Microsoft OneDrive コネクタ V2.0 - Amazon Kendra
サポートされている機能前提条件接続手順

Microsoft OneDrive コネクタ V2.0

Microsoft OneDrive は、コンテンツの保存、共有、およびホストに使用できるクラウドベースのストレージサービスです。Amazon Kendra を使用して OneDrive データソースのインデックスを作成できます。

Amazon KendraコンソールOneDriveConfiguration API を使用して、Amazon Kendra を OneDrive データソースに接続できます。

注記

OneDrive コネクタ V1.0/OneDriveConfiguration API のサポートは、2023 年 6 月までに終了する予定です。OneDrive コネクタ V2.0/TemplateConfiguration API を使用することをお勧めします。バージョン 2.0 では、ACL と ID クローラー機能が追加されています。

Amazon Kendra OneDrive データソースコネクタのトラブルシューティングについては、「データソースのトラブルシューティング」を参照してください。

サポートされている機能

Amazon Kendra OneDrive データソースコネクタは以下の機能をサポートしています。

  • フィールドマッピング

  • ユーザーアクセスコントロール

  • 包含/除外フィルター

  • 完全および増分コンテンツ同期

  • 仮想プライベートクラウド (VPC)

前提条件

Amazon Kendra を使用して OneDrive データソースのインデックスを作成するには、OneDrive および AWS アカウントでこれらの変更を行ってください。

OneDrive で以下を確認してください。

  • Office 365 で OneDrive アカウントを作成しました。

  • Microsoft 365 のテナント ID を記録しました。テナント ID は Azure Active Directory ポータルのプロパティまたは OAuth アプリケーションで確認できます。

  • Azure portal で OAuth アプリケーションを作成し、クライアント ID、クライアントシークレット、または AWS Secrets Manager シークレットの認証に使用されるクライアント認証情報を書き留めました。詳細については、Microsoft のチュートリアルアプリケーションの登録の例を参照してください。

    注記

    Azure portal でアプリを作成または登録すると、シークレット ID は実際のシークレット値を表します。シークレットとアプリを作成するときに、実際のシークレット値を書き留めるか保存しておく必要があります。シークレットにアクセスするには、Azure portal でアプリケーションの名前を選択し、証明書とシークレットのメニューオプションに移動します。

    クライアント ID にアクセスするには、Azure portal でアプリケーションの名前を選択し、概要ページに移動します。アプリケーション (クライアント) ID は、クライアント ID です。

    注記

    認証情報とシークレットは、定期的に更新またはローテーションすることをお勧めします。セキュリティに必要なアクセスレベルのみを提供してください。認証情報とシークレットを、データソース、コネクタバージョン 1.0 と 2.0 (該当する場合) で再利用することは推奨しません

  • AD アプリケーション ID を使用して AD サイト上のアプリケーションのシークレットキーを登録しました。シークレットキーには、アプリケーション ID とシークレットキーが含まれている必要があります。

  • 組織の AD ドメインをコピーしました。

  • Microsoft Graph オプションで、AD アプリケーションに次アクセス許可を追加しました。

    • すべてのサイトコレクション内のファイルを読み取る (File.Read.All)

    • すべてのユーザーの完全なプロフィールを読み取る (User.Read.All)

    • すべてのグループを読み取る (Group.Read.All)

    • すべてのメモを読む (Notes.Read.All)

  • インデックスを作成する必要があるドキュメントを持つユーザーのリストをコピーしました。ユーザー名のリストを指定するか、Amazon S3 に保存されているファイルにユーザー名を指定できます。データソースを作成すると、次のことが行なえます。

    • ユーザーのリストを変更します。

    • ユーザーのリストから Amazon S3 バケットに保存されているリストに変更します。

    • ユーザーリストの Amazon S3 バケットの場所を変更します。バケットの場所を変更する場合は、データソースの IAM ロールも更新して、バケットにアクセスできるようにする必要があります。

      注記

      Amazon S3 バケットにユーザー名のリストを保存する場合、データソースの IAM ポリシーは、バケットへのアクセスと、バケットが暗号化されたキー (存在する場合) へのアクセス権を提供する必要があります。

