View a markdown version of this page

Microsoft Teams 整合 - Amazon Quick
開始之前設定 Microsoft Entra在 Amazon Quick 中設定連接器可用動作管理和疑難排解Microsoft 365 的管理員同意

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

Microsoft Teams 整合

使用 Microsoft Teams 動作連接器,透過自然語言直接在 Amazon Quick 中傳送訊息、管理頻道、排程會議和管理團隊協作。

Amazon Quick 支援 Microsoft Teams 的多種身分驗證方法。選擇最適合您組織安全需求的方法。

  • 預設 OAuth 應用程式 – 使用 AWS受管 OAuth 應用程式。不需要額外的登入資料。使用者直接與其 Microsoft 帳戶進行身分驗證。

  • 自訂 OAuth 應用程式 – 使用在 Microsoft Entra 中註冊的客戶受管應用程式。此選項可讓您的組織完全控制 OAuth 組態。使用者代表登入使用者進行身分驗證 (委派許可)。

  • Service-to-Service OAuth – 使用用戶端憑證進行server-to-server身分驗證,無需使用者互動 (應用程式許可)。適合自動化工作流程。

如需 Amazon Quick 支援的身分驗證方法的詳細資訊,請參閱 身分驗證方法

開始之前

在設定整合之前,請確定您有下列項目。

  • 具有 Teams 存取權的 Microsoft 365 帳戶。

  • 對於自訂 OAuth 應用程式Service-to-Service OAuth:存取 Microsoft 網站上的 Microsoft Entra 管理中心,至少具有應用程式開發人員許可。

  • 如需訂閱需求,請參閱 在主控台中設定整合

設定 Microsoft Entra

如果您使用的是預設 OAuth 應用程式身分驗證,請略過本節並繼續 在 Amazon Quick 中設定連接器

設定 Amazon Quick 之前,請在 Microsoft Entra 中建立應用程式註冊。在移至 Amazon Quick 主控台之前,請先完成 Entra 中的所有以下步驟。

如需應用程式註冊的詳細資訊,請參閱 Microsoft 文件中的使用 Microsoft 身分平台註冊應用程式

註冊應用程式

  1. 開啟 Microsoft Entra 管理中心

  2. 在左側導覽中,選擇 Entra ID,然後選擇應用程式註冊

  3. 選擇新增註冊

  4. 名稱中,輸入整合的描述性名稱。

  5. 對於支援的 帳戶類型僅選擇此組織目錄中的帳戶

  6. 針對重新導向 URI,選取 Web 並輸入 https://{region}.quicksight.aws.amazon.com/sn/oauthcallback。將 {region} 取代為部署 Amazon Quick 執行個體 AWS 的區域。

  7. 選擇註冊

  8. 在概觀頁面上,複製應用程式 (用戶端) ID目錄 (租戶) ID。您需要這些值才能進行 Amazon Quick 組態。

建立用戶端秘密

Amazon Quick 需要用戶端秘密才能向 Microsoft Entra 進行身分驗證。此秘密可做為應用程式註冊的密碼。

  1. 從您的應用程式註冊中,選擇憑證和秘密

  2. 選擇新增用戶端秘密

  3. 輸入描述並選擇過期期間。

  4. 選擇新增

  5. 立即複製 。此值只會顯示一次。

重要

複製秘密,而不是秘密 ID。值是用於身分驗證的較長字串。

設定 API 許可

Microsoft Graph 支援此整合的兩種許可類型。委派許可允許應用程式代表登入的使用者採取行動。應用程式許可允許應用程式在沒有登入使用者的情況下採取行動。如需詳細資訊,請參閱 Microsoft 文件中的 Microsoft Graph 許可概觀

  1. 從您的應用程式註冊中選擇 API 許可

  2. 選擇新增許可,然後選擇 Microsoft Graph

  3. 根據您的身分驗證方法選擇委派許可應用程式許可,然後從下方適當的資料表新增許可。

  4. 選擇授予 【您的租戶名稱】 管理員同意以核准許可。

對於使用者身分驗證 (委派許可):

在 Entra 應用程式註冊中將以下內容新增為委派許可。如需完整許可參考,請參閱 Microsoft 文件中的 Microsoft Graph 許可參考

團隊動作整合 – 委派許可
權限 Description
Chat.ReadWrite 允許應用程式讀取和寫入登入使用者的聊天訊息。
ChatMessage.Send 允許應用程式代表登入的使用者傳送聊天訊息。
Team.ReadBasic.All 允許應用程式代表登入使用者讀取團隊的名稱和描述。
Channel.ReadBasic.All 允許應用程式代表登入的使用者讀取頻道名稱和描述。
Channel.Create 允許應用程式代表登入使用者在任何團隊中建立頻道。
ChannelMessage.Read.All 允許應用程式代表登入的使用者讀取所有頻道訊息。
ChannelMessage.Send 允許應用程式代表登入使用者在頻道中傳送訊息。
ChannelMember.ReadWrite.All 允許應用程式代表登入使用者從頻道新增和移除成員。
TeamMember.ReadWrite.All 允許應用程式代表登入使用者從所有團隊新增和移除成員。
User.Read.All 允許應用程式代表登入使用者讀取所有使用者的完整設定檔屬性集。
OnlineMeetings.ReadWrite 允許應用程式代表登入的使用者讀取和建立線上會議。
OnlineMeetingTranscript.Read.All 允許應用程式代表登入的使用者讀取線上會議的所有文字記錄。
Calendars.ReadWrite 允許應用程式代表登入使用者在使用者行事曆中讀取和寫入事件。
offline_access 允許應用程式重新整理存取權杖,而不需要使用者再次登入。這可減少使用者需要重新驗證身分的頻率。

