Note
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de changer d’annuaire.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de changer d’annuaire.
L’authentification permet aux utilisateurs de se connecter, donnant ainsi à votre agent l’accès à une ressource ou à des informations restreintes. Les utilisateurs peuvent se connecter avec Microsoft Entra ID, ou avec n'importe quel fournisseur d'identité OAuth2 comme Google ou Facebook.
Remarque
Dans Microsoft Teams, vous pouvez configurer un assistant Copilot Studio pour fournir des fonctionnalités d’authentification, afin que les utilisateurs puissent se connecter avec un Microsoft Entra ID ou tout fournisseur d’identité OAuth2, tel qu’un compte Microsoft ou Facebook.
Vous pouvez ajouter l’authentification de l’utilisateur à vos rubriques lors de la modification d’une rubrique.
Important
Les modifications apportées à la configuration de l’authentification ne prennent effet qu’après la publication de votre agent. Assurez-vous de planifier à l’avance avant d’apporter des modifications de l’authentification à votre agent.
Choisir une option d’authentification
Copilot Studio prend en charge plusieurs options d’authentification. Sélectionnez et configurez l’option qui répond à vos besoins.
Accédez à Paramètres pour votre agent et sélectionnez Sécurité.
Sélectionnez Authentification.
Sélectionnez une option d’authentification et configurez-la selon vos besoins. Les options d’authentification suivantes sont disponibles :
Cliquez sur Enregistrer.
Aucune authentification
L’absence d’authentification signifie que votre agent n’exige pas que vos utilisateurs se connectent lorsqu’ils interagissent avec lui. Une configuration non authentifiée signifie que votre agent peut accéder uniquement aux informations et ressources publiques. Les chatbots classiques sont configurés par défaut pour ne pas nécessiter d’authentification.
Avertissement
La sélection de l’option Aucune authentification permet à toute personne disposant du lien de discuter et d’interagir avec votre bot ou agent.
Nous vous recommandons d’appliquer l’authentification, en particulier si vous utilisez votre bot ou agent au sein de votre organisation ou pour des utilisateurs spécifiques, ainsi que d’autres contrôles de sécurité et de gouvernance.
Note
Cette option n’est pas disponible lorsque la stratégie de données dans le Centre d’administration Power Platform est configurée pour exiger l’authentification. Pour plus d’informations, consultez Exemple de stratégie de données - Exiger l’authentification de l’utilisateur dans les assistants.
Authentifier avec Microsoft
Important
Quand l’option Authentifier avec Microsoft est sélectionnée, vous avez accès au canal Teams + Microsoft 365. Vous pouvez également utiliser des canaux d’applications natives et personnalisées.
En outre, l’option Authentifier avec Microsoft n’est pas disponible pour les agents intégrés à Dynamics 365 Customer Service.
Cette configuration configure automatiquement l’authentification Microsoft Entra ID pour Teams sans qu’aucune configuration manuelle ne soit nécessaire. Comme l’authentification Teams identifie elle-même l’utilisateur, les utilisateurs ne sont pas invités à se connecter lorsqu’ils sont dans Teams, sauf si votre agent nécessite une étendue élargie.
Si vous devez publier votre assistant sur des canaux autre que Teams + Microsoft 365 mais que vous souhaitez tout de même exiger l’authentification pour votre assistant, choisissez Authentifier manuellement.
Si vous sélectionnez Authentifier avec Microsoft, les variables suivantes sont disponibles dans le canevas de création de la rubrique :
User.IDUser.DisplayName
Pour plus d’informations sur ces variables et comment les utiliser, consultez Ajouter l’authentification de l’utilisateur aux rubriques.
Les variables User.AccessToken et User.IsLoggedIn ne sont pas disponibles avec cette option. Si vous avez besoin d’un jeton d’authentification, utilisez l’option Authentifier manuellement.
Si vous passez de Authentifier manuellement à Authentifier avec Microsoft et que vos rubriques contiennent les variables User.AccessToken ou User.IsLoggedIn, celles-ci sont affichées comme des variables Inconnues après le changement. Assurez-vous de corriger toutes les rubriques contenant des erreurs avant de publier votre agent.
