

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Configurare le credenziali del servizio
<a name="sharepoint-kb-admin-config"></a>

Prima di creare la knowledge base in Amazon Quick, completa i seguenti passaggi di configurazione in AWS e Microsoft Entra ID. Crei una chiave di firma KMS, generi un certificato, registri un'applicazione in Entra e concedi ad Amazon Quick l'autorizzazione all'uso della chiave.

Questa configurazione coinvolge più sistemi e potrebbe richiedere il coordinamento tra diversi amministratori dell'organizzazione. La tabella seguente riassume ogni passaggio e il ruolo necessario per completarlo.


**Fasi e ruoli di configurazione**  

| Fase | Cosa fai | Ruolo necessario | 
| --- | --- | --- | 
| 1. Chiave KMS | Crea una chiave di firma asimmetrica in KMS. AWS  | AWS amministratore (accesso alle console KMS e IAM) | 
| 2. Certificato | Genera un certificato autofirmato utilizzando la chiave pubblica KMS. | Uguale al passaggio 1 (sono AWS richiesti CLI e OpenSSL) | 
| 3. Entra nell'app | Registra un'applicazione in Microsoft Entra, assegna le autorizzazioni API e carica il certificato. | Amministratore globale o amministratore con ruolo privilegiato di Microsoft 365 | 
| 3b. Sites.Selected (opzionale) | Crea un'app di amministrazione temporanea e concedi le autorizzazioni per sito tramite l'API Microsoft Graph. | Microsoft 365 Global Admin (uguale alla Fase 3) | 
| 4. Accesso tramite chiave KMS | Concedi ad Amazon Quick l'autorizzazione a utilizzare la chiave KMS per la firma. | Amministratore Amazon Quick (Admin Pro) | 
| 5. Crea KB | Crea la knowledge base in Amazon Quick utilizzando le credenziali dei passaggi precedenti. | Qualsiasi utente Amazon Quick (Author Pro o Admin Pro) | 

**Suggerimento**  
In molte organizzazioni, una sola persona con entrambi i diritti di amministratore AWS e Microsoft 365 può completare tutti i passaggi. Se le responsabilità sono suddivise tra i team, condividi questa tabella per coordinare la configurazione.

## Prerequisiti
<a name="sharepoint-kb-admin-config-prerequisites"></a>

Prima di iniziare, assicurati di disporre di:
+ Un AWS account con un'istanza Amazon Quick attiva.
+ Accesso alla console AWS KMS (per creare la chiave di firma).
+ Accesso da amministratore Amazon Quick (ruolo Admin Pro) per la concessione delle autorizzazioni relative alle chiavi KMS.
+ Un tenant di Microsoft 365 con SharePoint Online.
+ Accesso da amministratore globale o amministratore con ruoli privilegiati in Microsoft Entra ID.
+ OpenSSL 3.0 o versione successiva e AWS CLI installata localmente.
+ L' AWS account e l'istanza Amazon Quick devono trovarsi nella stessa regione.

## Permissions
<a name="sharepoint-kb-admin-config-permissions"></a>

Le autorizzazioni assegnate dipendono da due scelte:
+ Se intendete abilitare il controllo degli accessi a livello di documento (scansione ACL).
+ Sia che tu voglia concedere l'accesso a tutti i SharePoint siti o solo a siti specifici.

### Scegli il tuo ambito di autorizzazione
<a name="sharepoint-kb-admin-config-permission-scope"></a>

Per impostazione predefinita, la registrazione all'app Entra utilizza `Sites.Read.All` or`Sites.FullControl.All`, che consente l'accesso a tutti i SharePoint siti del tenant. Se la tua organizzazione richiede un accesso con privilegi minimi, puoi utilizzare invece. `Sites.Selected` Con`Sites.Selected`, l'app può accedere solo ai siti a cui concedi esplicitamente l'autorizzazione.


