本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# Amazon 快速Microsoft Teams扩展
<a name="teams-extension"></a>

的 Quick 扩展程序Microsoft Teams将 AI 驱动的辅助功能直接集成到您的团队沟通工作流程中。用户可以在对话中提及 @Amazon Quick，以访问公司知识，使用配置的操作连接器，并在不离开Teams环境的情况下获得情境帮助。

该Teams扩展使用户能够：
+ 在Teams频道的对话中提及 **@Amazon Quick 即可**将其添加为合作者。
+ 使用在 Amazon Quick 中配置的操作连接器中的操作。
+ 从内部访问添加到您的 Amazon Quick 实例中的任何公司知识资源Microsoft Teams。

**重要**  
Amazon Quick 整合客户Microsoft Teams必须有一个付费Microsoft Teams组织，并且必须*M365订阅其组织*。
Amazon Quick 不会将您的用户数据用于服务改进或训练其底层的大型语言模型 (LLMs)。

**Topics**
+ [Microsoft Teams延期的先决条件](#teams-prerequisites)
+ [配置Microsoft Teams分机访问权限](#configure-teams-extension)

## Microsoft Teams延期的先决条件
<a name="teams-prerequisites"></a>

在配置 Amazon Quick 扩展程序的访问权限之前Microsoft Teams，管理员必须完成以下步骤：

1. 订阅Microsoft 365企业版并成为全球管理员或拥有管理权限（特别是`AppCatalog.ReadWrite.All`）。

1. 有一个 Amazon Quick 实例。

1. 您的Microsoft 365租户 ID。你可以通过访问Azure门户 > **Azure 活动目录** > **属性**来找到它，或者使用PowerShell。有关详细步骤，请参阅[如何在门户Microsoft Entra中查找您的租Microsoft Learn户 ID](https://learn.microsoft.com/en-us/entra/fundamentals/how-to-find-tenant)。

如果您将身份验证配置为通过 IAM 身份中心连接到 Amazon Quick，请完成以下额外步骤：

1. 确保您的 AWS 账户启用了 IAM 身份中心实例。

1. 如果您要将外部 IAM 提供商连接到 IAM Identity Center，请确保您的 IAM 提供商配置下的每个用户都有与他们关联的电子邮件。

1. 如果您使用的是 Entra ID，请在Microsoft Entra ID实例和 IAM 身份中心之间设置 SCIM 身份传播。有关详细步骤，请参阅[使用 Microsoft Entra ID 和 IAM 身份中心配置 SAML 和 SCIM](https://docs.aws.amazon.com/singlesignon/latest/userguide/azure-ad-idp.html)。

## 配置Microsoft Teams分机访问权限
<a name="configure-teams-extension"></a>

作为管理员，您必须允许 Amazon Quick Microsoft Teams 连接到您的 Amazon Quick 应用程序环境。您可以使用 Amazon Quick 控制台来管理扩展程序访问配置。

### 用户属性映射
<a name="teams-user-attributes"></a>

配置Microsoft Teams扩展时，默认使用以下属性映射用户身份：
+ **Amazon Quick 用户属性**-电子邮件地址用于将 Amazon Quick 用户映射到其相应的Microsoft 365账户。系统使用电子邮件地址在用户身份之间建立连接。
+ **M365Office 加载项用户属性**-User Principal Name (UPN) 用于与Microsoft 365用户帐户进行匹配。用户需要使用User Principal Name (UPN)才能登录Microsoft 365。可在云端和本地系统上使用的电子邮件地址。

这些默认映射可确保在两个平台上安全、准确地识别用户，而无需额外配置。

**Topics**
+ [用户属性映射](#teams-user-attributes)
+ [使用 IAM 身份中心为账户添加 Microsoft Teams 扩展访问权限](#add-teams-extension-access-idc)
+ [使用其他身份验证方法为账户添加Microsoft Teams分机访问权限](#add-teams-extension-access)
+ [编辑Microsoft Teams分机访问权限](#edit-teams-extension-access)
+ [删除Microsoft Teams分机访问权限](#delete-teams-extension-access)

### 使用 IAM 身份中心为账户添加 Microsoft Teams 扩展访问权限
<a name="add-teams-extension-access-idc"></a>

使用 IAM Identity Center 配置分机访问权限需要完成特定于您的身份提供商的步骤（例如 Entra ID 或 Okta），然后完成中的常见设置步骤。 AWS

