Konfigurieren der Benutzerauthentifizierung in Copilot Studio
Die Authentifizierung ermöglicht es Benutzenden, sich anzumelden und Ihrem Agenten Zugriff auf eine eingeschränkte Ressource oder Informationen zu gewähren. Benutzer können sich mit einem Microsoft Entra ID oder mit einem beliebigen OAuth2-Identitätsanbieter wie Google oder Facebook anmelden
Anmerkung
Sie können in Microsoft Teams einen Copilot Studio-Agenten so konfigurieren, dass er Authentifizierungsfunktionen bereitstellt, damit sich Benutzende mit einer Microsoft Entra ID oder einem beliebigen OAuth2-Identitätsanbieter wie einem Microsoft- oder Facebook-Konto anmelden können.
Sie können Themen eine Benutzerauthentifizierung hinzufügen, wenn Sie ein Thema bearbeiten.
Wichtig
Änderungen an der Authentifizierungskonfiguration werden erst wirksam, nachdem Sie Ihren Agenten veröffentlicht haben. Stellen Sie sicher, dass Sie im Voraus planen, bevor Sie Authentifizierungsänderungen an Ihrem Agenten vornehmen.
Eine Authentifizierungsoption auswählen
Copilot Studio unterstützt mehrere Authentifizierungsoptionen. Wählen Sie diejenige aus, die Ihren Anforderungen entspricht.
Wechseln Sie zu Einstellungen für Ihren Agenten und wählen Sie Sicherheit aus.
Wählen Sie Authentifizierung.
Ihnen stehen folgende Authentifizierungsoptionen zur Verfügung:
Wählen Sie Speichern.
Keine Authentifizierung
Keine Authentifizierung bedeutet, dass Ihre Benutzenden sich bei der Interaktion mit dem Agent nicht anmelden müssen. Eine nicht authentifizierte Konfiguration bedeutet, dass Ihr Agent nur auf öffentliche Informationen und Ressourcen zugreifen kann. Klassische Chatbots sind standardmäßig so konfiguriert, dass keine Authentifizierung erforderlich ist.
Vorsicht
Wenn Sie die Option Keine Authentifizierung auswählen, kann jeder, der über den Link verfügt, mit Ihrem Bot oder Agenten chatten und interagieren.
Wir empfehlen Ihnen, die Authentifizierung anzuwenden, insbesondere wenn Sie Ihren Bot oder Agent innerhalb Ihrer Organisation oder für bestimmte Benutzer zusammen mit anderen Sicherheits- und Governance-Steuerelementen verwenden.
Mit Microsoft authentifizieren
Wichtig
Wenn die Option Mit Microsoft authentifizieren ausgewählt ist, werden alle Kanäle außer dem Teams-Kanal deaktiviert.
Darüber hinaus steht die Option Mit Microsoft authentifizieren nicht für Agenten zur Verfügung, die mit Dynamics 365 Customer Service integriert sind.
Die Konfiguration richtet automatisch die Microsoft Entra ID-Authentifizierung für Teams ohne manuelle Konfiguration ein. Da die Teams-Authentifizierung selbst Benutzende identifiziert, werden diese nicht aufgefordert, sich anzumelden, während sie sich in Teams befinden, es sei denn, Ihr Agent benötigt einen erweiterten Umfang.
Wenn Sie diese Option auswählen, ist nur der Teams-Kanal verfügbar. Wenn Sie Ihren Agent in anderen Kanälen veröffentlichen müssen, aber dennoch eine Authentifizierung für den Agent wünschen, wählen Sie Manuell authentifizieren aus.
Wenn Sie Mit Microsoft authentifizieren auswählen, sind die folgenden Variablen im Erstellungsbereich verfügbar:
User.IDUser.DisplayName
Weitere Informationen zu diesen Variablen und ihrer Verwendung finden Sie unter Benutzerauthentifizierung zu Themen hinzufügen.
User.AccessToken- und User.IsLoggedIn-Variablen sind bei dieser Option nicht verfügbar. Wenn Sie ein Authentifizierungstoken benötigen, verwenden Sie die Option Manuell authentifizieren.
Wenn Sie Manuell authentifizieren in Mit Microsoft authentifizieren ändern, und Ihre Themen die Variablen User.AccessToken oder User.IsLoggedIn enthalten, werden sie nach der Änderung als Unbekannte Variablen angezeigt. Stellen Sie sicher, dass Sie alle Themen mit Fehlern korrigieren, bevor Sie Ihren Agenten veröffentlichen.
Manuell authentifizieren
Copilot Studio unterstützt die folgenden Authentifizierungsanbieter unter der Option Manuell authentifizieren:
- Azure Active Directory
- Azure Active Directory v2
- Azure Active Directory v2 mit Zertifikaten
- Generisches OAuth 2 – Jeder Identitätsanbieter, der mit dem OAuth2-Standard kompatibel ist
Die folgenden Variablen sind nach der Konfiguration der manuellen Authentifizierung im Erstellungsbereich verfügbar:
User.IdUser.DisplayNameUser.AccessTokenUser.IsLoggedIn
Weitere Informationen zu diesen Variablen und ihrer Verwendung finden Sie unter Benutzerauthentifizierung zu Themen hinzufügen.