**Confronto dell'ambito di autorizzazione**  

| Scope | Accesso | Passaggi aggiuntivi | 
| --- | --- | --- | 
| Tutti i siti (impostazione predefinita) | L'app può leggere tutti i SharePoint siti del tenant. | — | 
| Sites.Selected | L'app può accedere solo ai siti che concedi esplicitamente. | Richiede un'app di amministrazione temporanea e una chiamata all'API Microsoft Graph per ogni sito. Per informazioni, consulta [Fase 3b: concedere le autorizzazioni a livello di sito (solo) Sites.Selected](#sharepoint-kb-admin-sites-selected). | 

**Nota**  
Se lo utilizzi`Sites.Selected`, devi concedere l'accesso a ciascun sito singolarmente. Tutti i nuovi siti che verranno aggiunti alla knowledge base in futuro richiederanno inoltre una concessione di autorizzazione separata.

**Tutti i siti, solo contenuti (senza ACL)**


**Content-only autorizzazioni**  

| "Hello, World\!" | Autorizzazione | Tipo | 
| --- | --- | --- | 
| Microsoft Graph | Sites.Read.All | Applicazione | 
| SharePoint RIPOSO | Sites.Read.All | Applicazione | 

**Tutti i siti, con scansione ACL**


**Autorizzazioni di scansione ACL**  

| "Hello, World\!" | Autorizzazione | Tipo | 
| --- | --- | --- | 
| Microsoft Graph | Sites.Read.All | Applicazione | 
| Microsoft Graph | User.Read.All | Applicazione | 
| Microsoft Graph | GroupMember.Read.All | Applicazione | 
| SharePoint RIPOSO | Sites.FullControl.All | Applicazione | 

**Importante**  
Scegli le autorizzazioni per tutti i siti nelle tabelle precedenti o le `Sites.Selected` autorizzazioni nelle tabelle seguenti. Non combinarle entrambe. Se non sei sicuro, inizia con tutti i siti. Se necessario, puoi creare una nuova registrazione all'app Entra con un `Sites.Selected` secondo momento.

**Sites.Selected — solo contenuti (senza ACL)**


**Sites.Selected autorizzazioni solo per il contenuto**  

| "Hello, World\!" | Autorizzazione | Tipo | 
| --- | --- | --- | 
| Microsoft Graph | Sites.Selected | Applicazione | 
| SharePoint RIPOSO | Sites.Selected | Applicazione | 

**Sites.Selected — con scansione ACL**


**Sites.Selected autorizzazioni di scansione ACL**  

| "Hello, World\!" | Autorizzazione | Tipo | 
| --- | --- | --- | 
| Microsoft Graph | Sites.Selected | Applicazione | 
| Microsoft Graph | User.Read.All | Applicazione | 
| Microsoft Graph | GroupMember.Read.All | Applicazione | 
| SharePoint RIPOSO | Sites.Selected | Applicazione | 

**Nota**  
OneNote crawling (`Notes.Read.All`) non è supportato nelle configurazioni gestite dall'amministratore. Microsoft ha ritirato i token solo per le app per le OneNote API il 31 marzo 2025. [User-managed configurazione](sharepoint-kb-user-managed.md) OneNote Usalo per i contenuti.

## Valori raccolti durante la configurazione
<a name="sharepoint-kb-admin-config-values"></a>

La tabella seguente riassume i valori che crei o raccogli durante l'installazione e dove li utilizzi.


**Riferimento ai valori**  

| Valore | Creato in fase | Utilizzato in fase | 
| --- | --- | --- | 
| ARN della chiave KMS | 1 (KM) | 2 (Certificato), 4 (IAM), Configurazione rapida | 
| File di certificato (certificate.cer) | 2 (Certificato) | 3 (Inserisci upload) | 
| Impronta digitale del certificato (base64url) | 2 (Certificato) | Configurazione rapida | 
| ID dell'applicazione (client) | 3 (Entra) | Configurazione rapida | 
| ID dell'elenco (tenant) | 3 (Entra) | Configurazione rapida | 
| SharePoint URL del dominio | Il tuo tenant M365 | Configurazione rapida | 

## Fase 1: Creare una chiave di firma AWS asimmetrica KMS
<a name="sharepoint-kb-admin-step1-kms"></a>

Amazon Quick utilizza una chiave asimmetrica AWS KMS per firmare asserzioni OAuth durante l'autenticazione con Microsoft Entra ID. La chiave privata non esce mai da KMS. Solo la chiave pubblica viene esportata e incorporata in un certificato che viene caricato nella registrazione dell'app Entra.