#### 使用入口 ID 配置 IAM 身份中心
<a name="configure-idc-entra-id"></a>

只有当你使用带有 Entra ID 的 IAM 身份中心在 Microsoft Azure 门户上设置和配置 Azure 租户时，请按照以下步骤操作：

**设置 Azure 租户**

1. 在 Azure 帐户中，创建新的应用程序注册。

   1. 前往 “**应用程序注册”。**

   1. 在 “**应用程序注册**” 屏幕中，选择 “**新建注册**”。在 “**支持的帐户类型**” 选项下，选择 “仅限**此组织目录中的帐户（仅限个人使用-单租户）**”。完成后，选择 “**注册**”。

   1. 记下客户端 ID。您稍后会需要此信息。

   1. 为应用程序注册创建客户端密钥。复制并保存密钥的**值**属性。稍后您将需要用到它。此值仅显示一次，并且在您离开页面后无法检索。

1.  URLs 为要安装您的 Teams 扩展程序的每个区域添加回调。

   1. 导航到应用程序注册的 “**身份验证**” 选项卡。

   1. 选择**平台配置**，**添加平台**。

   1. 选择**网页**。

   1. 使用以下格式撰写回传 URL，替换*your-region*为您的 Amazon Quick 实例区域。Teams 扩展支持以下区域：`ap-southeast-2``eu-west-1`、`us-west-2`、和`us-east-1`。

      ```
      qbs-cell001.dp.appintegrations.your-region.prod.plato.ai.aws.dev/auth/idc-tti/callback
      ```

   1. 插入回调 URL 作为重定向 URI，完成后选择**配置**。

按照以下步骤在 AWS 控制台中的 IAM Identity Center 实例上配置可信令牌发行者：

**配置可信令牌发行者**

1. 转到您的 AWS 账户并导航到您的 IAM 身份中心实例。

1. 导航到 “**设置”、“****身份验证**”。

1. 选择**创建可信令牌发布者**。

1. 添加颁发者网址，该网址应遵循此模板，其中*Tenant ID*指的是您的 Entra 租户 ID：

   ```
   login.microsoftonline.com/Tenant ID/v2.0
   ```
**注意**  
颁发者 URL 应是您的身份的 OIDC 发现端点，不包含众所周知的文档 URI 路径。如果您包含众所周知的文档 URI 路径，则这将不起作用。请参阅可信令牌发行者配置设置。

1. 选择**电子邮件**作为身份提供商属性和 IAM 身份中心属性。

完成这些特定于 Entra ID 的步骤后，请继续执行以下[完成 AWS 配置（所有提供商）](#complete-aws-config-teams)部分。

#### 使用 Okta 配置 IAM 身份中心
<a name="configure-idc-okta"></a>

仅当您使用带有 Okta 的 IAM Identity Center 在 Okta 管理员控制台中设置和配置您的应用程序集成时，请按照以下步骤操作：

**设置 Okta 应用程序**

1. 在你的 Okta 账户中，创建一个新的 Okta 应用程序集成。

   1. 在您的 Okta 管理控制台中，导航到**应用程序** > **应用程序**。

   1. 点击**创建应用程序集成**。

   1. 对于登录方法，请选择 **OIDC-OpenID** Connect。

   1. 对于应用程序类型，请选择 **Web 应用程序**。

   1. 单击 “**下一步**”。

   1. 提供应用程序集成名称。

   1. 在**授权类型** > **核心授权**下，确保选择了**授权码**和**刷新令牌**。

   1. 在 “**授权类型**” > “**高级**” > “**其他授**权” 下，确保选择 “**隐式（混合）**”。

1.  URIs 为要安装你的 Teams 扩展的每个区域添加回调

   1. 使用以下格式撰写回传 URI，将您要配置扩展程序的每个区域*your-region*替换为您的 Amazon Quick 实例区域。Teams 扩展支持以下区域：`ap-southeast-2``eu-west-1`、`us-west-2`、和`us-east-1`。

      ```
      qbs-cell001.dp.appintegrations.your-region.prod.plato.ai.aws.dev/auth/idc-tti/callback
      ```

   1. 在 “**登录重定向**” 下 URIs，单击 “**添加 URI**”，然后粘贴 URIs 您在上一步中生成的每个 URI。

1. 向您的组织提供该应用程序的访问权限：

   1. 在 “**分配**” > “**受控访问权限**” 下，选择组织中需要访问权限的群组。

   1. 在 “**分配**” > “**启用即时访问**” 下，选择 “**使用联合代理模式启用即时访问**”。

   1. 点击**保存**。

1. 记下您刚刚创建的应用程序集成的客户端 **ID** 和**客户端密钥**。在接下来的步骤中，您将需要这个。

**配置可信令牌发行者**

1. 转到您的 AWS 账户并导航到您的 IAM 身份中心实例。

1. 导航到 “**设置” > “****身份验证**”。

1. 选择**创建可信令牌发布者**。

1. 添加发卡机构网址，该网址应遵循此模板，其中*yourOktaDomain*指贵组织的 okta 网址，可能如下`your-organization.okta.com`所示：

