次の方法で共有

Copilot Studio でユーザー認証の構成

  • [アーティクル]

認証により、ユーザーはログインして、エージェント が制限されたリソースまたは情報にアクセスできるようになります。 ユーザーは、Microsoft Entra ID、または Google や Facebook などの OAuth2 ID プロバイダー でサインインできます。

ヒント

Microsoft Teamsでは、 Copilot Studio エージェント を構成して認証機能を提供し、ユーザーが Microsoft Entra IDまたは任意の OAuth2 IDプロバイダー (Microsoftや Facebook アカウントなど) を使用してログインできるようにすることができます。

トピックを編集する際に、エンドユーザー認証をトピックに追加 できます。

重要

認証構成の変更は、エージェント を公開した後にのみ有効になります。 エージェント の認証を変更する前に、必ず事前に計画を立ててください。

認証オプションを選択する

Copilot Studio は、いくつかの認証オプションをサポートしています。 ニーズに合ったものを選択してください。

  1. エージェント の 設定 と 選択 セキュリティに移動します。

  2. 認証を選択します。

    次の認証オプションを使用できます:

  3. 保存 を選びます。

認証なし

認証なしを選択すると、エージェントは会話中にユーザーにサインインを要求しません。 認証なしの構成の場合、エージェントがアクセスできるのは、一般に公開されている情報やリソースにのみということになります。 従来型のチャットボットの設定は、既定で認証 なし になっています。

注意

認証なし オプションを選択すると、リンク を持つすべてのユーザーが ボット または エージェント とチャットしたりやり取りしたりできるようになります。

特に、ボット または エージェント を組織内または特定のユーザーに対して使用している場合は、 その他のセキュリティおよびガバナンス制御とともに認証を適用することをお勧めします。

Microsoft で認証する

重要

Microsoft と認証 オプションを選択すると、Teams チャネルを除くすべてのチャネルが無効になります。

さらに、 「Microsoftで認証」 オプションは、 「Dynamics 365顧客サービス」と統合されているエージェントでは使用できません。

この構成では、手動で構成する必要なく、Teams の Microsoft Entra ID 認証を自動的に設定します。 Teams 認証でユーザーの識別が完結するため、エージェントのスコープを拡張する必要が生じない限り、Teams の使用中にユーザーがサインインを求められることはありません。

このオプションを選択した場合に使用できるのは、Teams チャネルのみになります。 他のチャネルにエージェントを公開する必要があるが、それでもエージェントに認証が必要な場合は、手動で認証するを選択します。

Microsoft と認証 を選択した場合、作成キャンバスで次の変数を使用できます:

  • User.ID
  • User.DisplayName

これらの変数とその使用方法の詳細については、トピックにエンドユーザー認証をに追加するを参照してください。

User.AccessTokenUser.IsLoggedIn の変数は、このオプションでは使用できません。 認証トークンが必要な場合は、手動認証 オプションを使用します。

手動で認証 から Microsoft と認証 に変更し、トピックに変数 User.AccessToken または User.IsLoggedIn が含まれている場合、変更後に 不明な 変数として表示されます。 エージェント を公開する前に、エラーのあるトピックを必ず修正してください。

手動で認証する

Copilot Studio 手動で認証 オプションでは、次の認証プロバイダーがサポートされています。

  • Azure Active Directory
  • Azure Active Directory v2
  • Azure Active Directory 証明書付きv2
  • 汎用 OAuth 2 - OAuth2 標準 に適合するすべての ID プロバイダー

手動認証の構成後、作成キャンバスで次の変数を使用できます:

  • User.Id
  • User.DisplayName
  • User.AccessToken
  • User.IsLoggedIn

これらの変数とその使用方法の詳細については、トピックにエンドユーザー認証をに追加するを参照してください。

設定を保存したら、変更を有効にするために必ず エージェント を公開してください。

ヒント

  • 認証の変更は、エージェント が公開された後にのみ有効になります。
  • この設定は、Power Platform の対応する管理コントロールによって制御できます。 コントロールを有効にすると、手動認証 オプションが Copilot Studio 内で有効または無効にできなくなります。 コントロールは常に有効になっており、手動認証 オプションは Copilot Studio で変更できません。

必要なユーザーログインとエージェント共有

ユーザーにログインを要求する は、エージェント と会話する前にユーザーがログインする必要があるかどうかを決定します。 機密情報や制限された情報にアクセスする必要があるエージェントの場合は、この設定をオンにすることを強くお勧めします。

このオプションは、 認証なし および Microsoftで認証 オプションでは使用できません。

ヒント

このオプションは、Power Platform 管理センターの DLP ポリシーが認証を必要とするように構成されている場合にも構成できません。 詳細については、「 データ損失防止の例 - エージェントでエンドユーザー認証を要求する」を参照してください。

このオプションをオフにすると、エージェント は、ログインを要求する トピック に遭遇するまで、ユーザーにログインを求めません。

このオプションをオンにすると、ユーザーにサインインを要求する というシステム トピックが作成されます。 このトピックは、手動で認証 設定にのみ関連します。 ユーザーは常に Teams で認証されます。

ユーザーにログインを要求する トピック は、認証されずに エージェント と通信するすべてのユーザーに対して自動的にトリガーされます。 ユーザーがサインインに失敗した場合、トピックは エスカレート システム トピックにリダイレクトされます。

