Teilen über

Einmaliges Anmelden mit Microsoft Entra ID für Copiloten in Microsoft Teams konfigurieren

  • Artikel

Copilot Studio unterstützt Single Sign-On (SSO) für Copiloten, die in Microsoft Teams 1:1-Chats veröffentlicht werden, was bedeutet, dass Copiloten Benutzer automatisch mit ihren Microsoft Teams Anmeldeinformationen anmelden können. SSO wird nur bei Verwendung einer Microsoft Entra ID unterstützt. Andere Dienstanbieter, wie beispielsweise Azure AD v1, unterstützen kein SSO-In Microsoft Teams.

Wichtig

Es ist möglich, SSO in Microsoft Teams Chats zu verwenden, ohne dass eine manuelle Authentifizierung erforderlich ist. Um diese Methode für einen zuvor veröffentlichten Copiloten zu verwenden, konfigurieren Sie den Copiloten neu, sodass er die Authentifizierung mit Microsoft verwendet, und veröffentlichen Sie ihn dann erneut auf Microsoft Teams. Es kann einige Stunden dauern, bis diese Änderung wirksam wird. Wenn sich ein Benutzer mitten in einer Unterhaltung befindet und die Änderung scheinbar nicht wirksam geworden ist, kann er im Chat „Neu starten“ eingeben, um einen Neustart der Unterhaltung mit der neuesten Version des Copiloten zu erzwingen. Diese Änderungen sind jetzt für 1:1-Chats zwischen dem Benutzer und dem Copiloten in Teams verfügbar. Für Gruppenchats oder Kanalnachrichten sind sie noch nicht verfügbar.

SSO wird für in Dynamics 365 Kundenservice integrierte Copiloten nicht unterstützt.

Bitte fahren Sie mit dem folgenden Dokument nur fort, wenn es unbedingt erforderlich ist. Wenn Sie die manuelle Authentifizierung für Ihren Copiloten verwenden möchten, lesen Sie Benutzerauthentifizierung mit Microsoft Entra ID konfigurieren.

Anmerkung

Wenn Sie die Teams-SSO-Authentifizierung mit der manuellen Authentifizierungsoption und gleichzeitig den Copiloten auf benutzerdefinierten Websites verwenden, müssen Sie die Teams-App mithilfe des App-Manifests bereitstellen.

Weitere Informationen finden Sie unter Teams-App-Manifest für einen Copiloten herunterladen.

Andere Konfigurationen, wie etwa Authentifizierungsoptionen neben der manuellen oder über die Teams-Bereitstellung per Copilot Studio Ein-Klick-Authentifizierung, funktionieren nicht.

Anforderungen

Konfigurieren Sie eine App-Registrierung

Bevor Sie SSO für Teams konfigurieren, müssen Sie die Benutzerauthentifizierung mit Microsoft Entra ID konfigurieren. Dieser Vorgang erstellt eine App-Registrierung, die zum Einrichten von SSO erforderlich ist.

  1. Erstellen Sie eine -App-Registrierung. Weitere Informationen finden Sie in den Anweisungen unter Benutzerauthentifizierung mit Microsoft Entra ID konfigurieren.

  2. Die Umleitungs-URL hinzufügen.

  3. Geheimen Clientschlüssel generieren.

  4. Manuelle Authentifizierung konfigurieren.

Suchen Sie Ihre Microsoft Teams Kanal-App-ID

  1. Öffnen Sie in Copilot Studio den Copiloten, für den Sie SSO konfigurieren möchten.

  2. Wählen Sie unter den Einstellungen für den Copiloten Kanäle aus. Wählen Sie die Kachel Microsoft Teams.

  3. Wenn der Microsoft Teams Kanal noch nicht mit Ihrem Copiloten verbunden ist, Auswählen schalten Sie Teams ein. Weitere Informationen finden Sie unter Verbinden, einem Copiloten des Microsoft Teams Kanals.

  4. Auswählen Details bearbeiten, erweitern Mehr und dann Auswählen Kopieren neben dem Feld App-ID .

    Screenshot der Teams-Kanaldetails mit hervorgehobener Schaltfläche „Kopieren“.

Hinzufügen Ihrer Teams App ID zu Ihrer Microsoft Teams Kanal App-IT, um Ihre App zu registrieren

  1. Wechseln Sie zum Azure-Portal. Öffnen Sie das App-Registrierungsblatt für die App-Registrierung, die Sie bei der Konfiguration der Benutzerauthentifizierung für Ihren Copiloten erstellt haben.

