Freigeben über

Konfigurieren Sie Single Sign-On mit Microsoft Entra ID für Agenten in Microsoft Teams

  • Artikel

Copilot Studio unterstützt Single Sign-On (SSO) für Agenten, die in Microsoft Teams 1:1-Chats veröffentlicht sind, was bedeutet, dass Agenten Benutzer automatisch mit ihren Microsoft Teams Anmeldeinformationen anmelden können. SSO wird nur unterstützt, wenn Microsoft Entra ID verwendet wird. Andere Dienstanbieter, z. B. Azure AD v1, unterstützen SSO in Microsoft Teams nicht.

Wichtig

Es ist möglich, SSO in Microsoft Teams-Chats zu verwenden, ohne dass eine manuelle Authentifizierung erforderlich ist. Um diese Methode für ein zuvor veröffentlichtes Agent zu verwenden, konfigurieren Sie das Agent neu, um die Authentifizierung mit Microsoft zu verwenden, und veröffentlichen Sie es dann erneut Microsoft Teams. Es kann einige Stunden dauern, bis diese Änderung wirksam wird. Wenn sich ein Benutzer mitten in einer Unterhaltung befindet und die Änderung scheinbar nicht wirksam geworden ist, kann er im Chat „von vorne beginnen“ eingeben, um einen Neustart der Unterhaltung mit der neuesten Version von Agent zu erzwingen. Diese Änderungen sind jetzt für 1:1-Chats in Teams zwischen dem Benutzer und Agent verfügbar. Sie sind noch nicht für Gruppenchats oder Kanalnachrichten verfügbar.

SSO wird für in Dynamics 365 Kundenservice integrierte Agenten nicht unterstützt.

Bitte fahren Sie mit dem folgenden Dokument nicht fort, es sei denn, dies ist erforderlich. Wenn Sie für Ihr Agent eine manuelle Authentifizierung verwenden möchten, lesen Sie Benutzerauthentifizierung mit Microsoft Entra ID konfigurieren.

Anmerkung

Wenn Sie die Teams-SSO-Authentifizierung mit der manuellen Authentifizierungsoption verwenden und gleichzeitig Agent auf benutzerdefinierten Websites verwenden, müssen Sie die Teams-App mithilfe des App-Manifests bereitstellen.

Weitere Informationen finden Sie unter Laden Sie das Teams-App-Manifest für ein Agent herunter.

Andere Konfigurationen, z. B. andere Authentifizierungsoptionen als „Manuell“ oder über die Teams-Bereitstellung mit Copilot Studio mit einem Klick, funktionieren nicht.

Anforderungen

Konfigurieren Sie eine App-Registrierung

Bevor Sie SSO für Teams konfigurieren, müssen Sie die Benutzerauthentifizierung mit Microsoft Entra ID konfigurieren. Bei diesem Prozess wird eine App-Registrierung erstellt, die zum Einrichten von SSO erforderlich ist.

  1. Erstellen Sie eine -App-Registrierung. Weitere Informationen finden Sie in den Anweisungen unter Benutzerauthentifizierung mit Microsoft Entra ID konfigurieren.

  2. Die Umleitungs-URL hinzufügen.

  3. Geheimen Clientschlüssel generieren.

  4. Manuelle Authentifizierung konfigurieren.

Suchen Sie Ihre Microsoft Teams Kanal-App-ID

  1. Öffnen Sie in Copilot Studio die Datei Agent, für die Sie SSO konfigurieren möchten.

  2. Unter den Einstellungen für die Agent, Auswählen Kanäle. Wählen Sie die Kachel Microsoft Teams.

  3. Wenn der Microsoft Teams Kanal noch nicht mit Ihrem Agent verbunden ist, Auswählen schalten Sie Teams ein. Weitere Informationen finden Sie unter Verbinden und Agent im Microsoft Teams Kanal.

