Kontrollprodusentens påloggingsinformasjon for autentisering

Kontroll av bruken av legitimasjon som leveres av utviklere, er en styringsfunksjon i Microsoft Copilot Studio som gjør det mulig for administratorer å bestemme hvordan beslutningstakere kan godkjenne verktøy de legger til agenter.

Når du konfigurerer en agent, kan a maker legge til et verktøy som krever godkjenning til en annen tjeneste (for eksempel en kobling eller Power Automate flyt) ved hjelp av deres personlige legitimasjon. Når noen bruker agenten, bruker agenten oppretterens legitimasjon, ikke sluttbrukerens legitimasjon, til å godkjenne med tilkoblede tjenester. Bruk av oppretterlegitimasjon kan føre til overdeling av data eller funksjoner – for eksempel kan en sluttbruker hente informasjon eller utføre handlinger som bare oppretterens konto har tillatelse til å gjøre.

Ved å konfigurere hvordan beslutningstakere kan godkjenne verktøy, kan du bidra til å forhindre skadelige handlinger fordi hver sluttbruker bare har tilgang til det deres egen konto tillater.

Funksjonen alternativer for kontrolloppretterens legitimasjon muliggjør dette ved å la deg kontrollere hvordan en oppretter kan godkjenne verktøy i en agent. Du velger om beslutningstakere kan velge å bruke sin egen legitimasjon for godkjenning av verktøytilkoblinger, for å bruke sluttbrukerens legitimasjon, eller å ha tilgang til begge.

Hvis du bruker sluttbrukerlegitimasjonen, blir sluttbrukeren bedt om å logge på (til den aktuelle tjenesten eller koblingen) ved behov. Ingen lagret oppretterlegitimasjon brukes under kjøring, og justerer agentens virkemåte med sluttbrukerens faktiske tillatelser.

Administratorer kan aktivere og deaktivere valg av maker-angitt legitimasjon i administrasjonssenteret for Power Platform, som beskrevet i denne artikkelen.

Forsiktig!

Både sluttbruker - og maker-angitt legitimasjon er aktivert som standard.

Komme i gang

Advarsel!

Når den konfigureres som forklart, deaktiverer funksjonen umiddelbart oppretterens mulighet til å velge legitimasjon for godkjenning av verktøy i miljøet eller miljøgruppen. Alle verktøy for alle agenter i de berørte miljøene endres umiddelbart for å kreve sluttbrukerlegitimasjon ved kjøring.

Du bør klargjøre beslutningstakere og brukere for denne endringen, ettersom eventuelle nye samtaler med de berørte agentene ber agentbrukeren om deres påloggingsdetaljer for den tilkoblede tjenesten.

Prerequisites

• Administratortillatelser for Power Platform (miljøadministrator for ett enkelt miljø, eller Administrator for Power Platform/global administrator for miljøgrupper).

Hindre bruk av produsent-angitt legitimasjon

Velg om sluttbruker- eller oppretterlegitimasjon (eller begge deler) kan velges av beslutningstakere for agenter i et miljø, eller for alle agenter i alle miljøer i en miljøgruppe.

Tips

Hvis miljøet du vil konfigurere, er en del av en miljøgruppe, må du være leieradministrator med tilgang til gruppen.

Du kan ikke konfigurere denne funksjonen på den individuelle detaljsiden for miljøer som er i en gruppe, du må bruke gruppens detaljside.

1. Gå til administrasjonssenteret for Power Platform , og logg på med en administratorkonto.

2. Velg Administrer på siden.

3. Velg miljøer eller miljøgrupper. Velg navnet på miljøet eller miljøgruppen du vil konfigurere, i listen som vises. Detaljsiden for miljøet eller miljøgruppen åpnes.

4. Velg Innstillinger på den øverste menylinjen på detaljersiden for miljøet. Utvid produktdelen , og velg Funksjoner.

5. Bla til inndelingen Copilot Studio-agenter.

6. Velg legitimasjon for sluttbruker eller legitimasjon som er angitt av oppretteren, eller begge deler, under Alternativer for kontrolloppretterlegitimasjon.

   

   Tips

   Hvis miljøet er i en gruppe, er alternativene utilgjengelige, og en melding ber deg konfigurere innstillingen for gruppen, ikke det individuelle miljøet.

