技术教程:如何结合 Microsoft 365 启用 Gemini Enterprise 教育机构版
Gemini Enterprise 教育机构版将 Microsoft 365 与 Google Cloud 连接起来,以创建安全的 AI 代理。了解如何启用此技术 MVP。
Fabiano Brito
CEO & Google Cloud Architect, Autenticare
Gemini Enterprise 教育机构版 (Gemini Enterprise instituição de ensino) 是 Google Cloud 企业级 AI 平台在教育领域的应用,允许大学和学校连接其现有的数据存储库,以创建安全的对话代理。它并非专门针对教育的垂直产品,而是配置了强大的 Gemini Enterprise 基础设施来索引学术和行政档案,确保代理的回答严格基于机构内部文档。
对于寻求启用 Gemini Enterprise 教育版 (gemini enterprise educação) 的 IT 团队而言,最初的挑战是在 Google Cloud 生态系统和 Microsoft 存储库之间建立安全的桥梁。为了加速采用并确保最佳架构实践,许多机构求助于专业的代理工厂 (fábrica de agentes)。本教程详细介绍了配置 gemini enterprise microsoft connector 并交付一个功能完备的 mvp gemini enterprise educação 的分步指南。
60 天
根据安全概述,这是从 Google 系统中删除用户请求删除的数据的最长期限。
MVP 实施阶段
在教育机构中实施 Gemini Enterprise MVP 需要对访问权限、API 和连接器进行严格配置。该过程分为七个技术阶段,从 Google Cloud 中的初始配置,一直到安全性验证和 LGPD 合规性审查。
先决条件与 IAM
在开始之前,必须确保拥有 Gemini Enterprise 许可证以及一个活跃的 Google Cloud 项目。在 IAM (Identity and Access Management) 中,分配确切的角色:将 roles/discoveryengine.agentspaceAdmin 授予平台管理员,将 roles/discoveryengine.editor 授予用于配置 data stores 的服务账号,并将 roles/discoveryengine.agentspaceUser 授予 MVP 的最终用户。在 Microsoft 端,需要一个具有全局管理员 (Global Administrator) 或 Entra ID 应用程序管理员权限的 Microsoft 365 租户。
在 Google Cloud 中启用 API
第二步是在 Google Admin Console 中启用 Gemini Enterprise,并激活 MVP 所需的官方 API。所需的 API 子集包括 Discovery Engine(Agentspace 的核心)、Cloud Resource Manager、Cloud Storage、IAM 和 Vertex AI。可以通过终端使用以下命令进行激活。
gcloud services enable discoveryengine.googleapis.com \
cloudresourcemanager.googleapis.com \
storage.googleapis.com \
iam.googleapis.com \
aiplatform.googleapis.comglobal、us 和 eu。请相应地配置您的项目。
在 Microsoft Entra ID 中注册应用
为了让 Google Cloud 能够访问机构的文档,请在 Microsoft Entra ID(原 Azure AD)中注册一个应用程序以进行 OAuth 2.0 身份验证。生成 Client ID 和 Client Secret。然后,配置 Redirect URI,使其指向 Agentspace 连接器的特定端点,从而确保令牌的安全流转。
在 Agentspace 中配置连接器
访问 Agentspace 控制台并添加数据源。连接器支持不同的操作模式:Federated Search(无摄取的实时搜索)、Data Ingestion com OAuth 2.0(使用 OAuth 2.0 的数据摄取)以及 Data Ingestion com Federated Credentials(使用联合凭据的数据摄取)。请参阅 SharePoint Online 和 OneDrive 的官方文档,获取确切的租户 URL 参数。
OAuth 2.0 权限矩阵
在 Microsoft Graph 和特定的 SharePoint API 中正确配置权限,是教育 IT 集成中最常见的故障点。下表详细列出了每种操作模式所需的确切作用域 (scopes),以确保遵循最小权限原则。
SharePoint Online 权限
| 操作模式 | Microsoft Graph API | Microsoft SharePoint API |
|---|---|---|
| Federated Search | 无 | (Delegated) Sites.Search.All, AllSites.Read |
| Data Ingestion Federated Creds | (Application) GroupMember.Read.All, User.Read, Sites.FullControl.All 或 Sites.Selected, User.ReadBasic.All | (Application) Sites.FullControl.All 或 Sites.Selected |
| Data Ingestion OAuth 2.0 | (Application) GroupMember.Read.All, User.Read, User.Read.All, Sites.FullControl.All 或 Sites.Selected | (Delegated) AllSites.FullControl 或 Sites.Selected |
| Actions | (Application) Sites.ReadWrite.All, Files.ReadWrite.All, Sites.Manage.All | (Delegated) AllSites.Write |
OneDrive 权限
| 操作模式 | Microsoft Graph API (Application) | Microsoft Graph API (Delegated) |
|---|---|---|
| Federated Search | 无 | Files.Read.All, Sites.Read.All, User.Read.All |
| Data Ingestion OAuth 2.0 | Files.Read.All, Group.Read.All, GroupMember.Read.All, Sites.FullControl.All 或 Sites.Selected | User.Read |
| Data Ingestion Federated Creds | User.Read.All | User.ReadBasic.All |
| Actions | 无 | Files.ReadWrite.AppFolder, Files.ReadWrite |
抓取与索引 (Crawling e Indexação)
授予权限后,在 Agentspace 中配置抓取计划 (schedule de crawling)。建议先从手动同步开始,以验证数据摄取情况。同步时间因机构的 SharePoint 和 OneDrive 中存在的文档数量而异。
安全与 LGPD 合规检查清单
在向教育机构的最终用户发布代理之前,IT 团队必须验证隐私和合规性控制。Google Cloud 对企业数据的处理提供了严格的合同保障。
🔧 AI 训练
根据 Google Cloud 的 数据处理附录 (DPA) 条款,Gemini Enterprise 处理的提示词 (prompts) 和企业数据不会用于训练 AI 模型。
🔧 数据保留
用户请求删除的数据将在最多 60 天内从 Google 系统中移除,从而保障按需被遗忘的权利。
🔧 RIPD 评估
机构必须根据处理个人数据的风险和数量,按照 ANPD(巴西国家数据保护局)的指导,评估是否需要进行个人数据保护影响评估报告 (RIPD)。
FAQ
Gemini Enterprise 在巴西是否有数据区域 (sa-east1)? 目前这些连接器没有记录巴西区域。配置 Agentspace 支持的区域为 global、us 和 eu。
教育机构的数据是否用于训练 Google 的模型? 不会。根据 Google Cloud 的数据处理附录 (DPA) 条款,Gemini Enterprise 处理的提示词和企业数据不会用于训练 AI 模型。
Gemini Enterprise 中索引数据的保留时间是多久? 用户请求删除的数据将在最多 60 天内从 Google 系统中移除,这属于按需删除。