使用 Microsoft Entra ID 設定使用者驗證
為您的副手新增驗證允許使用者登入,從而使您的副手能夠存取受限資源或資訊。
本文介紹如何將 Microsoft Entra ID 設定為您的服務提供者。 若要瞭解其他服務提供者和一般使用者驗證,請參閱在 Copilot Studio 中設定使用者驗證。
如果您擁有租用戶管理權限,則可以設定 API 權限。 否則,您需要請租用戶管理員為您完成此操作。
先決條件
在 Azure 入口網站中完成前幾個步驟,並完成 Copilot Studio 中的最後兩個步驟。
建立應用程式註冊
使用與您的副手位於相同租用戶中的管理帳戶登入 Azure 入口網站。
轉到 應用註冊。
選取新增註冊然後輸入註冊的名稱。 不要 更改現有應用註冊。
稍後使用副手的名稱會很有幫助。 例如,如果您的副手名為「Contoso 銷售説明」,您可以將應用程式註冊命名為「ContosoSalesReg」。
在“支持的帳戶類型 ”下,選擇 “任何組織租戶中的帳戶 (任何 Microsoft Entra ID 目錄 - 多租戶) 和個人 Microsoft 帳戶(例如 Skype Xbox)”。
將重新導向 URI 區段保留空白。 在後續步驟中輸入資訊。
選取註冊。
註冊完成之後,移至概觀。
複製應用程式 (用戶端) 識別碼,並在暫存檔案中將其貼上。 在後續步驟中會需要它。
新增重新導向 URL
在 Manage (管理) 下 ,選擇Authentication (身份驗證 )。
在平台設定底下,選取新增平台,然後選取 Web。
在 Redirect URIs (重定向 URI) 下 ,輸入並選擇
https://token.botframework.com/.auth/web/redirect
Configure (配置 )。此操作將帶您返回到 Platform configurations 頁面 。
在 Redirect URI for the Web platform (重定向 Web 平臺的 URI ) 下 ,選擇 Add URI (添加 URI)。
輸入
https://europe.token.botframework.com/.auth/web/redirect
,然後選擇 保存。注意
Copilot Studio 中的驗證設定窗格可能會顯示以下重新導向 URL:
https://unitedstates.token.botframework.com/.auth/web/redirect
使用該 URL 會使驗證失敗; 請改用 URI。在 Implicit grant and hybrid flows (隱式授權和混合流 ) 部分中,選擇 Access tokens(用於隱式流) 和 ID 令牌 (用於隱式流和混合流)。
選取儲存。
產生用戶端密碼
在管理下 ,選擇證書和秘密 。
在用戶端密碼區段底下,選取新增用戶端密碼。
(選用) 輸入描述。 如果保留空白,則系統會提供。
選取到期期間。 選取與您的副手生命週期相關的最短期間。
選取新增以建立密碼。
將密碼的值儲存在安全的暫存檔案中。 當您稍後設定副手驗證時,將會需要它。
提示
複製用戶端密碼的值之前,不要離開此頁面。 如果這樣做,則會對該值進行模糊處理,並且必須產生新的用戶端密碼。
設定手動驗證
在中 Copilot Studio,轉到 Copilot 的「設置 」,然後選擇 「安全性」。
選取驗證。
選取手動驗證。
將 Require users to log in (需要使用者登錄)保留 為打開狀態。
輸入以下屬性值:
服務提供者:選擇 Azure Active Directory v2。
用戶端 ID:輸入之前從 Azure 門戶複製的應用程式 (用戶端) ID。
用戶端密碼:輸入之前從 Azure 門戶生成的客戶端密碼。
範圍:Enter
profile openid
。
選取儲存完成設定。
設定 API 權限
移至 API 權限。
選取代表 <租用戶名稱> 授與管理員同意,然後選取是。 如果該按鈕不可用,您可能需要讓租戶系統管理員為您輸入該按鈕。
注意
為了避免使用者逐一對每個應用程式表示同意,全域系統管理員、應用程式系統管理員或雲端應用程式系統管理員可以將租用戶範圍的同意授與您的應用程式註冊。
選取新增權限,然後選取 Microsoft Graph。
選取委派的權限。
展開 OpenId 權限,並開啟 OpenId 和設定檔。
選取新增權限。
為您的副手定義自訂範圍
範圍 允許您確定使用者和管理員角色以及訪問許可權。 您可以為在後續步驟中建立的畫布應用註冊建立自訂範圍。
移至公開 API 並選取新增範圍。
設定下列屬性。 您可以讓其他屬性保持空白。
屬性 數值 範圍名稱 輸入對您的環境有意義的名稱,例如 Test.Read
誰可以同意? 選取管理員和使用者 管理員同意顯示名稱 輸入對您的環境有意義的名稱,例如 Test.Read
管理員同意描述 輸入 Allows the app to sign the user in.
州/省 選取已啟用 選取新增範圍。
在 Microsoft Copilot Studio 中設定驗證
在“設置” Copilot Studio下 ,選擇“安全 身份驗證>”。
選取手動驗證。
將 Require users to log in (需要使用者登錄)保留 為打開狀態。
選擇 Service provider 並提供所需的值。 請參閱 配置手動身份驗證。 Copilot Studio
選取儲存。
提示
權杖交換 URL 是用來結算所要求存取權杖的代表 (OBO) 權杖。 如需詳細資訊,請參閱使用 Microsoft Entra 識別碼設定單一登入。
注意
範圍應包括 profile openid
和以下內容,具體取決於您的使用案例:
Sites.Read.All Files.Read.All
為 SharePointExternalItem.Read.All
針對 Graph Connectionhttps://[OrgURL]/user_impersonation
對於 Prompt 節點和 Dataverse 結構化數據- 例如, Dataverse Structure Data 或 Prompt Node 應具有以下範圍:
profile openid Sites.Read.All Files.Read.All https://myorg123.com/user_impersonation
測試您的副手
發佈您的副手。
在測試副手窗格中,向副手發送訊息。
當副手回應時,選擇登入。
新的瀏覽器索引標籤會開啟,並要求您登入。
登入,然後複製顯示的驗證碼。
將程式碼貼到副手聊天中以完成登入程式。