Partage via


Configurer l’authentification des utilisateurs dans Copilot Studio

L’authentification permet aux utilisateurs de se connecter, donnant à votre copilote l’accès à une ressource ou à des informations restreintes. Les utilisateurs peuvent se connecter avec Microsoft Entra ID ou avec n’importe quel fournisseur d’identité OAuth2, comme Google ou Facebook.

Note

Dans Microsoft Teams, vous pouvez configurer un copilote Copilot Studio pour fournir des fonctionnalités d’authentification afin que les utilisateurs puissent se connecter avec un Microsoft Entra ID ou n’importe quel fournisseur d’identité OAuth2, comme un compte Microsoft ou Facebook.

Vous pouvez ajouter l’authentification de l’utilisateur final à votre copilote lorsque vous modifiez une rubrique.

Copilot Studio prend en charge les fournisseurs d’authentification suivants :

  • Azure Active Directory v1
  • ID Microsoft Entra
  • Tout fournisseur d’identité conforme à la norme OAuth2

Important

Les modifications apportées à la configuration de l’authentification ne prennent effet qu’après la publication de votre copilote. Assurez-vous de planifier à l’avance avant d’apporter des modifications d’authentification à votre copilote.

Choisir une option d’authentification

Copilot Studio prend en charge plusieurs options d’authentification. Choisissez-en un répondant à vos besoins.

Pour modifier les paramètres d’authentification de votre copilote, dans le menu de navigation Paramètres, accédez à l’onglet Sécurité et sélectionnez la carte Authentification.

Capture d’écran de la page Sécurité sous le menu Paramètres mettant en évidence la carte d’authentification.

Les options d’authentification suivantes sont disponibles :

  • Aucune authentification
  • Authentifier avec Microsoft
  • Authentifier manuellement

Capture d’écran du volet Authentification montrant les trois options d’authentification.

Aucune authentification

« Aucune authentification » signifie que votre copilote n’exigera pas que vos utilisateurs se connectent lorsqu’ils interagissent avec le copilote. Une configuration non authentifiée signifie que votre copilote ne peut accéder qu’aux informations et ressources publiques.

Avertissement

Sélectionner l'option Aucune authentification permettra à toute personne disposant du lien de discuter et d’interagir avec votre bot ou copilote.

Nous recommandons d’appliquer l’authentification, surtout si vous utilisez votre bot ou copilote au sein de votre organisation ou pour des utilisateurs spécifiques, à côté des autres contrôles de sécurité et de gouvernance.

Authentifier avec Microsoft

Important

Quand l’option Authentifier avec Microsoft est sélectionnée, tous les canaux sauf le canal Teams seront désactivés.

De plus, l’option Authentifier avec Microsoft n’est pas disponible si votre copilote est intégré à Dynamics 365 Customer Service.

L’authentification Teams et Power Apps est activée par défaut pour les copilotes, et ceux que vous créez dans Copilot Studio.

Cette configuration configure automatiquement l’authentification Microsoft Entra ID pour Teams sans aucune intervention manuelle. Puisque l’authentification Teams identifie elle-même l’utilisateur, les utilisateurs ne sont pas invités à se connecter lorsqu’ils sont dans Teams, sauf si votre copilote a besoin d’une portée étendue.

Seul le canal Teams est disponible si vous sélectionnez cette option. Si vous avez besoin d’autres canaux mais vous souhaitez quand même l’authentification pour votre copilote (par exemple, lorsque vous utilisez les fonctionnalités d’IA générative), choisissez Authentifier manuellement.

Si vous sélectionnez l’option Authentifier avec Microsoft, les variables suivantes sont disponibles dans le canevas de création :

  • UserID
  • UserDisplayName

Pour plus d’informations sur ces variables et comment les utiliser, consultez Ajouter l’authentification de l’utilisateur final aux rubriques.

Les variables AuthToken et IsLoggedIn ne sont pas disponibles avec cette option. Si vous avez besoin d’un jeton d’authentification, utilisez l’option Manuel.

Si vous passez de Authentifier manuellement à Authentifier avec Microsoft et que vos rubriques contiennent les variables AuthToken ou IsLoggedIn, celles-ci sont affichées comme des variables Inconnues après le changement. Assurez-vous de corriger toutes les sujets contenant des erreurs avant de publier votre copilote.

Authentifier manuellement

Vous pouvez configurer n’importe quel fournisseur d’identité compatible Microsoft Entra ID v1, Microsoft Entra ID ou OAuth2 avec cette option. Les variables suivantes sont disponibles dans le canevas de création après configuration de l’authentification manuelle :

  • UserID
  • UserDisplayName
  • AuthToken
  • IsLoggedIn

Pour plus d’informations sur ces variables et comment les utiliser, consultez Ajouter l’authentification de l’utilisateur final aux rubriques.

Une fois la configuration enregistrée, assurez-vous de publier votre copilote pour que les modifications prennent effet.

Note

  • Les modifications d’authentification ne prennent effet qu’après la publication du copilote.
  • Ce paramètre peut être contrôlé par le contrôle administrateur correspondant dans Power Platform. Lorsque le contrôle est activé, il empêche l’activation ou la désactivation du paramètre Manuel dans Copilot Studio. Le contrôle est toujours activé et le paramètre Manuel ne peut pas être modifié dans Copilot Studio.

Connexion utilisateur requise et partage du copilote

L’option Demander aux utilisateurs de se connecter détermine si un utilisateur doit se connecter avant de discuter avec le copilote. Nous vous recommandons fortement d’activer ce paramètre lorsque votre copilote a besoin d’accéder à des informations sensibles ou restreintes.

Capture d’écran du volet Authentification affichant l’option Demander à l’utilisateur de se connecter.

Cette option n’est pas disponible lorsque l’option Aucune authentification n’est choisie.

Note

Cette option n’est pas non plus configurable lorsque la stratégie DLP dans le centre d’administration Power Platform est configurée pour exiger l’authentification. Pour plus d’informations, voir Exemple de protection contre la perte de données – Exiger l’authentification de l’utilisateur final dans les copilotes.

Si vous désactivez cette option, votre copilote ne demande pas aux utilisateurs de se connecter jusqu’à ce qu’il rencontre une rubrique qui les oblige à le faire.

Lorsque vous activez cette option, elle crée une rubrique système appelée Demander aux utilisateurs de se connecter. Cette rubrique n’est pertinente que pour le paramètre Authentifier manuellement. Les utilisateurs sont toujours authentifiés sur Teams.

Le sujet Demander aux utilisateurs de se connecter est déclenché automatiquement pour tout utilisateur qui parle au copilote sans s’être authentifié. Si l’utilisateur ne parvient pas à se connecter, la rubrique redirige l’utilisateur vers la rubrique système Réaffecter.

Le sujet est en lecture seule et ne peut pas être personnalisé. Pour le voir, sélectionnez Accéder au canevas de création.

Contrôler qui peut discuter avec le copilote dans l’organisation

La combinaison de l’option d’authentification et de Demander aux utilisateurs de se connecter de votre copilote détermine si vous pouvez partager le copilote pour contrôler qui peut discuter ou non avec votre bot dans votre organisation. Le paramètre d’authentification n’affecte pas le partage d’un copilote pour la collaboration.

  • Pas d’authentification : tout utilisateur qui a un lien avec le copilote (ou qui peut le trouver, par exemple, sur votre site web) peut discuter avec lui. Vous ne pouvez pas contrôler quels utilisateurs peuvent discuter avec le copilote dans votre organisation.

  • Authentifier avec Microsoft : le copilote ne fonctionne que sur le canal Teams. Puisque l’utilisateur est toujours connecté, le paramètre Demander aux utilisateurs de se connecter est activé et ne peut pas être désactivé. Vous pouvez utiliser le partage de copilote pour contrôler qui dans votre organisation peut discuter avec le copilote.

  • Authentifier manuellement :

    • Si le fournisseur de services est soit Azure Active Directory ou Microsoft Entra ID, vous pouvez activer Demander aux utilisateurs de se connecter pour contrôler qui dans votre organisation peut discuter avec le copilote en utilisant le partage de copilote.

    • Si le fournisseur de services est OAuth2 générique, vous pouvez activer ou désactiver Demander aux utilisateurs de se connecter. Lorsque cette option est activée, un utilisateur qui se connecte peut discuter avec le copilote. Vous ne pouvez pas contrôler quels utilisateurs spécifiques peuvent discuter avec le copilote à l’aide du partage de copilote dans votre organisation.

Lorsque le paramètre d’authentification d’un copilote ne peut pas contrôler qui peut discuter avec lui, si vous sélectionnez Partager sur la page de présentation du copilote, un message informe que n’importe qui peut discuter avec votre copilote.

Capture d’écran d’un message indiquant que tout le monde dans l’organisation peut discuter avec le copilote en raison de son paramètre d’authentification

Champs d’authentification manuelle

Voici tous les champs que vous pouvez voir lorsque vous configurez l’authentification manuelle. Les champs que vous voyez dépendent de votre choix pour le fournisseur de services.

Nom du champ Description
Modèle d’URL d’autorisation Modèle d’URL pour les autorisations, comme défini par votre fournisseur d’identité. Par exemple, https://login.microsoftonline.com/common/oauth2/v2.0/authorize
Modèle de chaîne de requête de l’URL d’autorisation Le modèle de requête pour les autorisations, comme fourni par votre fournisseur d’identité. Les clés du modèle de chaîne de requête varient en fonction du fournisseur d’identité (?client_id={ClientId}&response_type=code&redirect_uri={RedirectUrl}&scope={Scopes}&state={State}).
ID Client Votre ID client obtenu auprès du fournisseur d’identité.
Client secret Votre clé secrète client obtenue lorsque vous avez créé l’enregistrement de l’application auprès du fournisseur d’identité.
Actualiser le modèle de corps Le modèle pour le corps d’actualisation (refresh_token={RefreshToken}&redirect_uri={RedirectUrl}&grant_type=refresh_token&client_id={ClientId}&client_secret={ClientSecret}).
Actualiser le modèle de chaîne de requête de l’URL d’autorisation Le séparateur de chaîne de requête de l’URL d’actualisation pour l’URL du jeton, généralement un point d’interrogation (?).
Actualiser le modèle d’URL Le modèle d’URL pour l’actualisation ; par exemple, https://login.microsoftonline.com/common/oauth2/v2.0/token.
Délimiteur de la liste des étendues Le caractère séparateur de la liste des étendues. Les espaces vides ne sont pas pris en charge dans ce champ.1
Étendues La liste des étendues que vous souhaitez que les utilisateurs aient après leur connexion. Utilisez le Délimiteur de la liste des étendues pour séparer plusieurs étendues.1 Définissez uniquement les étendues nécessaires et suivez le Principe de contrôle d’accès avec privilèges minimum.
Fournisseur de services Le fournisseur de services que vous souhaitez utiliser pour l’authentification. Pour plus d’informations, voir Fournisseurs génériques OAuth.
ID client Votre ID client Microsoft Entra ID. Consultez Utiliser un client Microsoft Entra ID existant pour savoir comment trouver votre ID client.
Modèle de corps de jeton Le modèle pour le corps du jeton. (code={Code}&grant_type=authorization_code&redirect_uri={RedirectUrl}&client_id={ClientId}&client_secret={ClientSecret})
URL d’échange de jetons (requise pour SSO) Il s’agit d’un champ facultatif utilisé lors de la configuration de l’authentification unique.
Modèle d’URL de jeton Le modèle d’URL pour les jetons, comme indiqué par votre fournisseur d’identité, par exemple, https://login.microsoftonline.com/common/oauth2/v2.0/token
Modèle de chaîne de requête de l’URL de jeton Le séparateur de chaîne de requête pour l’URL du jeton, généralement un point d’interrogation (?).

1 Vous pouvez utiliser des espaces dans le champ Étendues si le fournisseur d’identité l’exige. Dans ce cas, saisissez une virgule (,) dans Délimiteur de la liste des étendues, et entrez des espaces dans le champ Étendues.

Supprimer la configuration de l’authentification

  1. Dans le menu de navigation, sous Paramètres, sélectionnez Sécurité. Ensuite, sélectionnez la carte Authentification.
  2. Sélectionnez Aucune authentification.
  3. Publier le copilote.

Si des variables d’authentification sont utilisées dans un sujet, elles deviennent des variables de type Inconnu. Accédez à la page Sujets pour voir quelles sujets comportent des erreurs et corrigez-les avant la publication.