共用方式為

為中的代理配置使用 Microsoft Entra ID 的單點登錄 Microsoft Teams

  • 發行項

Copilot Studio 支援發佈到 Microsoft Teams 1 對 1 聊天的代理的單點登錄 (SSO),這意味著代理可以使用其 Microsoft Teams 憑據自動登錄使用者。 僅在使用 Microsoft Entra ID 時支援 SSO。 其他服務提供者 (例如 Azure AD v1) 不支援 Microsoft Teams 中的 SSO。

重要

可以在 Microsoft Teams 聊天中使用 SSO,而無需手動驗證。 要將此方法用於以前發佈的專員,請重新配置專員以使用 Authenticate with Microsoft 然後再次將其發佈到 Microsoft Teams。 此變更可能需要幾個小時才能生效。 如果使用者正在進行對話,並且更改似乎尚未生效,他們可以在聊天中鍵入「start over」以強制對話使用最新版本的專員重新開始。 這些更改現在可用於使用者與專員之間的 Teams 1:1 聊天。 它們尚不可用於群聊或頻道訊息。

Dynamics 365 客戶服務 集成的代理不支援 SSO。

除非必要,否則請勿繼續閱讀以下文件。 如果要對專員使用手動身份驗證,請參閱 使用 Microsoft Entra ID 配置使用者身份驗證。

注意

如果您將 Teams SSO 身份驗證與手動身份驗證選項一起使用,同時在自定義網站上使用專員,則必須使用應用程式清單部署 Teams 應用程式。

有關詳細資訊,請參閱 下載專員 的 Teams 應用清單。

其他設定 (例如除手動外的驗證選項或使用 Copilot Studio 一鍵式透過 Teams 部署) 將無法運作。

先決條件

設定應用程式註冊

在為 Teams 設定 SSO 之前,需要使用 Microsoft Entra ID 設定使用者驗證。 此過程將創建設置 SSO 所需的應用程式註冊。

  1. 建立應用程式註冊。 請參閱使用 Microsoft Entra ID 設定使用者驗證中的說明。

  2. 新增重新導向 URL。

  3. 產生用戶端密碼。

  4. 設定手動驗證。

找出 Microsoft Teams 管道應用程式識別碼

  1. 在中 Copilot Studio,打開要為其配置 SSO 的專員。

  2. 在專員的設置下,選擇 Channels (頻道)。 選取 Microsoft Teams 圖格。

  3. Microsoft Teams 如果頻道尚未連接到您的專員,請選擇 Turn on Teams ( 打開 Teams)。 有關更多資訊,請參閱 連線頻道 Microsoft Teams 的專員

  4. 選擇編輯詳細資訊,展開更多,然後選擇應用程式識別碼欄位旁的複製

將 Microsoft Teams 管道應用程式識別碼新增至應用程式註冊

  1. 前往 Azure 入口網站。 打開在為專員配置使用者身份驗證時創建的應用註冊的“應用註冊”邊欄選項卡。

  2. 在側邊窗格選取公開 API。 對於 應用程式識別碼 URI,請選取 設定

    應用程式識別碼 URI 之「設定」按鈕位置的螢幕擷取畫面。

  3. 輸入 api://botid-{teamsbotid},並將 {teamsbotid} 取代為您先前找到的 Teams 管道應用程式識別碼

    在「應用程式識別碼 URI」方塊中輸入的正確格式 URI 螢幕擷取畫面。

  4. 選取儲存

在同意過程中,當使用者/管理員授予應用程式許可權時,應用程式有權調用 API。 若要深入了解同意,請參閱 Microsoft 身分識別平台端點中的權限和同意

如果管理員同意選項可用,則必須授予同意:

  1. 在 Azure 入口網站的應用程式註冊刀鋒視窗中,移至 API 權限

  2. 選取代表 <您的用戶名稱> 授與管理員同意然後選擇

提示

為了避免使用者必須同意每個應用程式,全域管理員、應用程式管理員或雲端應用程式管理員可以向您的應用程式註冊授予用戶端範圍的同意

新增 API 權限

  1. 在 Azure 入口網站的應用程式註冊刀鋒視窗中,移至 API 權限

  2. 選取新增權限,並選擇 Microsoft Graph

  3. 選取委派的權限。 權限清單隨即出現。

  4. 展開 OpenId 權限

  5. 選擇 openid設定檔

  6. 選取新增權限

    已開啟 openid 和設定檔權限的螢幕擷取畫面。

為您的 #定义自定义范围專員

  1. 在 Azure 入口網站的應用程式註冊刀鋒視窗中,移至公開 API

  2. 選取新增範圍

    反白顯示「新增範本」按鈕的螢幕擷取畫面。

  3. 設定下列屬性:

