Gebruikersverificatie configureren in Copilot Studio
Met verificatie kunnen gebruikers aanmelden, waardoor uw copilot toegang krijgt tot een beperkte resource of informatie. Gebruikers kunnen zich aanmelden met Microsoft Entra ID of met een OAuth2-id-provider, zoals Google of Facebook.
Opmerking
U kunt in Microsoft Teams een Copilot Studio-copilot configureren om verificatiemogelijkheden te bieden, zodat gebruikers zich kunnen aanmelden met een Microsoft Entra ID of OAuth2-id-provider, zoals een Microsoft- of Facebook-account.
U kunt eindgebruikersverificatie toevoegen aan onderwerpen wanneer u een onderwerp bewerkt.
Belangrijk
Wijzigingen in de verificatieconfiguratie worden pas van kracht nadat u uw copilot publiceert. Zorg ervoor dat u vooruit plant voordat u verificatiewijzigingen aanbrengt in uw copilot.
Een verificatieoptie kiezen
Copilot Studio ondersteunt verschillende verificatieopties. Kies de optie die aan uw behoeften voldoet.
Ga naar Instellingen voor uw copilot en selecteer Beveiliging.
Selecteer Verificatie.
De volgende verificatieopties zijn beschikbaar:
Selecteer Opslaan.
Geen verificatie
Geen verificatie betekent dat uw copilot niet vereist dat uw gebruikers zich aanmelden wanneer ze communiceren met de copilot. Een niet-geverifieerde configuratie betekent dat uw copilot alleen toegang heeft tot openbare informatie en resources. Klassieke chatbots zijn standaard zo geconfigureerd dat er geen verificatie vereist is.
Let op
Als u de optie Geen verificatie selecteert, kan iedereen met de koppeling chatten en communiceren met uw bot of copilot.
Wij raden u aan om verificatie toe te passen, vooral als u uw bot of copilot binnen uw organisatie of voor specifieke gebruikers gebruikt samen met andere beveiligings- en governancecontroles.
Verifiëren met Microsoft
Belangrijk
Wanneer de optie Verifiëren met Microsoft is geselecteerd, worden alle kanalen behalve het Teams-kanaal uitgeschakeld.
Bovendien is de optie Authenticeren met Microsoft niet beschikbaar voor copiloten die zijn geïntegreerd met Dynamics 365 Customer Service.
Met deze configuratie wordt automatisch Microsoft Entra ID-verificatie ingesteld voor Teams zonder dat u handmatig hoeft te configureren. Aangezien Teams-verificatie zelf de gebruiker identificeert, wordt gebruikers niet gevraagd zich aan te melden terwijl ze zich in Teams bevinden, tenzij uw copilot een groter bereik nodig heeft.
Alleen het Teams-kanaal is beschikbaar als u deze optie selecteert. Als u uw copilot moet publiceren naar andere kanalen, maar toch verificatie voor uw copilot wilt, moet u de optie Handmatig verifiëren kiezen.
Als u Verifiëren met Microsoft selecteert, zijn de volgende variabelen beschikbaar op het ontwerpcanvas:
User.IDUser.DisplayName
Zie Eindgebruikersverificatie aan onderwerpen toevoegen voor meer informatie over deze variabelen en hoe u ze kunt gebruiken.
De variabelen User.AccessToken en User.IsLoggedIn zijn niet beschikbaar bij deze optie. Als u een verificatietoken nodig hebt, gebruikt u de optie Handmatig verifiëren.
Als u de verificatie wijzigt van Handmatig verifiëren in Verifiëren met Microsoft en uw onderwerpen de variabelen User.AccessToken of User.IsLoggedIn bevatten, worden ze na de wijziging weergegeven als onbekende variabelen. Zorg ervoor dat u eventuele fouten in uw onderwerpen corrigeert voordat u uw copilot publiceert.
Handmatig verifiëren
Copilot Studio ondersteunt de volgende authenticatieproviders onder de optie Handmatig authenticeren :
- Azure Active Directory
- Azure Active Directory v2
- Azure Active Directory v2 met certificaten
- Algemene OAuth 2: elke id-provider die voldoet aan de OAuth2-standaard
De volgende variabelen zijn beschikbaar op het ontwerpcanvas na configuratie van handmatige verificatie:
User.IdUser.DisplayNameUser.AccessTokenUser.IsLoggedIn
Zie Eindgebruikersverificatie aan onderwerpen toevoegen voor meer informatie over deze variabelen en hoe u ze kunt gebruiken.
