Настройка проверки подлинности пользователя в Microsoft Copilot Studio

  • Статья

Внимание

Возможности и функции Power Virtual Agents теперь являются частью Microsoft Copilot Studio после значительных инвестиций в генеративный искусственный интеллект и расширенную интеграцию с Microsoft Copilot.

Некоторые статьи и снимки экрана могут ссылаться на Power Virtual Agents, пока мы обновляем документацию и учебные материалы.

Аутентификация позволяет пользователям входить в систему, предоставляя вашему помощнику доступ к ограниченному ресурсу или информации. Пользователи могут войти в систему с помощью Microsoft Entra ID или с любым поставщиком удостоверений OAuth2, например Google или Facebook.

Заметка

В Microsoft Teams вы можете настроить помощника Microsoft Copilot Studio, чтобы обеспечить возможности аутентификации, так что пользователи могут войти в систему с Microsoft Entra ID или любым поставщиком удостоверений OAuth2, таким как учетная запись Microsoft или Facebook.

Вы можете добавить аутентификацию пользователя в помощник при редактировании темы.

Microsoft Copilot Studio поддерживает следующих поставщиков аутентификации:

  • Azure Active Directory v1
  • ИД Microsoft Entra
  • Любой поставщик удостоверений, соответствующий стандарту OAuth2

Важно

Изменения в конфигурации аутентификации вступят в силу только после того, как вы опубликуете своего помощника. Обязательно спланируйте заранее, прежде чем вносить изменения в аутентификацию своего помощника.

Выберите вариант аутентификации

Microsoft Copilot Studio поддерживает несколько вариантов аутентификации. Выберите, который подходит под ваши требования.

Чтобы изменить настройки аутентификации помощника, перейдите в меню навигации к пункту Параметры на боковой панели навигации, а затем перейдите на вкладку Безопасность и выберите карточку Аутентификация.

Снимок экрана страницы quot;Безопасностьquot; в меню quot;Параметрыquot; с выделенной карточкой quot;Аутентификацияquot;.

Доступны следующие варианты аутентификации:

  • Без аутентификации
  • Только для Teams и Power Apps
  • Вручную (для любого канала, включая Teams)

Снимок экрана панели аутентификации с тремя вариантами аутентификации.

Нет аутентификации

Отсутствие аутентификации означает, что ваш помощник не требует от пользователей входа в систему при взаимодействии с помощником. Конфигурация без аутентификации означает, что ваш помощник может осуществлять доступ только к общедоступной информации и ресурсам.

Внимание

При выборе варианта Без проверки подлинности любой, у кого есть ссылка на вашего бота или помощника, сможет общаться с ним в чате и взаимодействовать с ним.

Мы рекомендуем использовать аутентификацию, в особенности если ваш бот или помощник используется внутри вашей организации или для определенного круга пользователей, наряду с другими механизмами управления и обеспечения безопасности.

Только для Teams и Power Apps

Внимание

При выборе варианта Только для Teams и Power Apps будут отключены все каналы, кроме Teams.

Кроме того, вариант Только для Teams и Power Apps недоступен, если ваш помощник интегрирован с Dynamics 365 Customer Service.

Аутентификация для Teams и Power Apps включается по умолчанию для помощников, которых вы создаете в Microsoft Copilot Studio.

В этой конфигурации автоматически настраивается аутентификация Microsoft Entra ID для Teams, без необходимости ручной настройки. Поскольку аутентификация Teams сама идентифицирует пользователя, пользователям не предлагается войти в систему, пока они находятся в Teams, если только вашему помощнику не требуется расширенная область.

С этим параметром доступен только канал Teams. Если вам нужны другие каналы, но вы все равно хотите использовать для своего помощника аутентификацию (например, при использовании функций генеративного ИИ, выберите вариант аутентификации Вручную.

При выборе варианта Только для Teams и Power Apps на холсте разработки становятся доступны следующие переменные:

  • UserID
  • UserDisplayName

Для получения дополнительной информации об этих переменных и о том, как их использовать, см. Добавление аутентификации конечного пользователя в помощника Microsoft Copilot Studio.

Переменные AuthToken и IsLoggedIn недоступны с этим параметром. Если вам нужен токен аутентификации, используйте вариант Вручную.

При изменении варианта аутентификации с Вручную на Только для Teams и Power Apps, если ваши темы содержат переменные AuthToken или IsLoggedIn, эти переменные отображаются как Неизвестно. Обязательно исправьте все темы с ошибками, прежде чем опубликовать своего помощника.

Вручную (для любого канала, включая Teams)

С этим параметром вы можете настроить любого поставщика удостоверений, совместимого с Microsoft Entra ID v1, Microsoft Entra ID или OAuth2. Если настроить аутентификацию вручную на холсте разработки доступны следующие переменные:

  • UserID
  • UserDisplayName
  • AuthToken
  • IsLoggedIn

Для получения дополнительной информации об этих переменных и о том, как их использовать, см. Добавление аутентификации конечного пользователя в помощника Microsoft Copilot Studio.

После сохранения конфигурации обязательно опубликуйте своего помощника, чтобы изменения вступили в силу.

Заметка

Изменения аутентификации вступают в силу только после публикации помощника.

Обязательный вход пользователя и совместное использование помощника

Требовать от пользователей входа в систему контролирует, нужно ли пользователю войти в систему перед разговором с помощником. Мы настоятельно рекомендуем вам включить этот параметр, когда вашему помощнику требуется доступ к конфиденциальной или ограниченной информации.

