トピックにエンド ユーザー認証を追加する

エージェント 会話内で直接ユーザー認証を有効にすることができます。 名前や ID などのユーザーの基本プロパティを変数に割り当てることができます。 また、トピックの認証ノードを使用してサインインするようにユーザーに求め、ユーザー トークンを取得し、そのトークンを使用してバックエンド システムからユーザーの情報を取得できることを意味します。

ヒント

Copilot Studio および Microsoft Teams で作成されたエージェントは、 Microsoft Entra ID認証用に自動的に構成されます。

ユーザーが手動でサイン インする必要がないように、シングル サインオン (SSO) を構成できます。 詳細については、Microsoft Entra ID でシングル サインオンを構成するを参照してください。

前提条件

• 変数の使用
• Copilot Studio でユーザー認証を構成する

Web アプリケーション

ユーザー認証をトピックに追加して、顧客が会話内で直接サインインできるようにします。 次に、ユーザー変数を使用して会話をパーソナライズしたり、ユーザーの代わりにバック エンド システムにアクセスしたりすることができます。

Microsoft Entra ID で手動認証を構成する

トピックで認証を使用する前に、Microsoft Entra ID を使用してユーザー認証を構成する必要があります。

「Microsoft Entra ID を使用してユーザー認証を構成する」の手順に従います。

サインイン システム トピック でユーザー認証を追加する

エージェント を作成すると、 Copilot Studio log inという システム トピック が自動的に追加されます。 これを使用するには、エージェント の認証を手動に設定し、ユーザーにログインを要求する必要があります。 顧客が エージェント との会話を開始すると、 ログイン トピック がトリガーされ、ユーザーにログインを促します。 ログイン トピック を エージェント に合わせてカスタマイズできます。

重要

サインイン トピックは、Copilot Studio が提供する認証方法を提供するためだけに使用することをお勧めします。 他のアクションやフロー、または他の認証方法を呼び出すせるように変更しないでください。

1. Copilot Studioでエージェントを開き、ページ上部の選択 設定 をクリックして、選択 セキュリティをクリックします。

2. 認証を選択します。

3. 手動で認証するを選択し、ユーザーにログインを要求するを選択します。

4. 必要に応じて、すべての手動認証フィールドを構成 します。

5. 保存 を選びます。

カスタム トピックでユーザー認証を追加する

サインイン トピック は会話の開始時にユーザーを認証します。 ユーザーが後でサインインできるようにするため、任意のカスタム トピックに認証ノードを追加できます。

顧客がユーザー名とパスワードを入力すると、検証コードの入力を求められる場合があります。 ログイン後は、別の 認証 ノードに到達しても、再度プロンプトは表示されません。

1. ページ上部の設定を選択し、セキュリティを選択します。

2. 認証 タイルを選択します。

   注意Note

   カスタム トピックにユーザー認証を追加するには、手動で認証 を選択する必要があります。

3. ユーザーにサインインを要求する チェックボックスをオフにします。

4. 必要に応じて、すべての手動認証フィールドを構成 します。

5. 保存 を選びます。

6. ページ上部にある トピック を選択します。

7. ノードを追加 ( ) >詳細>認証を選択します。

8. ID プロバイダーで構成されたユーザーを使用して、トピックをテストする を実行します。

チップ

サインインが成功した場合と失敗した場合の両方のパスを作成することが重要です。 サインインに失敗する理由は、ID プロバイダーのサインイン エクスペリエンスに関するエラーなど、複数あります。

認証変数

エージェント のユーザー認証を構成する場合、トピックで認証変数を使用できます。 次の表は、選択した認証オプションに基づくこれらの変数の利用可能性を比較したものです。

変数の詳細については、変数を使って作業する を参照してください。

認証変数	認証なし	Microsoft で認証する	手動で認証する
User.DisplayName	該当なし	対応可能	対応可能
User.FirstName	該当なし	対応可能	対応可能
User.LastName	該当なし	対応可能	対応可能
User.PrincipalName	該当なし	対応可能	対応可能
User.Email	該当なし	対応可能	対応可能
User.Id	該当なし	対応可能	対応可能
User.IsLoggedIn	該当なし	対応可能	対応可能
User.AccessToken	該当なし	該当なし	対応可能
SignInReason	該当なし	対応可能	対応可能

