Tutorial Técnico: Como habilitar o Gemini Enterprise instituição de ensino com Microsoft 365
O Gemini Enterprise instituição de ensino conecta o Microsoft 365 ao Google Cloud para criar agentes de IA seguros. Veja como habilitar este MVP técnico.
Fabiano Brito
CEO & Google Cloud Architect, Autenticare
Gemini Enterprise instituição de ensino é a aplicação da plataforma corporativa de IA do Google Cloud no contexto educacional, permitindo que universidades e escolas conectem seus repositórios de dados existentes para criar agentes conversacionais seguros. Diferente de um produto verticalizado exclusivo para educação, trata-se da infraestrutura robusta do Gemini Enterprise configurada para indexar acervos acadêmicos e administrativos, garantindo que as respostas do agente sejam baseadas estritamente nos documentos institucionais.
Para equipes de TI que buscam habilitar gemini enterprise educação, o desafio inicial é estabelecer a ponte segura entre o ecossistema Google Cloud e os repositórios da Microsoft. Para acelerar essa adoção e garantir as melhores práticas de arquitetura, muitas instituições recorrem a uma fábrica de agentes especializada. Este tutorial detalha o passo a passo para configurar o gemini enterprise microsoft connector e entregar um mvp gemini enterprise educação funcional.
60 dias
é o prazo máximo para que dados cuja exclusão é solicitada pelo usuário sejam removidos dos sistemas do Google, conforme a visão geral de segurança.
Fases de Implementação do MVP
A implementação de um MVP do Gemini Enterprise em uma instituição de ensino exige uma configuração rigorosa de acessos, APIs e conectores. O processo é dividido em sete fases técnicas, desde o provisionamento inicial no Google Cloud até a validação de segurança e conformidade com a LGPD.
Pré-requisitos e IAM
Antes de iniciar, é necessário garantir as licenças do Gemini Enterprise e um projeto ativo no Google Cloud. No IAM (Identity and Access Management), atribua os papéis exatos: roles/discoveryengine.agentspaceAdmin para o administrador da plataforma, roles/discoveryengine.editor para a conta de serviço que configurará os data stores, e roles/discoveryengine.agentspaceUser para os usuários finais do MVP. No lado da Microsoft, é exigido um tenant do Microsoft 365 com privilégios de administrador Global ou Application do Entra ID.
Habilitar APIs no Google Cloud
O segundo passo é habilitar o Gemini Enterprise no Google Admin Console e ativar as APIs oficiais necessárias para o MVP. O subconjunto de APIs exigido inclui o Discovery Engine (núcleo do Agentspace), Cloud Resource Manager, Cloud Storage, IAM e Vertex AI. A ativação pode ser feita via terminal com o comando abaixo.
gcloud services enable discoveryengine.googleapis.com \
cloudresourcemanager.googleapis.com \
storage.googleapis.com \
iam.googleapis.com \
aiplatform.googleapis.comglobal, us e eu. Configure seu projeto adequadamente.
Registro do App no Microsoft Entra ID
Para que o Google Cloud acesse os documentos da instituição, registre um aplicativo no Microsoft Entra ID (antigo Azure AD) para autenticação OAuth 2.0. Gere o Client ID e o Client Secret. Em seguida, configure a Redirect URI apontando para o endpoint específico do conector do Agentspace, garantindo o fluxo seguro de tokens.
Configurar Conectores no Agentspace
Acesse o console do Agentspace e adicione as fontes de dados. Os conectores suportam diferentes modos de operação: Federated Search (busca em tempo real sem ingestão), Data Ingestion com OAuth 2.0 e Data Ingestion com Federated Credentials. Consulte a documentação oficial para SharePoint Online e OneDrive para os parâmetros exatos de URL do tenant.
Matriz de Permissões OAuth 2.0
A configuração correta das permissões no Microsoft Graph e nas APIs específicas do SharePoint é o ponto de falha mais comum em integrações de TI educacional. As tabelas abaixo detalham os escopos exatos exigidos para cada modo de operação, garantindo o princípio do menor privilégio.
Permissões para SharePoint Online
| Modo de Operação | Microsoft Graph API | Microsoft SharePoint API |
|---|---|---|
| Federated Search | Nenhuma | (Delegated) Sites.Search.All, AllSites.Read |
| Data Ingestion Federated Creds | (Application) GroupMember.Read.All, User.Read, Sites.FullControl.All ou Sites.Selected, User.ReadBasic.All | (Application) Sites.FullControl.All ou Sites.Selected |
| Data Ingestion OAuth 2.0 | (Application) GroupMember.Read.All, User.Read, User.Read.All, Sites.FullControl.All ou Sites.Selected | (Delegated) AllSites.FullControl ou Sites.Selected |
| Actions | (Application) Sites.ReadWrite.All, Files.ReadWrite.All, Sites.Manage.All | (Delegated) AllSites.Write |
Permissões para OneDrive
| Modo de Operação | Microsoft Graph API (Application) | Microsoft Graph API (Delegated) |
|---|---|---|
| Federated Search | Nenhuma | Files.Read.All, Sites.Read.All, User.Read.All |
| Data Ingestion OAuth 2.0 | Files.Read.All, Group.Read.All, GroupMember.Read.All, Sites.FullControl.All ou Sites.Selected | User.Read |
| Data Ingestion Federated Creds | User.Read.All | User.ReadBasic.All |
| Actions | Nenhuma | Files.ReadWrite.AppFolder, Files.ReadWrite |
Crawling e Indexação
Com as permissões concedidas, configure o schedule de crawling no Agentspace. É recomendado iniciar com uma sincronização manual para validar a ingestão. O tempo de sincronização varia conforme o volume de documentos presentes no SharePoint e OneDrive da instituição.
Checklist de Segurança e LGPD
Antes de liberar o agente para os usuários finais da instituição de ensino, a equipe de TI deve validar os controles de privacidade e conformidade. O Google Cloud fornece garantias contratuais estritas sobre o processamento de dados corporativos.
🔧 Treinamento de IA
Nos termos do Data Processing Addendum (DPA) do Google Cloud, prompts e dados corporativos processados pelo Gemini Enterprise não são usados para treinar modelos de IA.
🔧 Retenção de Dados
Dados cuja exclusão é solicitada pelo usuário são removidos dos sistemas do Google em até 60 dias, garantindo o direito ao esquecimento sob demanda.
🔧 Avaliação RIPD
A instituição deve avaliar a necessidade de um Relatório de Impacto à Proteção de Dados Pessoais (RIPD) com base no risco e volume de dados pessoais processados, conforme orientação da ANPD.
FAQ
O Gemini Enterprise possui uma região de dados no Brasil (sa-east1)? Não há região brasileira documentada para esses conectores. As regiões suportadas para a configuração do Agentspace são global, us e eu.
Os dados da instituição de ensino são usados para treinar os modelos do Google? Não. Nos termos do Data Processing Addendum (DPA) do Google Cloud, prompts e dados corporativos processados pelo Gemini Enterprise não são usados para treinar modelos de IA.
Qual é o tempo de retenção dos dados indexados no Gemini Enterprise? Os dados cuja exclusão é solicitada pelo usuário são removidos dos sistemas do Google em até 60 dias, tratando-se de uma exclusão sob demanda.
Pronto para escalar a IA na sua instituição?
Fale com nossos arquitetos para revisar as configurações de segurança e garantir o sucesso do seu projeto educacional.