  4. Wählen Sie Details bearbeiten aus, erweitern Sie Mehr und wählen Sie dann Kopieren neben dem Feld App-ID aus.

Hinzufügen Ihrer Teams App ID zu Ihrer Microsoft Teams Kanal App-IT, um Ihre App zu registrieren

  1. Wechseln Sie zum Azure-Portal. Öffnen Sie das App-Registrierungsblatt für die App-Registrierung, die Sie erstellt haben, als Sie die Benutzerauthentifizierung für Ihr Agent konfiguriert haben.

  2. Wählen Sie API sichtbar machen im Seitenbereich aus. Wählen Sie Festlegen für die Anwendung-ID-URI aus.

    Screenshot der Position der Einstellungs-Schaltfläche für den Anwendungs-ID-URI.

  3. api://botid-{teamsbotid} eingeben und {teamsbotid} mit Ihrer Teams-Kanal-App-ID ersetzen, die Sie vorhin gefunden haben.

    Screenshot einer korrekt formatierten URI, die in das Feld Anwendungs-ID-URI eingegeben wurde.

  4. Wählen Sie Save (Speichern).

Anwendungen sind zum Aufrufen von APIs berechtigt, wenn ihnen im Rahmen des Zustimmungsprozesses von Benutzern/Administratoren die entsprechende Berechtigung erteilt wird. Weitere Informationen zu Berechtigungen finden Sie unter Berechtigungen und Zustimmung in der Microsoft Identity Platform.

Wenn die Option „Administratorzustimmung“ verfügbar ist, müssen Sie die Zustimmung erteilen:

  1. Gehen Sie dann bei Ihrer App-Registrierung im Azure-Portal zu API-Berechtigungen.

  2. Wählen Sie Einwilligung des Administrators für <Mandantennamen> gewähren und dann Ja aus.

Tipp

Um zu vermeiden, dass Benutzende jeder Anwendung zustimmen müssen, muss eine Fachkraft für die globale, Anwendungs- oder Cloud-Anwendungsadministration mandantenweite Einwilligung zu Ihren Anwendungsregistrierungen gewähren.

API Berechtigungen hinzufügen

  1. Gehen Sie dann bei Ihrer App-Registrierung im Azure-Portal zu API-Berechtigungen.

  2. Eine Berechtigung hinzufügen und Microsoft Graph auswählen.

  3. Wählen Sie Delegierte Berechtigungen. Eine Liste von Berechtigungen wird angezeigt.

  4. Erweitern Sie OpenId-Berechtigungen.

  5. Wählen Sie OpenID und Profil aus.

  6. Wählen Sie Berechtigungen hinzufügen aus.

    Screenshot der aktivierten openid- und Profilberechtigungen.

Definieren Sie einen benutzerdefinierten Umfang für Ihr Agent

  1. Gehen Sie dann bei Ihrer App-Registrierung im Azure-Portal zu API sichtbar machen.

  2. Wählen Sie Ein Bereich hinzufügen.

    Screenshot der Schaltflche einen Umfang hinzufügen.

  3. Legen Sie die folgenden Eigenschaften fest:

    Eigenschaften Wert
    Umangsname Geben Sie Test.Read ein
    Wer kann die Einwilligung erteilen? Wählen Sie Administratoren und Benutzer aus
    Administratorzustimmung für Anzeigename Geben Sie Test.Read ein
    Administratoreinwilligung Beschreibung Geben Sie Allows the app to sign the user in. ein
    Bundesstaat Wählen Sie Aktiviert aus

    Notiz

    Der Bereichsname Test.Read ist ein Platzhalterwert und sollte durch einen Namen ersetzt werden, der in Ihrer Umgebung sinnvoll ist.

  4. Wählen Sie Umfang hinzufügen aus.

Microsoft Teams Client-ID hinzufügen

Wichtig

In den folgenden Schritten sollten die bereitgestellten Werte für Microsoft Teams Client-IDs wörtlich verwendet werden, da sie für alle Mandanten gleich sind.

  1. Wählen Sie im Azure Portal auf Ihrerer Aop-Registrierungsmaske die Option API sichtbar machen und wählen Sie Client-Anwendugn hinzufügen aus.

    Screenshot der Schaltflche eine Client-Anwendung hinzufügen.

