Gebruikersverificatie configureren in Copilot Studio
Met verificatie kunnen gebruikers aanmelden, waardoor uw copilot toegang krijgt tot een beperkte resource of informatie. Gebruikers kunnen zich aanmelden met Microsoft Entra ID of met een OAuth2-id-provider, zoals Google of Facebook.
Opmerking
U kunt in Microsoft Teams een Copilot Studio-copilot configureren om verificatiemogelijkheden te bieden, zodat gebruikers zich kunnen aanmelden met een Microsoft Entra ID of OAuth2-id-provider, zoals een Microsoft- of Facebook-account.
U kunt eindgebruikersverificatie toevoegen aan onderwerpen wanneer u een onderwerp bewerkt.
Belangrijk
Wijzigingen in de verificatieconfiguratie worden pas van kracht nadat u uw copilot publiceert. Zorg ervoor dat u vooruit plant voordat u verificatiewijzigingen aanbrengt in uw copilot.
Een verificatieoptie kiezen
Copilot Studio ondersteunt verschillende verificatieopties. Kies de optie die aan uw behoeften voldoet.
Ga naar instellingen voor uw copiloot en selecteer Beveiliging.
Selecteer Verificatie.
De volgende verificatieopties zijn beschikbaar:
Selecteer Opslaan.
Geen verificatie
Geen verificatie betekent dat uw copilot niet vereist dat uw gebruikers zich aanmelden wanneer ze communiceren met de copilot. Een niet-geverifieerde configuratie betekent dat uw copilot alleen toegang heeft tot openbare informatie en resources. Klassieke chatbots zijn standaard zo geconfigureerd dat ze geen authenticatie vereisen.
Let op
Als u de optie Geen authenticatie selecteert, kan iedereen die de koppelen heeft, chatten en communiceren met uw bot of copiloot.
Wij raden u aan om verificatie toe te passen, vooral als u uw bot of copilot binnen uw organisatie of voor specifieke gebruikers gebruikt samen met andere beveiligings- en governancecontroles.
Verifiëren met Microsoft
Belangrijk
Wanneer de optie Authenticeren met Microsoft is geselecteerd, worden alle kanalen behalve het Teams-kanaal uitgeschakeld.
Bovendien is de optie Authenticeren met Microsoft niet beschikbaar voor copiloten die zijn geïntegreerd met Dynamics 365 klantenservice.
Met deze configuratie wordt automatisch Microsoft Entra ID-verificatie ingesteld voor Teams zonder dat u handmatig hoeft te configureren. Omdat de Teams-authenticatie de gebruiker zelf identificeert, worden gebruikers niet gevraagd om in te loggen terwijl ze zich in Teams bevinden, tenzij uw copiloot een uitgebreid bereik nodig heeft.
Alleen het Teams-kanaal is beschikbaar als u deze optie selecteert. Als u uw copiloot naar andere kanalen wilt publiceren, maar toch authenticatie voor uw copiloot wenst, kiest u Handmatig authenticeren.
Als u Authenticeren met Microsoft selecteert, zijn de volgende variabelen beschikbaar in het auteurscanvas:
User.IDUser.DisplayName
Zie Eindgebruikersverificatie aan onderwerpen toevoegen voor meer informatie over deze variabelen en hoe u ze kunt gebruiken.
User.AccessToken en User.IsLoggedIn variabelen zijn niet beschikbaar bij deze optie. Als u een authenticatietoken nodig hebt, gebruikt u de optie Handmatig authenticeren .
Als u overschakelt van Handmatig verifiëren naar Verifiëren met Microsoft en uw onderwerpen de variabelen User.AccessToken of User.IsLoggedIn bevatten, worden deze na de wijziging weergegeven als Onbekende variabelen. Zorg ervoor dat u eventuele fouten in uw onderwerpen corrigeert voordat u uw copilot publiceert.
Handmatig verifiëren
Copilot Studio ondersteunt de volgende authenticatieproviders onder de optie Handmatig authenticeren :
- Azure Active Directory
- Azure Active Directory v2
- Azure Active Directory v2 met certificaten
- Generiek OAuth 2 - Elke identiteitsprovider die voldoet aan de OAuth2-standaard
De volgende variabelen zijn beschikbaar op het ontwerpcanvas na configuratie van handmatige verificatie:
User.IdUser.DisplayNameUser.AccessTokenUser.IsLoggedIn
Zie Eindgebruikersverificatie aan onderwerpen toevoegen voor meer informatie over deze variabelen en hoe u ze kunt gebruiken.