Stellen Sie nach dem Speichern der Konfiguration sicher, dass Sie Ihren Agenten veröffentlichen, damit die Änderungen wirksam werden.
Anmerkung
- Authentifizierungsänderungen werden erst wirksam, nachdem der Agent veröffentlicht wurde.
- Diese Einstellung kann über die entsprechende Administratorsteuerung in Power Platform gesteuert werden. Wenn die Steuerung aktiviert ist, verhindert sie, dass die Option Manuell authentifizieren in Copilot Studio aktiviert oder deaktiviert wird. Die Steuerung ist immer aktiviert und die Option Manuell authentifizieren kann in Copilot Studio nicht geändert werden.
Erforderliche Benutzeranmeldung und Agenten-Freigabe
Benutzende müssen sich anmelden bestimmt, ob sich ein Benutzender anmelden muss, bevor er mit dem Agenten spricht. Wir empfehlen dringend, diese Einstellung zu aktivieren, wenn Ihr Agent auf sensible oder eingeschränkte Informationen zugreifen muss.
Diese Option ist für die Optionen Keine Authentifizierung und Bei Microsoft authentifizieren nicht verfügbar.
Anmerkung
Diese Option ist auch nicht konfigurierbar, wenn die DLP-Richtlinie im Power Platform Admin Center so konfiguriert ist, dass eine Authentifizierung erforderlich ist. Weitere Informationen finden Sie unter Beispiel für die Verhinderung von Datenverlust – Anfordern einer Benutzerauthentifizierung bei Agents.
Wenn Sie diese Option deaktivieren, fordert Ihr Agent Benutzende nicht auf, sich anzumelden, bis er auf ein Thema stößt, das dies erfordert.
Wenn Sie diese Option aktivieren, wird ein Systemthema Benutzer muss sich anmelden erstellt. Dieses Thema ist nur für die Einstellung Manuelle Authentifizierung erforderlich. Benutzer werden immer in Teams authentifiziert.
Das Thema Benutzende müssen sich anmelden wird für jeden Benutzenden automatisch ausgelöst, der mit dem Agenten spricht, ohne authentifiziert zu sein. Wenn sich der Benutzer nicht anmelden kann, leitet das Thema aus das Systemthema Eskalieren um.
Das Thema ist schreibgeschützt und kann nicht angepasst werden. Um es anzuzeigen, wählen Sie Zum Erstellungsbereich wechseln aus.
Steuern, wer in der Organisation mit dem Agenten chatten kann
Die Kombination aus der Authentifizierungseinstellung Ihres Agenten und der Einstellung Benutzender muss sich anmelden bestimmt, ob Sie den Agenten freigeben können, um zu steuern, wer in Ihrer Organisation mit Ihrem Agenten chatten darf oder nicht. Die Authentifizierungseinstellung wirkt sich nicht auf die Freigabe eines Agenten für die Zusammenarbeit aus.
Keine Authentifizierung: Jeder Benutzende, der einen Link zum Agenten hat (oder diesen beispielsweise auf Ihrer Website findet), kann mit ihm chatten. Sie können nicht steuern, welche Benutzenden in Ihrer Organisation mit dem Agenten chatten können.
Mit Microsoft authentifizieren: Der Agent funktioniert nur auf dem Teams-Kanal. Da Benutzende immer angemeldet sind, ist die Einstellung Benutzende müssen sich anmelden aktiviert und kann nicht deaktiviert werden. Sie können die Agenten-Freigabe verwenden, um zu steuern, wer in Ihrer Organisation mit dem Agenten chatten darf.
Manuell authentifizieren:
Wenn der Dienstanbieter entweder Azure Active Directory oder Microsoft Entra ID ist, können Sie Benutzende müssen sich anmelden aktivieren, um zu steuern, wer in Ihrer Organisation mit dem Agenten chatten kann, indem Sie die Agenten-Freigabe verwenden.
Wenn der Diensteanbieter Generisches OAuth2 ist, können Sie Benutzer müssen sich anmelden aktivieren oder deaktiveren. Wenn es aktiviert ist, kann ein Benutzender, der sich anmeldet, mit dem Agenten chatten. Sie können nicht mithilfe der Agenten-Freigabe steuern, welche bestimmten Benutzenden in Ihrer Organisation mit dem Agenten chatten dürfen.
Wenn die Authentifizierungseinstellung eines Agenten nicht steuern kann, wer mit ihm chatten kann und Sie auf der Übersichtseite des Agenten Freigeben auswählen, informiert Sie eine Nachricht, dass jeder mit Ihrem Agenten chatten kann.
