Copilot Studio 通过 Microsoft Entra ID 支持终端用户身份验证和授权,因此您的代理用户可以使用他们的 Microsoft Entra ID 凭据进行身份验证。 您的组织管理这些凭据。
但是,在某些情况下,用户可能会遇到与条件访问策略有关的问题,从而影响他们有效使用 Copilot Studio 代理的能力。
故障特征
由于通过 Microsoft Entra ID 实施的条件访问策略,代理可能会对特定通道(如 Teams)上的最终用户反应迟钝。
代理的用户可能会在聊天窗口中看到空白页,或收到一条错误消息,指示代理不可用,并且测试聊天不会响应查询。
原因
策略执行:由于最近的安全更新提供了更强的身份验证控制,Copilot Studio 代理会获取特定客户租户的身份验证令牌。
实施这些策略后,如果存在阻止获取身份验证令牌的条件访问策略,则代理将不会发起对话或响应最终用户。
强制适用于在具有条件访问策略的租户中创建的现有代理,这些策略以前不会阻止代理响应最终用户。
缓解
可以查看阻止请求的条件访问策略,以便进行调查并采取相应措施。 有关如何解决问题或修改条件访问策略的指导,请参阅本文末尾的其他资源。
您可能还需要允许 Copilot Studio、Power Platform 或其他 Microsoft 服务使用的特定 IP 地址和 IP 范围。
您可以从 Entra 中代理的应用程序注册中获取特定 Copilot Studio 代理的条件访问日志。 您还可以通过在 Entra 的“身份”部分中手动筛选来查看所有代理的日志。
小费
根据发出请求的人员,关联的日志可能位于 Entra 中的多个登录类别之一。
检查“条件访问登录日志”页上的每个选项卡。
获取所有 Copilot Studio 代理的条件访问日志
至少以报告读者的身份登录 Microsoft Entra 管理中心。
打开侧边菜单中的标识部分。 选择监控与健康,然后选择审计日志。
选择要查询的日期范围。
在登录列表上方选择添加筛选器,然后选择应用程序。 添加后,将筛选器设置为应用程序包含:Copilot Studio。
用同样的方法添加条件访问过滤器,并将其设置为失败。 选择应用。
获取特定 Copilot Studio 代理的条件访问日志
从侧菜单、主页或在屏幕顶部的搜索栏中搜索,打开应用程序注册。
打开要审核的代理的注册。
在概述页面的基础知识部分,选择本地目录中的托管应用程序的链接。 这会将您带到该代理的条件访问日志的预筛选列表。
识别和修正策略故障
默认情况下,审核日志显示所有活动。 必要时打开活动 滤器,缩小活动范围。 有关条件访问的审计日志活动列表,请参阅 Entra 条件访问文档中的 Microsoft Entra 审计日志活动一文。
查看每个选项卡下的活动,找出触发 Copilot Studio 条件访问策略失败的活动。
选择一个条目,打开活动详情,然后转到条件访问标签。会列出触发问题的相关策略,以及因策略而采取的操作,如阻止。
确定相关策略后,就可以排除故障,确定需要采取的措施。 例如,您可以继续允许策略阻止代理交互、更改策略的范围以及修改或禁用策略。
条件访问 Microsoft Entra 文档中的以下文章详细介绍了在 Entra 中解决该问题的下一步操作: