在 Microsoft Teams 中用 Microsoft Entra ID 設定副手的單一登入
Copilot Studio 支援對發佈到 Microsoft Teams 1:1 聊天的 Copilot 進行單點登錄(SSO),這意味著 Copilot 可以使用其 Microsoft Teams 憑據自動登錄使用者。 僅在使用 Microsoft Entra ID時支援 SSO。 其他服務提供者(如 Azure AD v1)不支援 SSO in Microsoft Teams。
重要
可以在聊天中使用 Microsoft Teams SSO,並且不需要手動身份驗證。 若要對以前發佈的 copilot 使用此方法,請將 copilot 重新配置為使用 Microsoft 進行身份驗證,然後再次將其 Microsoft Teams發佈到。 此更改可能需要幾個小時才能生效。 如果使用者正在進行對話並且更改似乎尚未生效,他們可以在聊天中鍵入“重新開始”,以強制對話使用最新版本的 Copilot 重新啟動。 這些更改現在可用於使用者和 Copilot 之間的 Teams 1:1 聊天。 它們尚不可用於群聊或頻道消息。
與 Dynamics 365 客戶服務 集成的 Copilot 不支援 SSO。
除非必要,否則請不要繼續處理以下檔。 如果要對 Copilot 使用手動身份驗證,請參閱 使用 Microsoft Entra ID 配置使用者身份驗證。
注意
如果您使用具有手動驗證選項的 Teams SSO 驗證,並且同時在自訂網站上使用副手,則必須使用應用程式清單部署 Teams 應用程式。
有關詳細資訊,請參閱下載副手的 Teams 應用程式資訊清單。
其他配置(例如“手動”旁邊的身份驗證選項)或使用一鍵式通過 Teams 部署 Copilot Studio 將不起作用。
先決條件
- 瞭解如何在 主題 中使用最終使用者身份驗證。
- 連線 並配置 Copilot Microsoft Teams。
設定應用程式註冊
在為 Teams 設定 SSO 之前,您需要使用 ID 配置使用者身份驗證 Microsoft Entra 。 此過程將創建設置 SSO 所需的應用程式註冊。
建立應用程式註冊。 請參閱使用 Microsoft Entra ID 設定使用者驗證中的說明。
新增重新導向 URL。
產生用戶端密碼。
設定手動驗證。
找出 Microsoft Teams 管道應用程式識別碼
在中 Copilot Studio,打開要為其配置 SSO 的 Copilot。
在副手的設定下,選取管道。 選取 Microsoft Teams 圖格。
Microsoft Teams 如果頻道尚未連接到您的副駕駛,請選擇 「打開 Teams」。 有關更多資訊,請參閱 連線 通道 Microsoft Teams 的copilot。
選擇 Edit details( 編輯詳細資訊),展開 More(更多),然後選擇 App ID(應用程式 ID ) 字段旁邊的 Copy(複製 )。
將 Microsoft Teams 管道應用程式識別碼新增至應用程式註冊
前往 Azure 入口網站。 開啟您在為副手設定使用者驗證時,建立的應用程式註冊的應用程式註冊側邊欄標籤。
在側邊窗格選取公開 API。 對於 應用程式識別碼 URI,請選取 設定。
輸入“api://botid-{teamsbotid}”,並將“{teamsbotid}”替換為之前找到的 Teams 頻道應用 ID 。 在此範例中, 應用程式 ID URI 將設置為「api://botid-aaa8ae75-b379-4fff-b7fc-56499f22611d」。
選取儲存。
授與管理員同意
在同意過程中,當使用者/管理員授予應用程式許可權時,應用程式有權調用 API。 若要深入了解同意,請參閱 Microsoft 身分識別平台端點中的權限和同意。
如果管理員同意選項可用,則必須授予同意:
在 Azure 入口網站的應用程式註冊刀鋒視窗中,移至 API 權限。
選取代表 <您的用戶名稱> 授與管理員同意然後選擇是。
提示
為避免用戶必須同意每個應用程式,全域 系統管理員、應用程式 系統管理員 或雲應用程式 系統管理員 可以 授予租戶範圍的同意 應用程式註冊。
