Configurar logon único com Microsoft Entra ID para agentes em Microsoft Teams
Copilot Studio suporta logon único (SSO) para agentes publicados em Microsoft Teams chats 1:1, o que significa que os agentes podem efetuar login automaticamente nos usuários com suas Microsoft Teams credenciais. O SSO só é suportado quando se usa a ID do Microsoft Entra. Outros provedores de serviços, como Azure AD v1, não oferecem suporte a SSO no Microsoft Teams.
Importante
É possível usar SSO em chats do Microsoft Teams, e não exigir autenticação manual. Para usar este método para um agente publicado anteriormente, reconfigure o agente para usar Autenticar com Microsoft e então publique-o novamente Microsoft Teams. Pode levar algumas horas até que essa alteração entre em vigor. Se um usuário estiver no meio de uma conversa e a alteração não parecer ter surtido efeito, ele pode digitar "recomeçar" no chat para forçar a conversa a reiniciar com a versão mais recente do agente. Essas alterações agora estão disponíveis para bate-papos individuais do Teams entre o usuário e agente. Ainda não estão disponíveis para chats em grupo ou mensagens de canal.
O SSO não é suportado para agentes integrados com Dynamics 365 SAC.
Não prossiga com o seguinte documento, a menos que isso seja necessário. Se você quiser usar autenticação manual para seu agente, consulte Configurar autenticação de usuário com Microsoft Entra ID.
Observação
Se você estiver usando a autenticação SSO do Teams com a opção de autenticação manual e também usando o agente em sites personalizados ao mesmo tempo, será necessário implantar o aplicativo Teams usando o manifesto do aplicativo.
Para obter mais informações, consulte Baixar o manifesto do aplicativo Teams para um agente.
Outras configurações, como opções de autenticação ao lado de Manual ou por meio da implantação do Teams usando o Copilot Studio com um clique, não funcionarão.
Pré-requisitos
- Saiba como usar a autenticação do usuário final em um tópico.
- Conecte e configure um agente para Microsoft Teams.
Configurar um registro de aplicativo
Antes de configurar o SSO para o Teams, você precisa configurar a autenticação do usuário com a ID do Microsoft Entra. Esse processo cria um registro de aplicativo que é necessário para configurar o SSO.
Criar um registro de aplicativo. Consulte as instruções em Configurar autenticação do usuário com o Microsoft Entra ID.
Adicionar a URL de redirecionamento.
Gere um segredo do cliente.
Configure a autenticação manual.
Localize a ID do aplicativo de canal do Microsoft Teams
Em Copilot Studio, abra o agente para o qual você deseja configurar o SSO.
Nas configurações dos agente, Select Canais. Selecione o bloco do Microsoft Teams.
Se o Microsoft Teams canal ainda não estiver conectado ao seu agente, Select Ative o Teams. Para obter mais informações, consulte Conectar um agente ao Microsoft Teams canal.
Selecione Editar detalhes, expanda Mais e selecione Copiar ao lado do campo ID do aplicativo.
Adicione a ID do aplicativo de canal do Microsoft Teams ao registro do aplicativo
Acesse o Portal do Azure. Abra a lâmina de registro do aplicativo que você criou quando configurou a autenticação do usuário para seu agente.
Selecione Expor uma API no painel lateral. Em URI da ID do Aplicativo, selecione Definir.
Digite
api://botid-{teamsbotid}e substitua{teamsbotid}pela ID do aplicativo do canal do Teams encontrado anteriormente.
Selecione Salvar.
Conceder consentimento do administrador
Os aplicativos são autorizados a chamar APIs quando recebem permissões de usuários/administradores como parte do processo de consentimento. Para saber mais sobre consentimento, consulte Permissões e consentimento na plataforma de identidade da Microsoft.
Se a opção de consentimento do administrador estiver disponível, você deverá conceder o consentimento:
No portal do Azure na folha de registro do aplicativo, acesse Permissões de API.
Selecione Conceder consentimento de administrador para <nome de seu tenant> e, em seguida, selecione Sim.
Dica
Para evitar que os usuários tenham que dar consentimento em cada aplicativo, um administrador global, um administrador de aplicativos ou um administrador de aplicativos de nuvem deve conceder consentimento para todo o locatário aos registros do seu aplicativo.
Adicionar permissões de API
No portal do Azure na folha de registro do aplicativo, acesse Permissões de API.
Selecione Adicionar uma permissão e escolha Microsoft Graph.
Selecione Permissões delegadas. Uma lista de permissões é exibida.
Expanda Permissões do OpenId.
Selecione openid e perfil.
Selecione Adicionar permissões.
Defina um escopo personalizado para seu agente
No portal do Azure na folha de registro do aplicativo, acesse Expor uma API.
Selecione Adicionar um escopo.
Defina as seguintes propriedades:
Propriedade Valor Nome do escopo Inserir Test.ReadQuem pode consentir? Selecione Administradores e usuários Nome de exibição do consentimento do administrador Inserir Test.ReadDescrição do consentimento do administrador Inserir Allows the app to sign the user in.State Selecione Habilitado Nota
O nome do escopo
Test.Readé um valor de espaço reservado e deve ser substituído por um nome que faça sentido em seu ambiente.Selecione Adicionar escopo.
Adicionar IDs de clientes do Microsoft Teams
Importante
Nas etapas a seguir, os valores fornecidos para IDs de clientes do Microsoft Teams devem ser usados literalmente porque são os mesmos em todos os locatários.
No portal do Azure na folha de registro do aplicativo, acesse Expor uma API e selecione Adicionar um aplicativo cliente.
No campo ID do cliente, insira a ID do cliente do Microsoft Teams para desktop/dispositivo móvel, que é
1fec8e78-bce4-4aaf-ab1b-5451cc387264. Select a caixa de seleção para o escopo que você criou anteriormente.
Selecione Adicionar aplicativo.
Repita as etapas anteriores, mas, para ID do cliente, insira a ID do cliente para Microsoft Teams na Web, que é
5e3ce6c0-2b1f-4285-8d4b-75ee78787346.Verifique se a página Expor uma API lista as IDs do aplicativo cliente do Microsoft Teams.
Para resumir, as duas IDs de cliente do Microsoft Teams adicionadas à página Expor uma API são:
1fec8e78-bce4-4aaf-ab1b-5451cc3872645e3ce6c0-2b1f-4285-8d4b-75ee78787346
Adicione a URL de troca de token às configurações de autenticação do seu agente
Para atualizar as configurações de autenticação da ID do Microsoft Entra no Copilot Studio, você deve adicionar a URL de troca de token para permitir que o Microsoft Teams e o Copilot Studio compartilhem informações.
No portal do Azure na folha de registro do aplicativo, acesse Expor uma API.
Em Escopos, selecione o ícone Copiar para a área de transferência.
Em Copilot Studio, nas configurações para agente, Select Segurança e depois Select o bloco Autenticação .
Para URL de troca de token (necessário para SSO), cole o escopo copiado anteriormente.
Selecione Salvar.
Adicione SSO ao seu canal agente Microsoft Teams
Em Copilot Studio, nas configurações dos agente, Select Canais.
Selecione o bloco do Microsoft Teams.
Selecione Editar detalhes e expanda Mais.
Na ID do cliente do aplicativo AAD, insira a ID do aplicativo (cliente) do registro do aplicativo.
Para obter esse valor, abra o portal do Azure. Em seguida, na folha de registro do aplicativo, acesse a Visão geral. Copie o valor na caixa ID do aplicativo (cliente).
No URI do recurso, insira o URI da ID do aplicativo do registro do aplicativo.
Para obter esse valor, abra o portal do Azure. Em seguida, na folha de registro do aplicativo, acesse a Expor uma API. Copie o valor na caixa URI da ID do aplicativo.
Selecione Salvar e Fechar.
Publique o agente novamente para disponibilizar as últimas alterações aos seus clientes.
Select Abra o agente no Teams para iniciar uma nova conversa com seu agente no Microsoft Teams e verificar se ele faz login automaticamente.
Problemas conhecidos
Se você publicou seu agente pela primeira vez usando autenticação manual sem o SSO do Teams, o agente no Teams solicitará continuamente que os usuários efetuem login.