      OneDrive コネクタは、[OneDrive ユーザープロパティ]にある [連絡先情報からの E メール] を使用します。データをクロールするユーザーの [連絡先情報] ページの E メールフィールドが設定されていることを確認します。新規ユーザーの場合は、このフィールドは空白になる場合があります。

AWS アカウントで以下を確認してください。

  • Amazon Kendra インデックスが作成済みで、API を使用している場合はインデックス ID を記録済み。

  • データソース用の IAM ロールが作成済みで、API を使用している場合は IAM ロールの ARN を記録済み。

  • OneDrive の認証情報をAWSSecrets Manager シークレットに保存し、API を使用している場合はシークレットの ARN を記録済み。

既存の IAM ロールやシークレットがない場合は、OneDrive データソースを Amazon Kendra に接続するときに、コンソールを使用して新しい IAM ロールと Secrets Manager シークレットを作成できます。API を使用している場合は、既存の IAM ロールと Secrets Manager シークレットの ARN、およびインデックス ID を指定する必要があります。

接続手順

Amazon Kendra を OneDrive データソースに接続するには、Amazon Kendra がデータにアクセスできるように OneDrive 認証情報の詳細を入力する必要があります。Amazon Kendra の OneDrive をまだ設定していない場合は、「前提条件」を参照してください。

Console

Amazon Kendra を OneDrive に接続するには

  1. AWS マネジメントコンソール にサインインして、Amazon Kendra コンソール を開きます。

  2. 左側のナビゲーションペインで、[インデックス] を選択し、インデックスのリストから使用するインデックスを選択します。

    注記

    [インデックスの設定] で、[ユーザーアクセスコントロール] 設定を設定または編集できます。

  3. [使用開始] ページで、[データソースを追加] を選択します。

  4. [データソースを追加] ページで [OneDrive コネクタ] を選択し、[コネクタを追加] を選択します。バージョン 2 (該当する場合) を使用している場合は、「V2.0」タグが付いた [OneDrive コネクタ] を選択します。

  5. [データソースの詳細を指定] ページで、次の情報を入力します。

    1. [名前と説明][データソース名] に、データソースの名前を入力します。ハイフン (-) は使用できますが、スペースは使用できません。

    2. (オプション) [説明] - オプションで、データソースの説明を入力します。

    3. [デフォルト言語] - インデックス用にドキュメントをフィルターするための言語。特に指定しない限り、言語はデフォルトで英語に設定されます。ドキュメントのメタデータで指定された言語は、選択した言語よりも優先されます。

    4. [タグ][新しいタグを追加] - リソースの検索とフィルタリングや、AWS コストの追跡を行うためのオプションのタグを含めることができます。

    5. [Next] (次へ) を選択します。

  6. [アクセスとセキュリティの定義] ページで、次の情報を入力します。

    1. OneDrive テナント ID - OneDrive テナント ID をプロトコルなしで入力します。

    2. [承認] - アクセスコントロールリスト (ACL) があり、それをアクセスコントロールに使用する場合に、ドキュメントの ACL 情報を有効にするか無効にするかを選択します。ACL では、ユーザーとグループがアクセスできるドキュメントを指定します。ACL 情報は、ユーザーまたはそのグループのドキュメントへのアクセスに基づいて、検索結果をフィルタリングするために使用されます。詳細については、「User context filtering」を参照してください。

    3. [認証] - [新規] または [既存] を選択します。

      1. [既存] を選択した場合は、[シークレットを選択] で既存のシークレットを選択します。

      2. [新規] を選択した場合は、[新規の AWS Secrets Manager シークレット] セクションに次の情報を入力します。

        1. [シークレット名] - シークレットの名前。シークレット名に、プレフィックス「AmazonKendra-OneDrive-」が自動的に追加されます。

        2. [クライアント ID][クライアントシークレット] - クライアント ID とクライアントシークレットを入力します。

    5. [仮想プライベートクラウド (VPC)] - VPC の使用を選択できます。選択する場合は、[サブネット][VPC セキュリティグループ] を追加する必要があります。