Nadat de configuratie is opgeslagen, moet u uw copilot publiceren, zodat de wijzigingen van kracht worden.
Opmerking
- Verificatiewijzigingen worden pas van kracht nadat de copilot is gepubliceerd.
- Deze instelling kan worden beheerd via de overeenkomstige beheerdersoptie in Power Platform. Wanneer het besturingselement is ingeschakeld, wordt voorkomen dat de optie Handmatig verifiëren in Copilot Studio wordt in- of uitgeschakeld. De optie is altijd ingeschakeld en de optie Handmatig verifiëren kan niet worden gewijzigd in Copilot Studio.
Vereiste gebruikersaanmelding en delen van copilots
Vereisen dat gebruikers zich aanmelden bepaalt of een gebruiker zich moet aanmelden voordat hij met de copilot praat. We raden u ten zeerste aan deze instelling in te schakelen voor copilots die toegang nodig hebben tot gevoelige of beperkte informatie.
Deze optie is niet beschikbaar voor de opties Geen authenticatie en Authenticeren met Microsoft .
Opmerking
Deze optie kan ook niet worden geconfigureerd als het DLP-beleid in het Power Platform-beheercentrum zo is geconfigureerd dat verificatie vereist is. Ga voor meer informatie naar Voorbeeld van preventie van gegevensverlies: vereist verificatie van eindgebruikers in copilots.
Als u deze optie uitschakelt, vraagt uw copilot gebruikers niet om zich aan te melden, totdat deze een onderwerp tegenkomt dat dit vereist.
Wanneer u deze optie inschakelt, wordt een systeemonderwerp gemaakt met de naam Vereisen dat gebruikers zich moeten aanmelden. Dit onderwerp is alleen relevant voor de instelling Handmatig verifiëren. Gebruikers worden altijd geverifieerd in Teams.
Het onderwerp Vereisen dat gebruikers zich aanmelden wordt automatisch geactiveerd voor elke gebruiker die met de copilot praat zonder te zijn geverifieerd. Als de gebruiker zich niet aanmeldt, wordt het onderwerp omgeleid naar het syteemonderwerp Escaleren.
Het onderwerp is alleen-lezen en kan niet worden aangepast. Om het te zien, selecteert u Ga naar het ontwerpcanvas.
Bepalen wie kan chatten met de copilot in de organisatie
Met de combinatie van de verificatie-instelling van de copilot en Vereisen dat gebruikers zich aanmelden bepaalt u of u de copilot kunt delen om te bepalen wie in uw organisatie met de bot mag chatten. De verificatie-instelling heeft geen invloed op het delen van een copilot voor samenwerking.
Geen verificatie: elke gebruiker die een koppeling naar de copilot heeft (of kan vinden; bijvoorbeeld op uw website) kan ermee chatten. U kunt niet bepalen welke gebruikers in uw organisatie mogen chatten met de copilot.
Verifiëren met Microsoft: de copilot werkt alleen voor het Teams-kanaal. Aangezien de gebruiker altijd aangemeld is, is de instelling Vereisen dat gebruikers zich aanmelden ingeschakeld en kan niet worden uitgeschakeld. U kunt copilots delen om te bepalen wie in uw organisatie met de copilot mag chatten.
Handmatig verifiëren:
Als de serviceprovider Azure Active Directory of Microsoft Entra ID is, kunt Vereisen dat gebruikers zich aanmelden inschakelen om te bepalen wie in uw organisatie met de copilot mag chatten via copilot delen.
Als de serviceprovider Generieke OAuth2 is, kunt u Vereisen dat gebruikers zich aanmelden in- of uitschakelen. Indien ingeschakeld, kan een gebruiker die zich aanmeldt, chatten met de copilot. U kunt niet bepalen welke specifieke gebruikers in uw organisatie kunnen chatten met de copilot via copilot delen.
Wanneer de verificatie-instelling van een copilot niet kan bepalen wie met de bot mag chatten en als u Delen selecteert op de overzichtspagina van de copilot, krijgt u een bericht om aan te geven dat iedereen met uw copilot mag chatten.
