在 Copilot Studio 中設定使用者驗證
驗證可讓使用者登入,讓您的副手存取受限的資源或資訊。 使用者可以使用 Microsoft Entra ID 登入,或使用任何 OAuth2 的識別提供者 (例如 Google 或 Facebook) 登入。
注意
在 Microsoft Teams 中,您可以設定 Copilot Studio 副手來提供驗證功能,讓使用者可以使用 Microsoft Entra 或任何 OAuth2 識別提供者 (例如 Microsoft 帳戶或 Facebook) 登入。
您可以在編輯主題時向主題新增終端使用者驗證。
重要
對驗證設定所做的變更只在發佈副手之後生效。 在您對副手進行驗證變更之前,請務必先進行規劃。
選擇驗證選項
Copilot Studio 支援幾種驗證選項。 選擇符合您需求的選項。
前往副手的設定,然後選擇安全性。
選取驗證。
下列是可用的驗證選項:
選取儲存。
無驗證
不進行驗證代表您的副手不會在使用者與副手互動時要求其登入。 未經驗證的設定代表您的副手只能存取公共資訊和資源。 傳統聊天機器人預設設定為不需要驗證。
使用 Microsoft 進行驗證
重要
選擇透過 Microsoft 進行驗證選項時,除 Teams 管道之外的所有管道都會被停用。
此外,透過 Microsoft 進行驗證選項不適用於與 Dynamics 365 Customer Service 整合的副手。
此設定會自動設定對 Teams 的 Microsoft Entra識別碼驗證,不需要任何手動設定。 由於 Teams 驗證本身會識別使用者,因此使用者在 Teams 中時不會提示登錄,除非您的副手需要擴展範圍。
如果選取此選項,則只有 Teams 管道可以可用。 如果您需要將副手發佈到其他管道,但仍希望對副手進行驗證,請選擇手動驗證。
如果您選擇透過 Microsoft 進行驗證,則製作畫布中將提供以下變數:
User.IDUser.DisplayName
如需這些變數以及如何使用它們的詳細資訊,請參閱將終端使用者驗證新增至主題。
使用此選項時,無法使用 User.AccessToken 和 User.IsLoggedIn 變數。 如果您需要驗證權杖,請使用手動驗證選項。
如果從手動驗證變更為透過 Microsoft 進行驗證,且您的主題包含 User.AccessToken 或 User.IsLoggedIn 變數,則在變更之後會將它們顯示為未知變數。 請務必在發佈副手之前,先更正發生錯誤的任何主題。
手動驗證
Copilot Studio 在手動驗證選項下支援以下驗證提供者:
- Azure Active Directory
- Azure Active Directory v2
- Azure Active Directory v2 附憑證
- 通用 OAuth 2 - 任何符合 OAuth2 標準的身分提供者
設定手動驗證後,則可在製作畫布中使用下列變數:
User.IdUser.DisplayNameUser.AccessTokenUser.IsLoggedIn
如需這些變數以及如何使用它們的詳細資訊,請參閱將終端使用者驗證新增至主題。
儲存設定後,請務必發佈您的副手,讓變更生效。
注意
- 驗證變更只有在發佈副手後才會生效。
- 此設定可以透過 Power Platform 中相應的管理員控制項進行控制。 啟用該控制項後,它會禁止在 Copilot Studio 中啟用或停用手動驗證選項。 此控制項始終處於啟用狀態,且無法在 Copilot Studio 中修改手動驗證選項。
要求使用者登入和副手共用
要求使用者登入可決定使用者在與副手交談之前是否需要登入。 我們強烈建議您為需要存取敏感或受限資訊的副手開啟此設定。
此選項不可用於無驗證和透過 Microsoft 進行驗證選項。
注意
當 Power Platform 系統管理中心的 DLP 原則設定為需要驗證時,此選項也無法設定。 如需更多資訊,請參閱資料外洩防護範例 - 要求副手進行終端使用者驗證。
如果關閉此選項,則您的副手就不會要求使用者登入,直到遇到需要他們登入的主題。
當您打開此選項時,會建立一個名為要求使用者登入的系統主題。 此主題僅與手動驗證設定相關。 使用者一律在 Teams 上進行驗證。
對於任何未經驗證與副手對話的使用者,都會自動觸發需要使用者登入主題。 如果使用者無法登入,主題會重新導向至呈報系統主題。
主題是唯讀的,因此無法自訂。 若要查看它,請選取移至製作畫布。
控制哪些人可以與組織中的副手聊天
您的副手驗證和要求使用者登入設定組合會判斷您是否可以共用副手,以控制組織中的哪些人可以和副手聊天。 驗證設定不會影響進行共同作業的共用副手。