Manuelle Authentifizierungsfelder
Im Folgenden sind alle Felder aufgeführt, die Sie möglicherweise sehen, wenn Sie die manuelle Authentifizierung konfigurieren. Welche Felder Sie sehen, hängt vom ausgewählten Dienstanbieters ab.
| Feldname | Beschreibung |
|---|---|
| Autorisierungs-URL-Vorlage | Die URL-Vorlage für Autorisierung, definiert von Ihrem Identitätsanbieter. Zum Beispiel https://login.microsoftonline.com/common/oauth2/v2.0/authorize |
| Abfragezeichenvorlage für Autorisierungs-URL | Die Abfragevorlage für die Autorisierung, wie von Ihrem Identitätsanbieter bereitgestellt. Die Schlüssel in der Abfragezeichenfolgenvorlage variieren je nach Identitätsanbieter (?client_id={ClientId}&response_type=code&redirect_uri={RedirectUrl}&scope={Scopes}&state={State}). |
| Client-ID | Ihre vom Identitätsanbieter erhaltene Client-ID. |
| Client secret | Ihr geheimer Clientschlüssel, den Sie erhalten haben, als Sie die App-Registrierung des Identitätsanbieters erstellt haben. |
| Aktualisierungsnachrichtentextvorlage | Die Vorlage für den Aktualisierungsnachrichtentext (refresh_token={RefreshToken}&redirect_uri={RedirectUrl}&grant_type=refresh_token&client_id={ClientId}&client_secret={ClientSecret}). |
| Vorlage für Aktualisierung der URL-Abfragezeichenfolge | Das Trennzeichen für die Aktualisierung der URL-Abfragezeichenfolge für die Token-URL ist normalerweise ein Fragezeichen (?). |
| URL-Aktualisierungsvorlage | Die URL-Vorlage für die Aktualisierung, zum Beispiel https://login.microsoftonline.com/common/oauth2/v2.0/token. |
| Bereichslistentrennzeichen | Das Trennzeichen für die Bereichsliste. Leerzeichen werden in diesem Feld nicht unterstützt.1 |
| Bereiche | Die Liste der Bereiche, die Benutzer haben sollen, nachdem sie sich angemeldet haben. Verwenden Sie Geltungsbereichsliste Trennzeichen, um mehrere Bereiche zu trennen.1 Legen Sie nur die erforderlichen Bereiche fest und halten Sie sich an das Prinzip der Zugriffsteuerung mit geringstmöglichen Berechtigungen. |
| Dienstanbieter | Der Dienstanbieter, den Sie für die Authentifizierung verwenden möchten. Weitere Informationen finden Sie unter Generische OAuth-Anbieter. |
| Mandanten-ID | Ihre Microsoft Entra ID-Mandanten-ID. In Einen vorhandenen Microsoft Entra ID-Mandanten verwenden erfahren Sie mehr dazu, wie Sie Ihre Mandanten-ID finden. |
| Tokennachrichtentextvorlage | Die Vorlage für den Tokennachrichtentext. (code={Code}&grant_type=authorization_code&redirect_uri={RedirectUrl}&client_id={ClientId}&client_secret={ClientSecret}) |
| Token-Austausch-URL (für SSO erforderlich) | Dies ist ein optionales Feld, wenn Sie Single-Sign-On konfigurieren. |
| Token-URL-Vorlage | Die URL-Vorlage für Tokens, wie von Ihrem Identitätsanbieter bereitgestellt, zum Beispiel: https://login.microsoftonline.com/common/oauth2/v2.0/token. |
| Abfragezeichenvorlage für Token-URL | Das Trennzeichen für die Abfragezeichenfolge für die Token-URL ist normalerweise ein Fragezeichen (?). |
1 Sie können Leerzeichen im Feld Bereiche verwenden, wenn der Identitätsanbieter dies erfordert. Geben Sie in diesem Fall ein Komma (,) in Bereichslistentrennzeichen und Leerzeichen im Feld Bereiche ein.
Authentifizierung deaktivieren
Wählen Sie bei geöffnetem Agenten Einstellungen in der oberen Menüleiste.
Wählen Sie Sicherheit und dann Authentifizierung aus.
Wählen Sie Keine Authentifizierung.
Wenn Authentifizierungsvariablen in einem Thema verwendet werden, werden sie zu unbekannten Variablen. Gehen Sie zur Seite Themen, um zu ermitteln, welche Themen Fehler aufweisen, und beheben Sie sie vor dem Veröffentlichen.
Veröffentlichen Sie den Agenten.
Wichtig
Wenn Ihr Agent über Aktionen verfügt, die laut Konfiguration Benutzeranmeldeinformationen benötigen, deaktivieren Sie die Authentifizierung auf Agenten-Ebene nicht, da dies dazu führen würde, dass diese Aktionen nicht funktionieren.