  2. Wählen Sie API sichtbar machen im Seitenbereich aus. Wählen Sie Festlegen für die Anwendung-ID-URI aus.

    Screenshot der Position der Einstellungs-Schaltfläche für den Anwendungs-ID-URI.

  3. Geben Sie „API://botid-{teamsbotid}“ ein und ersetzen Sie „{teamsbotid}“ durch Ihre Teams-Kanal-App-ID , die Sie zuvor gefunden haben. In diesem Beispiel würde die Anwendungs-ID-URI auf „API://botid-aaa8ae75-b379-4fff-b7fc-56499f22611d“ festgelegt.

    Screenshot einer korrekt formatierten URI, die in das Feld Anwendungs-ID-URI eingegeben wurde.

  4. Wählen Sie Save (Speichern).

Anwendungen sind zum Aufrufen von APIs berechtigt, wenn ihnen im Rahmen des Zustimmungsprozesses von Benutzern/Administratoren die entsprechende Berechtigung erteilt wird. Weitere Informationen zu Berechtigungen finden Sie unter Berechtigungen und Zustimmung in der Microsoft Identity Platform.

Wenn die Option „Administratorzustimmung“ verfügbar ist, müssen Sie die Zustimmung erteilen:

  1. Gehen Sie dann bei Ihrer App-Registrierung im Azure-Portal zu API-Berechtigungen.

  2. Wählen Sie Einwilligung des Administrators für <Mandantennamen> gewähren und dann Ja aus.

    Screenshot mit Markierung der Schaltfläche Administrator-Zustimmung für Mandantennamen erteilen

Trinkgeld

Um zu vermeiden, dass Benutzer jeder Anwendung zustimmen müssen, kann ein globales Administrator, eine Anwendung Administrator oder eine Cloud-Anwendung Administrator mandantenweite Zustimmung zu Ihren Anwendungsregistrierungen erteilen.

API Berechtigungen hinzufügen

  1. Gehen Sie dann bei Ihrer App-Registrierung im Azure-Portal zu API-Berechtigungen.

  2. Eine Berechtigung hinzufügen und Microsoft Graph auswählen.

  3. Wählen Sie Delegierte Berechtigungen. Eine Liste der Berechtigungen wird angezeigt.

  4. Erweitern Sie OpenId-Berechtigungen.

  5. Auswählen OpenID und Profil.

  6. Wählen Sie Berechtigungen hinzufügen aus.

    Screenshot der aktivierten openid- und Profilberechtigungen.

Einen benutzerdefinierten Bereich für Ihren Copiloten festlegen

  1. Gehen Sie dann bei Ihrer App-Registrierung im Azure-Portal zu API sichtbar machen.

  2. Wählen Sie Ein Bereich hinzufügen.

    Screenshot der Schaltflche einen Umfang hinzufügen.

  3. Legen Sie die folgenden Eigenschaften fest:

    Eigenschaften Wert
    Umangsname Geben Sie „Test.Read“ ein.
    Wer kann die Einwilligung erteilen? Wählen Sie Administratoren und Benutzer aus
    Administratorzustimmung für Anzeigename Geben Sie „Test.Read“ ein.
    Administratoreinwilligung Beschreibung Geben Sie „Ermöglicht der App, den Benutzer anzumelden“ ein.
    Bundesstaat Wählen Sie Aktiviert aus

    Anmerkung

    Der Bereichsname „Test.Read“ ist ein Platzhalterwert und sollte durch einen Namen ersetzt werden, der in Ihrem Umgebung Sinn ergibt.

  4. Wählen Sie Umfang hinzufügen aus.

Microsoft Teams Client-ID hinzufügen

Wichtig

In den folgenden Schritten sollten die bereitgestellten Werte für Microsoft Teams Client-IDs wörtlich verwendet werden, da sie für alle Mandanten gleich sind.

  1. Wählen Sie im Azure Portal auf Ihrerer Aop-Registrierungsmaske die Option API sichtbar machen und wählen Sie Client-Anwendugn hinzufügen aus.

    Screenshot der Schaltflche eine Client-Anwendung hinzufügen.