Authentifier manuellement
Copilot Studio prend en charge les fournisseurs de services d’authentification suivants sous l’option Authentifier manuellement :
- Microsoft Entra ID V2 avec des informations d’identification fédérées
- Microsoft Entra ID V2 avec des certificats
- Microsoft Entra ID V2 avec secrets client
- Microsoft Entra ID
- Generic OAuth 2 : tout fournisseur d’identité conforme à la norme OAuth2
Si vous sélectionnez Authentifier manuellement, les variables suivantes sont disponibles dans le canevas de création de la rubrique :
User.IdUser.DisplayNameUser.AccessTokenUser.IsLoggedIn
Pour plus d’informations sur ces variables et comment les utiliser, consultez Ajouter l’authentification de l’utilisateur aux rubriques.
Une fois la configuration enregistrée, assurez-vous de publier votre agent pour que les modifications prennent effet.
Note
- Les modifications de l’authentification ne prennent effet qu’après la publication de l’agent.
- Contrôlez ce paramètre avec le contrôle d’administrateur correspondant dans Power Platform. Lorsque le contrôle est activé, il empêche l’activation ou la désactivation de l’option Authentifier manuellement dans Copilot Studio. Le contrôle est toujours activé et l’option Authentifier manuellement ne peut pas être modifiée dans Copilot Studio.
Connexion utilisateur requise et partage de l’agent
L’option Demander aux utilisateurs de se connecter détermine si un utilisateur doit se connecter avant de discuter avec l’assistant. Nous vous recommandons fortement d’activer ce paramètre pour les agents qui doivent accéder à des informations sensibles ou restreintes.
Cette option n’est pas disponible pour les options Aucune authentification et Authentifier avec Microsoft.
Note
Cette option ne peut pas être désactivée lorsque la stratégie de données dans le Centre d’administration Power Platform est configurée pour exiger l’authentification. Pour plus d’informations, consultez Exemple de stratégie de données - Exiger l’authentification de l’utilisateur dans les assistants.
Si vous désactivez cette option, votre agent ne demande pas aux utilisateurs de se connecter tant qu’il ne rencontre pas une rubrique qui les oblige à le faire.
Lorsque vous activez cette option, elle crée une rubrique système Demander aux utilisateurs de se connecter. Cette rubrique n’est pertinente que pour le paramètre Authentifier manuellement. Les utilisateurs sont toujours authentifiés sur Teams.
La rubrique Demander aux utilisateurs de se connecter est déclenchée automatiquement pour tout utilisateur qui parle à l’agent sans s’être authentifié. Si l’utilisateur ne parvient pas à se connecter, le sujet redirige l’utilisateur vers la rubrique système Réaffecter.
Le sujet est en lecture seule et ne peut pas être personnalisé. Pour le voir, sélectionnez Accéder au canevas de création.
Contrôler qui peut discuter avec l’agent dans l’organisation
La combinaison du type d’authentification de votre assistant et du paramètre Demander aux utilisateurs de se connecter détermine si vous pouvez partager l’assistant pour contrôler qui peut discuter avec lui dans votre organisation. Le paramètre d’authentification n’affecte pas le partage d’un agent pour la collaboration.
Aucune authentification : tout utilisateur qui a un lien avec l’assistant (ou qui peut le trouver, par exemple, sur votre site web) peut converser avec lui. Vous ne pouvez pas contrôler quels utilisateurs peuvent discuter avec l’agent dans votre organisation.
Authentifier avec Microsoft : l’assistant ne fonctionne que sur le canal Teams. Puisque l’utilisateur est toujours connecté, le paramètre Demander aux utilisateurs de se connecter est activé et ne peut pas être désactivé. Vous pouvez utiliser le partage d’agent pour contrôler qui dans votre organisation peut discuter avec l’agent.
Authentifier manuellement :
Si le fournisseur de services est Microsoft Entra ID, vous pouvez activer Demander aux utilisateurs de se connecter pour contrôler qui dans votre organisation peut discuter avec l’assistant en utilisant le partage d’assistant.
Si le fournisseur de services est OAuth2 générique, vous pouvez activer ou désactiver Demander aux utilisateurs de se connecter. Lorsque l’option est activée, un utilisateur qui se connecte peut discuter avec l’agent. Vous ne pouvez pas contrôler quels utilisateurs spécifiques de votre organisation peuvent discuter avec l’agent à l’aide du partage d’agent.
Lorsque le paramètre d’authentification de l’assistant ne vous permet pas de contrôler qui peut discuter avec lui, et que vous sélectionnez Partager sur la page d’aperçu de l’assistant, un message informe que n’importe qui peut discuter avec votre assistant.