### Crea la chiave KMS
<a name="sharepoint-kb-admin-kms-create"></a>

1. Apri la [AWS console KMS](https://console.aws.amazon.com/kms).

1. Nella sezione di navigazione a sinistra, scegli **Chiavi gestite dal cliente**.

1. Scegli **Crea chiave**.

### Configura la chiave
<a name="sharepoint-kb-admin-kms-configure"></a>

Nella pagina **Configura chiave**, imposta i seguenti valori:


**Configurazione delle chiavi KMS**  

| Impostazione | Valore | 
| --- | --- | 
| Tipo di chiavi | Asimmetrica | 
| Utilizzo delle chiavi | Sign and Verify (Firma e verifica) | 
| Specifica della chiave | RSA\_2048 | 
| Origine del materiale della chiave | KMS (consigliato) | 
| Regionalità | Single-Region chiave (impostazione predefinita). Multi-Region le chiavi non sono supportate. | 

### Aggiungere etichette
<a name="sharepoint-kb-admin-kms-labels"></a>

Nella pagina **Aggiungi etichette**, inserisci un alias per la chiave. Ad esempio: `quick-sharepoint-service-auth`.

**Nota**  
Le autorizzazioni di amministratore e utilizzo delle chiavi nelle pagine seguenti sono facoltative. Le impostazioni predefinite sono sufficienti per questa configurazione. Concedi ad Amazon Quick l'accesso alla chiave separatamente nella Fase 4.

Scegli **Salta per rivedere**, quindi scegli **Fine** per creare la chiave.

### Registra l'ARN della chiave
<a name="sharepoint-kb-admin-kms-arn"></a>

Dopo aver creato la chiave, apri la pagina dei dettagli della chiave e registra l'**ARN della chiave**. L'ARN ha il formato seguente:

```
arn:aws:kms:us-west-2:123456789012:key/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
```

Questo valore è necessario nei passaggi 2, 4 e quando si crea la knowledge base in Quick.

## Fase 2: Generazione di un certificato autofirmato
<a name="sharepoint-kb-admin-step2-certificate"></a>

L'ID Microsoft Entra richiede un X.509 certificato per convalidare le asserzioni firmate. Poiché la chiave privata KMS non esce mai da AWS KMS, non è possibile utilizzarla direttamente con OpenSSL. Al contrario, si genera una coppia di key pair locale temporanea e si crea una richiesta di firma del certificato. Quindi, usa l'opzione `-force_pubkey` OpenSSL per iniettare la chiave pubblica KMS nel certificato finale. Il risultato è un certificato autofirmato la cui chiave pubblica corrisponde alla coppia di chiavi KMS.

### Prerequisiti
<a name="sharepoint-kb-admin-cert-prereqs"></a>
+ AWS CLI installata e configurata.
+ OpenSSL 3.0 o versione successiva.
+ L'ARN della chiave KMS della fase 1.

### Genera il certificato
<a name="sharepoint-kb-admin-cert-generate"></a>

Esegui i seguenti comandi in un terminale. Sostituisci i {{placeholder}} valori con i tuoi.

**Verifica la versione di OpenSSL**

```
openssl version
```

Conferma che l'output mostri la versione 3.0 o successiva.