User.DisplayName

警告

この変数に値が入ることは保証されていない。 トピックが正しく動作することを確認するために、ID プロバイダーのユーザーを使ってテストしてください。

User.DisplayName 変数には、ID プロバイダーに保存されている表示名が含まれます。 この変数を使用すると、ユーザーが エージェント に名前を明示的に入力しなくても、ユーザーに挨拶したり参照したりできるため、会話がよりパーソナライズされます。

Copilot Studio は、profile スコープが手動認証の設定時に定義されている限り、ID プロバイダーによって提供される name 要求から User.DisplayName の値を自動的に設定します。 スコープの詳細については、Microsoft Entra ID を使用してユーザー認証を構成する を参照してください。

User.Id

警告

この変数に値が入ることは保証されていない。 トピックが正しく動作することを確認するために、ID プロバイダーのユーザーを使ってテストしてください。

User.Id 変数には、ID プロバイダーに保存されているユーザーの ID が含まれます。 UserID を値とする API を呼び出す場合は、Power Automate フロー でこの変数を使用する。

Copilot Studio は、ID プロバイダから提供される sub 要求からの User.DisplayName の値を自動的に設定します。

User.IsLoggedIn

User.IsLoggedIn ユーザーのサインインステータスを格納するブール変数です。 true の値は、ユーザーがサインインしていることを示します。 この変数を使用して、サインインに成功したかどうかをチェックするトピック内の分岐ロジックを作成したり、ユーザーがサインインしている場合にのみユーザー情報を取得したりすることができます。

User.AccessToken

警告

信頼できるソースに対してのみ User.AccessToken 変数をパスしていることを確認してください。 これにはユーザー認証情報が含まれており、侵害された場合、ユーザーに害を及ぼす可能性があります。

User.AccessToken 変数には、ユーザーのサイン イン後に取得されるユーザーのトークンが含まれます。 この変数を Power Automate フロー に渡すことができるため、バック エンド API に接続してユーザーの情報を取得したり、ユーザーに代わってアクションを実行したりできます。

メッセージ ノード内または信頼できないフロー内で User.AccessToken を使用しないでください。

SignInReason

SignInReason ユーザーがいつログインする必要があるかを示す選択タイプの変数です。 次の 2 つの値があります:

• SignInRequired は、ユーザーが会話の最初に サイン イン システム トピックを使用してサインインする必要があることを示しています。 ユーザーにログインを要求する をオンにする必要があります。

• Initializer ユーザーがログインしておらず、会話の中で認証変数を使用する段階に到達したときに、ログインするように求められることを示します。

クラシック

認証変数

エージェント が 「Microsoftで認証」 または 「手動」 認証オプションのいずれかで構成されている場合は、トピックで使用できる認証変数のセットが利用できます。 エージェント で認証を構成する方法の詳細については、 「ユーザー認証を構成する」 Copilot Studioを参照してください。

次の表は、認証構成オプションごとの認証変数の可用性を比較しています。

認証変数	認証なし	Microsoft で認証する	手動
User.DisplayName	❌	✔️	✔️
User.Id	❌	✔️	✔️
User.IsLoggedIn	❌	❌	✔️
User.AccessToken	❌	❌	✔️

UserDisplayName 変数

User.DisplayName 変数には、ID プロバイダーに保存されているユーザーの表示名が含まれます。 この変数を使用すると、エンド ユーザーが エージェント に明示的に指示しなくても、よりパーソナライズされた挨拶や参照を行うことができます。

このフィールド値は、Microsoft Entra ID name 要求から取得されます。 OAuth プロバイダーの場合、これは name 要求に保存されている値です。 Copilot Studio は、このフィールドを変数に自動的に抽出するので、認証スコープ設定の一部として profile があることを確認します。