Velden voor handmatige verificatie
Hieronder volgen alle velden die u kunt zien wanneer u handmatige verificatie configureert. Welke velden u ziet, hangt af van uw keuze voor serviceprovider.
| Veldnaam | Omschrijving |
|---|---|
| Sjabloon voor autorisatie-URL | De URL-sjabloon voor autorisatie, zoals gedefinieerd door uw identiteitsprovider. Bijvoorbeeld https://login.microsoftonline.com/common/oauth2/v2.0/authorize |
| Sjabloon voor querytekenreeks voor autorisatie-URL | De querysjabloon voor autorisatie, zoals verstrekt door uw id-provider. Sleutels in de querytekenreekssjabloon variëren, afhankelijk van de identiteitsprovider (?client_id={ClientId}&response_type=code&redirect_uri={RedirectUrl}&scope={Scopes}&state={State}). |
| Client ID | De client-id die u van de id-provider hebt gekregen. |
| Client secret | Uw clientgeheim, verkregen toen u de app-registratie van de id-provider maakte. |
| Sjabloon voor vernieuwen van hoofdtekst | De sjabloon voor het vernieuwen van hoofdtekst (refresh_token={RefreshToken}&redirect_uri={RedirectUrl}&grant_type=refresh_token&client_id={ClientId}&client_secret={ClientSecret}). |
| Sjabloon voor querytekenreeks voor vernieuwen van URL | Het scheidingsteken voor de queryreeks voor de vernieuwings-URL voor de token-URL, meestal een vraagteken (?). |
| Sjabloon voor vernieuwen van URL | De URL-sjabloon voor vernieuwen; bijvoorbeeld https://login.microsoftonline.com/common/oauth2/v2.0/token. |
| Scheidingsteken voor bereiklijst | Het scheidingsteken voor de lijst met bereiken. Lege ruimten worden niet ondersteund in dit veld.1 |
| Bereiken | De lijst van bereiken die u wilt dat gebruikers hebben nadat ze zijn aangemeld. Gebruik het scheidingsteken voor bereiklijst om meerdere bereiken te scheiden.1 Stel alleen noodzakelijke bereiken in en volg het principe van toegangscontrole met minimale bevoegdheden. |
| Serviceprovider | De serviceprovider die u wilt gebruiken voor verificatie. Voor meer informatie, zie Generieke OAuth-providers. |
| Tenant-id | Uw Microsoft Entra ID-tenant-id. Zie Een bestaande Microsoft Entra ID-tenant gebruiken voor meer informatie over het vinden van uw tenant-id. |
| Sjabloon voor token hoofdtekst | De sjabloon voor de hoofdtekst van de token. (code={Code}&grant_type=authorization_code&redirect_uri={RedirectUrl}&client_id={ClientId}&client_secret={ClientSecret}) |
| URL voor uitwisseling van tokens (vereist voor SSO) | Dit optionele veld wordt gebruikt wanneer u eenmalige aanmelding configureert. |
| Sjabloon voor URL van token | De URL-sjabloon voor tokens, zoals verstrekt door uw id-provider; bijvoorbeeld https://login.microsoftonline.com/common/oauth2/v2.0/token. |
| Sjabloon voor querytekenreeks voor URL van token | Het scheidingsteken voor de queryreeks voor de token-URL, meestal een vraagteken (?). |
1 U kunt spaties gebruiken in het veld Bereiken als de id-provider het vereist. Typ in dat geval een komma (,) bij Scheidingsteken voor bereiklijst en voer spaties in het veld Bereiken in.
Authenticatie uitschakelen
Terwijl uw copilot geopend is, selecteert u Instellingen op de bovenste menubalk.
Selecteer Beveiliging en selecteer vervolgens Verificatie.
Selecteer Geen verificatie.
Als verificatievariabelen worden gebruikt in een onderwerp, worden ze onbekende variabelen. Ga naar de pagina Onderwerpen om te zien welke onderwerpen fouten bevatten en los ze op voordat u ze publiceert.
De copilot publiceren.
Belangrijk
Als uw copilot acties heeft geconfigureerd om de inloggegevens van de eindgebruiker te gebruiken, moet u verificatie niet uitschakelen op copilot-niveau, omdat deze acties dan niet meer werken.