquer canal sem um usuário conectado.
ChannelMember.ReadWrite.All	Permite que o aplicativo adicione e remova membros de todos os canais sem um usuário conectado.
TeamMember.ReadWrite.All	Permite que o aplicativo adicione e remova membros de todas as equipes sem um usuário conectado.
User.Read.All	Permite que o aplicativo leia o conjunto completo de propriedades do perfil de todos os usuários sem um usuário conectado.
OnlineMeetingTranscript.Read.All	Permite que o aplicativo leia todas as transcrições de reuniões on-line sem um usuário conectado.

Importante

Com a autenticação de serviço, todas as ações são executadas como a conta de serviço. Qualquer usuário com acesso a essa integração pode realizar ações em todas as equipes e canais que a conta de serviço pode acessar. Defina o escopo das permissões do aplicativo de acordo com os requisitos de segurança da sua organização.

Registre suas credenciais

Antes de sair do centro de administração do Microsoft Entra, confirme se você tem os seguintes valores. Você precisa deles para a configuração do Amazon Quick.

Credenciais exigidas da Microsoft Entra

Valor	Onde encontrá-lo
ID da aplicação (cliente)	Página de visão geral do registro do aplicativo
ID do diretório (locatário)	Página de visão geral do registro do aplicativo
Valor do segredo do cliente	Página de certificados e segredos

Configurando o conector no Amazon Quick

Conecte-se a partir da guia Disponível

Se quiser usar a autenticação padrão do aplicativo OAuth, você pode se conectar diretamente da guia Disponível sem configuração adicional.

1. No console do Amazon Quick, escolha Conectores.

2. Na guia Disponível, encontre MSTeams e escolha Connect.

3. Conclua o fluxo de login da Microsoft e conceda as permissões solicitadas.

Para configurar um conector com o aplicativo OAuth personalizado ou Service-to-Service OAuth em vez disso, use a guia Criar para sua equipe, conforme descrito abaixo.

Crie na guia Criar para sua equipe

Depois de concluir qualquer configuração necessária do Entra, crie o conector no Amazon Quick.

1. No console do Amazon Quick, escolha Conectores.

2. Escolha a guia Criar para sua equipe.

3. Encontre e escolha Microsoft Teams.

   nota

   Se um conector do Microsoft Teams já existir, uma caixa de diálogo será exibida com seus conectores existentes. Para usar um conector existente, escolha-o. Para criar um novo, escolha Não, criar novo.

4. Insira um nome para seu conector. Opcionalmente, escolha + Adicionar descrição para adicionar uma descrição.

5. Em Tipo de conexão, escolha Rede pública.

6. Para Configuração do OAuth, escolha um dos métodos de autenticação a seguir e configure os campos obrigatórios.

   1. Para o aplicativo OAuth padrão:

      Nenhuma credencial adicional é necessária. Escolha Próximo para continuar.

   2. Para o aplicativo OAuth personalizado (autenticação do usuário com permissões delegadas), configure os seguintes campos:

      • URL base (opcional) — A URL base da API do Microsoft Graph. Exemplo: https://graph.microsoft.com/v1.0

      • ID do cliente — O ID do aplicativo (cliente) do registro do aplicativo Entra.

      • Segredo do cliente — O valor secreto do cliente do registro do seu aplicativo Entra.

      • URL do token — O endpoint do token. Exemplo: https://login.microsoftonline.com/{tenant-id}/oauth2/v2.0/token

      • URL de autorização — O endpoint de autorização. Exemplo: https://login.microsoftonline.com/{tenant-id}/oauth2/v2.0/authorize

      • URL de redirecionamento — Pre-filled com o URL de retorno de chamada do Amazon Quick.

   3. Para Service-to-ServiceOAuth (autenticação de serviço com permissões do aplicativo), configure os seguintes campos:

      • URL base (opcional) — A URL base da API do Microsoft Graph. Exemplo: https://graph.microsoft.com/v1.0

      • ID do cliente — O ID do aplicativo (cliente) do registro do aplicativo Entra.

      • Segredo do cliente — O valor secreto do cliente do registro do seu aplicativo Entra.

      • URL do token — O endpoint do token. Exemplo: https://login.microsoftonline.com/{tenant-id}/oauth2/v2.0/token

      nota

      O escopo da solicitação de token de credenciais do cliente (https://graph.microsoft.com/.default) é definido automaticamente pelo Amazon Quick. Você não precisa configurá-lo manualmente.

7. Escolha Próximo.

8. Se você escolher Aplicativo OAuth padrão ou Aplicativo OAuth personalizado, uma janela de autorização da Microsoft será aberta. Revise as permissões solicitadas e escolha Aceitar.

   Se você ver um erro em vez da caixa de diálogo de consentimento, sua organização pode restringir o acesso a aplicativos de terceiros. Consulte Consentimento do administrador para o Microsoft 365.

