本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# Admin-managed 设置（服务凭证）
<a name="sharepoint-kb-admin-managed"></a>

使用管理员管理的设置，管理员使用基于证书的凭据配置 Amazon KMS 签名密钥和 Microsoft Entra ID 应用程序注册。个人用户无需通过登录进行授权。

Admin-managed 安装程序可选择包括文档级访问控制列表 (ACL) 支持。启用后，Amazon Quick 将在查询时同步每个用户的 ACL SharePoint 并验证其权限。有关更多信息，请参阅 [Document-level 访问控制](sharepoint-kb-acl.md)。

## 先决条件
<a name="sharepoint-kb-admin-prerequisites"></a>

开始之前，请确保您拥有：
+ 管理员有权访问 Amazon Quick 管理控制台。
+ 管理员访问微软 Entra ID 以注册应用程序并授予 API 权限。
+ 包含要索引的内容的 SharePoint 在线网站。

## 设置概述
<a name="sharepoint-kb-admin-overview"></a>

设置包括以下阶段：

1. **设置服务证书**-创建 KMS 签名密钥，生成证书，在 Entra 中注册应用程序，并授予 Amazon Quick 使用该密钥的权限。有关更多信息，请参阅 [设置服务凭证](sharepoint-kb-admin-config.md)。

1. **在 Amazon Quick 中**创建 SharePoint 知识库 — 使用第 1 阶段的服务凭证创建知识库。有关更多信息，请参阅 [在 Amazon Quick 中创建知识库](sharepoint-kb-admin-connection.md)。

Document-level 可以选择为所有管理员管理的知识库提供访问控制。有关访问控制工作原理的更多信息，请参阅[Document-level 访问控制](sharepoint-kb-acl.md)。

## 管理管理员管理的连接并对其进行故障排除
<a name="sharepoint-kb-admin-managed-troubleshooting"></a>

要编辑、共享或删除您的集成，请参阅[管理现有集成](integration-workflows.md#managing-existing-integrations)。
+ **无法访问 KMS 密钥**-验证 KMS 密钥 ARN 和区域。确认已在 Amazon Quick 管理控制台的 “**管理账户、**Amazon 资源**、Amazon 密钥管理****服务” 下添加 KMS 密钥**。确认密钥已启用且尚未计划删除。 Multi-Region 目前不支持密钥。
+ **证书验证失败**-使用证书生成步骤中的 base64url 编码 SHA-1 值验证指纹。确保上传到 Entra 的证书尚未过期。
+ **未强制执行 ACL** — 确认 Entra 应用程序已`User.Read.All``GroupMember.Read.All`在 Microsoft Graph 上使用。对于 SharePoint 资源，请确认应用程序有`Sites.FullControl.All`。如果使用`Sites.Selected`，请确认已为知识库中的每个站点授予每个站点的权限。 Re-run 修复权限后进行完全同步。有关验证文档访问权限的更多信息，请参阅[检查文档访问权限（ACL 验证）](sync-reports-observability.md#sync-reports-acl-verification)。
+ **未抓取任何项目**-同步已完成，但未为任何文档编制索引。这通常表示存在权限问题。验证 Entra 应用程序是否具有适用于您的权限范围的正确 API 权限。如果使用`Sites.Selected`，请确认已为知识库中包含的每个站点授予每个站点的权限（请参阅[步骤 3b：授予站点级权限（仅限）Sites.Selected](sharepoint-kb-admin-config.md#sharepoint-kb-admin-sites-selected)）。还要验证这些 SharePoint 网站是否包含内容并且可以访问。
+ **新网站未被抓取 (Sites.Selected)** — 如果您在知识库中添加了新的网站网址，但该网站的内容未被编入索引，则可能缺少 Microsoft Graph API 权限授权。确认您已为新网站申请了资助。每个网站在使用时都需要单独的授权`Sites.Selected`。有关更多信息，请参阅 [授予站点级权限](sharepoint-kb-admin-config.md#sharepoint-kb-admin-sites-selected-grant)。
+ **未返回任何结果的特定路径**-请确认您使用的是 SharePoint 路径，而不是浏览器 URL。要获取正确的路径，请导航到中的项目 SharePoint，选择 “**更多选项**” 菜单 (‹)，选择 “**详细信息**”，然后滚动到 “**路径**” 并选择 “**复制**”。还要验证路径是否仍然存在且未被重命名或移入 SharePoint。
+ **证书到期后同步**失败 — 如果共享相同数据源连接的多个知识库同步失败，则上传到 Entra 的证书可能已过期。生成新证书（请参阅[步骤 2：生成自签名证书](sharepoint-kb-admin-config.md#sharepoint-kb-admin-step2-certificate)），将其上传到 Entra 应用程序注册处，然后更新连接详细信息。如果原始创建者不在场，Amazon Quick 管理员可以通过 “**管理资产**” 重新分配数据源所有权。有关更多信息，请参阅 [共享数据源连接](sharing-kb-datasources.md#sharing-datasources)。
+ **没有来自 ACL-enabled 知识库的结果** — 如果用户在启用 ACL 管理的知识库中未收到任何结果，则可能未获得对实时 ACL 应用程序的管理员同意。您的租户也可能阻止用户同意。启用 ACL 管理后，使用 Amazon Quick 控制台中提供的链接授予管理员同意，或参见[管理员同意](sharepoint-kb-acl.md#sharepoint-kb-acl-admin-consent)。
+ **跳过文档并显示 “文件没有 ACL” 错误 — 如果同步报告显示的项目状态为 “已**跳过”，错误类型为 VALIDATION\_ERROR，并显示消息 “文件没有 ACL 而 CrawlaCL 为真，正在跳过摄取”，则 Entra 应用程序注册缺少所需的 ACL 权限。验证该应用程序是否具有适合您的设置的正确权限。有关所需的权限，请参阅[Permissions](sharepoint-kb-admin-config.md#sharepoint-kb-admin-config-permissions)。

有关其他疑难解答，包括同步监控、报告和 ACL 验证，请参阅[故障排除 SharePoint 知识库](sharepoint-kb-troubleshooting.md)。