    6. [ID クローラー] - Amazon Kendra の ID クローラーを有効にするかどうかを指定します。ID クローラーは、ドキュメントのアクセスコントロールリスト (ACL) 情報を使用して、ユーザーまたはそのグループのドキュメントへのアクセス権に基づいて検索結果をフィルタリングします。ドキュメントの ACL があり、ACL を使用する場合は、Amazon Kendra の ID クローラーを有効にして、検索結果のユーザーコンテキストフィルタリングを設定することもできます。それ以外の場合は、ID クローラーがオフになっている場合、すべてのドキュメントは公開され検索可能になります。ID クローラーがオフになっているときにドキュメントのアクセスコントロールを使用する場合は、代わりに PutPrincipalMapping API を使用して、ユーザーコンテキストフィルタリング用にユーザーとグループのアクセス情報をアップロードすることができます。

    7. [IAM ロール] - 既存の IAM ロールを選択するか、新しい IAM ロールを作成して、リポジトリの認証情報とインデックスコンテンツにアクセスします。

      注記

      インデックスに使用される IAM ロールは、データソースには使用できません。インデックスやよくある質問に既存のロールが使用されているかどうかが不明な場合は、エラーを避けるため、[新しいロールを作成] を選択してください。

    8. [Next] (次へ) を選択します。

  7. [同期設定の構成] ページで、次の情報を入力します。

    1. [同期の範囲] の場合 - インデックスを作成するユーザーの OneDrive データを選択します。最大 10 のユーザーを手動で追加できます。

    2. [追加設定] の場合 - 特定のコンテンツを含めるか除外する正規表現パターンを追加します。最大 100 のパターンを追加できます。

    3. [同期モード] - データソースのコンテンツが変更されたときのインデックスの更新方法を選択します。Amazon Kendra でデータソースを初めて同期すると、デフォルトですべてのコンテンツがクロールされ、インデックスが作成されます。同期モードオプションとして完全同期を選択していない場合でも、最初の同期が失敗した場合は、データの完全同期を実行する必要があります。

      • 完全同期: データソースがインデックスと同期されるたびに、既存のコンテンツを置き換えて、すべてのコンテンツのインデックスを新たに作成します。

      • 新規作成、変更の同期: データソースがインデックスと同期するたびに、新規作成および変更されたコンテンツのみのインデックスを作成します。Amazon Kendra は、データソースのメカニズムを利用してコンテンツの変更を追跡し、前回の同期以降に変更されたコンテンツのインデックスを作成することができます。

      • 新規作成、変更、削除の同期: データソースがインデックスと同期するたびに、新規作成、変更、削除されたコンテンツのみのインデックスを作成します。Amazon Kendra は、データソースのメカニズムを利用してコンテンツの変更を追跡し、前回の同期以降に変更されたコンテンツのインデックスを作成することができます。

    4. [同期実行スケジュール][頻度] - データソースコンテンツを同期してインデックスを更新する頻度を選択します。

    5. [Next] (次へ) を選択します。

  9. [フィールドマッピングを設定] ページで、次の情報を入力します。

    1. [デフォルトのデータソースフィールド] - Amazon Kendra が生成するデフォルトのデータソースフィールドから、インデックスにマッピングするものを選択します。

    2. [Next] (次へ) を選択します。

  10. [確認と作成] ページで、入力した情報が正しいことを確認し、[データソースを追加] を選択します。このページで情報の編集を選択することもできます。データソースが正常に追加されると、データソースが [データソース] ページに表示されます。

API

Amazon Kendra を OneDrive に接続するには

TemplateConfiguration API を使用してデータソーススキーマの JSON を指定する必要があります。これには、以下の情報を入力する必要があります。

  • [データソース]TemplateConfiguration JSON スキーマを使用する場合は、データソースタイプを ONEDRIVEV2 と指定します。また、CreateDataSource API を呼び出す場合は、データソースを TEMPLATE と指定します。

  • テナント ID - Microsoft 365 テナント ID を指定します。テナント ID は Azure Active Directory ポータルのプロパティまたは OAuth アプリケーションで確認できます。

