Configurazione dell'autenticazione dell'utente in Copilot Studio
L'autenticazione consente agli utenti di accedere, dando all'agente l'accesso a una risorsa o informazioni limitate. Gli utenti possono accedere con Microsoft Entra ID o qualsiasi provider di identità OAuth2 come Google o Facebook.
Nota
In Microsoft Teams puio configurare un agente Copilot Studio per fornire le funzionalità di autenticazione in modo che gli utenti possano accedere con un Microsoft Entra ID o qualsiasi provider di identità OAuth2, ad esempio un account Microsoft o Facebook.
Puoi aggiungere l'autenticazione dell'utente agli argomenti durante la modifica di un argomento.
Importante
Le modifiche alla configurazione dell'autenticazione avranno effetto solo dopo la pubblicazione dell'agente. Assicurati di pianificare in anticipo prima di apportare modifiche di autenticazione all'agente.
Scegliere un'opzione di autenticazione
Copilot Studio supporta diverse opzioni di autenticazione. Scegli quella più idonea alle tue esigenze.
Vai su Impostazioni per l'agente e seleziona Sicurezza.
Seleziona Autenticazione.
Di seguito vengono illustrate le opzioni di autenticazione disponibili:
Seleziona Salva.
Nessuna autenticazione
Nessuna autenticazione significa che l'agente in uso non richiede che gli utenti effettuino l'accesso per poter interagire. Se la configurazione non ha autenticazione, l'agente può accedere solo a informazioni e risorse pubbliche. I chatbot classici sono configurati per impostazione predefinita per non richiedere l'autenticazione.
Attenzione
Selezionando l'opzione Nessuna autenticazione chiunque abbia il collegamento potrà chattare e interagire con il bot o l'agente.
È consigliabile applicare l'autenticazione, soprattutto se si usa il bot o l'agente all'interno dell'organizzazione o per utenti specifici, insieme ad altri controlli di sicurezza e governance.
Esegui l'autenticazione con Microsoft
Importante
Quando l'opzione Autentica con Microsoft è selezionata, tutti i canali tranne il canale Teams verranno disabilitati.
Inoltre, l'opzione Autentica con Microsoft non è disponibile per gli agenti integrati con Dynamics 365 Customer Service.
Questa configurazione imposta automaticamente l'autenticazione Microsoft Entra ID per Teams senza la necessità di alcuna configurazione manuale. Poiché l'autenticazione di Teams identifica l'utente, agli utenti non viene chiesto di effettuare l'accesso mentre sono in Teams, a meno che l'agente non necessiti di un ambito esteso.
Se si seleziona questa opzione, sarà disponibile solo il canale Teams. Se occorre pubblicare l'agente su altri canali ma si vuole comunque l'autenticazione per l'agente, selezionare Esegui l'autenticazione manuale.
Se selezioni l'opzione Autentica con Microsoft le seguenti variabili sono disponibili nell'area del contenuto:
User.IDUser.DisplayName
Per ulteriori informazioni su queste variabili e su come utilizzarle, vedi Aggiungere l'autenticazione utente agli argomenti.
Le variabili User.AccessToken e User.IsLoggedIn non sono disponibili con questa opzione. Se hai bisogno di un token di autenticazione, utilizza l'opzione Esegui autenticazione manualmente.
Se cambi da Esegui autenticazione manualmente ad Esegui autenticazione con Microsoft e i tuoi argomenti contengono le variabili User.AccessToken o User.IsLoggedIn, vengono visualizzati come variabili sconosciute dopo la modifica. Assicurati di correggere tutti gli argomenti con errori prima di pubblicare l'agente.
Esegui l'autenticazione manuale
Copilot Studio supporta i seguenti provider di autenticazione con l'opzione Esegui autenticazione manualmente:
- Azure Active Directory
- Azure Active Directory v2
- Azure Active Directory v2 con certificati
- OAuth 2 generico: qualsiasi provider di identità conforme allo standard OAuth2
Le seguenti variabili sono disponibili nel canvas di creazione dopo aver configurato l'autenticazione manuale:
User.IdUser.DisplayNameUser.AccessTokenUser.IsLoggedIn
Per ulteriori informazioni su queste variabili e su come utilizzarle, vedi Aggiungere l'autenticazione utente agli argomenti.
