共用方式為

使用 Microsoft Entra ID 設定使用者驗證

  • 發行項

為您的副手新增驗證允許使用者登入,從而使您的副手能夠存取受限資源或資訊。

本文介紹如何將 Microsoft Entra ID 設定為您的服務提供者。 若要瞭解其他服務提供者和一般使用者驗證,請參閱在 Copilot Studio 中設定使用者驗證

如果您擁有租用戶管理權限,則可以設定 API 權限。 否則,您需要請租用戶管理員為您完成此操作。

必要條件

深入了解如何將終端使用者驗證新增至主題

在 Azure 入口網站中完成前幾個步驟,並完成 Copilot Studio 中的最後兩個步驟。

建立應用程式註冊

  1. 使用與您的副手位於相同租用戶中的管理帳戶登入 Azure 入口網站

  2. 前往應用程式註冊

  3. 選取新增註冊然後輸入註冊的名稱。 請勿變更現有的應用程式註冊。

    稍後使用副手的名稱會很有幫助。 例如,如果您的副手名為「Contoso 銷售説明」,您可以將應用程式註冊命名為「ContosoSalesReg」。

  4. 支援的帳戶類型中選取任何組織用戶端中的帳戶 (任何 Microsoft Entra ID 目錄 - 多用戶端) 和個人 Microsoft 帳戶 (例如 Skype、Xbox)

  5. 重新導向 URI 區段保留空白。 在後續步驟中輸入資訊。

  6. 選取註冊

  7. 註冊完成之後,移至概觀

  8. 複製應用程式 (用戶端) 識別碼,並在暫存檔案中將其貼上。 在後續步驟中會需要它。

新增重新導向 URL

  1. 管理下,選擇驗證

  2. 平台設定底下,選取新增平台,然後選取 Web

  3. 重新導向 URI下,輸入 https://token.botframework.com/.auth/web/redirect,然後選擇設定

    此動作將帶您返回平台設定頁面。

  4. Web 平台的重新導向 URI下,選擇新增 URI

  5. 輸入 https://europe.token.botframework.com/.auth/web/redirect,然後選擇儲存

    注意

    Copilot Studio 中的驗證設定窗格可能會顯示以下重新導向 URL:https://unitedstates.token.botframework.com/.auth/web/redirect 使用該 URL 會使驗證失敗; 請改用 URI。

  6. 隱含授與和混合流程部分中,選擇存取權杖 (用於隱含流程)識別碼權杖 (用於隱含流程和混合流程)

  7. 選取儲存

產生用戶端密碼

  1. 管理下,選擇憑證和秘密

  2. 用戶端密碼區段底下,選取新增用戶端密碼

  3. (選用) 輸入描述。 如果保留空白,則系統會提供。

  4. 選取到期期間。 選取與您的副手生命週期相關的最短期間。

  5. 選取新增以建立密碼。

  6. 將密碼的儲存在安全的暫存檔案中。 當您稍後設定副手驗證時,將會需要它。

提示

複製用戶端密碼的值之前,不要離開此頁面。 如果這樣做,則會對該值進行模糊處理,並且必須產生新的用戶端密碼。

設定手動驗證

  1. 在 Copilot Studio 中,前往副手的設定,然後選擇安全性

  2. 選取驗證

  3. 選取手動驗證

  4. 要求使用者登入開啟。

  5. 輸入以下屬性值:

    • 服務提供者:選取 Azure Active Directory v2

    • 用戶端識別碼:輸入您稍早從 Azure 入口網站複製的應用程式 (用戶端) 識別碼。

    • 用戶端密碼:輸入先前從 Azure 入口網站產生的用戶端密碼。

    • 範圍:輸入 profile openid

  6. 選取儲存完成設定。

設定 API 權限

  1. 移至 API 權限

  2. 選取代表 <租用戶名稱> 授與管理員同意,然後選取。 如果按鈕不可用,您可能需要請租用戶管理員為您輸入。

    [API 權限] 視窗的螢幕擷取畫面,其中反白顯示租用戶權限。

    注意

    為了避免使用者逐一對每個應用程式表示同意,全域系統管理員、應用程式系統管理員或雲端應用程式系統管理員可以將租用戶範圍的同意授與您的應用程式註冊。

  3. 選取新增權限,然後選取 Microsoft Graph

    [要求 API 權限] 視窗的螢幕擷取畫面,其中反白顯示 Microsoft Graph。

  4. 選取委派的權限

    反白顯示委派權限的螢幕擷取畫面。

  5. 展開 OpenId 權限,並開啟 OpenId設定檔

    反白顯示 OpenId 權限、openid 和設定檔的螢幕擷取畫面。

  6. 選取新增權限

為您的副手定義自訂範圍

範圍可讓您判斷使用者和管理角色以及存取權限。 您可以為在後續步驟中建立的畫布應用註冊建立自訂範圍。

  1. 移至公開 API 並選取新增範圍

    反白顯示 [公開 API] 和 [新增範圍] 按鈕的螢幕擷取畫面。

  2. 設定下列屬性。 您可以讓其他屬性保持空白。

    屬性 數值
    範圍名稱 輸入對您的環境有意義的名稱,例如 Test.Read
    誰可以同意? 選取管理員和使用者
    管理員同意顯示名稱 輸入對您的環境有意義的名稱,例如 Test.Read
    管理員同意描述 輸入 Allows the app to sign the user in.
    州/省 選取已啟用

  3. 選取新增範圍

在 Microsoft Copilot Studio 中設定驗證

  1. 在 Copilot Studio 中的設定下,選擇安全性>驗證

  2. 選取手動驗證

  3. 要求使用者登入開啟。

  4. 選擇服務提供者並提供所需的值。 請參閱在 Copilot Studio 中的設定手動驗證

  5. 選取儲存

提示

權杖交換 URL 是用來結算所要求存取權杖的代表 (OBO) 權杖。 如需詳細資訊,請參閱使用 Microsoft Entra 識別碼設定單一登入

注意

根據您的使用案例,範圍應包括 profile openid 和以下內容:

  • Sites.Read.All Files.Read.All for SharePoint
  • 用於圖形連接的 ExternalItem.Read.All
  • 用於提示節點和 Dataverse 結構化資料的 https://[OrgURL]/user_impersonation
  • 例如,Dataverse 結構資料或提示節點應具有以下範圍:profile openid Sites.Read.All Files.Read.All https://myorg123.com/user_impersonation

測試您的副手

  1. 發佈您的副手。

  2. 測試副手窗格中,向副手發送訊息。

  3. 當副手回應時,選擇登入

    新的瀏覽器索引標籤會開啟,並要求您登入。

  4. 登入,然後複製顯示的驗證碼。

  5. 將程式碼貼到副手聊天中以完成登入程式。

    副手對話中成功進行使用者驗證的螢幕擷取畫面,其中醒目顯示了驗證碼。