Configurer l’authentification des utilisateurs dans Microsoft Copilot Studio
Important
Les capacités et les fonctionnalités de Power Virtual Agents font maintenant partie de Microsoft Copilot Studio, suite à des investissements significatifs dans l’IA générative et des intégrations améliorées dans Microsoft Copilot.
Certains articles et captures d’écran peuvent faire référence à Power Virtual Agents pendant que nous mettons à jour la documentation et le contenu de la formation.
L’authentification permet aux utilisateurs de se connecter, donnant à votre copilote l’accès à une ressource ou à des informations restreintes. Les utilisateurs peuvent se connecter avec Microsoft Entra ID ou avec n’importe quel fournisseur d’identité OAuth2, comme Google ou Facebook.
Note
Dans Microsoft Teams, vous pouvez configurer un copilote Microsoft Copilot Studio pour fournir des fonctionnalités d’authentification afin que les utilisateurs puissent se connecter avec un Microsoft Entra ID ou n’importe quel fournisseur d’identité OAuth2, comme un compte Microsoft ou Facebook.
Vous pouvez ajouter l’authentification utilisateur à votre copilote lors de la modification d’un sujet.
Microsoft Copilot Studio prend en charge les fournisseurs d’authentification suivants :
- Azure Active Directory v1
- ID Microsoft Entra
- Tout fournisseur d’identité conforme à la norme OAuth2
Important
Les modifications apportées à la configuration d’authentification ne prendront effet qu’après la publication de votre copilote. Assurez-vous de planifier à l’avance avant d’apporter des modifications d’authentification à votre copilote.
Choisir une option d’authentification
Microsoft Copilot Studio prend en charge plusieurs options d’authentification. Choisissez-en un répondant à vos besoins.
Pour modifier les paramètres d’authentification de votre copilote, dans le menu de navigation Paramètres, accédez à l’onglet Sécurité et sélectionnez la carte Authentification.
Les options d’authentification suivantes sont disponibles :
- Aucune authentification
- Uniquement pour Teams et Power Apps
- Manuel (pour tout canal, y compris Teams)
Aucune authentification
« Aucune authentification » signifie que votre copilote n’exigera pas que vos utilisateurs se connectent lorsqu’ils interagissent avec le copilote. Une configuration non authentifiée signifie que votre copilote ne peut accéder qu’aux informations et ressources publiques.
Avertissement
Sélectionner l'option Aucune authentification permettra à toute personne disposant du lien de discuter et d’interagir avec votre bot ou copilote.
Nous recommandons d’appliquer l’authentification, surtout si vous utilisez votre bot ou copilote au sein de votre organisation ou pour des utilisateurs spécifiques, à côté des autres contrôles de sécurité et de gouvernance.
Uniquement pour Teams et Power Apps
Important
Lorsque l’option Uniquement pour Teams et Power Apps est sélectionnée, tous les canaux à l'exception du canal Teams seront désactivés.
De plus, l’option Uniquement pour Teams et Power Apps n’est pas disponible si votre copilote est intégré à Dynamics 365 Customer Service.
L’authentification Teams et Power Apps est activée par défaut pour les copilotes, et ceux que vous créez dans Microsoft Copilot Studio.
Cette configuration configure automatiquement l’authentification Microsoft Entra ID pour Teams sans aucune intervention manuelle. Puisque l’authentification Teams identifie elle-même l’utilisateur, les utilisateurs ne sont pas invités à se connecter lorsqu’ils sont dans Teams, sauf si votre copilote a besoin d’une portée étendue.
Seul le canal Teams est disponible si vous sélectionnez cette option. Si vous avez besoin d’autres canaux mais que vous souhaitez toujours une authentification pour votre copilote (comme lorsque vous utilisez des fonctionnalités d’IA générative), choisissez l’option d’authentification Manuelle.