   ```
   https://{yourOktaDomain}/oauth2/default
   ```
**注意**  
颁发者 URL 应是您的身份的 OIDC 发现端点，不包含众所周知的文档 URI 路径。如果您包含众所周知的文档 URI 路径，则这将不起作用。请参阅可信令牌发行者配置设置。

1. 选择**电子邮件**作为身份提供商属性和 IAM 身份中心属性。

完成这些特定于 OKTA 的步骤后，请继续执行以下[完成 AWS 配置（所有提供商）](#complete-aws-config-teams)部分。

#### 完成 AWS 配置（所有提供商）
<a name="complete-aws-config-teams"></a>

按照以下步骤在 AWS 控制台上设置权限：

**设置 权限**

1. 在 AWS 主机上导航到 Secrets Manager。

1. 选择**存储新密钥**。

1. 选择 “**其他密钥类型”，**然后选择 “**纯文本**” 选项卡。

1. 您的密钥应采用以下格式，并使用您在前面步骤中保存的应用程序注册客户端 ID 和应用程序注册客户端密钥：

   ```
   {
   "client_id":"Your app registration client ID",
   "client_secret":"Your app registration client secret value"
   }
   ```

1. 导航到您刚刚创建的密钥并保存 ARN 以备后用。

1. 现在在 AWS 控制台上导航到 IAM。

1. 在左侧导航栏中选择 “**访问管理**”、“**角色**”。

1. 选择**创建角色**。

1. 选择**自定义信任策略**。

1. 通过添加以下语句来替换您在创建身份提供商应用程序集成时选择的区域，将该角色配置为信任我们在配置身份*your-region*提供商应用程序集成时选择的相关区域的服务主体：

   ```
   {
   "Version": "2012-10-17", 		 	 	 
   "Statement": [
   {
       "Effect": "Allow",
       "Principal": {
           "Service": "your-region.prod.appintegrations.plato.aws.internal"
       },
       "Action": "sts:AssumeRole",
       "Condition": {}
   }
   ]
   }
   ```

1. 选择**下一步**。

1. 提供名称和描述，然后选择**创建角色**。

1. 导航到您刚刚创建的角色并将其选中。

1. 选择**添加权限**，**创建内联策略**。

1. 选择 **JSON**。

1. `sso:DescribeTrustedTokenIssuer`通过添加以下语句，为该角色配置从 Secrets Manager 读取密钥的权限和调用的权限：

   ```
   {
   "Version": "2012-10-17", 		 	 	 
   "Statement": [
   {
       "Sid": "BasePermissions",
       "Effect": "Allow",
       "Action": [
           "secretsmanager:GetSecretValue",
           "sso:DescribeTrustedTokenIssuer"
       ],
       "Resource": "*"
   }
   ]
   }
   ```

1. 提供策略名称并选择**创建策略**。

1. 复制并保存您创建的 IAM 角色的 ARN 以备日后使用。您在后续步骤中需要使用此值。

现在，你可以按照以下步骤创建新的扩展访问配置，允许 Amazon Quick 与你的 Microsoft Teams 环境集成：

**创建扩展访问配置**

1. 登录 Amazon Quick 控制台。

1. 在右上角，选择个人资料图片图标。

1. 从下拉菜单中选择 “**管理账户**”。

1. 在 “**权限**” 下，选择 “**扩展访问**权限”。

1. 在右上角，选择**新的分机访问权限**。

1. 选择**微软团队**。然后选择**下一步**。

1. 配置以下字段：
   + **名称**-您的分机名称已预先填好。您可以对其进行编辑并输入 Teams 扩展程序的描述性名称（最多 512 个字母数字字符，允许使用连字符但不允许使用空格）。
   + **描述（可选）**-已为您预先填写了扩展程序的描述。您可以对其进行编辑并输入新的描述，以提供有关此扩展配置的其他背景信息（最多 1000 个字符）。
   + **M365 租户 ID**-输入你的微软 365 租户标识符（必须为 36 个字符）。
   + **机密角色 ARN**-粘贴您在之前的步骤中创建的 IAM 角色的 ARN。
   + S@@ **ecrets ARN**-粘贴你在之前的步骤中创建的 Secrets Manager 密钥的 ARN。

1. 选择 “**添加**” 以保存新的访问配置。

   屏幕右上角将显示一条成功消息。

1. 在成功消息中，选择 “**查看扩展**” 以完成扩展程序的安装。
**注意**  
您也可以从 Amazon 快捷菜单的 “**连接**” > “**扩展**” 导航到安装屏幕。

