Gebruikersverificatie configureren in Copilot Studio
Met verificatie kunnen gebruikers aanmelden, waardoor uw agent toegang krijgt tot een beperkte resource of informatie. Gebruikers kunnen zich aanmelden met Microsoft Entra ID of met een OAuth2-id-provider, zoals Google of Facebook.
Notitie
U kunt in Microsoft Teams een Copilot Studio-agent configureren om verificatiemogelijkheden te bieden, zodat gebruikers zich met een Microsoft Entra ID of een willekeurige OAuth2-identiteitsprovider, zoals een Microsoft- of Facebook-account kunnen aanmelden.
U kunt gebruikersverificatie toevoegen aan onderwerpen wanneer u een onderwerp bewerkt.
Belangrijk
Wijzigingen in de verificatieconfiguratie worden pas van kracht nadat u uw agent publiceert. Zorg ervoor dat u vooruit plant voordat u verificatiewijzigingen aanbrengt in uw agent.
Een verificatieoptie kiezen
Copilot Studio ondersteunt verschillende verificatieopties. Kies de optie die aan uw behoeften voldoet.
Ga naar instellingen voor uw agent en selecteer Beveiliging.
Selecteer Verificatie.
De volgende verificatieopties zijn beschikbaar:
Selecteer Opslaan.
Geen verificatie
Geen verificatie betekent dat uw agent niet vereist dat uw gebruikers zich aanmelden bij interactie met de agent. Een niet-geverifieerde configuratie betekent dat uw agent alleen toegang heeft tot openbare informatie en bronnen. Klassieke chatbots zijn standaard zo geconfigureerd dat er geen verificatie vereist is.
Let op
Als u de optie Geen verificatie selecteert, kan iedereen met de koppeling chatten en communiceren met uw bot of agent.
Wij raden u aan om authenticatie toe te passen, vooral als u uw bot of agent binnen uw organisatie of voor specifieke gebruikers gebruikt, samen met andere beveiligings- en governancemaatregelen.
Verifiëren met Microsoft
Belangrijk
Wanneer de optie Verifiëren met Microsoft is geselecteerd, worden alle kanalen behalve het Teams-kanaal uitgeschakeld.
Bovendien is de optie Verifiëren met Microsoft niet beschikbaar voor agenten die zijn geïntegreerd met Dynamics 365 Customer Service.
Met deze configuratie wordt automatisch Microsoft Entra ID-verificatie ingesteld voor Teams zonder dat u handmatig hoeft te configureren. Aangezien Teams-verificatie zelf de gebruiker identificeert, wordt gebruikers niet gevraagd zich aan te melden terwijl ze zich in Teams bevinden, tenzij uw agent een groter bereik nodig heeft.
Alleen het Teams-kanaal is beschikbaar als u deze optie selecteert. Als u uw agent moet publiceren naar andere kanalen, maar toch verificatie voor uw agent wilt, moet u de optie Handmatig verifiëren kiezen.
Als u Verifiëren met Microsoft selecteert, zijn de volgende variabelen beschikbaar op het ontwerpcanvas:
User.IDUser.DisplayName
Voor meer informatie over deze variabelen en hoe ze te gebruiken, zie Gebruikersverificatie toevoegen aan onderwerpen.
De variabelen User.AccessToken en User.IsLoggedIn zijn niet beschikbaar bij deze optie. Als u een verificatietoken nodig hebt, gebruikt u de optie Handmatig verifiëren.
Als u de verificatie wijzigt van Handmatig verifiëren in Verifiëren met Microsoft en uw onderwerpen de variabelen User.AccessToken of User.IsLoggedIn bevatten, worden ze na de wijziging weergegeven als onbekende variabelen. Zorg ervoor dat u eventuele fouten in uw onderwerpen corrigeert voordat u uw agent publiceert.
Handmatig verifiëren
Copilot Studio ondersteunt de volgende verificatieproviders onder de optie Handmatig verifiëren:
- Azure Active Directory
- Azure Active Directory v2
- Azure Active Directory v2 met certificaten
- Algemene OAuth 2: elke id-provider die voldoet aan de OAuth2-standaard
De volgende variabelen zijn beschikbaar op het ontwerpcanvas na configuratie van handmatige verificatie:
User.IdUser.DisplayNameUser.AccessTokenUser.IsLoggedIn
Voor meer informatie over deze variabelen en hoe ze te gebruiken, zie Gebruikersverificatie toevoegen aan onderwerpen.