  2. Geben Sie im Feld Client-ID die Client-ID für Microsoft Teams mobile/Desktop ein, die „1fec8e78-bce4-4aaf-ab1b-5451cc387264“ lautet. Aktivieren Sie das Kontrollkästchen für den Umfang, den Sie zuvor erstellt haben.

    Screenshot der Client-ID, die im Bereich Client-Anwendung hinzufügen eingegeben wurde.

  3. Wählen Sie Anwendung hinzufügen aus.

  4. Wiederholen Sie die vorherigen Schritte, geben Sie jedoch bei Client-ID die Client-ID für Microsoft Teams das Web ein, nämlich „5e3ce6c0-2b1f-4285-8d4b-75ee78787346“.

  5. Bestätigt die Seite Stellen Sie eine API bereit die die Microsoft Teams Client-App-IDs aiufführt..

    Screenshot der Seite Expose an API, auf der die Client IDs von Microsoft Teams korrekt aufgelistet sind.

Zusammenfassend sind die beiden Microsoft Teams Client-IDs, die der Seite API verfügbar machen hinzugefügt wurden, folgende:

  • 1fec8e78-bce4-4aaf-ab1b-5451cc387264
  • 5e3ce6c0-2b1f-4285-8d4b-75ee78787346

Fügen Sie die Token-Austausch-URL zu den Authentifizierungseinstellungen Ihres Copiloten hinzu

Um die Microsoft Entra ID-Authentifizierungseinstellungen in Copilot Studio zu aktualisieren, müssen Sie die Token-Austausch-URL hinzufügen, um Microsoft Teams und Copilot Studio Teilen-Informationen zuzulassen.

  1. Gehen Sie dann bei Ihrer App-Registrierung im Azure-Portal zu API sichtbar machen.

  2. Klicken Sie unter Bereiche auf das Symbol In die Zwischenablage kopieren .

  3. Klicken Sie in Copilot Studio unter den Einstellungen für den Copiloten auf Sicherheit und dann auf Auswählen die Kachel Authentifizierung .

  4. Für den Token-Austausch-URL (erforderlich für SSO) fügen Sie den Bereich ein, den Sie zuvor kopiert haben.

  5. Wählen Sie Speichern.

    Screenshot, wo die Token-Austausch-URL in Copilot Studio eingefügt werden soll.

SSO zum Microsoft Teams-Kanal Ihres Copiloten hinzufügen

  1. Wählen Sie in Copilot Studio unter den Einstellungen für den Copiloten Kanäle aus.

  2. Wählen Sie die Kachel Microsoft Teams.

  3. Wählen Sie Details bearbeiten und erweitern Sie Mehr.

  4. Für Client-ID der AAD-Anwendung fügen Sie die Anwendung (Cliet-ID) der Seite Ihrer-App-Registrierung hinzu.

    Um diesen Wert zu erhalten, öffnen Sie das Azure-Portal. Gehen Sie dann auf Ihrem App-Registrierungsblatt zu Überblick. Kopieren Sie den Wert im Kästchen Anwendung (Client)-ID.

    Screenshot, wo die Anwendungs-ID (Client-ID) im Azure-Portal zu finden ist.

  5. Für Ressourcen-URI geben Sie die Anwendungs-ID-URI aus Ihrer App-Registrierung ein.

    Um diesen Wert zu erhalten, öffnen Sie das Azure-Portal. Gehen Sie dann auf Ihrem App-Registrierungsblatt zu API sichtbar machen. Kopieren Sie den Wert im Kästchen Anwendungs-ID URI.

    Screenshot, wo die Anwendungs-ID URI im Azure-Portal zu finden ist.

  6. Wählen Sie Speichern und anschließend Schließen aus.

    Screenshot, wo die Anwendungs-ID-URI im Teams-Kanal von Copilot Studio eingefügt werden soll.

  7. Veröffentlichen Sie den Copiloten erneut, um Ihren Kunden die aktuellsten Änderungen zur Verfügung zu stellen.

  8. Auswählen Öffnen Sie den Copiloten in Teams, um eine neue Unterhaltung mit Ihrem Copiloten zu beginnen Microsoft Teams und prüfen Sie, ob Sie automatisch angemeldet werden.

Bekannte Probleme

Wenn Sie Ihren Copiloten zunächst mit manueller Authentifizierung ohne Teams-SSO veröffentlicht haben, fordert der Copilot in Teams die Benutzer kontinuierlich zur Anmeldung auf.