Benutzerauthentifizierung mit Microsoft Entra ID konfigurieren

Durch das Hinzufügen einer Authentifizierung können Benutzende sich anmelden und Ihrem Agenten Zugriff auf eine eingeschränkte Ressource oder Informationen gewähren.

In diesem Artikel erfahren Sie, wie Sie Microsoft Entra ID als Ihren Dienstanbieter konfigurieren. Weitere Informationen zu anderen Dienstanbietern und zur Benutzerauthentifizierung im Allgemeinen finden Sie unter Benutzerauthentifizierung in Copilot Studio konfigurieren.

Wenn Sie über Mandantenverwaltungsrechte verfügen, können Sie API-Berechtigungen konfigurieren. Andernfalls müssen Sie einen Mandantenadministrierenden bitten, dies für Sie zu tun.

Anforderungen

Erfahren Sie, wie Sie einem Thema die Benutzerauthentifizierung hinzufügen

Sie führen die ersten Schritte im Azure-Portal und die letzten beiden Schritte in Copilot Studio aus.

Erstellen einer App-Registrierung

1. Melden Sie sich beim Azure-Portal an, und verwenden Sie ein Administrationskonto im selben Mandanten wie Ihr Agent.

2. Wechseln Sie zu App-Registrierungen.

3. Wählen Sie Neue Registrierung aus und geben Sie einen Namen für die Registrierung ein. Ändern Sie vorhandenen App-Registrierungen nicht.

   Es kann später hilfreich sein, den Namen Ihres Agenten zu verwenden. Wenn Ihr Agent beispielsweise „Contoso-Verkaufshilfe“ heißt, können Sie die App-Registrierung „ContosoSalesReg“ nennen.

4. Wählen Sie unter "Unterstützte Kontotypen" nur "Konten" in diesem Organisationsverzeichnis (nur Contoso – Einzelner Mandant) aus.

5. Lassen Sie den Abschnitt Umleitungs-URI vorerst leer. Geben Sie diese Information in den nächsten Schritten ein.

6. Wählen Sie Registrieren aus.

7. Wechseln Sie nach Abschluss der Registrierung zur Übersicht.

8. Kopieren Sie die Anwendungs-ID (Client), und fügen Sie sie in eine temporäre Datei ein. Sie brauchen sie in den weiteren Schritten.

Die Umleitungs-URL hinzufügen

1. Wählen Sie unter Verwalten die Option Authentifizierung aus.

2. Wählen Sie unter PlattformkonfigurationenEine Plattform hinzufügen und dann Web aus.

3. Geben Sie unter Umleitungs-URIshttps://token.botframework.com/.auth/web/redirect oder https://europe.token.botframework.com/.auth/web/redirect für Europa ein. Sie können den URI auch aus dem Textfeld " Umleitungs-URL " unter " Sicherheitseinstellungsseite von Copilot Studio" unter " Manuell authentifizieren" kopieren.

   Mit dieser Aktion kehren Sie zur Seite Plattformkonfigurationen zurück.

4. Wählen Sie sowohl Zugriffstoken (für implizite Flüsse verwendet) als auch ID-Token (für implizite und hybride Flüsse verwendet) aus.

5. Wählen Sie Konfigurieren aus.

Manuelle Authentifizierung konfigurieren

Konfigurieren Sie als Nächstes die manuelle Authentifizierung. Sie können aus mehreren Optionen für Ihren Anbieter wählen, es wird jedoch empfohlen, Microsoft Entra ID V2 mit Verbundanmeldeinformationen zu verwenden. Sie können auch geheime Clientschlüssel verwenden, wenn Sie keine Verbundanmeldeinformationen verwenden können.

Konfigurieren von Verbundanmeldeinformationen (empfohlen)

Konfigurieren der manuellen Authentifizierung mit Verbundanmeldeinformationen

1. Wechseln Sie in Copilot Studio zu Einstellungen für Ihren Agenten und wählen Sie Sicherheit aus.

2. Wählen Sie Authentifizierung.

3. Wählen Sie Manuell authentifizieren aus.

4. Lassen Sie Benutzer müssen sich anmelden aktiviert.

5. Geben Sie die folgenden Werte für die Eigenschaften ein:

   • Dienstanbieter: Wählen Sie Microsoft Entra ID V2 mit Verbundanmeldeinformationen aus.

