Autenticare
Educação & EdTech · · 6

Tutorial Técnico: Cómo habilitar Gemini Enterprise para instituciones educativas con Microsoft 365

Gemini Enterprise para instituciones educativas conecta Microsoft 365 con Google Cloud para crear agentes de IA seguros. Descubre cómo habilitar este MVP técnico.

Fabiano Brito

Fabiano Brito

CEO & Google Cloud Architect, Autenticare

Tutorial Técnico: Cómo habilitar Gemini Enterprise para instituciones educativas con Microsoft 365
TL;DR Aprende a aprovisionar Gemini Enterprise en Google Cloud, integrando conectores de SharePoint Online y OneDrive para entregar un MVP de agente de IA educativo seguro y en estricto cumplimiento con la normativa de protección de datos (LGPD).

Gemini Enterprise para instituciones educativas es la aplicación de la plataforma corporativa de IA de Google Cloud en el contexto educativo, permitiendo que universidades y escuelas conecten sus repositorios de datos existentes para crear agentes conversacionales seguros. A diferencia de un producto verticalizado exclusivo para educación, se trata de la robusta infraestructura de Gemini Enterprise configurada para indexar acervos académicos y administrativos, garantizando que las respuestas del agente se basen estrictamente en los documentos institucionales.

Para los equipos de TI que buscan habilitar Gemini Enterprise para educación, el desafío inicial es establecer el puente seguro entre el ecosistema de Google Cloud y los repositorios de Microsoft. Para acelerar esta adopción y garantizar las mejores prácticas de arquitectura, muchas instituciones recurren a una fábrica de agentes especializada. Este tutorial detalla el paso a paso para configurar el conector de Microsoft para Gemini Enterprise y entregar un MVP funcional de Gemini Enterprise para educación.

60 días

es el plazo máximo para que los datos cuya eliminación sea solicitada por el usuario sean borrados de los sistemas de Google, según la visión general de seguridad.

Fases de Implementación del MVP

La implementación de un MVP de Gemini Enterprise en una institución educativa exige una configuración rigurosa de accesos, APIs y conectores. El proceso se divide en siete fases técnicas, desde el aprovisionamiento inicial en Google Cloud hasta la validación de seguridad y cumplimiento normativo.

1

Requisitos previos e IAM

Antes de comenzar, es necesario asegurar las licencias de Gemini Enterprise y un proyecto activo en Google Cloud. En IAM (Identity and Access Management), asigna los roles exactos: roles/discoveryengine.agentspaceAdmin para el administrador de la plataforma, roles/discoveryengine.editor para la cuenta de servicio que configurará los data stores, y roles/discoveryengine.agentspaceUser para los usuarios finales del MVP. Del lado de Microsoft, se exige un tenant de Microsoft 365 con privilegios de administrador Global o Application de Entra ID.

2

Habilitar APIs en Google Cloud

El segundo paso es habilitar Gemini Enterprise en la Consola de Administración de Google (Google Admin Console) y activar las APIs oficiales necesarias para el MVP. El subconjunto de APIs exigido incluye Discovery Engine (núcleo de Agentspace), Cloud Resource Manager, Cloud Storage, IAM y Vertex AI. La activación se puede realizar vía terminal con el siguiente comando.

gcloud services enable discoveryengine.googleapis.com \
    cloudresourcemanager.googleapis.com \
    storage.googleapis.com \
    iam.googleapis.com \
    aiplatform.googleapis.com
Atención a la Región de Datos No hay una región documentada en Brasil (o Sudamérica) para estos conectores. Las regiones soportadas para la configuración de Agentspace son global, us y eu. Configura tu proyecto adecuadamente.
3

Registro de la App en Microsoft Entra ID

Para que Google Cloud acceda a los documentos de la institución, registra una aplicación en Microsoft Entra ID (anteriormente Azure AD) para la autenticación OAuth 2.0. Genera el Client ID y el Client Secret. Luego, configura la Redirect URI apuntando al endpoint específico del conector de Agentspace, garantizando el flujo seguro de tokens.