  • [同期モード] - データソースのコンテンツが変更されたときに、Amazon Kendra がインデックスを更新する方法を指定します。Amazon Kendra でデータソースを初めて同期すると、デフォルトですべてのコンテンツがクロールされ、インデックスが作成されます。同期モードオプションとして完全同期を選択していない場合でも、最初の同期が失敗した場合は、データの完全同期を実行する必要があります。以下のいずれかから選択できます。

    • FORCED_FULL_CRAWL は、データソースがインデックスと同期されるたびに、既存のコンテンツを置き換えて、すべてのコンテンツのインデックスを新たに作成します。

    • FULL_CRAWL は、データソースがインデックスと同期するたびに、新規作成、変更、削除されたコンテンツのみのインデックスを作成します。Amazon Kendra は、データソースのメカニズムを利用してコンテンツの変更を追跡し、前回の同期以降に変更されたコンテンツのインデックスを作成することができます。

    • CHANGE_LOG は、データソースがインデックスと同期するたびに、新規作成および変更されたコンテンツのインデックスのみを作成します。Amazon Kendra は、データソースのメカニズムを利用してコンテンツの変更を追跡し、前回の同期以降に変更されたコンテンツのインデックスを作成できます。

  • シークレット Amazon リソースネーム (ARN) - OneDrive アカウントで作成した認証の認証情報を含む Secrets Manager シークレットの Amazon リソースネーム (ARN) を指定します。

    OAuth 2.0 認証を使用する場合、シークレットは以下のキーを含む JSON 構造に保存されます。

    {
    "clientId": "client ID",
    "clientSecret": "client secret"
}

  • [IAM ロール] - CreateDataSource を呼び出す際に RoleArn を指定して、Secrets Manager シークレットへのアクセス許可を IAM ロールに提供し、OneDrive コネクタと Amazon Kendra に必要なパブリック API を呼び出します。詳細については、「IAM roles for OneDrive data sources」を参照してください。

オプションで、次の機能を追加することもできます。

  • [仮想プライベートクラウド (VPC)] - VpcConfigurationCreateDataSource を呼び出すタイミングを指定します。詳細については、「Amazon VPC を使用するための Amazon Kendra の設定」を参照してください。

  • 包含フィルターと除外フィルター - 特定のファイル、OneNote セクション、および OneNote ページを含めるか除外するかを指定できます。

    注記

    ほとんどのデータソースは、フィルターと呼ばれる包含または除外パターンである正規表現パターンを使用しています。包含フィルターを指定すると、包含フィルターに一致するコンテンツのみのインデックスが作成されます。包含フィルターに一致しないドキュメントのインデックスは作成されません。包含フィルターと除外フィルターを指定した場合、除外フィルターに一致するドキュメントは、包含フィルターと一致してもインデックスは作成されません。

  • [ID クローラー] - Amazon Kendra の ID クローラーを有効にするかどうかを指定します。ID クローラーは、ドキュメントのアクセスコントロールリスト (ACL) 情報を使用して、ユーザーまたはそのグループのドキュメントへのアクセス権に基づいて検索結果をフィルタリングします。ドキュメントの ACL があり、ACL を使用する場合は、Amazon Kendra の ID クローラーを有効にして、検索結果のユーザーコンテキストフィルタリングを設定することもできます。それ以外の場合は、ID クローラーがオフになっている場合、すべてのドキュメントは公開され検索可能になります。ID クローラーがオフになっているときにドキュメントのアクセスコントロールを使用する場合は、代わりに PutPrincipalMapping API を使用して、ユーザーコンテキストフィルタリング用にユーザーとグループのアクセス情報をアップロードすることができます。

  • [フィールドマッピング] - Amazon Kendra OneDrive コネクタの場合、組み込みのインデックスフィールド、または共通インデックスフィールドのみをマップすることができます。API の制限により、OneDrive コネクタではカスタムフィールドマッピングは使用できません。詳細については、「データソースフィールドのマッピング」を参照してください。

設定が必要なその他の重要な JSON キーのリストについては、「OneDrive テンプレートスキーマ」を参照してください。