Konfigurere sluttbrukergodkjenning i Copilot Studio
Godkjenning gjør at brukere kan logge seg på, slik at agenten får tilgang til en begrenset ressurs eller informasjon. Brukere kan logge seg på med Microsoft Entra ID eller enhver OAuth2-identitetsleverandør, for eksempel Google eller Facebook.
Notat
I Microsoft Teams kan du konfigurere en Copilot Studio-agent slik at den kan by på godkjenningsfunksjoner, slik at brukere kan logge seg på med en Microsoft Entra ID eller enhver OAuth2-identitetsleverandør, for eksempel en Microsoft- eller Facebook-konto.
Du kan legge til brukergodkjenning i emner når du redigerer et emne.
Viktig!
Endringer i godkjenningskonfigurasjonen trer bare i kraft etter at du har publisert agenten. Husk å planlegge i forveien før du gjør godkjenningsendringer i agenten.
Velg et godkjenningsalternativ
Copilot Studio støtter flere godkjenningsalternativer. Velge det som oppfyller behovene dine.
Gå til Innstillinger for agent, og velg Sikkerhet.
Velg Godkjenning.
Følgende godkjenningsalternativer er tilgjengelige:
Velg Lagre.
Ingen godkjenning
Ingen godkjenning betyr at agenten ikke krever at brukerne logger seg på når de kommuniserer med agenten. En ikke-godkjent konfigurasjon betyr at agenten bare har tilgang til offentlig informasjon og ressurser. Klassiske chatroboter er som standard konfigurert til å ikke kreve godkjenning.
Forsiktig!
Hvis du velger alternativet Ingen godkjenning, kan alle som har koblingen, chatte og kommunisere med roboten eller agenten.
Vi anbefaler at du bruker godkjenning, spesielt hvis du bruker roboten eller agent i organisasjonen eller for bestemte brukere, sammen med andre sikkerhets- og styringskontroller.
Godkjenn med Microsoft
Viktig!
Når alternativet Godkjenn med Microsoft er valgt, blir alle kanaler unntatt Teams-kanalen deaktivert.
I tillegg er alternativet Godkjenn med Microsoft ikke tilgjengelig for agenter som er integrert med Dynamics 365 Customer Service.
Denne konfigurasjonen konfigurerer Microsoft Entra ID-godkjenning automatisk for Teams uten behov for en manuell konfigurasjon. Siden Teams-godkjenningen identifiserer brukeren, blir ikke brukere bedt om å logge seg på mens de er i Teams, med mindre agenten krever utvidet omfang.
Bare Teams-kanalen er tilgjengelig hvis du velger dette alternativet. Hvis du må publisere agenten i andre kanaler, men likevel vil ha godkjenning for agenten, må du velge Godkjenn manuelt.
Hvis du velger Godkjenn med Microsoft, er følgende variabler tilgjengelige på redigeringslerretet:
User.IDUser.DisplayName
Hvis du vil ha mer informasjon om disse variablene og hvordan du bruker dem, kan du se Legg til brukergodkjenning i emner.
Variablene User.AccessToken og User.IsLoggedIn er ikke tilgjengelige med dette alternativet. Hvis du trenger et godkjenningssymbol, bruker du alternativet Godkjenn manuelt.
Hvis du endrer Godkjenn manuelt til Godkjenn med Microsoft og emnene inneholder variablene User.AccessToken eller User.IsLoggedIn, vises variablene som Ukjent etter endringen. Pass på at du korrigerer eventuelle emner med feil før du publiserer agenten.
Godkjenn manuelt
Copilot Studio støtter følgende godkjenningsleverandører under alternativet Godkjenn manuelt :
- Azure Active Directory
- Azure Active Directory v2
- Azure Active Directory v2 med sertifikater
- Generisk OAuth 2 - Alle identitetsleverandører som følger OAuth2-standarden
Følgende variabler er tilgjengelige på redigeringslerretet etter at du har konfigurert manuell godkjenning:
User.IdUser.DisplayNameUser.AccessTokenUser.IsLoggedIn
Hvis du vil ha mer informasjon om disse variablene og hvordan du bruker dem, kan du se Legg til brukergodkjenning i emner.
