Configurar autenticação de usuário no Copilot Studio
A autenticação permite que os usuários façam login, dando ao seu agente acesso a um recurso ou informação restrita. Os usuários podem fazer login com uma conta do Microsoft Entra ID ou com qualquer provedor de identidade OAuth2 como Google ou Facebook.
Observação
Em Microsoft Teams, você pode configurar um Copilot Studio agente para fornecer recursos de autenticação, para que os usuários possam efetuar login com um Microsoft Entra ID ou qualquer provedor de identidade OAuth2, como um Microsoft ou Facebook conta.
Você pode adicionar autenticação de usuário final ao tópicos ao editar um tópico.
Importante
As alterações na configuração de autenticação só entram em vigor depois que você publicar seu agente. Planeje com antecedência antes de fazer alterações de autenticação no seu agente.
Escolha uma opção de autenticação
O Copilot Studio dá suporte a várias opções de autenticação. Escolha aquela que atenda às suas necessidades.
Acesse Configurações para agente e Select Segurança.
Selecione Autenticação.
As seguintes opções de autenticação estão disponíveis:
Selecione Salvar.
Sem autenticação
Nenhuma autenticação significa que seu agente não exige que os usuários entrem ao interagir com ele. Uma configuração não autenticada significa que seu agente só pode acessar informações e recursos públicos. Os chatbots clássicos são configurados por padrão para não exigir autenticação.
Cuidado
Selecionar a opção Sem autenticação permite que qualquer pessoa que tenha o vincular converse e interaja com seu bot ou agente.
Recomendamos que você aplique autenticação, especialmente se estiver usando seu bot ou agente dentro de sua organização ou para usuários específicos, juntamente com outros controles de segurança e governança.
Autenticar com a Microsoft
Importante
Quando a opção Autenticar com a Microsoft estiver selecionada, todos os canais, exceto o canal do Teams, serão desabilitados.
Além disso, a opção Autenticar com Microsoft não está disponível para agentes integrados com Dynamics 365 SAC.
Essa configuração define automaticamente a autenticação da ID do Microsoft Entra para o Teams, sem a necessidade de nenhuma configuração manual. Como a autenticação do Teams identifica o usuário, os usuários não são solicitados a entrar enquanto estão no Teams, a menos que seu agente exija um escopo expandido.
Somente o canal do Teams estará disponível se você selecionar essa opção. Se você precisar publicar o copiloto em outros canais, mas ainda quiser autenticação para o copiloto, escolha Autenticar manualmente.
Se você selecionar a opção Autenticar com a Microsoft, as seguintes variáveis permanecerão disponíveis na tela de criação:
User.IDUser.DisplayName
Para obter mais informações sobre essas variáveis e como usá-las, consulte Adicionar autenticação de usuário final a tópicos.
As variáveis User.AccessTokeneUser.IsLoggedIn não estão disponíveis com esta opção. Se você precisar de um token de autenticação, use a opção Autenticar manualmente.
Se você alterar de Autenticar manualmente para Autenticar com a Microsoft e os tópicos contiverem as variáveis User.AccessToken ou User.IsLoggedIn, elas serão exibidas como variáveis Desconhecidas depois da alteração. Certifique-se de corrigir quaisquer tópicos com erros antes de publicar seu agente.
Autenticar manualmente
O Copilot Studio oferece suporte aos seguintes provedores de autenticação na opção Autenticar manualmente:
- Azure Active Directory
- Azure Active Directory v2
- Azure Active Directory v2 com Certificados
- OAuth 2 Genérico - Qualquer provedor de identidade que esteja em conformidade com o OAuth2 padrão
Se você selecionar a opção Somente para o Teams, as seguintes variáveis ficarão disponíveis na tela de autoria:
User.IdUser.DisplayNameUser.AccessTokenUser.IsLoggedIn
Para obter mais informações sobre essas variáveis e como usá-las, consulte Adicionar autenticação de usuário final a tópicos.
Depois que a configuração for sálvia, publique seu agente para que as alterações tenham efeito.
Observação
- As alterações de autenticação só entram em vigor após a publicação do agente.
- Essa configuração pode ser controlada pelo controle de administrador correspondente no Power Platform. Quando está habilitado, o controle impede que a opção Autenticar manualmente seja habilitada ou desabilitada dentro do Copilot Studio. O controle permanece sempre habilitado, e a configuração Autenticar manualmente não pode ser modificada no Copilot Studio.
Login de usuário obrigatório e compartilhamento agente
Exigir que os usuários efetuem login determina se um usuário precisa efetuar login antes de falar com agente. É altamente recomendável que você ative essa configuração para agentes que precisam acessar informações confidenciais ou restritas.
Essa opção não está disponível para as opções Sem autenticação e Autenticar com a Microsoft.
Observação
Essa opção também não é configurável quando a política DLP no centro de administração do Power Platform está configurada para exigir autenticação. Para obter mais informações, consulte Exemplo de dados prevenção contra perdas - Exigir autenticação do usuário final em agentes.
Se você desativar esta opção, seu agente não solicitará que os usuários efetuem login até encontrar um tópico que exija isso.
Quando você ativa esta opção, ela cria um tópico do sistema chamado Exigir que os usuários façam login. Este tópico só é relevante para a configuração Autenticar manualmente. Os usuários são sempre autenticados no Teams.