Si vous sélectionnez l’option Uniquement pour Teams et Power Apps, les variables suivantes sont disponibles dans le canevas de création :
UserIDUserDisplayName
Pour plus d’informations sur ces variables et comment les utiliser, consultez Ajouter l’authentification de l’utilisateur à un copilote Microsoft Copilot Studio.
Les variables AuthToken et IsLoggedIn ne sont pas disponibles avec cette option. Si vous avez besoin d’un jeton d’authentification, utilisez l’option Manuel.
Si vous passez de l’authentification Manuelle à Uniquement pour Teams et Power Apps et que vos sujets contiennent les variables AuthToken ou IsLoggedIn, celles-ci sont affichés comme Inconnu après le changement. Assurez-vous de corriger toutes les sujets contenant des erreurs avant de publier votre copilote.
Manuel (pour tout canal, y compris Teams)
Vous pouvez configurer n’importe quel fournisseur d’identité compatible Microsoft Entra ID v1, Microsoft Entra ID ou OAuth2 avec cette option. Les variables suivantes sont disponibles dans le canevas de création après configuration de l’authentification manuelle :
UserIDUserDisplayNameAuthTokenIsLoggedIn
Pour plus d’informations sur ces variables et comment les utiliser, consultez Ajouter l’authentification de l’utilisateur à un copilote Microsoft Copilot Studio.
Une fois la configuration enregistrée, assurez-vous de publier votre copilote pour que les modifications prennent effet.
Note
Les modifications d’authentification ne prennent effet qu’après la publication du copilote.
Connexion utilisateur requise et partage du copilote
L’option Demander aux utilisateurs de se connecter détermine si un utilisateur doit se connecter avant de discuter avec le copilote. Nous vous recommandons fortement d’activer ce paramètre lorsque votre copilote a besoin d’accéder à des informations sensibles ou restreintes.
Cette option n’est pas disponible lorsque l’option Aucune authentification n’est choisie.
Si vous désactivez cette option, votre copilote ne demandera pas aux utilisateurs de se connecter tant qu’il ne rencontrera pas un sujet qui les obligera à le faire.
Lorsque vous activez cette option, elle crée un sujet appelé Demander aux utilisateurs de se connecter. Cette rubrique n’est pertinente que pour le paramètre d’authentification Manuel. Les utilisateurs sont toujours authentifiés sur Teams.
Le sujet Demander aux utilisateurs de se connecter est déclenché automatiquement pour tout utilisateur qui parle au copilote sans s’être authentifié. Si l’utilisateur ne parvient pas à se connecter, la rubrique redirige l’utilisateur vers la rubrique système Réaffecter.
Le sujet est en lecture seule et ne peut pas être personnalisé. Pour le voir, sélectionnez Accéder au canevas de création.
Contrôler qui peut discuter avec le copilote dans l’organisation
La combinaison de l’option d’authentification et de Demander aux utilisateurs de se connecter de votre copilote détermine si vous pouvez partager le copilote pour contrôler qui peut discuter ou non avec votre bot dans votre organisation. Le paramètre d’authentification n’affecte pas le partage d’un copilote pour la collaboration.
Pas d’authentification : tout utilisateur qui a un lien avec le copilote (ou qui peut le trouver, par exemple, sur votre site web) peut discuter avec lui. Vous ne pouvez pas contrôler quels utilisateurs peuvent discuter avec le copilote dans votre organisation.
Uniquement pour Teams : le copilote ne fonctionne que sur le canal Teams. Puisque l’utilisateur est toujours connecté, le paramètre Demander aux utilisateurs de se connecter est activé et ne peut pas être désactivé. Vous pouvez utiliser le partage de copilote pour contrôler qui dans votre organisation peut discuter avec le copilote.
Manuel (pour tout canal, y compris Teams) :
Si le fournisseur de services est soit Azure Active Directory ou Microsoft Entra ID, vous pouvez activer Demander aux utilisateurs de se connecter pour contrôler qui dans votre organisation peut discuter avec le copilote en utilisant le partage de copilote.