對於服務身分驗證 (應用程式許可):

在 Entra 應用程式註冊中將以下內容新增為應用程式許可。

團隊動作整合 – 應用程式許可
權限 Description
Chat.Read.All 允許應用程式在沒有登入使用者的情況下讀取組織中的所有聊天訊息。
Chat.Send 允許應用程式在沒有登入使用者的情況下傳送聊天訊息。
Team.ReadBasic.All 允許應用程式在沒有登入使用者的情況下讀取所有團隊的名稱和描述。
Channel.ReadBasic.All 允許應用程式在沒有登入使用者的情況下讀取所有頻道名稱和描述。
ChannelMessage.Read.All 允許應用程式在沒有登入使用者的情況下讀取所有頻道訊息。
ChannelMessage.Send 允許應用程式在沒有登入使用者的情況下傳送訊息到任何頻道。
ChannelMember.ReadWrite.All 允許應用程式從所有頻道新增和移除成員,而無需登入使用者。
TeamMember.ReadWrite.All 允許應用程式在沒有登入使用者的情況下,從所有團隊新增和移除成員。
User.Read.All 允許應用程式在沒有登入使用者的情況下,讀取所有使用者的完整設定檔屬性集。
OnlineMeetingTranscript.Read.All 允許應用程式在沒有登入使用者的情況下讀取線上會議的所有文字記錄。
重要

透過服務身分驗證,所有動作都會以服務帳戶的形式執行。可存取此整合的任何使用者都可以跨服務帳戶可存取的所有團隊和管道執行動作。根據您的組織安全需求,適當地範圍應用程式許可。

記錄您的登入資料

離開 Microsoft Entra 管理中心之前,請確認您有下列值。您需要它們才能進行 Amazon Quick 組態。

Microsoft Entra 的必要登入資料
Value 在哪裡找到它
應用程式 (用戶端) ID 應用程式註冊概觀頁面
目錄 (租戶) ID 應用程式註冊概觀頁面
用戶端秘密值 憑證與秘密頁面

在 Amazon Quick 中設定連接器

從可用索引標籤連線

如果您想要使用預設 OAuth 應用程式身分驗證,您可以直接從可用索引標籤連線,而不需要其他組態。

  1. 在 Amazon Quick 主控台中,選擇連接器

  2. 可用索引標籤上,尋找 MSTeams 並選擇連線

  3. 完成 Microsoft 登入流程,並授予請求的許可。

若要改為使用自訂 OAuth 應用程式或服務Service-to-Service OAuth 設定連接器,請使用為您的團隊建立索引標籤,如下所述。

從為您的團隊建立索引標籤建立

完成任何必要的 Entra 組態後,請在 Amazon Quick 中建立連接器。

  1. 在 Amazon Quick 主控台中,選擇連接器

  2. 選擇為您的團隊建立索引標籤。

  3. 尋找並選擇 Microsoft Teams

    注意

    如果 Microsoft Teams 連接器已存在,則會顯示一個對話方塊,其中包含您現有的連接器。若要使用現有的連接器,請選擇它。若要建立新的,請選擇否,建立新的

  4. 輸入連接器的名稱。或者,選擇 + 新增描述以新增描述。

  5. 針對連線類型,選擇公有網路

  6. 針對 OAuth 組態,選擇下列其中一種身分驗證方法,並設定必要欄位。

    1. 對於預設 OAuth 應用程式

      不需要額外的登入資料。選擇 Next (下一步) 繼續。

    2. 對於自訂 OAuth 應用程式 (具有委派許可的使用者身分驗證),請設定下列欄位:

      • 基本 URL (選用) – Microsoft Graph API 基本 URL。範例:https://graph.microsoft.com/v1.0

      • 用戶端 ID – 來自您 Entra 應用程式註冊的應用程式 (用戶端) ID。

      • 用戶端秘密 – 來自您 Entra 應用程式註冊的用戶端秘密值。

      • 權杖 URL – 權杖端點。範例:https://login.microsoftonline.com/{tenant-id}/oauth2/v2.0/token

      • 授權 URL – 授權端點。範例:https://login.microsoftonline.com/{tenant-id}/oauth2/v2.0/authorize

      • 重新導向 URL – 預先填入 Amazon Quick 回呼 URL。

    3. 對於Service-to-Service OAuth (具有應用程式許可的服務身分驗證),請設定下列欄位:

