Share via

Benutzerauthentifizierung mit Microsoft Entra ID konfigurieren

  • Artikel

Wichtig

Power Virtual Agents-Fähigkeiten und -Funktionen sind jetzt Teil von Microsoft Copilot Studio nach erheblichen Investitionen in generative KI und verbesserte Integrationen in Microsoft Copilot.

Einige Artikel und Screenshots beziehen sich möglicherweise auf Power Virtual Agents während wir Dokumentation und Schulungsinhalte aktualisieren.

Wenn Sie Ihren Copiloten die Authentifizierung hinzufügen, können Benutzende sich anmelden, sodass Ihr Copilot Zugriff auf eine eingeschränkte Ressource oder Informationen erhält.

In diesem Artikel erfahren Sie, wie Sie Microsoft Entra ID als Ihren Dienstanbieter konfigurieren. Informationen zu anderen Dienstanbietern und zur Benutzerauthentifizierung im Allgemeinen finden Sie unter Konfigurieren Sie die Benutzerauthentifizierung.

Wenn Sie über Mandantenverwaltungsrechte verfügen, können Sie API-Berechtigungen konfigurieren. Andernfalls müssen Sie einen Mandantenadministrierenden bitten, dies für Sie zu tun.

Anforderungen

Sie führen die ersten Schritte im Azure-Portal und die letzten beiden Schritte in Copilot Studio aus.

Erstellen einer App-Registrierung

  1. Melden Sie sich im Azure-Portal unter Verwendung eines Administratorkontos im selben Mandanten wie Ihr Copilot an.

  2. Gehen Sie zu App-Registrierungen, entweder durch Auswahl des Symbols oder durch Suchen in der oberen Suchleiste.

    Screenshot mit App-Registrierungen in Azure Services.

  3. Wählen Sie Neue Registrierung aus und geben Sie einen Namen für die Registrierung ein.

    Es kann später hilfreich sein, den Namen Ihres Copiloten zu verwenden. Wenn Ihr Copilot beispielsweise „Contoso-Verkaufshilfe“ heißt, können Sie die App-Registrierung „ContosoSalesReg“ nennen.

  4. Unter Unterstützte Kontentypen wählen Sie Konten in einem beliebigen Organisationsverzeichnis (Jedes Microsoft Entra ID-Verzeichnis – mehrinstanzenfähig) und persönliche Microsoft-Konten (z. B. Skype, Xbox) aus

  5. Lassen Sie den Abschnitt Umleitungs-URI vorerst leer. Geben Sie diese Information in den nächsten Schritten ein.

  6. Wählen Sie Registrieren aus.

  7. Wechseln Sie nach Abschluss der Registrierung zur Übersicht.

  8. Kopieren Sie die Anwendungs-ID (Client), und fügen Sie sie in eine temporäre Datei ein. Sie brauchen sie in den weiteren Schritten.

Die Umleitungs-URL hinzufügen

  1. Wechseln Sie zu Authentifizierung, und wählen Sie Plattform hinzufügen aus.

    Screenshot des Fensters App-Registrierung mit hervorgehobener Authentifizierung und der Schaltfläche Eine Plattform hinzufügen.

  2. Wählen Sie unter PlattformkonfigurationenEine Plattform hinzufügen und dann Web aus.

    Screenshot des Fensters Plattformkonfigurationen, in dem die Plattform für Webanwendungen hervorgehoben ist.

  3. Geben Sie unter Umleitungs-URIshttps://token.botframework.com/.auth/web/redirect und https://europe.token.botframework.com/.auth/web/redirect ein.

Anmerkung

Im Authentifizierungskonfigurationsbereich in Copilot Studio wird möglicherweise die folgende Umleitungs-URL angezeigt: https://unitedstates.token.botframework.com/.auth/web/redirect. Die Authentifizierung schlägt fehl, wenn Sie diese URL verwenden. Verwenden Sie stattdessen die URI.

  1. Aktivieren Sie im Abschnitt Implizite Genehmigung und Hybridflows sowohl Zugriffstoken (verwendet für implizite Flows) als auch ID-Token (für implizite und Hybrid-Flows).

    Screenshot des Fensters Web konfigurieren, in dem der Redirect URI und die impliziten Grant- und Hybrid Flow-Token hervorgehoben sind.

  2. Wählen Sie Konfigurieren aus.

Geheimen Clientschlüssel generieren

  1. Gehen Sie zu Zertifikate & Geheimnisse.

  2. Wählen Sie im Abschnitt Geheime Clientschlüssel die Option Neuer geheimer Clientschlüssel aus.

  3. (Optional) Geben Sie eine Beschreibung ein. Wenn Sie das Feld leer lassen, wird eine bereitgestellt.

  4. Wählen Sie den Ablaufzeitraum aus. Wählen Sie den kürzesten Zeitraum aus, der für die Lebensdauer Ihres Copiloten relevant ist.

  5. Klicken Sie auf Hinzufügen, um das Geheimnis zu erstellen.

  6. Speichern Sie den Wert des geheimen Schlüssel in einer sicheren temporären Datei. Sie benötigen ihn, wenn Sie später die Authentifizierung Ihres Copiloten konfigurieren.

Tipp

Verlassen Sie die Seite nicht, bevor Sie den Wert des geheimen Clientschlüssels kopiert haben. Andernfalls wird der Wert verschleiert und Sie müssen einen neuen geheimen Clientschlüssel generieren.

Manuelle Authentifizierung konfigurieren

  1. Wählen Sie in Copilot Studio im Navigationsmenü unter Einstellungen die Option Sicherheit. Wählen Sie dann die Karte Authentifizierung aus.