新增 API 權限
在 Azure 入口網站的應用程式註冊刀鋒視窗中,移至 API 權限。
選取新增權限,並選擇 Microsoft Graph。
選取委派的權限。 此時將顯示許可權清單。
展開 OpenId許可權。
選擇 openid 和 profile。
選取新增權限。
為您的副手定義自訂範圍
在 Azure 入口網站的應用程式註冊刀鋒視窗中,移至公開 API。
選取新增範圍。
設定下列屬性:
屬性 數值 範圍名稱 輸入“Test.Read” 誰可以同意? 選取管理員和使用者 管理員同意顯示名稱 輸入“Test.Read” 管理員同意描述 輸入「允許應用程式讓用戶登錄」。 州/省 選取已啟用 注意
範圍名稱「Test.Read」是一個佔位元值,應替換為在 環境 中有意義的名稱。
選取新增範圍。
新增 Microsoft Teams 用戶端識別碼
重要
在下列步驟中,提供給 Microsoft Teams 用戶端識別碼的值應按字面意義使用,因為這些識別碼在所有的租用戶中都是相同的。
在 Azure 入口網站的應用程式註冊刀鋒視窗中,移至公開 API 並選取新增用戶端應用程式。
在 Client ID 欄位中,輸入 mobile/桌面 的用戶端 ID Microsoft Teams ,即“1fec8e78-bce4-4aaf-ab1b-5451cc387264”。 選取您先前所建立的範圍的核取方塊。
選取新增應用程式。
重複上述步驟,但對於 Client ID( 用戶端 ID),輸入 on the web 的 Microsoft Teams 用戶端 ID,即“5e3ce6c0-2b1f-4285-8d4b-75ee78787346”。
確認公開 API 頁面列出 Microsoft Teams 用戶端應用程式識別碼。
![正確列出 Microsoft Teams 用戶端識別碼的 [公開 API] 頁面螢幕擷取畫面。](media/configure-sso-teams/client-ids-added.png)
總而言之, Microsoft Teams 添加到 Expose an API 頁面的兩個 用戶端 ID 是:
- 1fec8e78-bce4-4aaf-ab1b-5451cc387264
- 5e3ce6c0-2b1f-4285-8d4b-75ee78787346
將令牌交換 URL 添加到 Copilot 的身份驗證設置
要更新 Microsoft Entra ID 身份驗證設置 Copilot Studio,必須添加令牌交換URL以允許 Microsoft Teams 和 Copilot Studio 分享資訊。
在 Azure 入口網站的應用程式註冊刀鋒視窗中,移至公開 API。
在 Scopes (範圍) 下,選擇 Copy to clipboard (複製到剪貼板 ) 圖示。
在 Copilot Studio Copilot 的設置下,選擇 “安全性”,然後選擇“身份驗證 ” 磁貼。
在權杖交換 URL (SSO 的必要項) 中,將先前複製的範圍貼上。
選取儲存。
將 SSO 新增至副手的 Microsoft Teams 管道
在Copilot Studio 的副手設定下,選取管道。
選取 Microsoft Teams 圖格。
選取編輯詳細資料,然後展開更多。
在 AAD 應用程式的用戶端識別碼中,輸入應用程式註冊中的應用程式 (用戶端) 識別碼。
若要取得此值,請開啟 Azure 入口網站。 然後在應用程式註冊刀鋒視窗中,移至概觀。 複製應用程式 (用戶端) 識別碼方塊中的值。
在資源 URI 中,輸入應用程式註冊中的應用程式識別碼 URI。
若要取得此值,請開啟 Azure 入口網站。 然後在應用程式註冊刀鋒視窗中,移至公開 API。 複製應用程式識別碼 URI 方塊中的值。
選取儲存,然後選取關閉。
再次發佈 Copilot,以便向客戶提供最新的更改。
選擇 在 Teams 中打開副駕駛,開始與您的副駕駛 Microsoft Teams 進行新對話,並驗證它是否會自動登錄。
已知問題
如果您首先使用手動身份驗證發佈了 Copilot,而沒有 Teams SSO,則 Teams 中的 Copilot 將持續提示用戶登錄。