在 Copilot Studio 中設定使用者驗證
驗證可讓使用者登入,讓您的副手存取受限的資源或資訊。 使用者可以使用 Microsoft Entra ID 登入,或使用任何 OAuth2 的識別提供者 (例如 Google 或 Facebook) 登入。
注意
在 Microsoft Teams 中,您可以設定 Copilot Studio 副手來提供驗證功能,讓使用者可以使用 Microsoft Entra 或任何 OAuth2 識別提供者 (例如 Microsoft 帳戶或 Facebook) 登入。
您可以在編輯 主題 時向主題 添加最終使用者身份驗證。
重要
對驗證設定所做的變更只在發佈副手之後生效。 在您對副手進行驗證變更之前,請務必先進行規劃。
選擇驗證選項
Copilot Studio 支援幾種驗證選項。 選擇符合您需求的選項。
轉到 Copilot 的 「設置 」,然後選擇 「安全性」。
選取驗證。
下列是可用的驗證選項:
選取儲存。
無驗證
不進行驗證代表您的副手不會在使用者與副手互動時要求其登入。 未經身份驗證的設定代表您的副手只能存取公共資訊和資源。 默認情況下 ,經典聊天機器人配置為不需要 身份驗證。
注意
選擇 No authentication(無身份驗證 ) 選項允許任何擁有 連結 的人與您的 機器人 或 Copilot 聊天和互動。
我們建議您套用身分驗證,特別是當您在組織內或針對特定使用者使用機器人或副手,再加上其他安全性和治理控制項時。
使用 Microsoft 進行驗證
重要
選擇 Authenticate with Microsoft 選項後,除 Teams 管道之外的所有管道都將被禁用。
此外,“ 使用 Microsoft 進行身份驗證”選項不適用於與 Dynamics 365 客戶服務 集成的 Copilot。
此設定會自動設定對 Teams 的 Microsoft Entra識別碼驗證,不需要任何手動設定。 由於 Teams 身份驗證本身會識別使用者,因此當使用者在 Teams 中時,系統不會提示他們登錄,除非您的 Copilot 需要擴展範圍。
如果選取此選項,則只有 Teams 管道可以可用。 如果您需要將 Copilot 發佈到其他通道,但仍希望對 Copilot 進行身份驗證,請選擇 Authenticate manually ( 手動身份驗證)。
如果您選擇 Authenticate with Microsoft,則創作區域中將提供以下變數:
User.IDUser.DisplayName
如需這些變數以及如何使用它們的詳細資訊,請參閱將終端使用者驗證新增至主題。
User.AccessToken 和 User.IsLoggedIn variables 不適用於此選項。 如果您需要身份驗證令牌,請使用 Authenticate manually (手動 身份驗證) 選項。
如果您從 Authenticate manually (手動 驗證) 更改為 Authenticate with Microsoft(使用進行身份驗證),並且您的主題包含變數 User.AccessToken ,或者 User.IsLoggedIn,它們在更改后顯示為 Unknown variables (未知 變數)。 請務必在發佈副手之前,先更正發生錯誤的任何主題。
手動驗證
Copilot Studio 在 Authenticate manually (手動 身份驗證) 選項下 支援以下身份驗證提供程式:
- Azure Active Directory
- Azure Active Directory v2
- Azure Active Directory 帶證書的 v2
- 通用 OAuth 2 - 任何符合 OAuth2 標準的身份供應商
設定手動驗證後,則可在製作畫布中使用下列變數:
User.IdUser.DisplayNameUser.AccessTokenUser.IsLoggedIn
如需這些變數以及如何使用它們的詳細資訊,請參閱將終端使用者驗證新增至主題。
儲存設定後,請務必發佈您的副手,讓變更生效。
注意
- 驗證變更只有在發佈副手後才會生效。
- 此設定可以透過 Power Platform 中相應的管理員控制項進行控制。 啟用此控件後,它會阻止 Authenticate manually 選項被啟用或禁用 Copilot Studio。 該控件始終處於啟用狀態,並且 無法修改 Authenticate manually (手動 Copilot Studio身份驗證) 選項。
要求使用者登入和副手共用
要求使用者登錄 確定使用者是否需要在與 Copilot 交談之前登錄。 我們強烈建議您為需要訪問敏感或受限資訊的 Copilot 啟用此設置。
此選項不適用於 No authentication (無身份驗證 ) 和 Authenticate with Microsoft (使用進行身份驗證) 選項。
注意
當 Power Platform 系統管理中心的 DLP 原則設定為需要驗證時,此選項也無法設定。 如需更多資訊,請參閱資料外洩防護範例 - 要求副手進行終端使用者驗證。
如果關閉此選項,則您的副手就不會要求使用者登入,直到遇到需要他們登入的主題。