Når konfigurasjonen er lagret, må du sørge for at du publiserer agenten, slik at endringene trer i kraft.
Notat
- Godkjenningsendringer trer i kraft bare etter at agenten er publisert.
- Denne innstillingen kan styres av den tilsvarende administratorkontrollen i Power Platform. Når kontrollen er aktivert, forhindrer den at alternativet Godkjenn manuelt blir aktivert eller deaktivert i Copilot Studio. Kontrollen er alltid aktivert, og alternativet Godkjenn manuelt kan ikke endres i Copilot Studio.
Obligatorisk brukerinnlogging og agentdeling
Krev at brukere logger på fastsetter om en bruker må logge seg på før vedkommende kan snakke med agenten. Vi anbefaler på det sterkeste at du aktiverer denne innstillingen for agenter som må ha tilgang til sensitiv eller begrenset informasjon.
Dette alternativet er ikke tilgjengelig for alternativene Ingen godkjenning og Godkjenn med Microsoft.
Merk
Dette alternativet kan heller ikke konfigureres når policyen for hindring av datatap i administrasjonssenteret for Power Platform er konfigurert slik at godkjenning er nødvendig. Hvis du vil ha mer informasjon, kan du se Eksempel på hindring av datatap – Krev brukergodkjenning i agenter.
Hvis du deaktiverer dette alternativet, ber ikke agenten brukere om å logge seg på før den kommer til et emne som krever at de gjør det.
Når du aktiverer dette alternativet, opprettes et systememne kalt Krever at brukere logger på. Dette emnet er bare relevant for innstillingen Godkjenn manuelt godkjenning. Brukere godkjennes alltid i Teams.
Emnet Krev at brukere logger på utløses automatisk for alle brukere som snakker med agenten uten å være godkjent. Hvis brukeren ikke kan logge seg på, omdirigeres emnet til systememnet Eskaler.
Emnet er skrivebeskyttet og kan ikke tilpasses. Du kan vise det ved å velge Gå til redigeringslerretet.
Styre hvem som kan chatte med agenten i organisasjonen
Kombinasjonen av agentens godkjenning og innstillingen Krev at brukere logger på fastsetter hvorvidt du kan dele agenten for å styre hvem i organisasjonen som kan chatte med den. Godkjenningsinnstillingen påvirker ikke deling av en agent for samarbeid.
Ingen godkjenning: Alle brukere som har en kobling til agenten (eller som for eksempel kan finne den på nettstedet), kan chatte med den. Du kan ikke styre hvilke brukere i organisasjonen som kan chatte med agenten.
Godkjenn med Microsoft: agent fungerer bare på Teams-kanalen. Siden brukeren alltid er logget på, er innstillingen Krever at brukere logger på aktivert og kan ikke deaktiveres. Du kan bruke agentdeling til å styre hvem i organisasjonen som kan chatte med agenten.
Godkjenn manuelt:
Hvis tjenesteleverandøren er Azure Active Directory eller Microsoft Entra ID, kan du aktivere Krev at brukere logger på for å styre hvem i organisasjonen som kan chatte med agenten ved hjelp av agentdeling.
Hvis tjenesteleverandøren er Generisk OAuth2, kan du aktivere eller deaktivere Krever at brukere logger på. Når den er aktivert, kan en bruker som logger seg på, chatte med agenten. Du kan ikke styre hvilke bestemte brukere i organisasjonen som kan chatte med agenten, ved å bruke agentdeling.
Når godkjenningsinnstillingen for en agent ikke kan styre hvem som kan chatte med den, og du velger Del på oversiktssiden for agenten, får du en melding om at alle kan chatte med agenten.