UserID 変数

User.Id 変数には、ID プロバイダーに保存されているユーザーの ID が含まれます。 Power Automate フローはこの値を使って、UserID を値として受け取る API を呼び出します。 このフィールド値は、Microsoft Entra ID sub 要求から取得されます。 OAuth プロバイダーの場合、これは sub 要求に保存されている値です。 Copilot Studio は、このフィールドを変数に自動的に抽出します。

警告

User.DisplayName そして User.Id 変数が入力される保証はなく、ID プロバイダーのユーザー構成によっては空の文字列になる場合があります。 これらの変数が空の場合でも、ID プロバイダーのユーザーでテストして、トピックが正しく機能することを確認します。

IsLoggedIn 変数

User.IsLoggedIn 変数は、ユーザーがサイン インしているか (サイン インする、または既にサイン インしているため、サイン イン成功パスとも呼ばれます)、またはサイン インしていないか (サイン イン失敗パスとなる) を示します。

User.IsLoggedIn とは、ユーザーのサイン イン状態を含むブール型の変数です。 この変数を使用して、サイン インが成功したかどうかをチェックする分岐ロジックをトピックに作成が可能で (たとえば、認証ノード追加の一部としてすでに提供されているテンプレートで)、またユーザーがサイン インしている場合にのみ、便宜的にユーザー情報をフェッチします。

User.AccessToken変数

User.AccessToken 変数には、ユーザーのサイン イン後に取得されるユーザーのトークンが含まれます。 この変数を Power Automate フロー に渡すことができるため、バック エンド API に接続してユーザーの情報を取得したり、ユーザーに代わってアクションを実行したりできます。

警告

信頼できるソースに対してのみ User.AccessToken 変数をパスしていることを確認してください。 これにはユーザー認証情報が含まれており、侵害された場合、ユーザーに害を及ぼす可能性があります。

User.AccessToken 内部メッセージ ノード、または信頼できないフローを使用しないでください。

認証変数のテスト

デフォルトでは、テスト ボット ペインは、現在サインインしているユーザーのアカウントを使用して、User.DisplayName および User.Id 変数に入力します。 ただし、認証を使用するトピックをテストする場合は、これらの変数に他の値 (または空白の値) を使用することをお勧めします。

たとえば、特殊文字がどのように使用されるか、または変数が空の場合に何が起こるかをテストしたい場合があります。

次の表に、これらの変数を設定するコマンドを示します。 これらのコマンドは ボットのテスト ペインにのみ適用されます。チャネルにデプロイされた公開済みの エージェント では使用できません。

通常の エージェント とのチャットと同じように、 ボットのテスト ペインに必要なコマンドを入力します。 成功すると、エージェント から確認メッセージが届きます。 エージェント が認証を使用しない場合は、エラーが発生します。

テスト ボット ペインをリセットした場合 (または、トピックに変更を加えてテスト ボットが自動的にリセットされるようにした場合)、コマンドを再度送信する必要があります。

変数	カスタム値コマンド	空の (空白の) 値コマンド
User.DisplayName	/debug set bot.UserDisplayName "Value"	/debug set bot.UserDisplayName ""
User.Id	該当なし	/debug set bot.UserID ""

重要

セキュリティ上の理由から、User.Id 変数に、カスタム値 (空または空白の値以外) を入力することはできません。

「Microsoftで認証」を使用する場合の認証

認証オプションがMicrosoft と認証する に設定されている場合、トピックに認証を明示的に追加する必要はありません。 この構成では、Microsoft Teams の Teams 資格情報を介して自動的にログインし、認証カードを使用して明示的にログインする必要はありません。 認証オプションが 手動 に設定されている場合は、認証 ノードを追加する必要があります (Teams チャネルの場合でも)。

注意

認証オプションが Microsoft との認証 に設定されている場合、トピックに認証を明示的に追加するオプションは必要はありません。

トピックにエンド ユーザー認証を追加

認証 ノードは、ユーザーにサインイン カード を使用してログインするよう要求します。 ユーザーがログインすると、別の 認証 ノードに到達しても再度プロンプトは表示されません。