创建后，此扩展程序访问配置使您组织中的作者和其他管理员能够在您的 Microsoft Teams 环境中创建和部署 Amazon Quick 扩展程序。

**注意**  
要让最终用户开始使用你的 Microsoft Teams 扩展程序，管理员或作者必须在配置扩展程序访问权限后完成扩展程序的部署。通知您的作者，共享此扩展后，他们可以在左侧导航栏的 “**扩展**” 下查看、编辑和完成该扩展的安装。要了解如何执行此操作，请参阅 Microsoft Teams 扩展作者指南中的安装微软 Teams 扩展。

### 使用其他身份验证方法为账户添加Microsoft Teams分机访问权限
<a name="add-teams-extension-access"></a>

按照以下步骤创建新的扩展访问配置，允许 Amazon Quick 与您的Microsoft Teams环境集成。

1. 登录 Amazon Quick 控制台。

1. 在右上角，选择个人资料图片图标。

1. 从下拉菜单中选择 “**管理账户**”。

1. 在 “**权限**” 下，选择 “**扩展访问**权限”。

1. 在右上角，选择 “**新建分机访问权限**”。

1. 选择 **Microsoft Team** s，然后选择**下一步**。

1. 配置以下字段：
   + **名称**-您的分机名称已预先填好。您可以对其进行编辑并输入Teams扩展名的描述性名称（最多 512 个字母数字字符，允许使用连字符但不允许使用空格）。
   + **描述**（可选）-已为您预先填写了扩展程序的描述。您可以对其进行编辑并输入新的描述，以提供有关此扩展配置的其他背景信息（最多 1000 个字符）。
   + **M365 租户 ID**-输入您的Microsoft 365租户标识符（必须为 36 个字符）。

1. 选择 “**添加**” 以保存新的访问配置。

   屏幕右上角将显示一条成功消息。

1. 在成功消息中，选择 “**查看扩展**” 以完成扩展程序的安装。
**注意**  
您也可以从 Amazon 快捷菜单的 “**连接**” > “**扩展**” 导航到安装屏幕。

创建扩展程序访问配置后，您组织中的作者和其他管理员就可以在您的Microsoft Teams环境中部署您的 Microsoft Teams Amazon Quick 扩展程序。

**注意**  
要让最终用户开始使用您的Microsoft Teams扩展程序，管理员或作者必须在配置扩展程序访问权限后完成扩展程序的部署。通知您的作者，共享此扩展后，他们可以在左侧导航栏的 “**扩展**” 下查看、编辑和完成该扩展的安装。要了解如何执行此操作，请参阅[Microsoft TeamsMicrosoft Teams扩展作者指南中的安装](https://docs.aws.amazon.com/quicksuite/latest/userguide/teams-extension-author-guide.html#add-extensions-teams)扩展。

### 编辑Microsoft Teams分机访问权限
<a name="edit-teams-extension-access"></a>

使用这些步骤修改现有Microsoft Teams分机访问权限的配置设置。

1. 登录 Amazon Quick 控制台。

1. 在右上角，选择个人资料图片图标。

1. 从下拉菜单中选择 “**管理账户**”。

1. 在 “**权限**” 下，选择 “**扩展访问**权限”。

1. 为需要编辑的Microsoft Teams扩展程序选择三点菜单图标。

1. 选择**编辑**。

1. 根据需要编辑配置，然后选择**保存**以确认更改。

您对Microsoft Teams扩展程序访问配置的更改已保存并立即生效。

### 删除Microsoft Teams分机访问权限
<a name="delete-teams-extension-access"></a>

按照以下步骤永久删除分Microsoft Teams机访问配置。并且无法撤消。

1. 登录 Amazon Quick 控制台。

1. 在右上角，选择个人资料图片图标。

1. 从下拉菜单中选择 “**管理账户**”。

1. 在 “**权限**” 下，选择 “**扩展访问**权限”。

1. 为需要删除的Microsoft Teams扩展程序选择三点菜单图标。

1. 选择**删除**。

1. 输入 “确认” 一词，然后选择 “**删除**”。

**注意**  
删除扩展程序访问权限会移除M365租户中所有用户的访问权限，并删除为其创建的所有扩展程序Teams。如果删除扩展程序访问失败，则管理员必须切换到作者视图并删除使用已配置Teams扩展程序访问权限的扩展程序，然后才能返回删除扩展程序访问权限。

配置了Microsoft Teams扩展访问权限后，您的团队现在可以在对话中使用 **@Quick** 提及，直接在其Teams环境中访问 AI 帮助、公司知识和操作连接器。