Una volta salvata la configurazione, assicurati di pubblicare l'agente in modo che le modifiche abbiano effetto.
Nota
- Le modifiche all'autenticazione hanno effetto solo dopo la pubblicazione dell'agente.
- Questa impostazione può essere controllata dal controllo amministratore corrispondente in Power Platform. Quando il controllo è abilitato, impedisce che l'impostazione Esegui autenticazione manualmente venga abilitata o disabilitata all'interno di Copilot Studio. Il controllo è sempre abilitato e l'impostazione Esegui autenticazione manualmente non può essere modificata in Copilot Studio.
Accesso utente richiesto e condivisione agente
Richiedi agli utenti di accedere determina se un utente deve accedere prima di parlare con l'agente. Consigliamo vivamente di attivare questa impostazione per gli agenti che hanno bisogno di accedere a informazioni riservate o sensibili.
Questa opzione non è disponibile per le opzioni Nessuna autenticazione ed Esegui autenticazione con Microsoft .
Nota
Questa opzione non è inoltre configurabile quando i criteri DLP nell'interfaccia di amministrazione di Power Platform sono configurati per richiedere l'autenticazione. Per ulteriori informazioni, consulta Esempio di prevenzione della perdita dei dati: richiedere l'autenticazione dell'utente negli agenti.
Se disattivi questa opzione, l'agente non chiederà agli utenti di accedere finché non incontra un argomento che richiede loro di farlo.
Quando attivi questa opzione, crea un argomento di sistema chiamato Richiedi agli utenti di accedere. Questo argomento è rilevante solo per l'impostazione Autentica manualmente. Gli utenti sono sempre autenticati su Teams.
L'argomento Richiedi agli utenti di accedere viene attivato automaticamente per qualsiasi utente che parla con l'agente senza essere autenticato. Se l'utente non riesce ad accedere, l'argomento reindirizza all'argomento di sistema Riassegna.
L'argomento è di sola lettura e non può essere personalizzato. Per vederlo, seleziona Vai al canvas di creazione.
Controllare chi può chattare con l'agente nell'organizzazione
La combinazione opzione di autenticazione dell'agente e Richiedi agli utenti di accedere determina se puoi condividere l'agente per controllare chi nella tua organizzazione può chattare con il bot o meno. L'impostazione di autenticazione non influisce sulla condivisione di un agente per la collaborazione.
Nessuna autenticazione: qualsiasi utente con un collegamento all'agente (o che può trovarlo, ad esempio, sul sito Web) può chattare con esso. Non puoi controllare quali utenti dell'organizzazione possono chattare con l'agente.
Esegui autenticazione con Microsoft: l'agente funziona solo sul canale Teams. Poiché l'utente è sempre connesso, l'impostazione Richiedi agli utenti di accedere è attivata e non può essere disattivata. Puoi utilizzare la condivisione dell'agente per controllare chi nella tua organizzazione può chattare con l'agente.
Esegui autenticazione manualmente:
Se il provider di servizi è Azure Active Directory o Microsoft Entra ID, puoi attivare Richiedi agli utenti di accedere per controllare chi nella tua organizzazione può chattare con l'agente utilizzando la condivisione dell'agente.
Se il provider di servizi è OAuth2 generico, puoi attivare o disattivare Richiedi agli utenti di accedere. Quando è attivato, un utente che effettua l'accesso può chattare con l'agente. Non puoi controllare quali utenti specifici dell'organizzazione possono chattare con l'agente usando la condivisione dell'agente.
Quando l'impostazione di autenticazione di un agente non può controllare chi può chattare con esso, selezionando Condividi nella pagina della panoramica dell'agente viene visualizzato un messaggio che ti informa che chiunque può chattare con l'agente.