   • Client-ID: Geben Sie die Anwendungs-ID (Client) ein, die Sie zuvor vom Azure-Portal kopiert haben.

6. Wählen Sie Speichern aus, um den Aussteller und den Wert der Verbundanmeldeinformationen anzuzeigen.

7. Kopieren Sie den Herausgeber der Verbundanmeldedaten und den Wert der Verbundanmeldedaten und fügen Sie sie in eine temporäre Datei ein. Sie brauchen sie in den weiteren Schritten.

8. Wechseln Sie zum Azure-Portal und zur App-Registrierung, die Sie zuvor erstellt haben. Wählen Sie unter "Verwalten" zertifikate und geheime Schlüssel und dann Verbundanmeldeinformationen aus.

9. Wählen Sie Anmeldeinformationen hinzufügen.

10. Wählen Sie unter Szenario für Verbundanmeldeinformationen die Option Anderer Aussteller aus.

11. Geben Sie die folgenden Werte für die Eigenschaften ein:

    • Aussteller: Geben Sie den Wert des Ausstellers von Verbundanmeldeinformationen ein, den Sie zuvor von Copilot Studio kopiert haben.
    • Wert: Geben Sie den Wert der verknüpften Anmeldeinformationen ein, den Sie zuvor aus Copilot Studio kopiert haben.
    • Name: Geben Sie einen Namen an.

12. Wählen Sie "Hinzufügen" aus, um die Konfiguration abzuschließen.

Konfigurieren geheimer Clientschlüssel

Geheimen Clientschlüssel generieren

1. Wählen Sie unter VerwaltenZertifikate und Geheimnisse aus.

2. Wählen Sie im Abschnitt Geheime Clientschlüssel die Option Neuer geheimer Clientschlüssel aus.

3. (Optional) Geben Sie eine Beschreibung ein. Wenn Sie das Feld leer lassen, wird eine bereitgestellt.

4. Wählen Sie den Ablaufzeitraum aus. Wählen Sie den kürzesten Zeitraum aus, der für die Lebensdauer Ihres Agenten relevant ist.

5. Klicken Sie auf Hinzufügen, um das Geheimnis zu erstellen.

6. Speichern Sie den Wert des geheimen Schlüssel in einer sicheren temporären Datei. Sie benötigen ihn, wenn Sie die Authentifizierung Ihres Agenten später konfigurieren.

Tipp

Verlassen Sie die Seite nicht, bevor Sie den Wert des geheimen Clientschlüssels kopiert haben. Andernfalls wird der Wert verschleiert und Sie müssen einen neuen geheimen Clientschlüssel generieren.

Konfigurieren der manuellen Authentifizierung mit geheimen Clientschlüsseln

1. Wechseln Sie in Copilot Studio zu Einstellungen für Ihren Agenten und wählen Sie Sicherheit aus.

2. Wählen Sie Authentifizierung.

3. Wählen Sie Manuell authentifizieren aus.

4. Lassen Sie Benutzer müssen sich anmelden aktiviert.

5. Geben Sie die folgenden Werte für die Eigenschaften ein:

   • Dienstanbieter: Wählen Sie Microsoft Entra ID V2 mit geheimen Clientschlüsseln aus.

   • Client-ID: Geben Sie die Anwendungs-ID (Client) ein, die Sie zuvor vom Azure-Portal kopiert haben.

   • Client-Geheimnis: Geben Sie den geheimen Clientschlüssel ein, den Sie zuvor im Azure-Portal generiert haben.

   • Umfang: Geben Sie profile openid ein.