  2. In dem Feld Kunden ID geben Sie im Feld die Client-ID für Microsoft Teams Mobil/Desktop ein, die 1fec8e78-bce4-4aaf-ab1b-5451cc387264 ist. Auswählen das Kontrollkästchen für den Bereich, den Sie zuvor erstellt haben.

    Screenshot der Client-ID, die im Bereich Client-Anwendung hinzufügen eingegeben wurde.

  3. Wählen Sie Anwendung hinzufügen aus.

  4. Wiederholen Sie die vorherigen Schritte, aber geben Sie unter Client-ID die Client-ID für Microsoft Teams im Web ein, die 5e3ce6c0-2b1f-4285-8d4b-75ee78787346 lautet.

  5. Bestätigt die Seite Stellen Sie eine API bereit die die Microsoft Teams Client-App-IDs aiufführt..

Kurz gesagt: Die beiden Microsoft Teams-Client-IDs, die der Seite Eine API verfügbar machen hinzugefügt wurden, sind:

  • 1fec8e78-bce4-4aaf-ab1b-5451cc387264
  • 5e3ce6c0-2b1f-4285-8d4b-75ee78787346

Fügen Sie die Token-Austausch-URL zu den Authentifizierungseinstellungen Ihres Agent hinzu.

Um die Microsoft Entra ID-Authentifizierungseinstellungen in Copilot Studio zu aktualisieren, müssen Sie die Token-Austausch-URL hinzufügen, damit Microsoft Teams und Copilot Studio Informationen austauschen dürfen.

  1. Gehen Sie dann bei Ihrer App-Registrierung im Azure-Portal zu API sichtbar machen.

  2. Wählen Sie unter Bereiche das Symbol In Zwischenablage kopieren aus.

  3. In Copilot Studio, unter den Einstellungen für die Agent, Auswählen Sicherheit, und dann Auswählen die Kachel Authentifizierung .

  4. Für den Token-Austausch-URL (erforderlich für SSO) fügen Sie den Bereich ein, den Sie zuvor kopiert haben.

  5. Wählen Sie Speichern.

    Screenshot, wo die Token-Austausch-URL in Copilot Studio eingefügt werden soll.

Fügen Sie SSO zum Microsoft Teams Kanal Ihres Agent hinzu

  1. In Copilot Studio, unter den Einstellungen für die Agent, Auswählen Kanäle.

  2. Wählen Sie die Kachel Microsoft Teams.

  3. Wählen Sie Details bearbeiten und erweitern Sie Mehr.

  4. Für Client-ID der AAD-Anwendung fügen Sie die Anwendung (Cliet-ID) der Seite Ihrer-App-Registrierung hinzu.

    Um diesen Wert zu erhalten, öffnen Sie das Azure-Portal. Gehen Sie dann auf Ihrem App-Registrierungsblatt zu Überblick. Kopieren Sie den Wert im Kästchen Anwendung (Client)-ID.

  5. Für Ressourcen-URI geben Sie die Anwendungs-ID-URI aus Ihrer App-Registrierung ein.

    Um diesen Wert zu erhalten, öffnen Sie das Azure-Portal. Gehen Sie dann auf Ihrem App-Registrierungsblatt zu API sichtbar machen. Kopieren Sie den Wert im Kästchen Anwendungs-ID URI.

    Screenshot der Stelle, an der die Anwendungs-ID-URI im Teams-Kanal von Copilot Studio eingefügt werden soll.

  6. Wählen Sie Speichern und anschließend Schließen aus.

  7. Veröffentlichen Sie Agent erneut, um Ihren Kunden die neuesten Änderungen zur Verfügung zu stellen.

  8. Auswählen Öffnen Sie Agent in Teams, um eine neue Unterhaltung mit Ihrem Agent zu beginnen Microsoft Teams und prüfen Sie, ob Sie automatisch angemeldet werden.

Bekannte Probleme

Wenn Sie Ihr Agent zum ersten Mal mit manueller Authentifizierung ohne Teams SSO veröffentlicht haben, werden die Benutzer von Agent in Teams kontinuierlich zur Anmeldung aufgefordert.