Campi di autenticazione manuale
Di seguito sono riportati tutti i campi che puoi visualizzare durante la configurazione dell'autenticazione manuale. I campi che vedrai dipendono dal provider di servizi scelto.
| Nome del campo | Descrizione |
|---|---|
| Modello URL di autorizzazione | Il modello URL per l'autorizzazione, definito dal provider di identità. Ad esempio, https://login.microsoftonline.com/common/oauth2/v2.0/authorize |
| Modello stringa di query dell'URL di autorizzazione | Il modello di query per l'autorizzazione, come fornito dal provider di identità. Le chiavi nel modello di stringa delle query variano in base al provider di identità (?client_id={ClientId}&response_type=code&redirect_uri={RedirectUrl}&scope={Scopes}&state={State}). |
| Client ID | L'ID client ottenuto dal provider di identità. |
| Client secret | Il tuo segreto client, ottenuto quando hai creato la registrazione dell'app del provider di identità. |
| Aggiorna modello corpo | Il modello per il corpo di aggiornamento (refresh_token={RefreshToken}&redirect_uri={RedirectUrl}&grant_type=refresh_token&client_id={ClientId}&client_secret={ClientSecret}). |
| Aggiorna modello stringa di query dell'URL | Il separatore della stringa di query dell'URL di aggiornamento per l'URL del token, in genere un punto interrogativo (?). |
| Aggiorna modello URL | Il modello di URL per l'aggiornamento; per esempio, https://login.microsoftonline.com/common/oauth2/v2.0/token. |
| Delimitatore elenco ambiti | Il carattere separatore per l'elenco degli ambiti. Gli spazi vuoti non sono supportati in questo campo.1 |
| Ambiti | L'elenco degli ambiti che vuoi che gli utenti abbiano dopo che hanno effettuato l'accesso. Utilizza il Delimitatore elenco ambiti per separare più ambiti.1 Imposta solo gli ambiti necessari e segui il lPrincipio di controllo dell'accesso con privilegi minimi. |
| Provider di servizi | Il provider di servizi che vuoi utilizzare per l'autenticazione. Per altre informazioni, vedi Provider generici OAuth. |
| ID tenant | Il tuo ID tenant Microsoft Entra ID. Fai riferimento a Usare un tenant Microsoft Entra ID per sapere come trovare il tuo ID tenant. |
| Modello corpo del token | Il modello per il corpo del token. (code={Code}&grant_type=authorization_code&redirect_uri={RedirectUrl}&client_id={ClientId}&client_secret={ClientSecret}) |
| URL di scambio del token (obbligatorio per SSO) | Questo è un campo facoltativo quando stai configurando Single Sign-On. |
| Modello URL del token | Il modello di URL per i token, come definito dal provider di identità; per esempio, https://login.microsoftonline.com/common/oauth2/v2.0/token |
| Modello stringa di query dell'URL del token | Il separatore della stringa di query per l'URL del token, in genere un punto interrogativo (?). |
1 Puoi usare gli spazi nel campo Ambiti se il provider di identità lo richiede. In tal caso, inserisci una virgola (,) in Delimitatore elenco ambiti, e inserisci gli spazi nel campo Ambiti.
Disattiva autenticazione
Con l'agente aperto, seleziona Impostazioni dalla barra dei menu in alto.
Seleziona Sicurezza, quindi seleziona Autenticazione.
Seleziona Nessuna autenticazione.
Se le variabili di autenticazione vengono utilizzate in un argomento, diventeranno variabili sconosciute. Vai alla pagina Argomenti per vedere quali argomenti contengono errori e correggili prima della pubblicazione.
Pubblicazione dell'agente.
Importante
Se l'agente ha azioni configurate per richiede le credenziali dell'utente finale, non disattivare l'autenticazione a livello di agente, poiché ciò impedirebbe il funzionamento di queste azioni.