Nadat de configuratie is opgeslagen, moet u uw copilot publiceren, zodat de wijzigingen van kracht worden.
Opmerking
- Verificatiewijzigingen worden pas van kracht nadat de copilot is gepubliceerd.
- Deze instelling kan worden beheerd via de overeenkomstige beheerdersoptie in Power Platform. Wanneer het besturingselement is ingeschakeld, wordt voorkomen dat de optie Handmatig verifiëren wordt in- of uitgeschakeld binnen Copilot Studio. De besturing is altijd ingeschakeld en de optie Handmatig verifiëren kan niet worden gewijzigd in Copilot Studio.
Vereiste gebruikersaanmelding en delen van copilots
Vereisen dat gebruikers inloggen bepaalt of een gebruiker zich moet aanmelden voordat hij met de copiloot kan praten. Wij raden u ten zeerste aan deze instelling in te schakelen voor copiloten die toegang moeten hebben tot gevoelige of beperkte informatie.
Deze optie is niet beschikbaar voor de opties Geen authenticatie en Authenticeren met Microsoft .
Notitie
Deze optie kan ook niet worden geconfigureerd als het DLP-beleid in het Power Platform-beheercentrum zo is geconfigureerd dat verificatie vereist is. Ga voor meer informatie naar Voorbeeld van preventie van gegevensverlies: vereist verificatie van eindgebruikers in copilots.
Als u deze optie uitschakelt, vraagt uw copilot gebruikers niet om zich aan te melden, totdat deze een onderwerp tegenkomt dat dit vereist.
Wanneer u deze optie inschakelt, wordt een systeemonderwerp gemaakt met de naam Vereisen dat gebruikers zich moeten aanmelden. Dit onderwerp is alleen relevant voor de instelling Handmatig verifiëren. Gebruikers worden altijd geverifieerd in Teams.
Het onderwerp Vereisen dat gebruikers zich aanmelden wordt automatisch geactiveerd voor elke gebruiker die met de copilot praat zonder te zijn geverifieerd. Als de gebruiker zich niet aanmeldt, wordt het onderwerp omgeleid naar het syteemonderwerp Escaleren.
Het onderwerp is alleen-lezen en kan niet worden aangepast. Om het te zien, selecteert u Ga naar het ontwerpcanvas.
Bepalen wie kan chatten met de copilot in de organisatie
Met de combinatie van de verificatie-instelling van de copilot en Vereisen dat gebruikers zich aanmelden bepaalt u of u de copilot kunt delen om te bepalen wie in uw organisatie met de bot mag chatten. De verificatie-instelling heeft geen invloed op het delen van een copilot voor samenwerking.
Geen authenticatie: Elke gebruiker die een koppelen voor de copiloot heeft (of deze kan vinden, bijvoorbeeld op uw website) kan met hem chatten. U kunt niet bepalen welke gebruikers in uw organisatie mogen chatten met de copilot.
Verifiëren met Microsoft: De copiloot werkt alleen op het Teams-kanaal. Aangezien de gebruiker altijd aangemeld is, is de instelling Vereisen dat gebruikers zich aanmelden ingeschakeld en kan niet worden uitgeschakeld. U kunt copilots delen om te bepalen wie in uw organisatie met de copilot mag chatten.
Handmatig verifiëren:
Als de serviceprovider Azure Active Directory of Microsoft Entra ID is, kunt Vereisen dat gebruikers zich aanmelden inschakelen om te bepalen wie in uw organisatie met de copilot mag chatten via copilot delen.
Als de serviceprovider Generieke OAuth2 is, kunt u Vereisen dat gebruikers zich aanmelden in- of uitschakelen. Indien ingeschakeld, kan een gebruiker die zich aanmeldt, chatten met de copilot. U kunt niet bepalen welke specifieke gebruikers in uw organisatie kunnen chatten met de copilot via copilot delen.
Wanneer de verificatie-instelling van een copilot niet kan bepalen wie met de bot mag chatten en als u Delen selecteert op de overzichtspagina van de copilot, krijgt u een bericht om aan te geven dat iedereen met uw copilot mag chatten.