Felter for manuell godkjenning
Nedenfor vises alle feltene som kan vises når du konfigurerer manuell godkjenning. Hvilke felter du ser, avhenger av valget av tjenesteleverandør.
| Feltnavn | Bekrivelse |
|---|---|
| Mal for nettadresse for godkjenning | URL-malen for godkjenning, som definert av identitetsleverandøren. Eksempel: https://login.microsoftonline.com/common/oauth2/v2.0/authorize |
| Spørringsstrengmal for nettadresse for godkjenning | Spørringsmalen for godkjenning, som levert av identitetsleverandøren. Nøkler i malen for spørringsstreng vil variere avhengig av identitetsleverandøren (?client_id={ClientId}&response_type=code&redirect_uri={RedirectUrl}&scope={Scopes}&state={State}). |
| Client ID | Klient-ID-en som er hentet fra identitetsleverandøren. |
| Client secret | Klienthemmeligheten, som du fikk da du opprettet appregistreringen for identitetsleverandøren. |
| Mal for oppdateringsbrødtekst | Malen for oppdateringsbrødteksten (refresh_token={RefreshToken}&redirect_uri={RedirectUrl}&grant_type=refresh_token&client_id={ClientId}&client_secret={ClientSecret}). |
| Spørringsstrengmal for nettadresse for oppdatering | Skilletegn for spørringsstreng for nettadresse for oppdatering for tokennettadressen, vanligvis et spørsmålstegn (?). |
| Mal for nettadresse for oppdatering | Malen for nettadressen for oppdatering, for eksempel https://login.microsoftonline.com/common/oauth2/v2.0/token. |
| Skilletegn for omfangsliste | Skilletegnet for omfangslisten. Tomme mellomrom støttes ikke i dette feltet.1 |
| Omfang | Listen over omfang du vil at brukere skal ha, etter at de har logget seg på. Bruk Skilletegn for omfangsliste til å skille flere omfang.1 Bare angi nødvendige omfang, og følg tilgangskontrollprinsippet om minimale rettigheter. |
| Tjenesteleverandør | Tjenesteleverandøren du vil bruke til godkjenning. Hvis du vil ha mer informasjon, kan du se Generiske leverandører for OAuth. |
| Leier-ID | Leier-ID-en for Microsoft Entra ID. Se Bruk en eksisterende Microsoft Entra ID-leier for å finne ut hvordan du finner leier-ID-en. |
| Mal for tokenbrødtekst | Malen for tokenbrødteksten. (code={Code}&grant_type=authorization_code&redirect_uri={RedirectUrl}&client_id={ClientId}&client_secret={ClientSecret}) |
| Nettadresse for tokenutveksling (obligatorisk for SSO) | Dette er et valgfritt felt som brukes når du konfigurerer enkel pålogging. |
| Mal for nettadresse for token | Malen for nettadresse for tokener, som levert av identitetsleverandøren, for eksempel https://login.microsoftonline.com/common/oauth2/v2.0/token. |
| Spørringsstrengmal for nettadresse for token | Skilletegn for spørringsstreng for tokennettadressen, vanligvis et spørsmålstegn (?). |
1 Du kan bruke omfang i Omfang-feltet hvis identitetsleverandøren krever det. I slike tilfeller angir du komma (,) i Skilletegn for omfangsliste og mellomrom i Omfang-feltet.
Deaktivere godkjenning
Når agent er åpen, velger du Innstillinger på den øverste menylinjen.
Velg Innstillinger, og velg deretter Godkjenning.
Velg Ingen godkjenning.
Hvis godkjenningsvariabler brukes i et emne, blir variablene Ukjent. Gå til Emner-siden for å se hvilke emner som har feil, og rett dem før publisering.
Publiser agent.
Viktig!
Hvis agent har handlinger som er konfigurert til å kreve brukerlegitimasjon, må du ikke deaktivere godkjenning på agent-nivået, siden dette vil forhindre at disse handlingene fungerer.