Снимок экрана панели Аутентификация, на которой показан параметр требования входа пользователя в систему.

Этот параметр недоступен, если выбран вариант Без аутентификации.

Если вы отключите этот параметр, ваш помощник не будет просить пользователей войти в систему, пока не встретит тему, требующую от них этого.

Когда вы включаете этот параметр, он создает системную тему с именем Требовать входа для пользователей. Этот тема актуальна только для параметра аутентификации Вручную. Пользователи всегда проходят проверку подлинности в Teams.

Тема Требовать входа для пользователей автоматически запускается для любого пользователя, который разговаривает с помощником без аутентификации. Если пользователю не удается войти в систему, тема перенаправляет в системную тему Эскалация.

Тема доступна только для чтения и не может быть изменена. Чтобы увидеть, выберите Перейти к холсту разработки.

Управляйте тем, кто может общаться с помощником в организации

Комбинация аутентификации помощника и параметра Требовать входа для пользователей определяет, можете ли вы предоставить доступ к помощнику, чтобы контролировать, кто в вашей организации может общаться с вашим помощником, а кто нет. Параметр аутентификации не влияет на общий доступ к помощнику для совместной работы.

  • Без аутентификации: любой пользователь, у которого есть ссылка на помощника (или он может найти ее, например, на вашем сайте), может общаться с ним. Вы не можете контролировать, какие пользователи в вашей организации могут общаться с помощником.

  • Только для Teams: помощник работает только в канале Teams. Поскольку пользователь всегда входит в систему, параметр Требовать входа для пользователей включен и не может быть отключен. Вы можете использовать общий доступ к помощнику, чтобы контролировать, кто может общаться с помощником в вашей организации.

  • Вручную (для любого канала, включая Teams):

    • Если поставщик услуг либо Azure Active Directory, либо Microsoft Entra ID, вы можете включить Требовать входа для пользователей, чтобы контролировать, кто в вашей организации может общаться с помощником, используя общий доступ к помощнику.

    • Если поставщик услуг — Универсальный OAuth2, вы можете включить или выключить Требовать входа для пользователей. Когда он включен, пользователь, вошедший в систему, может общаться с помощником. Вы не можете контролировать, какие конкретные пользователи в вашей организации могут общаться с помощником, используя общий доступ к помощникам.

Когда параметр аутентификации помощника не может контролировать, кто может общаться с помощником, то при выборе Предоставить доступ на странице обзора помощника, сообщение информирует, что с помощником может общаться любой желающий.

Снимок экрана с сообщением о том, что все в организации могут общаться с помощником из-за его настроек аутентификации.

Поля аутентификации вручную

Ниже приведены все поля, которые вы можете увидеть при настройке аутентификации вручную. Какие поля вы увидите, зависит от вашего выбора для поставщика услуг.

Имя поля Описание
Шаблон URL-адреса авторизации Шаблон URL-адреса для авторизации, как он определен вашим поставщиком удостоверений. Например: https://login.microsoftonline.com/common/oauth2/v2.0/authorize
Шаблон строки запроса URL-адреса авторизации Шаблон запроса для авторизации, определенный вашим поставщиком удостоверений. Ключи в шаблоне строки запроса будут различаться в зависимости от поставщика удостоверений.
Идентификатор клиента Ваш идентификатор клиента, полученный от поставщика удостоверений.
Client secret Ваш секрет клиента, полученный при создании регистрации приложения поставщика удостоверений.
Обновить шаблон основного текста Шаблон для текста обновления.
Обновить шаблон строки запроса URL-адреса Разделитель строки запроса URL-адреса обновления для URL-адреса маркера, обычно знак вопроса (?).
Обновить шаблон URL-адреса Шаблон URL для обновления; например, https://login.microsoftonline.com/common/oauth2/v2.0/token.
Разделитель списка областей Символ разделителя для списка областей. Пустые места в этом поле не поддерживаются.1
Области Список областей, которые должны быть у пользователей после входа в систему. Используйте Разделитель списка областей для разделения нескольких областей.1 Устанавливайте только необходимые области и следуйте принципу управления доступом с наименьшими привилегиями.
Поставщик услуг Поставщик услуг, которого вы хотите использовать для аутентификации. Для получения дополнительной информации см. общие поставщики OAuth.
Идентификатор клиента Ваш идентификатор клиента Microsoft Entra ID. Прочтите Использование существующего клиента Microsoft Entra ID, чтобы узнать, как найти свой идентификатор клиента.
Шаблон текста маркера Шаблон для текста маркера.
URL-адрес обмена токенами (обязательно для единого входа) Это необязательное поле, которое используется, когда вы настраиваете единый вход.
Шаблон URL-адреса токена Шаблон URL для маркеров, как предоставляется вашим поставщиком удостоверений; например, https://login.microsoftonline.com/common/oauth2/v2.0/token.
Шаблон строки запроса URL-адреса токена Разделитель строки запроса для URL-адреса маркера, обычно знак вопроса (?).

1 Вы можете использовать пробелы в поле Области, если того требует поставщик удостоверений. В этом случае введите запятую (,) в Разделитель списка областей и введите пробелы в поле Области.

Удаление конфигурации проверки подлинности

  1. В меню навигации в разделе Параметры выберите Безопасность. Затем выберите карточку Аутентификация.
  2. Выберите Без аутентификации.
  3. Опубликуйте помощника.

Если в теме используются переменные аутентификации, они станут неизвестными переменными. Перейдите на страницу тем, чтобы увидеть, в каких темах есть ошибки, и исправьте их перед публикацией.