Si le fournisseur de services est OAuth2 générique, vous pouvez activer ou désactiver Demander aux utilisateurs de se connecter. Lorsqu’elle est activée, un utilisateur qui se connecte peut discuter avec le copilote. Vous ne pouvez pas contrôler quels utilisateurs spécifiques peuvent discuter avec le copilote à l’aide du partage de copilote dans votre organisation.
Lorsque le paramètre d’authentification d’un copilote ne peut pas contrôler qui peut discuter avec lui, si vous sélectionnez Partager sur la page de présentation du copilote, un message informe que n’importe qui peut discuter avec votre copilote.
Champs d’authentification manuelle
Voici tous les champs que vous pouvez voir lorsque vous configurez l’authentification manuelle. Les champs que vous voyez dépendent de votre choix pour le fournisseur de services.
| Nom du champ | Description |
|---|---|
| Modèle d’URL d’autorisation | Modèle d’URL pour les autorisations, comme défini par votre fournisseur d’identité. Par exemple, https://login.microsoftonline.com/common/oauth2/v2.0/authorize |
| Modèle de chaîne de requête de l’URL d’autorisation | Le modèle de requête pour les autorisations, comme fourni par votre fournisseur d’identité. Les clés du modèle de chaîne de requête varient en fonction du fournisseur d’identité. |
| ID Client | Votre ID client obtenu auprès du fournisseur d’identité. |
| Client secret | Votre clé secrète client obtenue lorsque vous avez créé l’enregistrement de l’application auprès du fournisseur d’identité. |
| Actualiser le modèle de corps | Le modèle pour le corps d’actualisation. |
| Actualiser le modèle de chaîne de requête de l’URL d’autorisation | Le séparateur de chaîne de requête de l’URL d’actualisation pour l’URL du jeton, généralement un point d’interrogation (?). |
| Actualiser le modèle d’URL | Le modèle d’URL pour l’actualisation ; par exemple, https://login.microsoftonline.com/common/oauth2/v2.0/token. |
| Délimiteur de la liste des étendues | Le caractère séparateur de la liste des étendues. Les espaces vides ne sont pas pris en charge dans ce champ.1 |
| Étendues | La liste des étendues que vous souhaitez que les utilisateurs aient après leur connexion. Utilisez le Délimiteur de la liste des étendues pour séparer plusieurs étendues.1 Définissez uniquement les étendues nécessaires et suivez le Principe de contrôle d’accès avec privilèges minimum. |
| Fournisseur de services | Le fournisseur de services que vous souhaitez utiliser pour l’authentification. Pour plus d’informations, voir Fournisseurs génériques OAuth. |
| ID client | Votre ID client Microsoft Entra ID. Consultez Utiliser un client Microsoft Entra ID existant pour savoir comment trouver votre ID client. |
| Modèle de corps de jeton | Le modèle pour le corps du jeton. |
| URL d’échange de jetons (requise pour SSO) | Il s’agit d’un champ facultatif utilisé lors de la configuration de l’authentification unique. |
| Modèle d’URL de jeton | Le modèle d’URL pour les jetons, comme indiqué par votre fournisseur d’identité, par exemple, https://login.microsoftonline.com/common/oauth2/v2.0/token |
| Modèle de chaîne de requête de l’URL de jeton | Le séparateur de chaîne de requête pour l’URL du jeton, généralement un point d’interrogation (?). |
1 Vous pouvez utiliser des espaces dans le champ Étendues si le fournisseur d’identité l’exige. Dans ce cas, saisissez une virgule (,) dans Délimiteur de la liste des étendues, et entrez des espaces dans le champ Étendues.
Supprimer la configuration de l’authentification
- Dans le menu de navigation, sous Paramètres, sélectionnez Sécurité. Ensuite, sélectionnez la carte Authentification.
- Sélectionnez Aucune authentification.
- Publier le copilote.
Si des variables d’authentification sont utilisées dans un sujet, elles deviennent des variables de type Inconnu. Accédez à la page Sujets pour voir quelles sujets comportent des erreurs et corrigez-les avant la publication.
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour