Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Mit der Authentifizierung können sich Benutzer anmelden und Ihrem Agent Zugriff auf eine eingeschränkte Ressource oder Informationen gewähren. Benutzer können sich mit Microsoft Entra ID oder einem beliebigen OAuth2-Identitätsanbieter wie Google oder Facebook anmelden.
Note
In Microsoft Teams können Sie einen Copilot Studio-Agent so konfigurieren, dass er Authentifizierungsfunktionen bereitstellt, sodass Benutzer sich mit einem Microsoft Entra ID oder einem beliebigen OAuth2-Identitätsanbieter wie einem Microsoft- oder Facebook-Konto anmelden können.
Sie können Themen eine Benutzerauthentifizierung hinzufügen, wenn Sie ein Thema bearbeiten.
Wichtig
Änderungen an der Authentifizierungskonfiguration werden erst wirksam, nachdem Sie Ihren Agent veröffentlicht haben. Planen Sie voraus, bevor Sie Authentifizierungsänderungen an Ihrem Agent vornehmen.
Eine Authentifizierungsoption auswählen
Copilot Studio unterstützt mehrere Authentifizierungsoptionen. Wählen Sie die Option aus, die Ihren Anforderungen entspricht, und konfigurieren Sie sie.
Wechseln Sie zu Einstellungen für Ihren Agenten und wählen Sie Sicherheit aus.
Wählen Sie "Authentifizierung" aus.
Wählen Sie eine Authentifizierungsoption aus, und konfigurieren Sie sie nach Bedarf. Folgende Authentifizierungsoptionen sind verfügbar:
Wählen Sie Speichern.
Keine Authentifizierung
Keine Authentifizierung bedeutet, dass Ihre Benutzenden sich bei der Interaktion mit dem Agent nicht anmelden müssen. Eine nicht authentifizierte Konfiguration bedeutet, dass Ihr Agent nur auf öffentliche Informationen und Ressourcen zugreifen kann. Klassische Chatbots sind standardmäßig so konfiguriert, dass keine Authentifizierung erforderlich ist.
Vorsicht
Wenn Sie die Option Keine Authentifizierung auswählen, kann jeder, der über den Link verfügt, mit Ihrem Bot oder Agenten chatten und interagieren.
Wir empfehlen Ihnen, die Authentifizierung anzuwenden, insbesondere wenn Sie Ihren Bot oder Agent innerhalb Ihrer Organisation oder für bestimmte Benutzer zusammen mit anderen Sicherheits- und Governance-Steuerelementen verwenden.
Note
Diese Option ist nicht verfügbar, wenn eine Datenrichtlinie im Power Platform Admin Center so konfiguriert ist, dass sie eine Authentifizierung verlangt. Weitere Informationen finden Sie unter Datenrichtlinien für Agenten konfigurieren.
Mit Microsoft authentifizieren
Wichtig
Wenn Sie die Option Authenticate mit Microsoft auswählen, erhalten Sie Zugriff auf den Kanal Teams + Microsoft 365. Sie können auch systemeigene Apps und benutzerdefinierte App-Kanäle verwenden.
Darüber hinaus steht die Option Authenticate mit Microsoft nicht für Agents zur Verfügung, die in Dynamics 365 Customer Service integriert sind.
Diese Konfiguration richtet automatisch Microsoft Entra ID Authentifizierung für Teams ein, ohne dass eine manuelle Konfiguration erforderlich ist. Da die Teams-Authentifizierung selbst Benutzende identifiziert, werden diese nicht aufgefordert, sich anzumelden, während sie sich in Teams befinden, es sei denn, Ihr Agent benötigt einen erweiterten Umfang.
Wenn Sie Ihren Agent in anderen Kanälen als Teams + Microsoft 365 veröffentlichen müssen, aber dennoch die Authentifizierung für Ihren Agent wünschen, wählen Sie Authenticate manuell aus.
Wenn Sie Mit Microsoft authentifizieren auswählen, sind die folgenden Variablen im Themen-Erstellungsbereich verfügbar:
User.IDUser.DisplayName
Weitere Informationen zu diesen Variablen und ihrer Verwendung finden Sie unter Benutzerauthentifizierung zu Themen hinzufügen.
User.AccessToken- und User.IsLoggedIn-Variablen sind bei dieser Option nicht verfügbar. Wenn Sie ein Authentifizierungstoken benötigen, verwenden Sie die Option Manuell authentifizieren.
Wenn Sie Manuell authentifizieren in Mit Microsoft authentifizieren ändern, und Ihre Themen die Variablen User.AccessToken oder User.IsLoggedIn enthalten, werden sie nach der Änderung als Unbekannte Variablen angezeigt. Stellen Sie sicher, dass Sie alle Themen mit Fehlern korrigieren, bevor Sie Ihren Agenten veröffentlichen.
Manuell authentifizieren
Copilot Studio unterstützt die folgenden Authentifizierungsdienstanbieter unter der Option Authenticate manuell:
- Microsoft Entra ID V2 mit Verbundidentität
- Microsoft Entra ID V2 mit Zertifikaten
- Microsoft Entra ID V2 mit geheimen Clientschlüsseln
- Microsoft Entra ID
- Generisches OAuth 2 - Jeden Identitätsanbieter, der mit dem OAuth2-Standard kompatibel ist
Wenn Sie Manuell authentifizieren auswählen, sind die folgenden Variablen im Themen-Erstellungsbereich verfügbar:
User.IdUser.DisplayNameUser.AccessTokenUser.IsLoggedIn
Weitere Informationen zu diesen Variablen und ihrer Verwendung finden Sie unter Benutzerauthentifizierung zu Themen hinzufügen.
Nachdem Sie die Konfiguration gespeichert haben, stellen Sie sicher, dass Ihr Agent veröffentlicht wird, damit die Änderungen wirksam werden.
Note
- Authentifizierungsänderungen werden erst wirksam, nachdem der Agent veröffentlicht wurde.
- Steuern Sie diese Einstellung mit dem entsprechenden Administratorsteuerelement in Power Platform. Wenn Sie das Steuerelement aktivieren, wird verhindert, dass die Option Authenticate manuell innerhalb Copilot Studio aktiviert oder deaktiviert wird. Das Steuerelement ist immer aktiviert, und die Option Authenticate manuell kann in Copilot Studio nicht geändert werden.
Erforderliche Benutzeranmeldung und Agenten-Freigabe
Benutzer müssen sich anmelden bestimmt, ob sich ein Benutzer anmelden muss, bevor er mit dem Agent spricht. Aktivieren Sie diese Einstellung für Agents, die auf vertrauliche oder eingeschränkte Informationen zugreifen müssen.
Diese Option ist für die Optionen Keine Authentifizierung und Bei Microsoft authentifizieren nicht verfügbar.
Note
Sie können diese Option nicht deaktivieren, wenn die Datenrichtlinie im Power Platform Admin Center auf die Authentifizierung festgelegt ist. Weitere Informationen finden Sie unter Datenrichtlinien für Agenten konfigurieren.
Wenn Sie diese Option deaktivieren, fordert Ihr Agent Benutzende nicht auf, sich anzumelden, bis er auf ein Thema stößt, das dies erfordert.
Wenn Sie diese Option aktivieren, wird ein Systemthema mit dem Namen Benutzer zur Anmeldung auffordern erstellt. Dieses Thema ist nur für die Einstellung Manuelle Authentifizierung erforderlich. Benutzer werden immer in Teams authentifiziert.
Das Thema "Benutzer muss sich anmelden " wird automatisch für jeden Benutzer ausgelöst, der mit dem Agent spricht, ohne authentifiziert zu werden. Wenn sich der Benutzer nicht anmelden kann, leitet das Thema um zum Systemthema Eskalieren.
Das Thema ist schreibgeschützt und kann nicht angepasst werden. Um es anzuzeigen, wählen Sie Zum Autorenbereich wechseln aus.
Steuern, wer in der Organisation mit dem Agenten chatten kann
Die Kombination aus dem Authentifizierungstyp Ihres Agents und der Einstellung Benutzer muss sich anmelden bestimmt, ob Sie den Agent freigeben können, um zu steuern, wer in Ihrer Organisation damit chatten kann. Die Authentifizierungseinstellung wirkt sich nicht auf die Freigabe eines Agenten für die Zusammenarbeit aus.
Keine Authentifizierung: Jeder Benutzer, der über einen Link zum Agent verfügt (oder ihn z. B. auf Ihrer Website finden kann) kann damit chatten. Sie können nicht steuern, welche Benutzenden in Ihrer Organisation mit dem Agenten chatten können.
Mit Microsoft authentifizieren: Der Agent funktioniert nur auf dem Teams-Kanal. Da Benutzende immer angemeldet sind, ist die Einstellung Benutzende müssen sich anmelden aktiviert und kann nicht deaktiviert werden. Sie können die Agenten-Freigabe verwenden, um zu steuern, wer in Ihrer Organisation mit dem Agenten chatten darf.
Manuell authentifizieren:
Wenn der Dienstanbieter Microsoft Entra ID ist, können Sie Anmeldung der Benutzer erforderlich machen, um zu steuern, wer in Ihrer Organisation mithilfe der Agentenfreigabe mit dem Agenten chatten kann.
Wenn der Diensteanbieter Generisches OAuth2 ist, können Sie die Funktion Benutzeranmeldung erforderlich ein- oder ausschalten. Wenn es aktiviert ist, kann ein Benutzender, der sich anmeldet, mit dem Agenten chatten. Sie können nicht mithilfe der Agenten-Freigabe steuern, welche bestimmten Benutzenden in Ihrer Organisation mit dem Agenten chatten dürfen.
Wenn die Authentifizierungseinstellungen des Agents es Ihnen nicht erlauben, zu kontrollieren, wer mit ihm chatten kann, und Sie auf der Übersichtsseite des Agents Teilen auswählen, werden Sie durch eine Meldung darauf hingewiesen, dass jeder mit Ihrem Agent chatten kann.
Manuelle Authentifizierungsfelder
In der folgenden Tabelle werden Felder beschrieben, die beim Konfigurieren der manuellen Authentifizierung auftreten können. Die spezifischen Felder, die Sie sehen, hängen von Ihrer Auswahl für den Dienstanbieter ab.
| Feldname | Beschreibung |
|---|---|
| Autorisierungs-URL-Vorlage | Die URL-Vorlage für Autorisierung, definiert von Ihrem Identitätsanbieter. Beispiel: https://login.microsoftonline.com/common/oauth2/v2.0/authorize |
| Abfragezeichenvorlage für Autorisierungs-URL | Die Abfragevorlage für die Autorisierung, wie von Ihrem Identitätsanbieter bereitgestellt. Die Schlüssel in der Abfragezeichenfolgenvorlage variieren je nach Identitätsanbieter (?client_id={ClientId}&response_type=code&redirect_uri={RedirectUrl}&scope={Scopes}&state={State}). |
| Client-ID | Ihre vom Identitätsanbieter erhaltene Client-ID. |
| Geheimer Clientschlüssel | Ihr Client Secret, das Sie erhalten haben, als Sie die App-Registrierung des Identitätsanbieters erstellt haben. |
| KeyVault-URL des Clientzertifikats | Die URL des KeyVault, wo Ihr Clientzertifikat gespeichert ist. Erforderlich für Microsoft Entra ID mit Zertifikatauthentifizierung. |
| Gewährungstyp | Der OAuth2-Gewährungstyp, den Sie verwenden möchten. |
| Ist x5c-Anspruch erforderlich | Geben Sie an, ob der x5c-Anspruch in der Tokenanforderung erforderlich ist. Erforderlich für Microsoft Entra ID mit Zertifikatauthentifizierung. |
| Anmelde-URL | Die URL, unter der Benutzer zur Anmeldung weitergeleitet werden. |
| Aktualisierungsnachrichtentextvorlage | Die Vorlage für den Aktualisierungstext (refresh_token={RefreshToken}&redirect_uri={RedirectUrl}&grant_type=refresh_token&client_id={ClientId}&client_secret={ClientSecret}). |
| Vorlage für Aktualisierung der URL-Abfragezeichenfolge | Das Trennzeichen für die Aktualisierung der URL-Abfragezeichenfolge für die Token-URL ist normalerweise ein Fragezeichen (?). |
| URL-Erneuerungsvorlage | Die URL-Vorlage für die Aktualisierung, zum Beispiel https://login.microsoftonline.com/common/oauth2/v2.0/token. |
| Ressourcen-URL | Die Ressourcen-URL, für die das Token angefordert wird. |
| Bereichslistentrennzeichen | Das Trennzeichen für die Bereichsliste. Leerzeichen werden in diesem Feld nicht unterstützt.1 |
| Geltungsbereiche | Die Liste der Bereiche, die Benutzer haben sollen, nachdem sie sich angemeldet haben. Verwenden Sie Trennzeichen für Geltungsbereiche, um mehrere Geltungsbereiche zu trennen.1 Legen Sie nur die erforderlichen Geltungsbereiche fest und halten Sie sich an das Prinzip der Zugriffskontrolle nach dem Prinzip der minimalen Privilegien. |
| Dienstanbieter | Der Dienstanbieter, den Sie für die Authentifizierung verwenden möchten. Weitere Informationen finden Sie unter generische OAuth-Anbieter. |
| Mieter-ID | Ihre Microsoft Entra ID Mandanten-ID. Lesen Sie Verwenden Sie einen bestehenden Microsoft Entra ID-Mandanten, um zu erfahren, wie Sie Ihre Mandanten-ID finden. |
| Tokenkörpervorlage | Die Vorlage für den Tokenkörper. (code={Code}&grant_type=authorization_code&redirect_uri={RedirectUrl}&client_id={ClientId}&client_secret={ClientSecret}) |
| Token-Austausch-URL (erforderlich für Single Sign-On (SSO)) | Dies ist ein optionales Feld, wenn Sie Single-Sign-On konfigurieren. |
| Token-URL-Vorlage | Die URL-Vorlage für Tokens, wie von Ihrem Identitätsanbieter bereitgestellt, zum Beispiel: https://login.microsoftonline.com/common/oauth2/v2.0/token. |
| Abfragezeichenvorlage für Token-URL | Das Trennzeichen für die Abfragezeichenfolge für die Token-URL ist normalerweise ein Fragezeichen (?). |
1 Sie können Leerzeichen im Feld Scopes verwenden, wenn der Identitätsanbieter dies erfordert. Geben Sie in diesem Fall ein Komma (,) in Bereichslistentrennzeichen und Leerzeichen im Feld Bereiche ein.
Authentifizierung deaktivieren
Wählen Sie bei geöffnetem Agenten Einstellungen in der oberen Menüleiste.
Wählen Sie "Sicherheit" und dann " Authentifizierung" aus.
Wählen Sie Keine Authentifizierung aus.
Wenn ein Thema Authentifizierungsvariablen verwendet, werden sie zu unbekannten Variablen. Gehen Sie zur Seite Themen, um zu ermitteln, welche Themen Fehler aufweisen, und beheben Sie sie vor dem Veröffentlichen.
Veröffentlichen Sie den Agenten.
Wichtig
Wenn Ihr Agent Tools zum Anfordern von Benutzeranmeldeinformationen konfiguriert hat, deaktivieren Sie die Authentifizierung nicht auf Agentebene. Diese Aktion verhindert, dass diese Tools funktionieren.