無驗證:任何擁有副手連結 (或者可以找到它,例如,您的網站) 的使用者都可以與它聊天。 您無法控制組織中的哪些使用者可以與副手聊天。
透過 Microsoft 進行驗證:副手僅在 Teams 管道上運作。 因為使用者會登入,所以需要使用者登入設定會被啟用且無法關閉。 您可以透過副手共用控制組織中的哪些人能與副手聊天。
手動驗證:
如果服務提供者為 Azure Active Directory 或 Microsoft Entra ID,您可以打開要求使用者登入來控制組織中的哪些人可以使用副手共用與副手聊天。
如果服務提供者是一般 OAuth2,您可以打開或關閉要求使用者登入。 打開後,登入的使用者可以與副手聊天。 您無法控制組織中的哪些特定使用者可以使用副手共用與副手聊天。
當副手的驗證設定無法控制可以與副手聊天的人員時,如果您在副手概觀頁面上選取共用,則會有訊息通知您任何人都可以與副手聊天。
手動驗證欄位
下列是設定手動驗證時,可能會看到的所有欄位。 您能看到的欄位將視您的服務提供者選擇而定。
| 欄位名稱 | 描述 |
|---|---|
| 授權 URL 範本 | 識別提供者所定義之授權的 URL 範本。 例如,https://login.microsoftonline.com/common/oauth2/v2.0/authorize |
| 授權 URL 查詢字串範本 | 授權的查詢範本,由您的識別提供者所提供。 查詢字串範本中的鍵會視識別提供者而不同 (?client_id={ClientId}&response_type=code&redirect_uri={RedirectUrl}&scope={Scopes}&state={State})。 |
| Client ID | 從識別提供者取得的用戶端識別碼。 |
| Client secret | 您的用戶端密碼會在建立識別提供者應用程式註冊時取得。 |
| 重新整理本文範本 | 重新整理本文的範本 (refresh_token={RefreshToken}&redirect_uri={RedirectUrl}&grant_type=refresh_token&client_id={ClientId}&client_secret={ClientSecret})。 |
| 重新整理 URL 查詢字串範本 | 權杖 URL 的重新整理 URL 查詢字串分隔符號,通常是問號 (?)。 |
| 重新整理 URL 範本 | 要進行重新整理的 URL 範本; 例如,https://login.microsoftonline.com/common/oauth2/v2.0/token。 |
| 範圍清單分隔符號 | 範圍清單的分隔符號字元。 此欄位不支援空格。1 |
| 範圍 | 您希望使用者在登入後擁有的範圍清單。 使用範圍清單分隔符號來分隔多個範圍。1僅設定必要的範圍,並遵循最小權限存取控制原則。 |
| 服務提供者 | 您要用來進行驗證的服務提供者。 有關詳細資訊,請參閱 OAuth 通用提供者。 |
| 租用戶識別碼 | 您的 Microsoft Entra ID 租用戶識別碼。 請參閱使用現有 Microsoft Entra ID 租用戶來學習如何尋找您的租用戶識別碼。 |
| 權杖本文範本 | 權杖本文的範本。 (code={Code}&grant_type=authorization_code&redirect_uri={RedirectUrl}&client_id={ClientId}&client_secret={ClientSecret}) |
| 權杖交換 URL (SSO 的必要項目) | 當您設定單一登入時,將使用此選用欄位。 |
| 權杖 URL 範本 | 權杖的 URL 範本,由您的識別提供者所提供; 例如,https://login.microsoftonline.com/common/oauth2/v2.0/token。 |
| 權杖 URL 查詢字串範本 | 權杖 URL 的查詢字串分隔符號,通常是問號 (?)。 |
1 如果識別提供者需要,您可以在範圍欄位中使用空格。 在這種情況下,請在範圍清單分隔符號中輸入逗號 (,),並在範圍欄位中輸入空格。
關閉驗證
打開副手後,請選取頂端功能列上的設定。
選擇安全性,然後選擇驗證。
選取 無驗證。
如果主題中使用了驗證變數,它們將成為未知變數。 進入主題頁面查看哪些主題有錯誤,並在發布前修復它們。
發佈副手。
重要
如果您的副手已將動作設定為使用終端使用者憑證,請不要在副手層級關閉驗證,因為這會阻止這些動作發揮作用。