      • 基本 URL (選用) – Microsoft Graph API 基本 URL。範例:https://graph.microsoft.com/v1.0

      • 用戶端 ID – 來自您 Entra 應用程式註冊的應用程式 (用戶端) ID。

      • 用戶端秘密 – 來自您 Entra 應用程式註冊的用戶端秘密值。

      • 權杖 URL – 權杖端點。範例:https://login.microsoftonline.com/{tenant-id}/oauth2/v2.0/token

      注意

      Amazon Quick 會自動設定用戶端憑證字符請求 (https://graph.microsoft.com/.default) 的範圍。您不需要手動進行設定。

  7. 選擇下一步

  8. 如果您選擇預設 OAuth 應用程式自訂 OAuth 應用程式,會開啟 Microsoft 授權視窗。檢閱請求的許可,然後選擇接受

    如果您看到錯誤而非同意對話方塊,您的組織可能會限制第三方應用程式存取。請參閱 Microsoft 365 的管理員同意

  9. 檢閱頁面上,檢閱連接器的可用動作。選擇下一步

  10. 發佈頁面上,選擇誰可以存取連接器。您可以為組織中的每個人啟用存取權,或搜尋特定的團隊或群組。

  11. 選擇發布

可用動作

設定整合之後,即可執行下列動作。

Microsoft Teams 可用的動作
Category Action Description
聊天 列出聊天 檢視您的聊天對話。
聊天 建立聊天 開始新的聊天對話。
聊天 傳送聊天訊息 在聊天中傳送訊息。
團隊 列出團隊 檢視您所屬的團隊。
團隊 列出團隊成員 檢視團隊成員。
團隊 新增團隊成員 將成員新增至團隊。
頻道 列出頻道 檢視團隊中的頻道。
頻道 建立頻道 在團隊中建立新的頻道。
頻道 列出頻道訊息 檢視頻道中的訊息。
頻道 傳送頻道訊息 將訊息發佈至頻道。
頻道 列出頻道成員 檢視頻道的成員。
頻道 新增頻道成員 將成員新增至頻道。
使用者 列出 使用者 檢視組織中的使用者。
會議 列出線上會議 檢視排定的線上會議。
會議 建立線上會議 安排新的線上會議。
會議 列出會議文字記錄 檢視會議的文字記錄。
行事暦 列出行事曆事件 檢視行事曆上的事件。
行事暦 建立行事曆事件 建立新的行事曆事件。

管理和疑難排解

若要編輯、共用或刪除整合,請參閱 管理現有的整合

驗證問題

  • 不正確的應用程式註冊 – 驗證 Microsoft Entra 中的應用程式註冊包含必要的 API 許可,並且已授予管理員同意。

  • 過期的用戶端秘密 – 檢查用戶端秘密是否已在憑證和秘密中過期,並視需要產生新的秘密。

  • 不正確的重新導向 URI – 驗證 Microsoft Entra 中的重新導向 URI 符合 https://{region}.quicksight.aws.amazon.com/sn/oauthcallback

常見錯誤訊息

  • Access denied. You do not have permission to perform this action – 已驗證的使用者沒有必要的許可。請聯絡您的管理員以驗證並授予適當的許可。

  • AADSTS50020: User account from identity provider does not exist in tenant – 使用者帳戶未在正確的 Microsoft Entra 租用戶中設定。確認使用者帳戶存在於符合應用程式註冊中目錄 (租用戶) ID 的租用戶中。

當您使用預設 OAuth 應用程式身分驗證方法時,Amazon Quick 會使用 AWS受管應用程式來代表登入使用者存取 Microsoft Teams。大多數使用者可以完成設定,無需任何額外的步驟。不過,如果您的 Microsoft 365 租用戶限制第三方應用程式存取,則 Microsoft 365 管理員必須先授予一次性同意,使用者才能連線。

如果您在連接器設定期間登入時發生錯誤,您的組織可能會限制第三方應用程式存取。與您的 Microsoft 365 管理員共用以下資訊:

  • 做法:授予管理員對 Amazon Quick Microsoft Teams 整合應用程式的同意。

  • 原因:Amazon Quick 需要對 Teams 頻道、聊天、會議和行事曆資料的委派存取權,才能代表使用者執行動作。

管理員可以透過下列其中一種方式授予同意:

  • 透過同意對話方塊 – 全域管理員或特殊權限角色管理員啟動連接器設定流程。在 Microsoft 登入對話方塊中,他們會選取代表您組織的同意核取方塊,然後選擇接受

  • 透過 Microsoft Entra 管理中心 – 登入 Microsoft 網站上的 Microsoft Entra 管理中心。選擇企業應用程式、尋找 Amazon Quick 應用程式、選擇許可,然後選擇授予您組織的管理員同意

授予同意後,組織中的任何使用者都可以連線,而不會收到個別同意的提示。

注意

若要檢查您的租戶是否限制使用者同意,請前往 Microsoft Entra 管理中心,然後選擇企業應用程式同意和許可使用者同意設定。如果 設定為不允許使用者同意,則管理員必須先授予同意,使用者才能使用連接器。