認証を使用すると、ユーザーはサインインして、制限されたリソースまたは情報へのアクセス権をエージェントに付与できます。 ユーザーは、Microsoft Entra ID または Google や Facebook などの任意の OAuth2 ID プロバイダーを使用してサインインできます。
Note
Microsoft Teamsでは、認証機能を提供するように Copilot Studio エージェントを構成して、ユーザーが Microsoft Entra ID または Microsoft や Facebook アカウントなどの任意の OAuth2 ID プロバイダー を使用してサインインできるようにすることができます。
トピックを編集する際に、ユーザー認証をトピックに追加 できます。
Important
認証構成の変更は、エージェントを発行した後にのみ有効になります。 エージェントに認証を変更する前に、事前に計画してください。
認証オプションを選択する
Copilot Studio では、いくつかの認証オプションがサポートされています。 ニーズに合ったオプションを選択して構成します。
エージェントの設定に移動し、セキュリティを選択します。
[ 認証] を選択します。
認証オプションを選択し、必要に応じて構成します。 次の認証オプションを使用できます:
保存を選びます。
認証なし
認証なしを選択すると、エージェントは会話中にユーザーにサインインを要求しません。 認証なしの構成の場合、エージェントがアクセスできるのは、一般に公開されている情報やリソースにのみということになります。 従来型のチャットボットの設定は、既定で認証 なし になっています。
Caution
認証なし オプションを選択すると、リンクを持っているすべてのユーザーがエージェントまたはコパイロットとチャットしたり対話したりできるようになります。
特に、組織内または特定のユーザーに対してボットまたは エージェント を その他のセキュリティおよびガバナンス制御と共に使用している場合は認証を適用することをお勧めします。
Note
このオプションは、Power Platform管理センターのデータポリシーが認証を必要とするように設定されている場合は利用できません。 詳細については、「 エージェントのデータポリシーの設定」をご覧ください。
Microsoft で認証する
Important
authenticate with Microsoft オプションを選択すると、Teams + Microsoft 365 チャネルにアクセスできます。 ネイティブ アプリとカスタム アプリ チャネルを使用することもできます。
さらに、Authenticate with Microsoft オプションは、Dynamics 365 Customer Service と統合されたエージェントでは使用できません。
この構成では、手動で構成しなくても、Teams のMicrosoft Entra ID認証が自動的に設定されます。 Teams 認証でユーザーの識別が完結するため、エージェントのスコープを拡張する必要が生じない限り、Teams の使用中にユーザーがサインインを求められることはありません。
エージェントを Teams + Microsoft 365 以外のチャネルに発行する必要があるが>エージェントの認証が必要な場合は、Authenticate を手動でを選択します。
Microsoft と認証を選択した場合、トピック作成キャンバスで次の変数を使用できます。
User.IDUser.DisplayName
これらの変数とその使用方法の詳細については、トピックにユーザー認証を追加する を参照してください。
User.AccessToken と User.IsLoggedIn の変数は、このオプションでは使用できません。 認証トークンが必要な場合は、手動認証 オプションを使用します。
手動で認証 から Microsoft と認証 に変更し、トピックに変数 User.AccessToken または User.IsLoggedIn が含まれている場合、変更後に 不明な 変数として表示されます。 エージェントを公開する前に、エラーのあるトピックを必ず修正してください。
手動で認証する
Copilot Studio では、Authenticate の手動 オプションで次の認証サービス プロバイダーがサポートされます。
- フェデレーション資格情報を使用した Microsoft Entra ID バージョン2
- 証明書を使用した Microsoft Entra ID V2
- Microsoft Entra ID V2のクライアント シークレットを使用する
- Microsoft Entra ID
- Generic OAuth 2 - OAuth2 標準 に準拠している ID プロバイダー
手動で認証するを選択した場合、トピック作成キャンバスで次の変数を使用できます。
User.IdUser.DisplayNameUser.AccessTokenUser.IsLoggedIn
これらの変数とその使用方法の詳細については、トピックにユーザー認証を追加する を参照してください。
構成を保存したら、変更が有効になるように必ずエージェントを発行してください。
Note
- 認証の変更は、エージェントが公開された後にのみ有効になります。
- Power Platform の対応する管理者コントロールを使用して、この設定を制御します。 コントロールを有効にすると、Copilot Studio内で Authenticate を手動で オプションがオンまたはオフにできなくなります。 コントロールは常にオンになり、Authenticate を手動でオプションCopilot Studio で変更することはできません。
必要なユーザー サインインとエージェントの共有
ユーザーにサインインを要求する では、ユーザーがエージェントと対話する前にサインインする必要があるかどうかを判断します。 機密情報または制限された情報にアクセスする必要があるエージェントの場合は、この設定を有効にします。
このオプションは、認証なし および Microsoft で認証する オプションでは使用できません。
Note
Power Platform 管理センターのデータ ポリシーが認証を要求するように設定されている場合、このオプションをオフにすることはできません。 詳細については、「 エージェントのデータポリシーの設定」をご覧ください。
このオプションをオフにすると、サインインを必要とするトピックが検出されるまで、エージェントはユーザーにサインインを求めません。
このオプションをオンにすると、ユーザーにサインインを要求する というシステム トピックが作成されます。 このトピックは、手動で認証 設定にのみ関連します。 ユーザーは常に Teams で認証されます。
ユーザー のサインインを要求する トピックは、認証されずにエージェントと通信するすべてのユーザーに対して自動的にトリガーされます。 ユーザーがサインインに失敗した場合、トピックは エスカレート システム トピックにリダイレクトされます。
トピックは読み取り専用で、カスタマイズすることはできません。 表示するには、作成キャンバスに移動 を選択します。
