Microsoft Entra ID を使用してユーザー認証を構成する
コパイロットに認証を追加すると、ユーザーはサインインして、コパイロットに制限付きリソースや情報へのアクセスを与えることができます。
この記事では、Microsoft Entra ID をサービス プロバイダーとして構成する方法についても説明します。 他のサービス プロバイダーとユーザー認証全般の詳細については、Microsoft Entra ID を使用したユーザー認証の構成を参照してください。
テナントの管理権限がある場合は、API のアクセス許可を構成することができます。 それ以外の場合は、テナント管理者に依頼する必要があります。
前提条件
最初のいくつかの手順を Azure portal で完了し、最後の 2 つの手順を Copilot Studio で完了します。
アプリ登録の作成
コパイロットと同じテナントの管理者アカウントを使用して、Azure portal にサインインします。
アプリ登録 に移動して、アイコンを選択するか、上部の検索バーで検索します。
新しい登録 を選択し、登録の名前を入力します。
コパイロットの名前を使用すると、後で便利です。 たとえば、コパイロットが "Contoso sales help" と呼ばれている場合、アプリの登録に "ContosoSalesReg" という名前を付けることができます。
ポートされているアカウントの種類で、任意の組織ディレクトリ内のアカウント (任意の Microsoft Entra ID ディレクトリ - マルチテナント型) および個人の Microsoft アカウント (例: Skype、Xbox) を選択します。
ここでは、リダイレクト URI セクションを空白のままにします。 この情報は、次の手順で入力します。
登録を選択します。
登録が完了した後、概要に移動します。
アプリケーション (クライアント) ID をコピーして、一時ファイルに貼り付けます。 後の手順で必要になります。
リダイレクト URL の追加
認証に移動してからプラットフォームの追加を選択します。
プラットフォームの構成の下で、プラットフォームの追加、次に Web を選択します。
リダイレクト URI で、
https://token.botframework.com/.auth/web/redirect
とhttps://europe.token.botframework.com/.auth/web/redirect
を入力します。
注意
Copilot Studio の認証構成ペインには、次のリダイレクト URL が表示される場合があります: https://unitedstates.token.botframework.com/.auth/web/redirect
。 その URL を使用すると認証が失敗します。代わりに URI を使用してください。
暗黙的な許可とハイブリッド フロー セクションで、アクセス トークン (暗黙的なフローに使用) と ID トークン (暗黙的およびハイブリッド フローに使用) の両方をオンにします。
構成を選択します。
クライアント シークレットの生成
証明書とシークレットに移動します。
クライアント シークレット セクションで、新しいクライアント シークレット を選択します。
(オプション) 説明を入力します。 空白のままにした場合は、1 つ提供されます。
有効期限を選択します。 コパイロットの有効期間に関連する最短期間を選択します。
追加 を選択してシークレットを作成します。
シークレットの値を安全な一時ファイルに保存します。 後でコパイロットの認証を構成するときに必要になります。
チップ
クライアント シークレットの値をコピーする前にページから移動しないでください。 これを行うと、値が難読化されるため、新しいクライアント シークレットを生成する必要があります。
手動認証を構成する
Copilot Studio のナビゲーション メニューの 設定 で セキュリティ を選択します。 次に、認証 カードを選択します。
手動 (Teams を含む任意のチャネル用) を選択し、次に ユーザーにサインインを要求する をオンにします。
プロパティに次の値を入力します:
サービス プロバイダー: Microsoft Entra ID を選択します。
クライアント ID: 先ほど Azure ポータルからコピーしたアプリケーション (クライアント) ID を入力します。
クライアント シークレット: 先ほど Azure ポータルから生成したクライアント シークレットを入力します。
スコープ:
profile openid
を入力します。
保存 を選択して構成を完了します。
API アクセス許可の構成
API アクセス許可 に移動します。
<テナント名>に管理者の承認を付与するを選択してから、はいを選択します。 ボタンが使用できない場合は、テナント管理者に入力を依頼する必要があります。
Note
ユーザーが各アプリケーションに同意するのを防ぐには、グローバル管理者、アプリケーション管理者、またはクラウド アプリケーション管理者がアプリの登録にテナント全体の同意を付与する必要があります。
アクセス許可の追加を選択して、Microsoft Graph を選択します。
委任されたアクセス許可 を選択します。
OpenId のアクセス許可を展開して、openid と profile をオンにします。
アクセス許可の追加 を選択します。
コパイロットのカスタム スコープを定義する
スコープ により、ユーザーと管理者の役割およびアクセス権を決定できます。 後の手順で作成するキャンバス アプリ登録のカスタム スコープを作成します。
API を公開するに移動してからスコープの追加を選択します。
次のプロパティを設定します。 その他のプロパティは空白のままにすることができます。
Property 価値 スコープ名 Test.Read
などの使用している環境においてわかりやすい名前を入力します同意できるユーザー 管理者とユーザー を選択します 管理者の同意の表示名 Test.Read
などの使用している環境においてわかりやすい名前を入力します管理者の同意の説明 Allows the app to sign the user in.
を入力します状態 有効を選択します スコープの追加を選択します。
Microsoft Copilot Studio の認証の構成
Copilot Studio の設定の下で、セキュリティを選択し、認証を選択します。
手動 (カスタム Web サイト用) を選択します。
ユーザーにサインインを要求するをオンにします。
次のプロパティを設定します。
Property 価値 サービス プロバイダー Microsoft Entra ID を選択する Client ID 前述の Azure portal からコピーしたアプリケーション (クライアント) ID を入力する Client secret 前述の Azure portal で生成したクライアント シークレットを入力する スコープ profile openid
を入力します保存 を選びます。
チップ
トークン交換 URL は、要求されたアクセス トークンと OBO (On-Behalf-Of) トークンを交換するために使用されます。 詳細については、Microsoft Entra ID でシングル サインオンを構成するを参照してください。
コパイロットをテストする
コパイロットを公開します。
コパイロットのテスト ペインで、コパイロットにメッセージを送信します。
コパイロットが応答したら、ログイン を選択します。
新しいブラウザーのタブが開き、サインインを促されます。
サインインし、表示された検証コードをコピーします。
サインイン処理を完了するには、コパイロット チャットにコードを貼り付けます。