**Esporta la chiave pubblica KMS**

```
aws kms get-public-key \
    --key-id {{KMS_KEY_ARN}} \
    --region {{REGION}} \
    --output text \
    --query PublicKey | base64 --decode > public_key.der
```

**Nota**  
Su macOS, usa `base64 --decode` o `base64 -D` dipende dal tuo ambiente shell.

**Converti la chiave pubblica in formato PEM**

```
openssl rsa -pubin -inform DER -in public_key.der -outform PEM -out kms_public_key.pem
```

**Genera una key pair locale temporanea**

```
openssl genrsa -out temp_private_key.pem 2048
```

**Crea una richiesta di firma del certificato**

```
openssl req -new \
    -key temp_private_key.pem \
    -out cert.csr \
    -subj "/CN=QuickSharePointServiceAuth/O={{YourOrganization}}/C={{US}}"
```

**Genera il certificato con la chiave pubblica KMS**

```
openssl x509 -req \
    -in cert.csr \
    -signkey temp_private_key.pem \
    -out certificate.pem \
    -days 730 \
    -force_pubkey kms_public_key.pem
```

**Nota**  
OpenSSL visualizza l'avviso. `Signature key and public key of cert do not match` Ciò è previsto perché il certificato è firmato con la chiave locale temporanea ma contiene la chiave pubblica KMS. Il certificato è valido e funziona correttamente con Microsoft Entra.

**Converti in formato DER per il caricamento con Entra**

```
openssl x509 -in certificate.pem -outform DER -out certificate.cer
```

**Pulisci i file temporanei**

```
rm -f temp_private_key.pem cert.csr public_key.der kms_public_key.pem certificate.pem
```

**Importante**  
Conserva il `certificate.cer` file. Lo carichi su Microsoft Entra ID nel passaggio 3.

### Calcola l'impronta digitale del certificato
<a name="sharepoint-kb-admin-cert-thumbprint"></a>

Esegui il comando seguente per calcolare l'impronta digitale con codifica base64url SHA-1 del certificato:

```
openssl dgst -sha1 -binary certificate.cer | base64 | tr '+/' '-_' | tr -d '='
```

Registra questo valore. Lo inserisci quando crei la knowledge base in Quick.

**Nota**  
L'impronta digitale con codifica base64url è diversa dall'impronta esadecimale mostrata nel portale Microsoft Entra. Quick richiede il formato base64url.

## Passaggio 3: registrare un'applicazione in Microsoft Entra ID
<a name="sharepoint-kb-admin-step3-entra"></a>

Questo passaggio è necessario indipendentemente dal fatto che si utilizzino le autorizzazioni per tutti i siti o. `Sites.Selected` L'unica differenza è rappresentata dalle autorizzazioni API assegnate nella sezione. [Configura le autorizzazioni API](#sharepoint-kb-admin-entra-permissions)

### Registra l'applicazione
<a name="sharepoint-kb-admin-entra-register"></a>

1. Accedi al [centro di amministrazione di Microsoft Entra](https://entra.microsoft.com/).

1. Nella barra di navigazione a sinistra, espandi **Entra ID** e scegli **Registrazioni all'app**.

1. Scegli **Nuova registrazione**.

1. In **Nome**, inserisci `QuickSharePointServiceAuth`.

1. Per i **tipi di account supportati**, seleziona **Account solo in questa directory organizzativa (tenant singolo)**.

1. Lascia vuoto l'**URI di reindirizzamento**. Non è necessario un URI di reindirizzamento perché l'applicazione utilizza il flusso di credenziali del client, non un flusso di accesso interattivo.

1. Scegli **Registrati**.

### Registra i dettagli dell'applicazione
<a name="sharepoint-kb-admin-entra-record"></a>

Nella pagina **Panoramica** dell'applicazione, registrate i seguenti valori:


**Dettagli applicazione**  

| Valore | Location (Ubicazione) | 
| --- | --- | 
| ID dell’applicazione (client) | Visualizzato nella pagina Panoramica in Essentials. | 
| ID della directory (tenant) | Mostrato nella pagina Panoramica in Essentials. | 

### Configura le autorizzazioni API
<a name="sharepoint-kb-admin-entra-permissions"></a>

Aggiungi le autorizzazioni che corrispondono al tuo caso d'uso. Scegli le autorizzazioni dalle tabelle nella [Permissions](#sharepoint-kb-admin-config-permissions) sezione. Basate la selezione sull'ambito delle autorizzazioni (o su tutti i siti Sites.Selected) e sull'eventuale attivazione della scansione ACL.

