Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Het beheren van het gebruik van door de maker geleverde referenties is een governancefunctie in Microsoft Copilot Studio waarmee beheerders kunnen bepalen hoe makers hulpprogramma's kunnen verifiëren die ze toevoegen aan agents.
Bij het configureren van een agent kan een maker een hulpprogramma toevoegen waarvoor verificatie is vereist aan een andere service (zoals een connector of Power Automate flow) met behulp van hun persoonlijke inloggegevens. Wanneer iemand de agent gebruikt, gebruikt de agent de referenties van de maker, niet de referenties van de eindgebruiker, om te verifiëren bij de verbonden services. Het gebruik van makersreferenties kan leiden tot te veel delen van gegevens of mogelijkheden, bijvoorbeeld omdat een eindgebruiker informatie kan ophalen of acties kan uitvoeren die alleen het account van de maker mag ophalen of uitvoeren.
Door te configureren hoe makers hulpprogramma's kunnen verifiëren, kunt u helpen schadelijke acties te voorkomen. Elke eindgebruiker heeft dan alleen toegang tot wat zijn eigen account toestaat.
Met de functie Referentieopties voor de maker van het besturingselement kunt u bepalen hoe een maker hulpprogramma's in een agent kan verifiëren. U kiest of makers ervoor kunnen kiezen om hun eigen referenties te gebruiken voor het verifiëren van hulpprogrammaverbindingen, om de referenties van de eindgebruiker te gebruiken of om toegang te hebben tot beide.
Als u het gebruik van referenties van eindgebruikers afdwingt, wordt de eindgebruiker gevraagd zich aan te melden (bij de relevante service of connector) wanneer dat nodig is. Er worden geen opgeslagen referenties van de maker gebruikt tijdens runtime, waardoor het gedrag van de agent wordt aangepast aan de werkelijke machtigingen van de eindgebruiker.
Beheerders kunnen de selectie van door de maker verstrekte referenties in- en uitschakelen in het Power Platform-beheercentrum, zoals beschreven in dit artikel.
Waarschuwing
Standaard zijn zowel door eindgebruikers en door makers verstrekte referenties ingeschakeld.
Aan de slag komen
Waarschuwing
Wanneer de functie is geconfigureerd zoals aangegeven, schakelt deze onmiddellijk de mogelijkheid van de maker uit om hun referenties te selecteren voor verificatiehulpprogramma's in de omgeving of omgevingsgroep. Alle hulpprogramma's voor alle agenten in de betrokken omgevingen veranderen onmiddellijk om tijdens de runtime referenties van eindgebruikers te vereisen.
U moet uw makers en gebruikers voorbereiden op deze wijziging, omdat nieuwe gesprekken met de betrokken agenten de gebruiker vragen naar hun aanmeldingsgegevens voor de verbonden service.
Vereiste voorwaarden
- Power Platform-beheerdersmachtigingen (omgevingsbeheerder voor één omgeving of Power Platform-beheerder/globale beheerder voor omgevingsgroepen).
Het gebruik van door de maker verstrekte referenties voorkomen
Kies of eindgebruikers- of makerreferenties (of beide) kunnen worden geselecteerd door makers, voor agenten in een omgeving of voor alle agenten in alle omgevingen in een omgevingsgroep.
Aanbeveling
Als de omgeving die u wilt configureren deel uitmaakt van een omgevingsgroep, moet u een tenantbeheerder zijn met toegang tot de groep.
U kunt deze functie niet configureren op de afzonderlijke detailpagina voor omgevingen die zich in een groep bevinden. U moet de pagina met details van de groep gebruiken.
Ga naar het Power Platform-beheercentrum en meld u aan met een beheerdersaccount.
Selecteer Beheren in de zijbalk van het navigatiedeelvenster.
Selecteer omgevingen of omgevingsgroepen. Selecteer in de weergegeven lijst de naam van de omgeving of omgevingsgroep die u wilt configureren. De detailpagina voor de omgeving of de omgevingsgroep wordt geopend.
Selecteer Instellingen op de bovenste menubalk op de pagina met details van de omgeving. Vouw de sectie Product uit en selecteer Functies.
Schuif naar de sectie Copilot Studio-agents.
Selecteer onder Control Maker-referentieoptiesreferenties voor eindgebruikers of door Maker opgegeven referenties, of beide.
