Microsoft Copilot Studio でユーザー認証の構成
重要
Power Virtual Agents 機能は、生成 AI への多大な投資と Microsoft Copilot 全体の統合の強化により、現在 Microsoft Copilot Studio の一部となっています。
ドキュメントやトレーニング コンテンツが更新される間、一部の記事やスクリーンショットで Power Virtual Agents が参照される場合があります。
認証により、ユーザーはサインインして、コパイロットに制限付きリソースや情報へのアクセスを与えることができます。 ユーザーは、Microsoft Entra ID、または Google や Facebook などの OAuth2 ID プロバイダー でサインインできます。
注意
Microsoft Teams では、認証機能を提供するために Microsoft Copilot Studio コパイロットを構成できます。そのため、ユーザーは、Microsoft Entra ID や、Microsoft アカウント、Facebook アカウントなどの任意の OAuth2 ID プロバイダー にサインインできます。
トピックを編集する際に、コパイロットにユーザー認証を追加 できます。
Microsoft Copilot Studio は、次の認証プロバイダーをサポートします:
- Azure Active Directory v1
- Microsoft Entra ID
- OAuth2 標準 に準拠している ID プロバイダー
重要
認証構成の変更は、コパイロットを公開した後にのみ有効になります。 コパイロットに認証の変更を加える前に、事前に計画してください。
認証オプションを選択する
Microsoft Copilot Studio は、いくつかの認証オプションをサポートしています。 ニーズに合ったものを選択してください。
コパイロットの認証設定を変更するには、ナビゲーション メニューの 設定 で セキュリティ タブに移動し、認証 カードを選択します。
次の認証オプションを使用できます:
- 認証なし
- Teams と Power Apps のみ
- 手動 (Teams を含む任意のチャネル用)
認証なし
認証がないということは、コパイロットと対話するときにコパイロットがユーザーにサインインを要求しないことを意味します。 認証されていない構成とは、コパイロットが公開情報とリソースにのみアクセスできることを意味します。
注意
認証なしオプションを選択すると、リンクを知っている人は誰でもボットやコパイロットとチャットしたり対話したりできるようになります。
特に組織内または特定のユーザーに対してボットやコパイロットを使用している場合は、その他のセキュリティとガバナンス コントロールとともに認証を適用することをお勧めします。
Teams と Power Apps のみ
重要
Teams および Power Apps 専用オプションを選択すると、Teams チャネルを除くすべてのチャネルが無効になります。
さらに、コパイロットが Dynamics 365 Customer Service と統合されている場合、Teams および Power Apps 専用 オプションは使用できません。
Teams および Power Apps 認証は、コパイロットと Microsoft Copilot Studio で作成したコパイロットに対して既定で有効になっています。
この構成では、手動で構成する必要なく、Teams の Microsoft Entra ID 認証を自動的に設定します。 Teams 認証自体がユーザーを識別するため、コパイロットがスコープを拡張する必要がない限り、ユーザーは Teams にいる間はサインインを求められません。
このオプションを選択すると、Teams チャネルのみが使用可能になります。 他のチャネルが必要であるが、コパイロットの認証が必要な場合 (生成 AI 機能を使用する などの場合) は、手動 認証を選択します。
Teams または Power Apps 専用オプションを選択した場合、作成キャンバスで次の変数を使用できます:
UserIDUserDisplayName
これらの変数とその使用方法の詳細については、Microsoft Copilot Studio コパイロットにエンドユーザー認証をに追加する を参照してください。
AuthToken と IsLoggedIn の変数は、このオプションでは使用できません。 認証トークンが必要な場合は、手動 オプションを使用します。
手動から Teams および Power Apps 専用認証に変更し、トピックに変数 AuthToken または IsLoggedIn が含まれている場合、変更後に不明な変数として表示されます。 コパイロットを公開する前に、エラーのあるトピックを必ず修正してください。
手動 (Teams を含む任意のチャネル用)
このオプションを使用して、Microsoft Entra ID v1、Microsoft Entra ID、または OAuth2 互換 ID プロバイダーを構成することができます。 手動認証の構成後、作成キャンバスで次の変数を使用できます:
UserIDUserDisplayNameAuthTokenIsLoggedIn
これらの変数とその使用方法の詳細については、Microsoft Copilot Studio コパイロットにエンドユーザー認証をに追加する を参照してください。
構成が保存されたら、変更が有効になるように必ずコパイロットを公開してください。
注意
認証の変更は、コパイロットが公開された後にのみ有効になります。
必要なユーザー サインインとコパイロット共有
ユーザーにサインインを要求する では、ユーザーがコパイロットと対話する前にサインインする必要があるかどうかを判断します。 コパイロットが機密情報や制限された情報にアクセスする必要がある場合は、この設定をオンにすることを強くお勧めします。
このオプションは、認証なし オプションが選択されている場合は使用できません。
このオプションをオフにすると、サインインを必要とするトピックが検出されるまで、コパイロットはユーザーにサインインを求めません。