Nadat de configuratie is opgeslagen, moet u uw agent publiceren, zodat de wijzigingen van kracht worden.
Notitie
- Verificatiewijzigingen worden pas van kracht nadat de agent is gepubliceerd.
- Deze instelling kan worden beheerd via de overeenkomstige beheerdersoptie in Power Platform. Wanneer het besturingselement is ingeschakeld, wordt voorkomen dat de optie Handmatig verifiëren in Copilot Studio wordt in- of uitgeschakeld. De optie is altijd ingeschakeld en de optie Handmatig verifiëren kan niet worden gewijzigd in Copilot Studio.
Vereiste gebruikersaanmelding en delen van agenten
Vereisen dat gebruikers zich aanmelden bepaalt of een gebruiker zich moet aanmelden voordat hij met de agent praat. We raden u ten zeerste aan deze instelling in te schakelen voor agenten die toegang nodig hebben tot gevoelige of beperkte informatie.
Deze optie is niet beschikbaar voor de opties Geen verificatie en Verifiëren met Microsoft.
Notitie
Deze optie kan ook niet worden geconfigureerd als het DLP-beleid in het Power Platform-beheercentrum zo is geconfigureerd dat verificatie vereist is. Zie Voorbeeld van gegevensverliespreventie: Gebruikersauthenticatie vereisen in agenten voor meer informatie.
Als u deze optie uitschakelt, vraagt uw agent gebruikers niet om zich aan te melden, totdat hij een onderwerp tegenkomt dat dit vereist.
Wanneer u deze optie inschakelt, wordt een systeemonderwerp gemaakt met de naam Vereisen dat gebruikers zich moeten aanmelden. Dit onderwerp is alleen relevant voor de instelling Handmatig verifiëren. Gebruikers worden altijd geverifieerd in Teams.
Het onderwerp Vereisen dat gebruikers zich aanmelden wordt automatisch geactiveerd voor elke gebruiker die met de agent praat zonder te zijn geverifieerd. Als de gebruiker zich niet aanmeldt, wordt het onderwerp omgeleid naar het syteemonderwerp Escaleren.
Het onderwerp is alleen-lezen en kan niet worden aangepast. Om het te zien, selecteert u Ga naar het ontwerpcanvas.
Bepalen wie kan chatten met de agent in de organisatie
Met de combinatie van de verificatie-instelling van de agent en Vereisen dat gebruikers zich aanmelden bepaalt u of u de agent kunt delen om te bepalen wie in uw organisatie met de agent mag chatten. De verificatie-instelling heeft geen invloed op het delen van een agent voor samenwerking.
Geen verificatie: elke gebruiker die een koppeling naar de agent heeft (of kan vinden; bijvoorbeeld op uw website) kan ermee chatten. U kunt niet bepalen welke gebruikers in uw organisatie mogen chatten met de agent.
Verifiëren met Microsoft: de agent werkt alleen voor het Teams-kanaal. Aangezien de gebruiker altijd aangemeld is, is de instelling Vereisen dat gebruikers zich aanmelden ingeschakeld en kan niet worden uitgeschakeld. U kunt agent delen gebruiken om te bepalen wie in uw organisatie met de agent mag chatten.
Handmatig verifiëren:
Als de serviceprovider Azure Active Directory of Microsoft Entra ID is, kunt u Vereisen dat gebruikers zich aanmelden inschakelen om te bepalen wie in uw organisatie met de agent mag chatten via agent delen.
Als de serviceprovider Generieke OAuth2 is, kunt u Vereisen dat gebruikers zich aanmelden in- of uitschakelen. Als het is ingeschakeld, kan een gebruiker die zich aanmeldt, chatten met de agent. U kunt niet bepalen welke specifieke gebruikers in uw organisatie mogen chatten met de agent via agent delen.
Wanneer de verificatie-instelling van een agent niet kan bepalen wie met de bot mag chatten en als u Delen selecteert op de startpagina van de agent, krijgt u een bericht om aan te geven dat iedereen met uw agent mag chatten.
Velden voor handmatige verificatie
Hieronder volgen alle velden die u kunt zien wanneer u handmatige verificatie configureert. Welke velden u ziet, hangt af van uw keuze voor serviceprovider.
| Veldnaam | Omschrijving |
|---|---|
| Sjabloon voor autorisatie-URL | De URL-sjabloon voor autorisatie, zoals gedefinieerd door uw identiteitsprovider. Bijvoorbeeld https://login.microsoftonline.com/common/oauth2/v2.0/authorize |
| Sjabloon voor querytekenreeks voor autorisatie-URL | De querysjabloon voor autorisatie, zoals verstrekt door uw id-provider. Sleutels in de querytekenreekssjabloon variëren, afhankelijk van de identiteitsprovider (?client_id={ClientId}&response_type=code&redirect_uri={RedirectUrl}&scope={Scopes}&state={State}). |
| Client ID | De client-id die u van de id-provider hebt gekregen. |
| Client secret | Uw clientgeheim, verkregen toen u de app-registratie van de id-provider maakte. |
| Sjabloon voor vernieuwen van hoofdtekst | De sjabloon voor het vernieuwen van hoofdtekst (refresh_token={RefreshToken}&redirect_uri={RedirectUrl}&grant_type=refresh_token&client_id={ClientId}&client_secret={ClientSecret}). |
| Sjabloon voor querytekenreeks voor vernieuwen van URL | Het scheidingsteken voor de queryreeks voor de vernieuwings-URL voor de token-URL, meestal een vraagteken (?). |
| Sjabloon voor vernieuwen van URL | De URL-sjabloon voor vernieuwen; bijvoorbeeld https://login.microsoftonline.com/common/oauth2/v2.0/token. |
| Scheidingsteken voor bereiklijst | Het scheidingsteken voor de lijst met bereiken. Lege ruimten worden niet ondersteund in dit veld.1 |
| Bereiken | De lijst van bereiken die u wilt dat gebruikers hebben nadat ze zijn aangemeld. Gebruik het scheidingsteken voor bereiklijst om meerdere bereiken te scheiden.1 Stel alleen noodzakelijke bereiken in en volg het principe van toegangscontrole met minimale bevoegdheden. |
| Serviceprovider | De serviceprovider die u wilt gebruiken voor verificatie. Voor meer informatie, zie Generieke OAuth-providers. |
| Tenant-id | Uw Microsoft Entra ID-tenant-id. Zie Een bestaande Microsoft Entra ID-tenant gebruiken voor meer informatie over het vinden van uw tenant-id. |
| Sjabloon voor token hoofdtekst | De sjabloon voor de hoofdtekst van de token. (code={Code}&grant_type=authorization_code&redirect_uri={RedirectUrl}&client_id={ClientId}&client_secret={ClientSecret}) |
| URL voor uitwisseling van tokens (vereist voor SSO) | Dit optionele veld wordt gebruikt wanneer u eenmalige aanmelding configureert. |
| Sjabloon voor URL van token | De URL-sjabloon voor tokens, zoals verstrekt door uw id-provider; bijvoorbeeld https://login.microsoftonline.com/common/oauth2/v2.0/token. |
| Sjabloon voor querytekenreeks voor URL van token | Het scheidingsteken voor de queryreeks voor de token-URL, meestal een vraagteken (?). |
1 U kunt spaties gebruiken in het veld Bereiken als de id-provider het vereist. Typ in dat geval een komma (,) bij Scheidingsteken voor bereiklijst en voer spaties in het veld Bereiken in.
Verificatie uitschakelen
Terwijl uw agent geopend is, selecteert u Instellingen op de bovenste menubalk.
Selecteer Beveiliging en selecteer vervolgens Verificatie.
Selecteer Geen verificatie.
Als verificatievariabelen worden gebruikt in een onderwerp, worden ze onbekende variabelen. Ga naar de pagina Onderwerpen om te zien welke onderwerpen fouten bevatten en los ze op voordat u ze publiceert.
Publiceer de agent.
Belangrijk
Als uw agent acties heeft geconfigureerd om gebruikersreferenties te vereisen, schakel verificatie dan niet uit op agentniveau, omdat dit ervoor zou zorgen dat deze acties niet werken.