    屬性 數值
    範圍名稱 輸入 Test.Read
    誰可以同意? 選取管理員和使用者
    管理員同意顯示名稱 輸入 Test.Read
    管理員同意描述 輸入 Allows the app to sign the user in.
    州/省 選取已啟用

    Note

    範圍名稱 Test.Read 是預留位置值,必須以在您環境中有意義的名稱來取代。

  4. 選取新增範圍

新增 Microsoft Teams 用戶端識別碼

重要

在下列步驟中,提供給 Microsoft Teams 用戶端識別碼的值應按字面意義使用,因為這些識別碼在所有的租用戶中都是相同的。

  1. 在 Azure 入口網站的應用程式註冊刀鋒視窗中,移至公開 API 並選取新增用戶端應用程式

    反白顯示「新增用戶端應用程式」按鈕的螢幕擷取畫面。

  2. 用戶端識別碼欄位中,輸入 Microsoft Teams 行動裝置/桌上型電腦的用戶端識別碼,即 1fec8e78-bce4-4aaf-ab1b-5451cc387264。 選中之前 創建的範圍的複選框。

    在「新增用戶端應用程式」窗格中輸入的用戶端識別碼螢幕擷取畫面。

  3. 選取新增應用程式

  4. 重複前面的步驟,但對於用戶端識別碼,輸入 Web 上 Microsoft Teams 的用戶端識別碼,即 5e3ce6c0-2b1f-4285-8d4b-75ee78787346

  5. 確認公開 API 頁面列出 Microsoft Teams 用戶端應用程式識別碼。

總而言之,新增到公開 API 頁面的兩個 Microsoft Teams 用戶端識別碼是:

  • 1fec8e78-bce4-4aaf-ab1b-5451cc387264
  • 5e3ce6c0-2b1f-4285-8d4b-75ee78787346

將令牌交換 URL 添加到專員的身份驗證設置

要更新 Microsoft Entra ID 身份驗證設置 Copilot Studio,必須添加令牌交換 URL 以允許 Microsoft Teams 和 Copilot Studio 分享資訊。

  1. 在 Azure 入口網站的應用程式註冊刀鋒視窗中,移至公開 API

  2. 範圍下,選擇複製到剪貼簿圖示。

  3. 在 Copilot Studio 專員的設置下,選擇 安全性,然後選擇 身份驗證 磁貼。

  4. 權杖交換 URL (SSO 的必要項) 中,將先前複製的範圍貼上。

  5. 選取儲存

    令牌交換 URL Copilot Studio 粘貼位置的螢幕截圖。

將 SSO 新增到您的專員頻道 Microsoft Teams

  1. 在 Copilot Studio 專員的設置下,選擇 Channels (頻道)。

  2. 選取 Microsoft Teams 圖格。

  3. 選取編輯詳細資料,然後展開更多

  4. AAD 應用程式的用戶端識別碼中,輸入應用程式註冊中的應用程式 (用戶端) 識別碼

    若要取得此值,請開啟 Azure 入口網站。 然後在應用程式註冊刀鋒視窗中,移至概觀。 複製應用程式 (用戶端) 識別碼方塊中的值。

  5. 資源 URI 中,輸入應用程式註冊中的應用程式識別碼 URI

    若要取得此值,請開啟 Azure 入口網站。 然後在應用程式註冊刀鋒視窗中,移至公開 API。 複製應用程式識別碼 URI 方塊中的值。

    在 Copilot Studio 的 Teams 頻道中貼上應用程式識別碼 URI 的位置的螢幕擷取畫面。

  6. 選取儲存,然後選取關閉

  7. 再次發佈專員,以便向客戶提供最新的更改。

  8. 選擇 “在 Teams 中打開專員”,以使用專員 Microsoft Teams 開始新對話,並驗證它是否會自動登錄。

已知問題

如果您首先使用手動身份驗證發佈了專員在沒有 Teams SSO 的情況下,Teams 中的專員將持續提示使用者登錄。