4

Configurar Conectores en Agentspace

Accede a la consola de Agentspace y añade las fuentes de datos. Los conectores soportan diferentes modos de operación: Federated Search (búsqueda en tiempo real sin ingesta), Data Ingestion con OAuth 2.0 y Data Ingestion con Federated Credentials. Consulta la documentación oficial para SharePoint Online y OneDrive para obtener los parámetros exactos de URL del tenant.

Matriz de Permisos OAuth 2.0

La configuración correcta de los permisos en Microsoft Graph y en las APIs específicas de SharePoint es el punto de fallo más común en integraciones de TI educativa. Las siguientes tablas detallan los alcances (scopes) exactos exigidos para cada modo de operación, garantizando el principio de menor privilegio.

Permisos para SharePoint Online

Modo de Operación Microsoft Graph API Microsoft SharePoint API
Federated Search Ninguno (Delegated) Sites.Search.All, AllSites.Read
Data Ingestion Federated Creds (Application) GroupMember.Read.All, User.Read, Sites.FullControl.All o Sites.Selected, User.ReadBasic.All (Application) Sites.FullControl.All o Sites.Selected
Data Ingestion OAuth 2.0 (Application) GroupMember.Read.All, User.Read, User.Read.All, Sites.FullControl.All o Sites.Selected (Delegated) AllSites.FullControl o Sites.Selected
Actions (Application) Sites.ReadWrite.All, Files.ReadWrite.All, Sites.Manage.All (Delegated) AllSites.Write

Permisos para OneDrive

Modo de Operación Microsoft Graph API (Application) Microsoft Graph API (Delegated)
Federated Search Ninguno Files.Read.All, Sites.Read.All, User.Read.All
Data Ingestion OAuth 2.0 Files.Read.All, Group.Read.All, GroupMember.Read.All, Sites.FullControl.All o Sites.Selected User.Read
Data Ingestion Federated Creds User.Read.All User.ReadBasic.All
Actions Ninguno Files.ReadWrite.AppFolder, Files.ReadWrite
6

Crawling e Indexación

Con los permisos concedidos, configura el schedule (programación) de crawling en Agentspace. Se recomienda iniciar con una sincronización manual para validar la ingesta. El tiempo de sincronización varía según el volumen de documentos presentes en el SharePoint y OneDrive de la institución.

Checklist de Seguridad y LGPD

Antes de liberar el agente para los usuarios finales de la institución educativa, el equipo de TI debe validar los controles de privacidad y cumplimiento. Google Cloud proporciona garantías contractuales estrictas sobre el procesamiento de datos corporativos.

Fase 7.1

🔧 Entrenamiento de IA

Según los términos del Data Processing Addendum (DPA) de Google Cloud, los prompts y datos corporativos procesados por Gemini Enterprise no se utilizan para entrenar modelos de IA.

Fase 7.2

🔧 Retención de Datos

Los datos cuya eliminación es solicitada por el usuario se borran de los sistemas de Google en un plazo máximo de 60 días, garantizando el derecho al olvido bajo demanda.

Fase 7.3

🔧 Evaluación EIPD

La institución debe evaluar la necesidad de una Evaluación de Impacto en la Protección de Datos (EIPD) basándose en el riesgo y volumen de datos personales procesados, conforme a las directrices de la autoridad de protección de datos correspondiente.

FAQ

¿Gemini Enterprise tiene una región de datos en Brasil (sa-east1)? No hay una región documentada en Brasil para estos conectores. Las regiones soportadas para la configuración de Agentspace son global, us y eu.

¿Los datos de la institución educativa se utilizan para entrenar los modelos de Google? No. Según los términos del Data Processing Addendum (DPA) de Google Cloud, los prompts y datos corporativos procesados por Gemini Enterprise no se utilizan para entrenar modelos de IA.

¿Cuál es el tiempo de retención de los datos indexados en Gemini Enterprise? Los datos cuya eliminación es solicitada por el usuario se borran de los sistemas de Google en un plazo máximo de 60 días, tratándose de una eliminación bajo demanda.

Próximos Pasos

¿Listo para escalar la IA en tu institución?

Habla con nuestros arquitectos para revisar las configuraciones de seguridad y garantizar el éxito de tu proyecto educativo.

Validar arquitectura del MVP →