ユーザーがユーザー名とパスワードをプロンプトに (ID プロバイダーによってホストされている) 入力すると、チャネル に応じて、検証コードの入力を求められる場合があります。 Microsoft Teams などのいくつかのチャネルは、ユーザーからの検証コードを入力を要請しません。

エージェント に SSO が設定されている場合、ユーザーはログインを求められません。

トピックに 認証 ノードを追加するには:

1. 編集したい エージェント の トピック ページに移動します。

2. 認証テンプレートの追加を行うトピックを開きます。

   ヒント

   エージェント がDynamics 365顧客サービス, に接続されている場合、認証ノードは、エージェント が最初にユーザーに挨拶するときにたどる会話パスの一部にすることはできません。そうしないと、サインイン カード が2回表示されます。 代わりに、ユーザーの応答によってトリガーされる別のトピックに 認証 ノードを追加する必要があります。

3. ノードの追加 (+) を選択して、メッセージ ノードを追加します。 サインオン エクスペリエンスが開始されることを示すために エージェント が表示する内容を入力します。

   

4. メッセージ ノードの下で、ノードの追加 (+) を選択し、アクションを呼び出す、認証の順に選択します。

   

   Note

   認証ノードは、ダイアログ ツリーの最後のアクション ピッカーで (リーフ ノードとして) のみ使用できます。 ダイアログの途中で追加することはできません。 追加したら、他のノードをその下に追加できます。

   新規ノードが自動的に現れます: 親 認証 ノードが含まれ、後に成功パスと失敗パスの両方のノードが続きます。

Authenticate ノードなしで、User.AccessToken を使用

User.IsLoggedIn と User.AccessToken 変数は、アクションを呼び出すメニュー エントリで提供されるテンプレートを使用しなくても、変数は使用できます。 最初にユーザーが認証するノードを介することなく User.AccessToken 変数をパスする場合、ユーザーはその手順でサイン インするように求められます。

User.AccessToken 変数は、ユーザーが常にサイン インすることを予想している場合、またはユーザーが別のトピックからリダイレクトされている場合に役立ちます。 ユーザーがサイン インに失敗した場合に扱うアクションを呼び出すエントリで、提供されるテンプレートの使用をお勧めします。

Note

ユーザーが会話の途中でサイン アウトした場合、トピックが User.AccessToken 変数を使用するノードに取得されると、ユーザーは再度サイン インするよう求められます。

成功パス

成功パスは、User.IsLoggedIn = True に等しく、ユーザーが正常にサイン インした場合の (またはすでにサイン インしていた) アカウントです。

User.AccessToken 変数を使用するロジックがある場合 (たとえば、フローを使用してユーザーの情報を取得するバック エンド システムに接続する場合)、このパスの下に置く必要があります。

失敗パス

失敗パスは、IsLoggedIn = True 以外の条件に相当します。 ほとんどの場合、失敗のパスは、ユーザーがサインインに失敗したか、間違ったパスワードを使用したか、サインイン処理をキャンセルしたために発生します。

このケースを扱うロジックを追加します。 例として、再試行するためのオプション、またはライブ エージェントにエスカレートする オプションを提供しています。 特定のシナリオと使用状況に合わせて失敗パスのアクションをカスタマイズします。

使用しているトピックをテストする

IDプロバイダーで構成された実際のユーザーを使用して、必ずトピックをテストしてください。 サイン インの成功パスと失敗パスの両方が実行されていることを確認すれば、ユーザーがサイン インに失敗したり、ID プロバイダーのサイン イン エクスペリエンスにエラーが発生したりしても、予期せぬ事態は発生しません。

関連するコンテンツ

ユーザーが手動でサイン インする必要がないように、シングル サインオン (SSO) を構成できます。 詳細については、Microsoft Entra ID でシングル サインオンを構成するを参照してください。