Champs d’authentification manuelle
La table suivante décrit les champs que vous pouvez voir lorsque vous configurez l’authentification manuelle. Les champs affichés dépendent du fournisseur de service que vous avez sélectionné.
| Nom du champ | Description |
|---|---|
| Modèle d’URL d’autorisation | Modèle d’URL pour les autorisations, comme défini par votre fournisseur d’identité. Par exemple, https://login.microsoftonline.com/common/oauth2/v2.0/authorize |
| Modèle de chaîne de requête de l’URL d’autorisation | Le modèle de requête pour les autorisations, comme fourni par votre fournisseur d’identité. Les clés du modèle de chaîne de requête varient en fonction du fournisseur d’identité (?client_id={ClientId}&response_type=code&redirect_uri={RedirectUrl}&scope={Scopes}&state={State}). |
| ID Client | Votre ID client obtenu auprès du fournisseur d’identité. |
| Clé secrète client | Votre clé secrète client obtenue lorsque vous avez créé l’enregistrement de l’application auprès du fournisseur d’identité. |
| URL Key Vault de certificat client | URL du Key Vault où votre certificat client est stocké. Requis pour l’authentification Microsoft Entra ID avec certificats. |
| Type d’autorisation | Type d’autorisation OAuth2 que vous souhaitez utiliser. |
| La revendication x5c est-elle requise ? | Indiquez si la revendication x5c est requise dans la demande de jeton. Requis pour l’authentification Microsoft Entra ID avec certificats. |
| URL de connexion | L’URL vers laquelle les utilisateurs sont redirigés pour se connecter. |
| Actualiser le modèle de corps | Le modèle pour le corps d’actualisation (refresh_token={RefreshToken}&redirect_uri={RedirectUrl}&grant_type=refresh_token&client_id={ClientId}&client_secret={ClientSecret}). |
| Actualiser le modèle de chaîne de requête de l’URL d’autorisation | Le séparateur de chaîne de requête de l’URL d’actualisation pour l’URL du jeton, généralement un point d’interrogation (?). |
| Actualiser le modèle d’URL | Le modèle d’URL pour l’actualisation ; par exemple, https://login.microsoftonline.com/common/oauth2/v2.0/token. |
| URL de la ressource | L’URL de la ressource pour laquelle le jeton est demandé. |
| Délimiteur de la liste des étendues | Le caractère séparateur de la liste des étendues. Les espaces vides ne sont pas pris en charge dans ce champ.1 |
| Étendues | La liste des étendues dont les utilisateurs doivent disposer après leur connexion. Utilisez le Délimiteur de la liste des étendues pour séparer plusieurs étendues.1 Définissez uniquement les étendues nécessaires et suivez le Principe de contrôle d’accès avec privilèges minimum. |
| Fournisseur de services | Le fournisseur de services que vous souhaitez utiliser pour l’authentification. Pour plus d’informations, voir Fournisseurs génériques OAuth. |
| ID client | Votre ID client Microsoft Entra ID. Consultez Utiliser un client Microsoft Entra ID existant pour savoir comment trouver votre ID client. |
| Modèle de corps de jeton | Le modèle pour le corps du jeton. (code={Code}&grant_type=authorization_code&redirect_uri={RedirectUrl}&client_id={ClientId}&client_secret={ClientSecret}) |
| URL d’échange de jetons (obligatoire pour l’authentification unique (SSO)) | Ce champ facultatif est utilisé lors de la configuration de l’authentification unique. |
| Modèle d’URL de jeton | Le modèle d’URL pour les jetons, comme indiqué par votre fournisseur d’identité, par exemple, https://login.microsoftonline.com/common/oauth2/v2.0/token |
| Modèle de chaîne de requête de l’URL de jeton | Le séparateur de chaîne de requête pour l’URL du jeton, généralement un point d’interrogation (?). |
1 Vous pouvez utiliser des espaces dans le champ Étendues si le fournisseur d’identité l’exige. Dans ce cas, saisissez une virgule (,) dans Délimiteur de la liste des étendues, et entrez des espaces dans le champ Étendues.
Désactiver l’authentification
Avec votre agent ouvert, sélectionnez Paramètres dans la barre de menu supérieure.
Sélectionnez Sécurité, puis sélectionnez Authentification.
Sélectionnez Aucune authentification.
Si des variables d’authentification sont utilisées dans une rubrique, elles deviennent des variables de type Inconnu. Accédez à la page Rubriques pour voir quelles rubriques comportent des erreurs et corrigez-les avant la publication.
Publiez l’agent.
Important
Si votre agent a des outils configurés pour exiger les informations d’identification de l’utilisateur, ne désactivez pas l’authentification au niveau de l’agent, car cela empêcherait ces outils de fonctionner.