トピックは読み取り専用で、カスタマイズすることはできません。 表示するには、作成キャンバスに移動 を選択します。

組織内で エージェント とチャットできるユーザーを制御する

エージェント の認証と ユーザーにログインを要求する 設定の組み合わせによって、 共有 して 組織内の誰が エージェント とチャットできるかを制御できるかどうかが決まります。 認証設定は、コラボレーションのための エージェント の共有には影響しません。

  • 認証なし: エージェント への リンク を持つユーザー (または、たとえばWebサイトでそれを見つけることができるユーザー) は、そのユーザーとチャットできます。 組織内のどのユーザーが エージェント とチャットできるかを制御することはできません。

  • Microsoft で認証します。エージェント は、 Teamsチャネル でのみ機能します。 ユーザーは常にサインインしているため、ユーザーにサインインを要求する 設定がオンになっていて、オフにすることはできません。 エージェント 共有を使用すると、組織内の誰が エージェント とチャットできるかを制御できます。

  • 手動で認証:

    • サービス プロバイダーが Azure Active Directory または Microsoft Entra ID のいずれかである場合は、 ユーザーにログインを要求する をオンにして、組織内の誰が エージェント 共有を使用して エージェント とチャットできるかを制御できます。

    • サービス プロバイダーが 汎用 OAuth2 の場合は、ユーザーにサインインを要求する をオンまたはオフにします。 オンにすると、サインインしたユーザーは エージェント とチャットできます。 組織内の特定のユーザーが エージェント 共有を使用して エージェント とチャットできるかどうかを制御することはできません。

エージェント の認証設定で誰がチャットできるかを制御できない場合、選択 共有 エージェント の概要ページで、誰でも エージェント とチャットできることを知らせるメッセージが表示されます。

手動認証フィールド

以下は、手動認証を構成するときに表示されるすべてのフィールドです。 表示されるフィールドは、サービス プロバイダーの選択によって異なります。

フィールド名 説明設定
認証 URL テンプレート ID プロバイダーによって定義されている、認証の URL テンプレート。 例: https://login.microsoftonline.com/common/oauth2/v2.0/authorize
認証 URL のクエリ文字列テンプレート ID プロバイダーによって提供された認証用のクエリ テンプレート。 クエリ文字列テンプレートのキーは、ID プロバイダー (?client_id={ClientId}&response_type=code&redirect_uri={RedirectUrl}&scope={Scopes}&state={State}) によって異なります。
Client ID ID プロバイダーから取得したクライアント ID。
Client secret ID プロバイダーのアプリ登録を作成したときに取得したクライアント シークレット。
本文テンプレートの更新 更新本文のテンプレート (refresh_token={RefreshToken}&redirect_uri={RedirectUrl}&grant_type=refresh_token&client_id={ClientId}&client_secret={ClientSecret})。
URL のクエリ文字列テンプレートの更新 トークン URL の更新 URL クエリ文字列区切り記号は通常、疑問符 (?) です。
URL テンプレートの更新 更新用のURL テンプレート; 例 https://login.microsoftonline.com/common/oauth2/v2.0/token
スコープ リストの区切り文字 スコープ リストの区切り文字。 このフィールドでは、空白はサポートされていません。1
スコープ ユーザーがサインインした後に所有する スコープ のリスト。 スコープ リストの区切り文字 を使用して複数のスコープを区切ります。1 必要なスコープのみを設定し、最小権限アクセス制御の原則 に従います。
サービス プロバイダー 認証に使用するサービス プロバイダー。 詳細については、OAuth 汎用プロバイダー を参照してください。
Tenant ID Microsoft Entra ID テナント ID。 テナント ID を見つける方法については、既存の Microsoft Entra ID テナントを使用するを参照してください。
トークン本体のテンプレート トークン本体のテンプレート。 (code={Code}&grant_type=authorization_code&redirect_uri={RedirectUrl}&client_id={ClientId}&client_secret={ClientSecret})
トークンの交換 URL (SSO に必要) これは、シングル サインオンを構成 する際に使用するオプションのフィールドです。
トークン URL テンプレート ID プロバイダーによって指定されたトークン用の URL テンプレート; 例 https://login.microsoftonline.com/common/oauth2/v2.0/token
トークン URL のクエリ文字列テンプレート トークン URL のクエリ文字列区切り記号は通常、疑問符 (?) です。

1 ID プロバイダーが必要とする場合は、スコープ フィールドでスペースを使用できます。 その場合は、コンマ (,) を スコープ リストの区切り文字に入力し、スコープ フィールドにスペースを入力します。

認証をオフにする

  1. エージェント を開いたら、上部のメニューバーで 選択 設定 を選択します。

  2. セキュリティ を選択し、認証 を選択します。

  3. 認証なしを選択します。

    認証変数がトピックで使用されている場合は、不明な 変数になります。 トピック ページに移動して、エラーのあるトピックを確認し、公開する前に修正してください。

  4. エージェント を公開します。

重要

エージェント に アクションエンドユーザーの資格情報を使用するように構成されている場合は、エージェント レベルで認証をオフにしないでください。オフにすると、これらのアクションが機能しなくなります。