6. Wählen Sie Speichern aus, um die Konfiguration abzuschließen.

API-Berechtigungen konfigurieren

1. Gehen Sie zu API-Berechtigungen.

2. Wählen Sie Administratorzustimmung für <Ihren Mandantennamen> erteilen und dann Ja aus. Wenn die Schaltfläche nicht verfügbar ist, müssen Sie möglicherweise eine Fachkraft für die Mandantenadministration bitten, sie für Sie einzugeben.

   

   Wichtig

   Um zu vermeiden, dass Benutzende jeder Anwendung zustimmen müssen, muss mindestens eine Fachkraft mit der Rolle für die Anwendungs- oder Cloud-Anwendungsadministration die mandantenweite Einwilligung zu Ihren Anwendungsregistrierungen erteilen.

3. Wählen Sie Berechtigung hinzufügen und dann Microsoft Graph aus.

   

4. Wählen Sie Delegierte Berechtigungen.

   

5. Erweitern Sie OpenId-Berechtigungen und schalten Sie openid und Profil ein.

   

6. Wählen Sie Berechtigungen hinzufügen aus.

Einen benutzerdefinierten Bereich für Ihren Agenten festlegen

Mit Bereichen können Sie Benutzer- und Administratorrollen sowie Zugriffsrechte festlegen. Sie erstellen einen benutzerdefinierten Bereich für die Canvas-App-Registrierung, die Sie in einem späteren Schritt erstellen.

1. Gehen Sie zu Eine API verfügbar machen und wählen Sie Einen Bereich hinzufügen aus.

   

2. Legen Sie die folgenden Eigenschaften fest. Sie können die anderen Eigenschaften leer lassen.

   Eigenschaften	Wert
   Umangsname	Geben Sie einen Namen ein, der in Ihrer Umgebung sinnvoll ist, wie Test.Read
   Wer kann die Einwilligung erteilen?	Wählen Sie Administratoren und Benutzer aus
   Administratorzustimmung für Anzeigename	Geben Sie einen Namen ein, der in Ihrer Umgebung sinnvoll ist, wie Test.Read
   Administratoreinwilligung Beschreibung	Geben Sie Allows the app to sign the user in. ein
   Bundesstaat	Wählen Sie Aktiviert aus

3. Wählen Sie Umfang hinzufügen aus.

Authentifizierung in Copilot Studio konfigurieren

1. Wählen Sie in Copilot Studio unter EinstellungenSicherheit>Authentifizierung aus.

2. Wählen Sie Manuell authentifizieren aus.

3. Lassen Sie Benutzer müssen sich anmelden aktiviert.

4. Wählen Sie einen Dienstanbieter aus, und geben Sie die erforderlichen Werte an. Weitere Informationen finden Sie unter Manuelle Authentifizierung in Copilot Studio konfigurieren.

5. Wählen Sie Speichern.

Tipp

Die Token-Austausch-URL wird verwendet, um das On-Behalf-Of (OBO)-Token gegen das angeforderte Zugriffstoken auszutauschen. Weitere Informationen unter Konfigurieren Sie einmaliges Anmelden mit Microsoft Entra ID.

Anmerkung

Die Bereiche sollten profile openid und je nach Anwendungsfall Folgendes umfassen:

• Sites.Read.All Files.Read.All für SharePoint
• ExternalItem.Read.All für Graph-Verbindung
• https://[OrgURL]/user_impersonation für Dataverse strukturierte Daten

Zum Beispiel Dataverse strukturierte Daten sollten wie folgt aussehen: profile openid Sites.Read.All Files.Read.All https://myorg123.com/user_impersonation

Ihren Agent testen

1. Veröffentlichen Sie Ihren Agenten.

2. Senden Sie im Bereich Agent testen eine Nachricht an Ihren Agenten.

3. Wenn der Agent antwortet, wählen Sie Anmelden aus.

   Eine neue Browser-Registerkarte wird geöffnet, auf der Sie gebeten werden, sich anzumelden.

4. Melden Sie sich an und kopieren Sie dann den angezeigten Validierungscode.

5. Fügen Sie den Code in den Agentenchat ein, um den Anmeldevorgang abzuschließen.