**Solo contenuti: Microsoft Graph**
+ `Sites.Read.All`

**Solo contenuto: SharePoint**
+ `Sites.Read.All`

**Scansione ACL — Microsoft Graph (aggiuntivo)**
+ `Sites.Read.All`
+ `User.Read.All`
+ `GroupMember.Read.All`

**Ricerca per indicizzazione ACL — SharePoint**
+ `Sites.FullControl.All`

**Nota**  
`Sites.FullControl.All`è necessario per la scansione ACL perché l'API SharePoint REST richiede autorizzazioni di controllo completo per leggere le assegnazioni di autorizzazioni a livello di sito e di elemento. Se lo stai utilizzando, consulta il set di autorizzazioni alternativo. `Sites.Selected` [Fase 3b: concedere le autorizzazioni a livello di sito (solo) Sites.Selected](#sharepoint-kb-admin-sites-selected)

1. Nella barra di navigazione a sinistra della registrazione dell'app, scegli **Autorizzazioni API**.

1. Scegli **Aggiungi un'autorizzazione**.

1. Scegli **Microsoft Graph**.

1. Scegli **Autorizzazioni dell'applicazione**.

1. Cerca e seleziona le autorizzazioni Microsoft Graph richieste per il tuo caso d'uso, quindi scegli **Aggiungi autorizzazioni**.

1. Scegli nuovamente **Aggiungi un'autorizzazione**.

1. Scegli **SharePoint**(sotto le API Microsoft).

1. Scegli **Autorizzazioni dell'applicazione**.

1. Cerca e seleziona le SharePoint autorizzazioni richieste per il tuo caso d'uso, quindi scegli **Aggiungi** autorizzazioni.

**Importante**  
**Seleziona la scheda **Autorizzazioni dell'applicazione, non Autorizzazioni** delegate.** Admin-managed la configurazione utilizza il flusso di credenziali del client, che richiede le autorizzazioni dell'applicazione.

### Concedi il consenso dell'amministratore
<a name="sharepoint-kb-admin-entra-consent"></a>

1. Nella pagina delle **autorizzazioni API**, scegli **Concedi il consenso dell'amministratore per [La tua organizzazione]**.

1. Conferma il consenso quando richiesto.

**Importante**  
È richiesto il consenso dell'amministratore per le autorizzazioni dell'applicazione. Senza di esso, l'applicazione non può accedere ai SharePoint dati.

### Carica il certificato
<a name="sharepoint-kb-admin-entra-cert-upload"></a>

1. Nella barra di navigazione a sinistra della registrazione dell'app, scegli **Certificati e segreti**.

1. Scegliere la scheda **Certificates (Certificati)**.

1. Scegli **Carica certificato**.

1. Seleziona il `certificate.cer` file che hai generato nel passaggio 2.

1. Scegliere **Aggiungi**.

**Nota**  
Il portale Entra mostra l'impronta digitale del certificato in formato esadecimale. È diversa dall'impronta digitale con codifica base64url calcolata nella Fase 2. Utilizzate il valore base64url quando configurate la knowledge base in Quick.

## Fase 3b: concedere le autorizzazioni a livello di sito (solo) Sites.Selected
<a name="sharepoint-kb-admin-sites-selected"></a>

Se hai scelto `Sites.Selected` come ambito di autorizzazione, devi concedere esplicitamente all'app Amazon Quick Entra l'accesso a ciascun SharePoint sito. Ciò richiede un'app di amministrazione temporanea con l'`Sites.FullControl.All`autorizzazione a chiamare l'API Microsoft Graph.

Salta questo passaggio se utilizzi l'ambito di autorizzazione per tutti i siti (`Sites.Read.All`o`Sites.FullControl.All`).

### Ottieni l'ID del sito per ogni sito SharePoint
<a name="sharepoint-kb-admin-sites-selected-siteid"></a>

È necessario l'ID del sito per ogni SharePoint sito a cui desideri concedere l'accesso. Per ottenere un Site ID:

1. Nel browser, accedi al SharePoint sito (ad esempio,`https://{{yourcompany}}.sharepoint.com/sites/{{SiteName}}`).

1. Aggiungi `/_api/site/id` all'URL e premi Invio. Ad esempio: `https://{{yourcompany}}.sharepoint.com/sites/{{SiteName}}/_api/site/id`

1. La pagina visualizza una risposta XML contenente l'ID del sito (un GUID). Registra questo valore.

Ripetere l'operazione per ogni sito che si desidera includere nella knowledge base.