Velden voor handmatige verificatie
Hieronder volgen alle velden die u kunt zien wanneer u handmatige verificatie configureert. Welke velden u ziet, hangt af van uw keuze voor serviceprovider.
| Veldnaam | Omschrijving |
|---|---|
| Sjabloon voor autorisatie-URL | De URL-sjabloon voor autorisatie, zoals gedefinieerd door uw identiteitsprovider. Bijvoorbeeld https://login.microsoftonline.com/common/oauth2/v2.0/authorize |
| Sjabloon voor querytekenreeks voor autorisatie-URL | De querysjabloon voor autorisatie, zoals verstrekt door uw id-provider. Sleutels in de querytekenreekssjabloon variëren, afhankelijk van de identiteitsprovider (?client_id={ClientId}&response_type=code&redirect_uri={RedirectUrl}&scope={Scopes}&state={State}). |
| Client ID | De client-id die u van de id-provider hebt gekregen. |
| Client secret | Uw clientgeheim, verkregen toen u de app-registratie van de id-provider maakte. |
| Sjabloon voor vernieuwen van hoofdtekst | De sjabloon voor het vernieuwen van hoofdtekst (refresh_token={RefreshToken}&redirect_uri={RedirectUrl}&grant_type=refresh_token&client_id={ClientId}&client_secret={ClientSecret}). |
| Sjabloon voor querytekenreeks voor vernieuwen van URL | Het scheidingsteken voor de queryreeks voor de vernieuwings-URL voor de token-URL, meestal een vraagteken (?). |
| Sjabloon voor vernieuwen van URL | De URL-sjabloon voor vernieuwen; bijvoorbeeld https://login.microsoftonline.com/common/oauth2/v2.0/token. |
| Scheidingsteken voor bereiklijst | Het scheidingsteken voor de lijst met bereiken. Lege ruimten worden niet ondersteund in dit veld.1 |
| Bereiken | De lijst van bereiken die u wilt dat gebruikers hebben nadat ze zijn aangemeld. Gebruik het scheidingsteken voor bereiklijst om meerdere bereiken te scheiden.1 Stel alleen noodzakelijke bereiken in en volg het principe van toegangscontrole met minimale bevoegdheden. |
| Serviceprovider | De serviceprovider die u wilt gebruiken voor verificatie. Voor meer informatie, zie OAuth algemene aanbieders. |
| Tenant-id | Uw Microsoft Entra ID-tenant-id. Zie Een bestaande Microsoft Entra ID-tenant gebruiken voor meer informatie over het vinden van uw tenant-id. |
| Sjabloon voor token hoofdtekst | De sjabloon voor de hoofdtekst van de token. (code={Code}&grant_type=authorization_code&redirect_uri={RedirectUrl}&client_id={ClientId}&client_secret={ClientSecret}) |
| URL voor uitwisseling van tokens (vereist voor SSO) | Dit optionele veld wordt gebruikt wanneer u single sign-on configureert. |
| Sjabloon voor URL van token | De URL-sjabloon voor tokens, zoals verstrekt door uw id-provider; bijvoorbeeld https://login.microsoftonline.com/common/oauth2/v2.0/token. |
| Sjabloon voor querytekenreeks voor URL van token | Het scheidingsteken voor de queryreeks voor de token-URL, meestal een vraagteken (?). |
1 U kunt spaties gebruiken in het veld Scopes als de identiteitsprovider dit vereist. Typ in dat geval een komma (,) bij Scheidingsteken voor bereiklijst en voer spaties in het veld Bereiken in.
Authenticatie uitschakelen
Terwijl uw copilot geopend is, selecteert u Instellingen op de bovenste menubalk.
Selecteer Beveiliging en selecteer vervolgens Authenticatie.
Selecteer Geen verificatie.
Als authenticatievariabelen worden gebruikt in een onderwerp, worden ze onbekende variabelen. Ga naar de pagina Onderwerpen om te zien welke onderwerpen fouten bevatten en los deze op voordat u ze publiceert.
De copilot publiceren.
Belangrijk
Als uw copiloot acties heeft geconfigureerd die gebruikmaken van eindgebruikersreferenties , schakel authenticatie dan niet uit op copilootniveau. Dit zou namelijk verhinderen dat deze acties werken. ...