Aanbeveling
Als de omgeving zich in een groep bevindt, zijn de opties niet beschikbaar en wordt u door een bericht omgeleid om de instelling voor de groep te configureren, niet de afzonderlijke omgeving.
Klik op Opslaan.
Het kan even duren voordat de update is doorgegeven. Zodra ze actief zijn, voldoen alle bestaande en nieuwe agents in die omgeving aan deze regel en veranderen de typen authenticatieopties voor makers in Copilot Studio.
Bereik van afdwinging en ervaring
Waarschuwing
Impact op autonome agenten
Wanneer door de maker opgegeven referenties niet kunnen worden gebruikt, vereisen agenten een realtime gebruikersinteractie, omdat elke aanroep van het hulpprogramma moet worden geverifieerd met een live gebruikersaanmelding. Als gevolg hiervan mislukken agenten die zijn geactiveerd door geplande of autonome gebeurtenissen, of die op de achtergrond worden uitgevoerd, door ontbrekende referenties.
Alle agenttriggers moeten een actieve gebruiker omvatten.
Makerervaring
De Copilot Studio-ontwerpinterface weerspiegelt dit beleid automatisch. Voor elke wisselknop of vervolgkeuzelijst voor verificatiemethoden zijn door de maker verstrekte referenties uitgeschakeld of verborgen. De maker ziet dat alleen verificatie door eindgebruikers (of makers) kan worden gekozen. Deze melding kan worden gelabeld als 'Referenties voor eindgebruikers' in de gebruikersinterface. Als de maker eerder een hulpprogramma heeft geconfigureerd met hun referenties, wordt de maker mogelijk gevraagd deze te wijzigen voordat de agent wordt gepubliceerd.
Ervaring voor de eindgebruiker
Wanneer een eindgebruiker communiceert met een agent (bijvoorbeeld in Teams of op een website) en een actie voor een hulpprogramma activeert, vraagt de agent die gebruiker zich aan te melden als dat nog niet zo is. De prompt kan een aanmeldingskaart of koppeling zijn. Zodra de gebruiker zich heeft aangemeld met een eigen account voor de vereiste service, gaat de agent verder met de actie met behulp van de referenties van de gebruiker. Als de gebruiker al is aangemeld (bijvoorbeeld zijn of haar Microsoft 365 of Teams-account is ook geautoriseerd voor de benodigde service), kan de agent die bestaande verificatiesessie gebruiken. De actie wordt uitgevoerd onder de identiteit van de eindgebruiker. Als de gebruiker nergens voor gemachtigd is, kan de agent dit niet standaard namens de gebruiker doen.
Power Automate-stromen
De controle over het verificatietype omvat connectors, ingebouwde acties en ingesloten Power Automate-stromen. Voor een Power Automate-stroom als hulpprogramma in de agent moet elke gebruiker zich ook aanmelden voor de verbindingen die door de stroom worden gebruikt.
Bereik van afdwinging
Het beleid wordt toegepast per omgeving (of omgevingsgroep). Als een omgeving deel uitmaakt van een beheerde groep waarvoor het beleid is ingeschakeld, kunt u het niet uitschakelen voor één omgeving in die groep: omgevingsgroepsinstellingen overschrijven eventuele omgevingsinstellingen.
Volgende stappen
Net als bij alle beveiligingsfuncties moet deze functie deel uitmaken van uw diepgaande verdedigingsstrategie. U kunt bijvoorbeeld:
Gebruik referentiebeperking in gevoelige of productieomgevingen waarin agents worden gedeeld met andere eindgebruikers en gegevensbeveiliging is van cruciaal belang, bijvoorbeeld productieagents die toegang hebben tot de interne systemen van uw organisatie, zoals Microsoft 365. Het gebruik van referentiebeperking in deze omgevingen zorgt ervoor dat alleen geautoriseerde gebruikers (op grond van hun eigen referenties) gevoelige bewerkingen kunnen uitvoeren via de agent.
Combineer referentiebeperking met besturingselementen voor het delen van agenten voor een nog strakkere beveiliging. Door te voorkomen dat makers agenten vrij delen (of door te beperken wie bepaalde agenten kan gebruiken), vermindert u het risico dat een maker bijvoorbeeld een agent kan delen met iemand die geen toegang zou moeten hebben. Referentieopties voor de maker van het besturingselement zorgen ervoor dat referenties niet ongepast worden gedeeld en voorkomen ook elk type opgeslagen referenties, inclusief API-sleutels.