Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Controlar o uso das credenciais fornecidas pelo fabricante é uma funcionalidade de governação no Microsoft Copilot Studio que permite aos administradores determinar como os fabricantes podem autenticar as ferramentas que adicionam aos agentes.
Ao configurar um agente, um fabricante pode adicionar uma ferramenta que requer autenticação a outro serviço (como um conector ou fluxo de Power Automate) usando as suas credenciais pessoais. Quando alguém usa o agente, o agente usa as credenciais do criador, não as credenciais do utilizador final, para se autenticar com serviços ligados. O uso de credenciais do criador pode levar à partilha excessiva de dados ou capacidades — por exemplo, um utilizador final poderá obter informações ou realizar ações que apenas a conta do criador tem permissão para fazer.
Ao configurar a forma como os criadores podem autenticar ferramentas, pode ajudar a evitar ações prejudiciais, porque cada utilizador final só tem acesso ao que a própria conta permite.
A caraterística Controlar opções de credenciais do criador ativa isto ao permitir-lhe controlar como um criador pode autenticar ferramentas num agente. Você escolhe se os criadores podem selecionar usar as próprias credenciais para autenticarem ligações de ferramentas, para usar credenciais de utilizador final ou ter acesso a ambas.
A imposição da utilização de credenciais de utilizador final pede que o utilizador final inicie sessão (no serviço ou conector relevante) quando necessário. Nenhuma credencial de criador armazenada é usada em runtime, o que alinha o comportamento do agente com as permissões reais do utilizador final.
Os administradores podem ativar e desativar a seleção de credenciais fornecidas pelo criador no centro de administração do Power Platform, conforme descrito neste artigo.
Atenção
Por predefinição, as credenciais do Utilizador final e Fornecidas pelo criador estão ativadas.
Introdução
Advertência
Quando configurada conforme instruído, a caraterística desativa imediatamente a capacidade do criador de selecionar as suas credenciais para autenticar ferramentas dentro do ambiente ou grupo de ambientes. Todas as ferramentas para todos os agentes nos ambientes afetados mudam instantaneamente para exigir credenciais de utilizador final em runtime.
Deve preparar os seus criadores e utilizadores para esta alteração, pois qualquer nova conversa com os agentes afetados pede ao utilizador do agente pelos detalhes de início de sessão para o serviço ligado.
Pré-requisitos
- Permissões de administrador do Power Platform (Administrador do Ambiente para um único ambiente ou Administrador do Power Platform/Administrador Global para grupos de ambientes).
Impedir a utilização de credenciais fornecidas pelo criador
Escolha se as credenciais de utilizador final ou criador (ou ambas) podem ser selecionadas pelos criadores para agentes num ambiente ou para todos os agentes em todos os ambientes num grupo de ambientes.
Gorjeta
Se o ambiente que deseja configurar fizer parte de um grupo de ambientes, tem de ser um administrador de inquilino com acesso ao grupo.
Não pode configurar esta caraterística na página de detalhes individuais para ambientes que estão num grupo, tem de usar a página de detalhes do grupo.
Aceda ao Centro de administração do Power Platform e inicie sessão com uma conta de administrador.
Na navegação lateral, selecione Gerenciar.
Selecione Ambientes ou Grupos de ambientes. Na lista que aparece, selecione o nome do ambiente ou grupo de ambientes que pretende configurar. A página de detalhes do ambiente ou grupo de ambientes é aberta.
Na página de detalhes do ambiente, selecione Definições na barra de menu superior. Expanda a secção Produto e selecione Caraterísticas.
Desça até à secção Agentes do Copilot Studio.
Em Opções de credenciais do fabricante de controle, selecione Credenciais de usuário final ou Credenciais fornecidas pelo fabricante ou ambas.
Gorjeta
Se o ambiente estiver num grupo, as opções estão indisponíveis e uma mensagem direciona-o para configurar a definição para o grupo, não para o ambiente individual.
Clique em Salvar.
A atualização poderá demorar um minuto a propagar-se. Uma vez ativos, todos os agentes existentes e novos nesse ambiente seguem esta regra, e os tipos de opções de autenticação para os criadores mudam no Copilot Studio.
Âmbito da imposição e experiência
Atenção
Impacto em agentes autónomos
Quando as credenciais fornecidas pelo criador são impedidas de serem usadas, os agentes exigem interação do utilizador em tempo real, pois cada chamada à ferramenta tem de ser autenticada com um início de sessão de utilizador em direto. Como resultado, os agentes acionados por eventos agendados ou autónomos, ou que tentam ser executados em fundo, falham devido credenciais em falta.
Todos os acionadores de agente têm de envolver um utilizador ativo.
Experiência de utilização do criador
A interface de autoria do Copilot Studio reflete automaticamente esta política. Qualquer comutador ou lista pendente para métodos de autenticação tem credenciais fornecidas pelo criador desativadas ou ocultas. O criador vê que apenas a autenticação do utilizador final (ou criador) pode ser escolhida. Esta notificação pode ser etiquetada simplesmente como "Credenciais de utilizador final" na IU. Se o criador já tinha uma ferramenta configurada com as suas credenciais, pode ser-lhe pedido que a altere antes de publicar o agente.
Experiência do utilizador final
Quando um utilizador final interage com um agente (por exemplo, no Teams ou num site) e aciona uma ação de ferramenta, o agente pede que o utilizador inicie sessão se ainda não o fez. O pedido pode ser uma ligação ou cartão de início de sessão. Depois de o utilizador iniciar sessão com a sua própria conta para o serviço necessário, o agente prossegue com a ação usando as credenciais do utilizador. Se o utilizador já estiver ligado (por exemplo, a respetiva conta do Microsoft 365 ou do Teams também estiver autorizada para o serviço necessário), o agente poderá usar essa sessão de autenticação existente. A ação é executada sob a identidade do utilizador final. Se o utilizador não tiver permissão para algo, o agente é incapaz de fazê-lo em seu nome, por design.
Fluxos do Power Automate
O controlo sobre o tipo de autenticação abrange conectores, ações incorporadas e fluxos do Power Automate incorporados igualmente. Um fluxo do Power Automate como uma ferramenta no agente também requer que cada utilizador inicie sessão em todas as ligações que o fluxo usa.
Âmbito da execução
A política é aplicada por ambiente (ou grupo de ambientes). Se um ambiente fizer parte de um grupo gerido onde a política está ativada, não poderá desativá-la individualmente para um ambiente nesse grupo — as definições do grupo de ambientes substituem quaisquer definições de ambiente.
Próximos passos
Tal como acontece com todas as caraterísticas de segurança, esta caraterística deve fazer parte da sua estratégia de defesa profunda. Por exemplo, poderia:
Use restrições de credenciais em ambientes sensíveis ou de produção onde os agentes são partilhados com outros utilizadores finais e a segurança dos dados é fundamental – por exemplo, agentes de produção que acedam aos sistemas internos da sua organização, como o Microsoft 365. A utilização da restrição de credenciais nestes ambientes garante que apenas os utilizadores autorizados (em virtude das suas próprias credenciais) podem executar operações confidenciais através do agente.
Combine a restrição de credenciais com controlos de partilha de agentes para uma segurança ainda mais restrita. Ao também impedir que os criadores partilhem livremente agentes (ou ao limitar quem pode usar determinados agentes), reduz o risco de que um criador possa, por exemplo, partilhar um agente com alguém que não deveria ter acesso. O controlo das Opções de Credenciais do Criador garantem que as credenciais não são partilhadas inadequadamente e também impedem qualquer tipo de credenciais armazenadas, incluindo chaves de API.