### Crea un'app di amministrazione temporanea
<a name="sharepoint-kb-admin-sites-selected-admin-app"></a>

L'app di amministrazione viene utilizzata solo per concedere autorizzazioni a livello di sito alla tua app Amazon Quick. Puoi eliminarla dopo aver completato questo passaggio.

1. Nell'interfaccia di [amministrazione di Microsoft Entra](https://entra.microsoft.com/), vai a **Registrazioni app** e scegli **Nuova registrazione**.

1. Per **Nome**, inserisci un nome descrittivo, ad esempio. `Quick-SharePoint-PermissionGranter`

1. Per i **tipi di account supportati**, seleziona **Account solo in questa directory organizzativa (tenant singolo)**.

1. **Lascia vuoto l'**URI di reindirizzamento** e scegli Registra.**

1. Registra l'**ID dell'applicazione (client)** dalla pagina Panoramica.

1. Scegli **Autorizzazioni API**, quindi **Aggiungi un'autorizzazione**.

1. Scegli **Microsoft Graph**, quindi **Autorizzazioni dell'applicazione**. Cerca e seleziona`Sites.FullControl.All`. Scegli **Add Permissions (Aggiungi autorizzazioni)**.

1. Scegli **Concedi il consenso dell'amministratore per [La tua organizzazione]** e conferma.

1. Scegli **Certificati e segreti**, quindi **Nuovo segreto del cliente**. Inserisci una descrizione, scegli un periodo di scadenza e scegli **Aggiungi**.

1. Registra immediatamente il **valore** segreto. Questo valore viene visualizzato solo una volta.

**Importante**  
Copia il **valore** segreto, non l'ID segreto. Il valore è la stringa più lunga utilizzata per l'autenticazione.

### Ottieni un token di accesso
<a name="sharepoint-kb-admin-sites-selected-token"></a>

Usa le credenziali dell'app di amministrazione per recuperare un token OAuth da Microsoft Entra. Sostituisci i {{placeholder}} valori con l'ID client, il valore segreto e l'ID tenant dell'app di amministrazione.

**macOS e Linux (bash)**

```
curl -s --location "https://login.microsoftonline.com/{{TENANT_ID}}/oauth2/v2.0/token" \
  --header "Content-Type: application/x-www-form-urlencoded" \
  --data-urlencode "grant_type=client_credentials" \
  --data-urlencode "client_id={{ADMIN_APP_CLIENT_ID}}" \
  --data-urlencode "client_secret={{ADMIN_APP_SECRET_VALUE}}" \
  --data-urlencode "scope=https://graph.microsoft.com/.default"
```

**Windows () PowerShell**

```
$tokenResponse = Invoke-RestMethod `
  -Uri "https://login.microsoftonline.com/{{TENANT_ID}}/oauth2/v2.0/token" `
  -Method Post `
  -ContentType "application/x-www-form-urlencoded" `
  -Body @{
    grant_type    = "client_credentials"
    client_id     = "{{ADMIN_APP_CLIENT_ID}}"
    client_secret = "{{ADMIN_APP_SECRET_VALUE}}"
    scope         = "https://graph.microsoft.com/.default"
  }
$adminToken = $tokenResponse.access_token
```

La risposta contiene un `access_token` campo. Registra questo valore per il passaggio successivo.

### Concedi autorizzazioni a livello di sito
<a name="sharepoint-kb-admin-sites-selected-grant"></a>

Usa il token di amministrazione per concedere all'app Amazon Quick Entra `fullcontrol` l'accesso a ogni SharePoint sito. Sostituisci i {{placeholder}} valori con l'ID del sito, il token di amministrazione, l'ID dell'app client e il nome visualizzato dello Step 3.

**macOS e Linux (bash)**

```
curl -s --location "https://graph.microsoft.com/v1.0/sites/{{SITE_ID}}/permissions" \
  --header "Content-Type: application/json" \
  --header "Authorization: Bearer {{ADMIN_TOKEN}}" \
  --data '{
    "roles": ["fullcontrol"],
    "grantedToIdentities": [{
      "application": {
        "id": "{{CLIENT_APP_ID}}",
        "displayName": "{{CLIENT_APP_NAME}}"
      }
    }]
  }'
```

**Windows () PowerShell**

```
$body = @{
    roles = @("fullcontrol")
    grantedToIdentities = @(
        @{
            application = @{
                id          = "{{CLIENT_APP_ID}}"
                displayName = "{{CLIENT_APP_NAME}}"
            }
        }
    )
} | ConvertTo-Json -Depth 10

Invoke-RestMethod `
  -Uri "https://graph.microsoft.com/v1.0/sites/{{SITE_ID}}/permissions" `
  -Method Post `
  -Headers @{
    "Content-Type"  = "application/json"
    "Authorization" = "Bearer $adminToken"
  } `
  -Body $body
```

Una risposta corretta include `"roles": ["fullcontrol"]` l'ID dell'app client nel `grantedToIdentities` campo.

**Importante**  
Ripeti questo comando per ogni SharePoint sito che desideri includere nella knowledge base. Tutti i nuovi siti che verranno aggiunti in futuro richiedono inoltre una concessione di autorizzazione separata.

### Eliminazione
<a name="sharepoint-kb-admin-sites-selected-cleanup"></a>

Dopo aver concesso le autorizzazioni a tutti i siti richiesti, puoi eliminare l'app di amministrazione temporanea dall'interfaccia di amministrazione di Microsoft Entra. Le autorizzazioni a livello di sito concesse rimangono valide indipendentemente dall'app di amministrazione.

**Nota**  
L'app di amministrazione temporanea viene utilizzata solo nell'ambiente locale per chiamare l'API Microsoft Graph. Amazon Quick non vede né ha mai accesso all'app di amministrazione o alle sue credenziali. Quando crei la knowledge base, ad Amazon Quick vengono fornite solo le credenziali dell'app client.

## Fase 4: concedere ad Amazon Quick l'autorizzazione per la chiave KMS
<a name="sharepoint-kb-admin-step4-iam"></a>

Amazon Quick necessita dell'autorizzazione per utilizzare la chiave KMS per firmare le asserzioni OAuth. Concedi questa autorizzazione dalla console di amministrazione di Amazon Quick.

**Nota**  
Questo passaggio richiede l'accesso da amministratore ad Amazon Quick (ruolo Admin Pro). Se non sei un amministratore, chiedi all'amministratore di Amazon Quick di completare questo passaggio utilizzando l'ARN della chiave KMS della Fase 1.

**Importante**  
Se la tua organizzazione gestisce il proprio ruolo di servizio Amazon Quick IAM, i seguenti passaggi della console potrebbero non essere applicabili. Assicurati invece che il ruolo disponga dell'`kms:Sign`autorizzazione sulla chiave KMS ARN della Fase 1.

1. In Amazon Quick, scegli **Gestisci account** dal riquadro di navigazione a sinistra.

1. In **Autorizzazioni**, scegli **AWS le risorse**.

1. Nella pagina delle AWS risorse, scorri fino a **AWS Key Management Service** e seleziona la casella di controllo.

1. Scegli **Seleziona tasti**.

1. **Nella finestra di dialogo **Seleziona chiavi KMS**, inserisci l'ARN della chiave KMS che hai registrato nel passaggio 1 e scegli Aggiungi.**

1. La chiave ARN viene visualizzata nell'elenco. Scegli **Fine**.

1. Scegli **Salva** nella parte inferiore della pagina delle AWS risorse.

## Fasi successive
<a name="sharepoint-kb-admin-config-next-steps"></a>

Dopo aver completato la configurazione, crea la connessione alla knowledge base SharePoint online in Amazon Quick. Per istruzioni, consulta [Crea la knowledge base in Amazon Quick](sharepoint-kb-admin-connection.md).