7. Klikk på Lagre.

Oppdateringen kan ta et minutt å overføre. Når de er aktive, overholder alle eksisterende og nye agenter i dette miljøet denne regelen, og typene godkjenningsalternativer for beslutningstakere endres i Copilot Studio.

Omfanget av håndhevelse og erfaring

Forsiktig!

Innvirkning på autonome agenter
Når angitt legitimasjon for oppretteren forhindres fra å bli brukt, krever agenter brukersamhandling i sanntid, fordi hvert verktøyanrop må godkjennes med en live brukerpålogging. Som et resultat, agenter utløst av planlagte eller autonome hendelser, eller som forsøker å kjøre i bakgrunnen, mislykkes på grunn av manglende legitimasjon. Alle agentutløsere må involvere en aktiv bruker.

Maker-opplevelse

Brukergrensesnittet for Copilot Studio-redigering gjenspeiler automatisk denne policyen. Alle veksleknapper eller rullegardinmenyer for godkjenningsmetoder har angitt legitimasjon for oppretteren deaktivert eller skjult. Oppretteren ser at bare sluttbrukergodkjenning (eller oppretter) kan velges. Dette varselet kan være merket ganske enkelt som «Sluttbrukerlegitimasjon» i brukergrensesnittet. Hvis oppretteren tidligere hadde et verktøy konfigurert med legitimasjonen sin, kan de bli bedt om å endre det før de publiserer agenten.

Sluttbrukeropplevelse

Når en sluttbruker samhandler med en agent (for eksempel i Teams eller på et nettsted) og utløser en verktøyhandling, ber agenten brukeren om å logge på hvis de ikke allerede har gjort det. Ledeteksten kan være et påloggingskort eller en kobling. Når brukeren logger på med sin egen konto for den nødvendige tjenesten, fortsetter agenten med handlingen ved hjelp av brukerens legitimasjon. Hvis brukeren allerede er logget på (for eksempel er Microsoft 365- eller Teams-kontoen også godkjent for den nødvendige tjenesten), kan agenten bruke den eksisterende godkjenningsøkten. Handlingen kjøres under sluttbrukerens identitet. Hvis brukeren mangler tillatelse til noe, kan ikke agenten gjøre det på deres vegne – ved utforming.

Power Automate-flyt

Kontrollen over godkjenningstypen dekker koblinger, innebygde handlinger og integrerte Power Automate prosesser likt. En Power Automate flyt som et verktøy i agenten krever også at hver bruker logger på for eventuelle tilkoblinger som flyten bruker.

Omfanget av håndhevelse

Policyen brukes per miljø (eller miljøgruppe). Hvis et miljø er en del av en administrert gruppe der policyen er aktivert, kan du ikke deaktivere den individuelt for ett miljø i denne gruppen – miljøgruppeinnstillinger overstyrer eventuelle miljøinnstillinger.

Neste trinn

Som med alle sikkerhetsfunksjoner, bør denne funksjonen være en del av den dyptgående strategien for forsvar. Du kan for eksempel:

• Bruk legitimasjonsbegrensning i sensitive miljøer eller produksjonsmiljøer der agenter deles med andre sluttbrukere, og datasikkerhet er avgjørende – for eksempel produksjonsagenter som får tilgang til organisasjonens interne systemer, for eksempel Microsoft 365. Bruk av legitimasjonsbegrensning i disse miljøene sikrer at bare autoriserte brukere (i kraft av sin egen legitimasjon) kan utføre sensitive operasjoner via agenten.

• Kombiner legitimasjonsbegrensning med agentdelingskontroller for enda tettere sikkerhet. Ved også å hindre at beslutningstakere fritt deler agenter (eller ved å begrense hvem som kan bruke bestemte agenter), reduserer du risikoen for at en skaper for eksempel kan dele en agent til noen som ikke burde ha tilgang. Legitimasjonsalternativer for kontrolloppretter sikrer at legitimasjonen ikke deles på en upassende måte, og forhindrer også alle typer lagret legitimasjon, inkludert API-nøkler.

Relatert informasjon

• Konfigurer sluttbrukergodkjenning i Copilot Studio
• Secure Copilot Studio-prosjektene
• Praktisk opplæring fra Microsoft 365s tekniske blogg: Blokker utvikleroppgitt godkjenning