9. Na página Revisar, revise as ações disponíveis para o conector. Escolha Próximo.

10. Na página Publicar, escolha quem pode acessar o conector. Você pode habilitar o acesso para todos em sua organização ou pesquisar equipes ou grupos específicos.

11. Selecione Publish.

Ações disponíveis

Depois de configurar a integração, as ações a seguir estarão disponíveis.

Ações disponíveis do Microsoft Teams

Categoria	Ação	Description
Chats	Listar bate-papos	Veja suas conversas de bate-papo.
Chats	Criar bate-papo	Inicie uma nova conversa no chat.
Chats	Enviar mensagem de bate-papo	Envie uma mensagem em um bate-papo.
Equipes	Listar equipes	Veja as equipes das quais você é membro.
Equipes	Listar membros da equipe	Veja os membros de uma equipe.
Equipes	Adicionar membro da equipe	Adicione um membro a uma equipe.
Canais	Listar canais	Veja os canais em uma equipe.
Canais	Criar canal	Crie um novo canal em uma equipe.
Canais	Listar mensagens do canal	Veja as mensagens em um canal.
Canais	Enviar mensagem do canal	Publique uma mensagem em um canal.
Canais	Listar membros do canal	Veja os membros de um canal.
Canais	Adicionar membro do canal	Adicione um membro a um canal.
Usuários	Listar usuários	Visualize os usuários em sua organização.
Reuniões	Listar reuniões online	Veja suas reuniões on-line agendadas.
Reuniões	Crie uma reunião online	Agende uma nova reunião on-line.
Reuniões	Listar transcrições de reuniões	Veja as transcrições das reuniões.
Calendário	Listar eventos do calendário	Veja os eventos no seu calendário.
Calendário	Criar evento de calendário	Crie um novo evento no calendário.

Gerenciar e solucionar problemas

Para editar, compartilhar ou excluir sua integração, consulteGerenciando integrações existentes.

Problemas de autenticação

• Registro de aplicativo incorreto — Verifique se o registro do aplicativo no Microsoft Entra inclui as permissões de API necessárias e se o consentimento do administrador foi concedido.

• Segredo do cliente expirado — Verifique se o segredo do cliente expirou em Certificados e segredos e gere um novo, se necessário.

• URI de redirecionamento incorreto — Verifique se o URI de redirecionamento no Microsoft Entra corresponde. https://{region}.quicksight.aws.amazon.com/sn/oauthcallback

Mensagens de erro comuns

• Access denied. You do not have permission to perform this action— O usuário autenticado não tem as permissões necessárias. Entre em contato com seu administrador para verificar e conceder as permissões apropriadas.

• AADSTS50020: User account from identity provider does not exist in tenant— A conta do usuário não está configurada no inquilino correto do Microsoft Entra. Verifique se a conta de usuário existe no inquilino que corresponde à ID do diretório (inquilino) no registro do seu aplicativo.

Consentimento do administrador para o Microsoft 365

Quando você usa o método de autenticação padrão do aplicativo OAuth, o Amazon Quick usa um aplicativo AWS gerenciado para acessar o Microsoft Teams em nome do usuário conectado. A maioria dos usuários pode concluir a configuração sem nenhuma etapa extra. No entanto, se seu inquilino do Microsoft 365 restringir o acesso a aplicativos de terceiros, um administrador do Microsoft 365 deverá conceder um consentimento único antes que os usuários possam se conectar.

Se você ver um erro ao entrar durante a configuração do conector, sua organização poderá restringir o acesso a aplicativos de terceiros. Compartilhe as seguintes informações com seu administrador do Microsoft 365:

• O que fazer: conceda o consentimento do administrador para o aplicativo de integração Amazon Quick Microsoft Teams.

• Por quê: O Amazon Quick precisa de acesso delegado aos canais, bate-papos, reuniões e dados do calendário do Teams para realizar ações em nome dos usuários.

Um administrador pode conceder consentimento de uma das seguintes formas:

• Por meio da caixa de diálogo de consentimento — um administrador global ou administrador de função privilegiada inicia o fluxo de configuração do conector. Na caixa de diálogo de login da Microsoft, eles marcam a caixa de seleção Consentimento em nome da sua organização e escolhem Aceitar.

• Por meio do centro de administração do Microsoft Entra — Entre no centro de administração do Microsoft Entra no site da Microsoft. Escolha Aplicativos corporativos, localize o aplicativo Amazon Quick, escolha Permissões e escolha Conceder consentimento do administrador para Your Organization.

Depois que o consentimento for concedido, qualquer usuário da sua organização poderá se conectar sem ser solicitado o consentimento individual.

nota

Para verificar se seu inquilino restringe o consentimento do usuário, acesse o centro de administração do Microsoft Entra e escolha Aplicativos corporativos, Consentimento e permissões, Configurações de consentimento do usuário. Se a configuração for Não permitir o consentimento do usuário, um administrador deverá conceder o consentimento antes que os usuários possam usar o conector.