    Screenshot der Auswahl der Authentifizierungskarte.

  2. Wählen Sie Manuell (für jeden Kanal einschließlich Teams) und aktivieren Sie dann Benutzer müssen sich anmelden.

    Screenshot der Auswahl der manuellen Authentifizierungsoption.

  3. Geben Sie die folgenden Werte für die Eigenschaften ein:

    • Serviceanbieter: Wählen Sie Microsoft Entra ID aus.

    • Client-ID: Geben Sie die Anwendungs-ID (Client) ein, die Sie zuvor vom Azure-Portal kopiert haben.

    • Client-Geheimnis: Geben Sie den geheimen Clientschlüssel ein, den Sie zuvor im Azure-Portal generiert haben.

    • Umfang: Geben Sie profile openid ein.

  4. Wählen Sie Speichern aus, um die Konfiguration abzuschließen.

API-Berechtigungen konfigurieren

  1. Gehen Sie zu API-Berechtigungen.

  2. Wählen Sie Administratorzustimmung für <Ihren Mandantennamen> erteilen und dann Ja aus. Wenn die Schaltfläche nicht verfügbar ist, müssen Sie möglicherweise die Mandantenadministration bitten, sie für Sie einzugeben.

    Screenshot des Fensters API-Berechtigungen, in dem eine Mandant-Berechtigung hervorgehoben ist.

    Notiz

    Um zu vermeiden, dass Benutzer jeder Anwendung zustimmen müssen, kann ein globaler Administrator, ein Anwendungsadministrator oder ein Cloudanwendungsadministrator mandantenweite Zustimmung zu Ihren App-Registrierungen erteilen.

  3. Wählen Sie Berechtigung hinzufügen und dann Microsoft Graph aus.

    Screenshot des Fensters mit den Berechtigungen für die Anfrage-API, wobei Microsoft Graph hervorgehoben ist.

  4. Wählen Sie Delegierte Berechtigungen.

    Screenshot mit hervorgehobenen delegierten Berechtigungen.

  5. Erweitern Sie OpenId-Berechtigungen und schalten Sie openid und Profil ein.

    Screenshot mit hervorgehobenen OpenId-Berechtigungen, openid und Profil.

  6. Wählen Sie Berechtigungen hinzufügen aus.

Einen benutzerdefinierten Bereich für Ihren Copiloten festlegen

Mit Bereichen können Sie Benutzer- und Administratorrollen sowie Zugriffsrechte festlegen. Sie erstellen einen benutzerdefinierten Bereich für die Canvas-App-Registrierung, die Sie in einem späteren Schritt erstellen.

  1. Gehen Sie zu Eine API verfügbar machen und wählen Sie Einen Bereich hinzufügen aus.

    Screenshot mit Expose an API und der hervorgehobenen Schaltfläche Add a scope.

  2. Legen Sie die folgenden Eigenschaften fest. Sie können die anderen Eigenschaften leer lassen.

    Eigenschaften Wert
    Umangsname Geben Sie einen Namen ein, der in Ihrer Umgebung sinnvoll ist, wie Test.Read
    Wer kann die Einwilligung erteilen? Wählen Sie Administratoren und Benutzer aus
    Administratorzustimmung für Anzeigename Geben Sie einen Namen ein, der in Ihrer Umgebung sinnvoll ist, wie Test.Read
    Administratoreinwilligung Beschreibung Geben Sie Allows the app to sign the user in. ein
    Bundesstaat Wählen Sie Aktiviert aus

  3. Wählen Sie Umfang hinzufügen aus.

Authentifizierung in Microsoft Copilot Studio konfigurieren

  1. Wählen Sie in Copilot Studio unter EinstellungenSicherheit und dann Authentifizierung aus.

    Screenshot der Seite Copilot Studio Sicherheit mit hervorgehobenen Einstellungen, Sicherheit und Authentifizierung.

  2. Wählen Sie Manuell (für benutzerdefinierte Website) aus.

  3. Aktivieren Sie Benutzer müssen sich anmelden.

  4. Legen Sie die folgenden Eigenschaften fest.

    Eigenschaften Wert
    Dienstanbieter Wählen Sie Microsoft Entra ID aus.
    Client-ID Geben Sie die Anwendungs-ID (Client) ein, die Sie zuvor im Azure-Portal kopiert haben.
    Geheimer Clientschlüssel Geben Sie den geheimen Clientschlüssel ein, den Sie zuvor im Azure-Portal generiert haben.
    Bereiche Geben Sie profile openid ein

  5. Wählen Sie Speichern.

Tipp

Die Token-Austausch-URL wird verwendet, um das On-Behalf-Of (OBO)-Token gegen das angeforderte Zugriffstoken auszutauschen. Weitere Informationen finden Sie unter Single Sign-On für Ihre benutzerdefinierte Website konfigurieren.

Eigenen Copiloten testen

  1. Veröffentlichen Sie Ihren Copiloten.

  2. Senden Sie im Bereich Copilot testen eine Nachricht an Ihren Copiloten.

  3. Wenn der Copilot antwortet, wählen Sie Anmelden.

    Screenshot des Tests eines Copilot Studio-Copiloten mit Microsoft Entra ID-Benutzerauthentifizierung.

    Eine neue Browser-Registerkarte wird geöffnet, auf der Sie gebeten werden, sich anzumelden.

  4. Melden Sie sich an und kopieren Sie dann den angezeigten Validierungscode.

  5. Kopieren Sie den Code in den Copilot-Chat, um den Anmeldeprozess abzuschließen.

    Screenshot einer erfolgreichen Benutzerauthentifizierung in einer Copilot-Unterhaltung mit hervorgehobenem Validierungscode.