このオプションをオンにすると、ユーザーにサインインを要求する というシステム トピックが作成されます。 このトピックは、手動 の認証設定にのみ関連します。 ユーザーは常に Teams で認証されます。
ユーザーにサインインを要求する トピックは、認証されていなくても、コパイロットと対話するすべてのユーザーに対して自動的にトリガーされます。 ユーザーがサインインに失敗した場合、トピックは エスカレート システム トピックにリダイレクトされます。
トピックは読み取り専用で、カスタマイズすることはできません。 表示するには、作成キャンバスに移動 を選択します。
組織内のコパイロットとチャットできるユーザーを制御する
コパイロットの認証と ユーザーにサインインを要求する 設定の組み合わせにより、コパイロットを共有 して、組織内の誰がチャットできるかを制御することができます。 認証設定は、コラボレーション用のコパイロットの共有には影響しません。
認証なし: コパイロットへのリンクを持つ (または、たとえば、Web サイト などでリンクを見つけることができる) あらゆるユーザーがチャットできます。 組織内のどのユーザーがコパイロットとチャットできるかを制御することはできません。
Teams 専用: コパイロットは Teams チャネル でのみ動作します。 ユーザーは常にサインインしているため、ユーザーにサインインを要求する 設定がオンになっていて、オフにすることはできません。 コパイロット共有を使用して、組織内の誰がコパイロットとチャットできるかを制御できます。
手動 (Teams を含む任意のチャネル用):
サービス プロバイダーが Azure Active Directory または Microsoft Entra ID のどちらかである場合、ユーザーにサインインを要求する をオンにして、組織内の誰がコパイロット共有を使用してコパイロットとチャットできるかを制御することができます。
サービス プロバイダーが 汎用 OAuth2 の場合は、ユーザーにサインインを要求する をオンまたはオフにします。 オンにすると、サインインしたユーザーがコパイロットとチャットできます。 コパイロット共有を使用して組織内のどの特定のユーザーがコパイロットとチャットできるかを制御することはできません。
コパイロットの認証設定でチャットできるユーザーを制御できない場合は、コパイロットの概要ページで 共有 を選択すると、誰でもコパイロットとチャットできることを通知するメッセージが表示されます。
手動認証フィールド
以下は、手動認証を構成するときに表示されるすべてのフィールドです。 表示されるフィールドは、サービス プロバイダーの選択によって異なります。
| フィールド名 | 説明設定 |
|---|---|
| 認証 URL テンプレート | ID プロバイダーによって定義されている、認証の URL テンプレート。 例: https://login.microsoftonline.com/common/oauth2/v2.0/authorize |
| 認証 URL のクエリ文字列テンプレート | ID プロバイダーによって提供された認証用のクエリ テンプレート。 クエリ文字列テンプレートのキーは、ID プロバイダーによって異なります。 |
| Client ID | ID プロバイダーから取得したクライアント ID。 |
| Client secret | ID プロバイダーのアプリ登録を作成したときに取得したクライアント シークレット。 |
| 本文テンプレートの更新 | 更新本文のテンプレート。 |
| URL のクエリ文字列テンプレートの更新 | トークン URL の更新 URL クエリ文字列区切り記号は通常、疑問符 (?) です。 |
| URL テンプレートの更新 | 更新用のURL テンプレート; 例 https://login.microsoftonline.com/common/oauth2/v2.0/token。 |
| スコープ リストの区切り文字 | スコープ リストの区切り文字。 このフィールドでは、空白はサポートされていません。1 |
| スコープ | ユーザーがサインインした後に所有する スコープ のリスト。 スコープ リストの区切り文字 を使用して複数のスコープを区切ります。1 必要なスコープのみを設定し、最小権限アクセス制御の原則 に従います。 |
| サービス プロバイダー | 認証に使用するサービス プロバイダー。 詳細については、OAuth 汎用プロバイダー を参照してください。 |
| Tenant ID | Microsoft Entra ID テナント ID。 テナント ID を見つける方法については、既存の Microsoft Entra ID テナントを使用するを参照してください。 |
| トークン本体のテンプレート | トークン本体のテンプレート。 |
| トークンの交換 URL (SSO に必要) | これは、シングル サインオンを構成 する際に使用するオプションのフィールドです。 |
| トークン URL テンプレート | ID プロバイダーによって指定されたトークン用の URL テンプレート; 例 https://login.microsoftonline.com/common/oauth2/v2.0/token。 |
| トークン URL のクエリ文字列テンプレート | トークン URL のクエリ文字列区切り記号は通常、疑問符 (?) です。 |
1 ID プロバイダーが必要とする場合は、スコープ フィールドでスペースを使用できます。 その場合は、コンマ (,) を スコープ リストの区切り文字に入力し、スコープ フィールドにスペースを入力します。
認証構成を削除する
- ナビゲーション メニューの 設定 で セキュリティ を選択します。 次に、認証 カードを選択します。
- 認証なしを選択します。
- コパイロットを公開します。
認証変数がトピックで使用されている場合は、不明な 変数になります。 トピック ページに移動して、エラーのあるトピックを確認し、公開する前に修正してください。
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示