組織内のエージェントとチャットできるユーザーを制御する
エージェントの認証の種類とサインイン をユーザーに要求する 設定の組み合わせによって、組織内の誰とチャットできるかを制御するために エージェントを共有 できるかどうかが決まります。 認証設定は、コラボレーションのためのエージェントの共有には影響しません。
認証なし: エージェントへのリンクを持っている (または Web サイトで見つけることができる) ユーザーは、エージェントとチャットできます。 組織内のどのユーザーがエージェントとチャットできるかを制御することはできません。
Microsoft で認証する: エージェントは Teams チャネルでのみ機能します。 ユーザーは常にサインインしているため、ユーザーにサインインを要求する 設定がオンになっていて、オフにすることはできません。 エージェント共有を使用して、組織内の誰がエージェントとチャットできるかを制御できます。
手動で認証する:
サービス プロバイダーが Microsoft Entra ID の場合は、Require ユーザーのサインインを有効にして、エージェント共有を使用してエージェントとチャットできる組織内のユーザーを制御できます。
サービス プロバイダーが 汎用 OAuth2 の場合は、ユーザーにサインインを要求する をオンまたはオフにします。 オンにすると、サインインしたユーザーがエージェントとチャットできます。 エージェント共有を使用して組織内のどの特定のユーザーがエージェントとチャットできるかを制御することはできません。
エージェントの認証設定でエージェントとチャットできるユーザーを制御できない場合、エージェントの概要ページで共有を選択すると、誰でもエージェントとチャットできることを通知するメッセージが表示されます。
手動認証フィールド
次の表では、手動認証を構成するときに発生する可能性があるフィールドについて説明します。 表示される特定のフィールドは、サービス プロバイダーの選択によって異なります。
| フィールド名 | 説明 |
|---|---|
| 認証 URL テンプレート | ID プロバイダーによって定義されている、認証の URL テンプレート。 たとえば、https://login.microsoftonline.com/common/oauth2/v2.0/authorize のように指定します。 |
| 認証 URL のクエリ文字列テンプレート | ID プロバイダーによって提供された認証用のクエリ テンプレート。 クエリ文字列テンプレートのキーは、ID プロバイダー (?client_id={ClientId}&response_type=code&redirect_uri={RedirectUrl}&scope={Scopes}&state={State}) によって異なります。 |
| クライアントID | ID プロバイダーから取得したクライアント ID。 |
| クライアント シークレット | ID プロバイダーのアプリ登録を作成したときに取得したクライアント シークレット。 |
| クライアント証明書のKeyVault URL | クライアント証明書が格納されている KeyVault の URL。 証明書認証を使用したMicrosoft Entra IDに必要です。 |
| 許可の種類 | 使用する OAuth2 付与タイプ。 |
| x5c 要求が必須であるかどうか | トークン要求で x5c 要求が必要かどうかを指定します。 証明書認証を使用したMicrosoft Entra IDに必要です。 |
| ログイン URL | ユーザーがサインインするように指示される URL。 |
| 本文テンプレートの更新 | 更新本文のテンプレート (refresh_token={RefreshToken}&redirect_uri={RedirectUrl}&grant_type=refresh_token&client_id={ClientId}&client_secret={ClientSecret})。 |
| URL のクエリ文字列テンプレートの更新 | トークン URL の更新 URL クエリ文字列区切り記号は通常、疑問符 (?) です。 |
| URL テンプレートの更新 | 更新用のURL テンプレート; 例 https://login.microsoftonline.com/common/oauth2/v2.0/token。 |
| リソースの URL | トークンが要求されるリソース URL。 |
| スコープ リストの区切り文字 | スコープ リストの区切り文字。 このフィールドでは、空白はサポートされていません。1 |
| スコープ | ユーザーがサインインした後に所有する スコープ のリスト。 スコープ リストの区切り文字 を使用して複数のスコープを区切ります。1 必要なスコープのみを設定し、最小権限アクセス制御の原則 に従います。 |
| サービス プロバイダー | 認証に使用するサービス プロバイダー。 詳細については、OAuth 汎用プロバイダー を参照してください。 |
| テナント ID | あなたの Microsoft Entra ID テナント ID。 テナント ID の検索方法については、「既存のMicrosoft Entra ID テナントを使用するを参照してください。 |
| トークン本体のテンプレート | トークン本体のテンプレート。 (code={Code}&grant_type=authorization_code&redirect_uri={RedirectUrl}&client_id={ClientId}&client_secret={ClientSecret}) |
| トークン交換 URL (シングル サインオン (SSO) に必要) | これは、シングル サインオンを構成 する際に使用するオプションのフィールドです。 |
| トークン URL テンプレート | ID プロバイダーによって指定されたトークン用の URL テンプレート; 例 https://login.microsoftonline.com/common/oauth2/v2.0/token。 |
| トークン URL のクエリ文字列テンプレート | トークン URL のクエリ文字列区切り記号は通常、疑問符 (?) です。 |
1 ID プロバイダーが必要とする場合は、スコープ フィールドでスペースを使用できます。 その場合は、コンマ (,) を スコープ リストの区切り文字に入力し、スコープ フィールドにスペースを入力します。
認証をオフにする
エージェントを開いた状態で、上部のメニュー バーにある設定を選択します。
[ セキュリティ] を選択し、[ 認証] を選択します。
認証なし を選択します。
トピックで認証変数を使用する場合は、 不明 な変数になります。 トピック ページに移動して、エラーのあるトピックを確認し、公開する前に修正してください。
エージェントを公開する。
Important
エージェントにユーザー資格情報が必要なツールが構成されている場合は、エージェント レベルで認証をオフにしないでください。 この操作により、これらのツールが動作しなくなります。