O Exigir que os usuários efetuem login tópico é acionado automaticamente para qualquer usuário que fale com o agente sem ser autenticado. Se o usuário não fizer login, o tópico redireciona para o tópico do sistema Escalar.
O tópico é somente leitura e não pode ser personalizado. Para vê-lo, selecione Ir para a tela de criação.
Controle quem pode conversar com o agente na organização
A autenticação do seu agente e a configuração Exigir que o usuário faça login em combinação determinam se você pode compartilhar o agente para controlar quem na sua organização pode bater papo com ele. A configuração de autenticação não afeta o compartilhamento de um agente para colaboração.
Sem autenticação: Qualquer usuário que tenha um vincular para o agente (ou possa encontrá-lo; por exemplo, no seu site) pode bater papo com ele. Você não pode controlar quais usuários na sua organização podem conversar com agente.
Autentique com Microsoft: O agente funciona apenas no canal Teams. Como o usuário estará sempre conectado, a configuração Exigir que os usuários entrem está ativada e não pode ser desativada. Você pode usar o compartilhamento agente para controlar quem na sua organização pode bater papo com agente.
Autenticar manualmente:
Se o provedor de serviços for Azure Active Directory ou Microsoft Entra ID, você pode ativar Exigir que os usuários efetuem login para controlar quem na sua organização pode bater papo com o agente usando o compartilhamento agente.
Se o provedor de serviços for OAuth2 genérico, você pode ativar ou desativar a opção Exigir que os usuários façam login. Quando ativado, um usuário que faz login pode bater papo com agente. Você não pode controlar quais usuários específicos na sua organização podem conversar com agente usando o compartilhamento agente.
Quando a configuração de autenticação de um agente não consegue controlar quem pode conversar com ele, se você Select Compartilhar na página de visão geral do agente, uma mensagem informa que qualquer pessoa pode conversar com seu agente.
Campos de autenticação manual
A seguir estão todos os campos que você pode ver ao configurar a autenticação manual. Os campos que você verá dependem de sua escolha de provedor de serviço.
| Nome do campo | Descrição |
|---|---|
| Modelo da URL de autorização | O modelo de URL para autorização, conforme definido pelo seu provedor de identidade. Por exemplo, https://login.microsoftonline.com/common/oauth2/v2.0/authorize |
| Modelo da cadeia de caracteres de consulta da URL de autorização | O modelo de consulta para autorização, conforme fornecido pelo seu provedor de identidade; por exemplo. As chaves no modelo de cadeia de consulta variam de acordo com o provedor de identidade (?client_id={ClientId}&response_type=code&redirect_uri={RedirectUrl}&scope={Scopes}&state={State}). |
| ID do cliente | Sua ID do Cliente obtida do provedor de identidade. |
| Client secret | Seu segredo do cliente, obtido quando você criou o registro do aplicativo do provedor de identidade. |
| Atualizar modelo de corpo | O modelo para o corpo de atualização (refresh_token={RefreshToken}&redirect_uri={RedirectUrl}&grant_type=refresh_token&client_id={ClientId}&client_secret={ClientSecret}). |
| Atualizar modelo da cadeia de caracteres de consulta da URL | O separador de string de consulta do URL de atualização para o URL do token, geralmente um ponto de interrogação (?). |
| Atualizar modelo de URL | O modelo de URL para atualização; por exemplo, https://login.microsoftonline.com/common/oauth2/v2.0/token. |
| Delimitador da lista de escopos | O caractere separador da lista de escopos. Espaços vazios não são permitidos neste campo.1 |
| Escopos | A lista de escopos que você deseja que os usuários tenham após o login. Use o Delimitador de lista do escopo para separar vários escopos.1 Defina apenas os escopos necessários e siga o princípio de controle de acesso de privilégio mínimo. |
| Provedor de serviços | O provedor de serviços que você deseja usar para autenticação. Para obter mais informações, consulte Provedores do OAuth genérico. |
| ID do locatário | Seu ID do locatário do Microsoft Entra ID. Consulte Use um locatário existente do Microsoft Entra ID para saber como encontrar seu ID de locatário. |
| Modelo do corpo do token | O modelo para o corpo do token. (code={Code}&grant_type=authorization_code&redirect_uri={RedirectUrl}&client_id={ClientId}&client_secret={ClientSecret}) |
| URL de troca de Token (obrigatória para SSO) | Este é um campo opcional usado durante a configuração do logon único. |
| Modelo de URL do token | O modelo de URL para tokens, conforme definido pelo seu provedor de identidade; por exemplo, https://login.microsoftonline.com/common/oauth2/v2.0/token |
| Modelo da cadeia de caracteres de consulta da URL do token | O separador de string de consulta para o URL do token, geralmente um ponto de interrogação (?). |
1 Você pode usá-los no campo Escopos se o provedor de identidade exigir. Nesse caso, insira uma vírgula (,) em Delimitador de lista de escopo e insira espaços no campo Escopos.
Desativar a autenticação
Com seu agente aberto, Select Configurações na barra de menu superior.
Selecione Segurança e, em seguida, Autenticação.
Selecione Sem autenticação.
Se as variáveis de autenticação estiverem sendo usadas em um tópico, elas se tornarão variáveis Desconhecidas. Acesse a página Tópicos para ver quais tópicos contêm erros e corrija-os antes de publicar.
Publique o agente.
Importante
Se seu agente tiver ações configuradas para usar credenciais de usuário final, não desative a autenticação no nível do agente, pois isso impediria que essas ações funcionassem.