當您打開此選項時,會建立一個名為要求使用者登入的系統主題。 此主題僅與手動驗證設定相關。 使用者一律在 Teams 上進行驗證。
對於任何未經驗證與副手對話的使用者,都會自動觸發需要使用者登入主題。 如果使用者無法登入,主題會重新導向至呈報系統主題。
主題是唯讀的,因此無法自訂。 若要查看它,請選取移至製作畫布。
控制哪些人可以與組織中的副手聊天
您的副手驗證和要求使用者登入設定組合會判斷您是否可以共用副手,以控制組織中的哪些人可以和副手聊天。 驗證設定不會影響進行共同作業的共用副手。
無身份驗證:任何對 copilot 有 連結(或可以找到它,例如,在您的網站上)的使用者都可以與它聊天。 您無法控制組織中的哪些使用者可以與副手聊天。
使用 Microsoft 進行身份驗證:副駕駛僅在 Teams 通道 上工作。 因為使用者會登入,所以需要使用者登入設定會被啟用且無法關閉。 您可以透過副手共用控制組織中的哪些人能與副手聊天。
手動驗證:
如果服務提供者為 Azure Active Directory 或 Microsoft Entra ID,您可以打開要求使用者登入來控制組織中的哪些人可以使用副手共用與副手聊天。
如果服務提供者是一般 OAuth2,您可以打開或關閉要求使用者登入。 打開後,登入的使用者可以與副手聊天。 您無法控制組織中的哪些特定使用者可以使用副手共用與副手聊天。
當副手的驗證設定無法控制可以與副手聊天的人員時,如果您在副手概觀頁面上選取共用,則會有訊息通知您任何人都可以與副手聊天。
手動驗證欄位
下列是設定手動驗證時,可能會看到的所有欄位。 您能看到的欄位將視您的服務提供者選擇而定。
| 欄位名稱 | 描述 |
|---|---|
| 授權 URL 範本 | 識別提供者所定義之授權的 URL 範本。 例如,https://login.microsoftonline.com/common/oauth2/v2.0/authorize |
| 授權 URL 查詢字串範本 | 授權的查詢範本,由您的識別提供者所提供。 查詢字串範本中的鍵會視識別提供者而不同 (?client_id={ClientId}&response_type=code&redirect_uri={RedirectUrl}&scope={Scopes}&state={State})。 |
| Client ID | 從識別提供者取得的用戶端識別碼。 |
| Client secret | 您的用戶端密碼會在建立識別提供者應用程式註冊時取得。 |
| 重新整理本文範本 | 重新整理本文的範本 (refresh_token={RefreshToken}&redirect_uri={RedirectUrl}&grant_type=refresh_token&client_id={ClientId}&client_secret={ClientSecret})。 |
| 重新整理 URL 查詢字串範本 | 權杖 URL 的重新整理 URL 查詢字串分隔符號,通常是問號 (?)。 |
| 重新整理 URL 範本 | 要進行重新整理的 URL 範本; 例如,https://login.microsoftonline.com/common/oauth2/v2.0/token。 |
| 範圍清單分隔符號 | 範圍清單的分隔符號字元。 此欄位不支援空格。1 |
| 範圍 | 您希望使用者在登入後擁有的範圍清單。 使用範圍清單分隔符號來分隔多個範圍。1僅設定必要的範圍,並遵循最小權限存取控制原則。 |
| 服務提供者 | 您要用來進行驗證的服務提供者。 有關更多資訊,請參閱 OAuth 通用提供程式。 |
| 租用戶識別碼 | 您的 Microsoft Entra ID 租用戶識別碼。 請參閱使用現有 Microsoft Entra ID 租用戶來學習如何尋找您的租用戶識別碼。 |
| 權杖本文範本 | 權杖本文的範本。 (code={Code}&grant_type=authorization_code&redirect_uri={RedirectUrl}&client_id={ClientId}&client_secret={ClientSecret}) |
| 權杖交換 URL (SSO 的必要項目) | 此可選取欄位在設定 單點登錄時使用。 |
| 權杖 URL 範本 | 權杖的 URL 範本,由您的識別提供者所提供; 例如,https://login.microsoftonline.com/common/oauth2/v2.0/token。 |
| 權杖 URL 查詢字串範本 | 權杖 URL 的查詢字串分隔符號,通常是問號 (?)。 |
1 如果身份供應商需要,您可以在 Scopes (範圍) 欄位中使用空白 。 在這種情況下,請在範圍清單分隔符號中輸入逗號 (,),並在範圍欄位中輸入空格。
關閉身份驗證
打開副手後,請選取頂端功能列上的設定。
選擇 「安全性」,然後選擇 「身份驗證」。
選取 無驗證。
如果在 主題 中使用了身份驗證變數,則它們將變為 Unknown 變數。 轉到 Topics(主題 )頁面以查看哪些主題存在錯誤並在發佈之前修復它們。
發佈副手。
重要
如果您的 Copilot 將 操作 配置為 使用最終用戶憑證,請不要在 Copilot 級別關閉身份驗證,因為這會阻止這些操作工作。