Configurer l’authentification des utilisateurs dans Copilot Studio

L’authentification permet aux utilisateurs de se connecter, donnant à votre copilote l’accès à une ressource ou à des informations restreintes. Les utilisateurs peuvent se connecter avec Microsoft Entra ID ou avec n’importe quel fournisseur d’identité OAuth2, comme Google ou Facebook.

Note

Dans Microsoft Teams, vous pouvez configurer un copilote Copilot Studio pour fournir des fonctionnalités d’authentification afin que les utilisateurs puissent se connecter avec un Microsoft Entra ID ou n’importe quel fournisseur d’identité OAuth2, comme un compte Microsoft ou Facebook.

Vous pouvez ajouter l’authentification de l’utilisateur final aux sujets lorsque vous modifiez un rubrique.

Important

Les modifications apportées à la configuration de l’authentification ne prennent effet qu’après la publication de votre copilote. Assurez-vous de planifier à l’avance avant d’apporter des modifications d’authentification à votre copilote.

Choisir une option d’authentification

Copilot Studio prend en charge plusieurs options d’authentification. Choisissez-en un répondant à vos besoins.

  1. Accédez à Paramètres de votre copilote et à Sélectionner Sécurité.

  2. Sélectionnez Authentification.

    Les options d’authentification suivantes sont disponibles :

  3. Sélectionnez Enregistrer.

Aucune authentification

« Aucune authentification » signifie que votre copilote n’exigera pas que vos utilisateurs se connectent lorsqu’ils interagissent avec le copilote. Une configuration non authentifiée signifie que votre copilote ne peut accéder qu’aux informations et ressources publiques. Les chatbots classiques sont configurés par défaut pour ne pas nécessiter d’authentification.

Avertissement

La sélection de l’option Aucune authentification permet à toute personne disposant du lien de discuter et d’interagir avec votre bot ou copilote.

Nous recommandons d’appliquer l’authentification, surtout si vous utilisez votre bot ou copilote au sein de votre organisation ou pour des utilisateurs spécifiques, à côté des autres contrôles de sécurité et de gouvernance.

Authentifier avec Microsoft

Important

Lorsque l’option S’authentifier avec Microsoft est sélectionnée, tous les canaux, à l’exception du canal Teams, sont désactivés.

De plus, l’option S’authentifier avec Microsoft n’est pas disponible pour les copilotes intégrés à Dynamics 365 service clientèle.

Cette configuration configure automatiquement l’authentification Microsoft Entra ID pour Teams sans aucune intervention manuelle. Étant donné que l’authentification Teams elle-même identifie l’utilisateur, les utilisateurs ne sont pas invités à se connecter lorsqu’ils sont dans Teams, à moins que votre copilote n’exige une portée étendue.

Seul le canal Teams est disponible si vous sélectionnez cette option. Si vous devez publier votre copilote sur d’autres canaux mais que vous souhaitez toujours une authentification pour votre copilote, choisissez Authentifier manuellement.

Si vous vous authentifiez auprès de Microsoft, les variables suivantes sont disponibles dans le canevas de création :

  • User.ID
  • User.DisplayName

Pour plus d’informations sur ces variables et comment les utiliser, consultez Ajouter l’authentification de l’utilisateur final aux rubriques.

User.AccessToken et User.IsLoggedIn les variables ne sont pas disponibles avec cette option. Si vous avez besoin d’un jeton d’authentification, utilisez l’option Authentifier manuellement .

Si vous passez de S’authentifier manuellement à S’authentifier avec Microsoft et que vos rubriques contiennent les variables User.AccessToken ou User.IsLoggedIn, elles s’affichent comme des variables Inconnues après la modification. Assurez-vous de corriger toutes les sujets contenant des erreurs avant de publier votre copilote.

Authentifier manuellement

Copilot Studio prend en charge les fournisseurs d’authentification suivants sous l’option Authentifier manuellement  :

  • Azure Active Directory
  • Azure Active Directory v2
  • Azure Active Directory v2 avec certificats
  • Générique OAuth 2 - Tout fournisseur d’identité conforme à la norme OAuth2

Les variables suivantes sont disponibles dans le canevas de création après configuration de l’authentification manuelle :

  • User.Id
  • User.DisplayName
  • User.AccessToken
  • User.IsLoggedIn

Pour plus d’informations sur ces variables et comment les utiliser, consultez Ajouter l’authentification de l’utilisateur final aux rubriques.

Une fois la configuration enregistrée, assurez-vous de publier votre copilote pour que les modifications prennent effet.

Note

  • Les modifications d’authentification ne prennent effet qu’après la publication du copilote.
  • Ce paramètre peut être contrôlé par le contrôle administrateur correspondant dans Power Platform. Lorsque le contrôle est activé, il empêche l’option Authentifier manuellement d’être activée ou désactivée dans Copilot Studio. Le contrôle est toujours activé et l’option Authentifier manuellement ne peut pas être modifiée dans Copilot Studio.

Connexion utilisateur requise et partage du copilote

Exiger que les utilisateurs se connectent détermine si un utilisateur doit se connecter avant de parler avec le copilote. Nous vous recommandons vivement d’activer ce paramètre pour les copilotes qui doivent accéder à des informations sensibles ou restreintes.

Cette option n’est pas disponible pour les options Aucune authentification et S’authentifier avec Microsoft .

Note

Cette option n’est pas non plus configurable lorsque la stratégie DLP dans le centre d’administration Power Platform est configurée pour exiger l’authentification. Pour plus d’informations, voir Exemple de protection contre la perte de données – Exiger l’authentification de l’utilisateur final dans les copilotes.

Si vous désactivez cette option, votre copilote ne demande pas aux utilisateurs de se connecter jusqu’à ce qu’il rencontre une rubrique qui les oblige à le faire.

Lorsque vous activez cette option, elle crée une rubrique système appelée Demander aux utilisateurs de se connecter. Cette rubrique n’est pertinente que pour le paramètre Authentifier manuellement. Les utilisateurs sont toujours authentifiés sur Teams.

Le sujet Demander aux utilisateurs de se connecter est déclenché automatiquement pour tout utilisateur qui parle au copilote sans s’être authentifié. Si l’utilisateur ne parvient pas à se connecter, la rubrique redirige l’utilisateur vers la rubrique système Réaffecter.

Le sujet est en lecture seule et ne peut pas être personnalisé. Pour le voir, sélectionnez Accéder au canevas de création.

Contrôler qui peut discuter avec le copilote dans l’organisation

La combinaison de l’option d’authentification et de Demander aux utilisateurs de se connecter de votre copilote détermine si vous pouvez partager le copilote pour contrôler qui peut discuter ou non avec votre bot dans votre organisation. Le paramètre d’authentification n’affecte pas le partage d’un copilote pour la collaboration.

  • Aucune authentification : Tout utilisateur qui a un lien vers le copilote (ou peut le trouver, par exemple sur votre site Web) peut discuter avec lui. Vous ne pouvez pas contrôler quels utilisateurs peuvent discuter avec le copilote dans votre organisation.

  • Authentifier avec Microsoft : Le copilote fonctionne uniquement sur le canal Teams. Puisque l’utilisateur est toujours connecté, le paramètre Demander aux utilisateurs de se connecter est activé et ne peut pas être désactivé. Vous pouvez utiliser le partage de copilote pour contrôler qui dans votre organisation peut discuter avec le copilote.

  • Authentifier manuellement :

    • Si le fournisseur de services est soit Azure Active Directory ou Microsoft Entra ID, vous pouvez activer Demander aux utilisateurs de se connecter pour contrôler qui dans votre organisation peut discuter avec le copilote en utilisant le partage de copilote.

    • Si le fournisseur de services est OAuth2 générique, vous pouvez activer ou désactiver Demander aux utilisateurs de se connecter. Lorsque cette option est activée, un utilisateur qui se connecte peut discuter avec le copilote. Vous ne pouvez pas contrôler quels utilisateurs spécifiques peuvent discuter avec le copilote à l’aide du partage de copilote dans votre organisation.

Lorsque le paramètre d’authentification d’un copilote ne peut pas contrôler qui peut discuter avec lui, si vous sélectionnez Partager sur la page de présentation du copilote, un message informe que n’importe qui peut discuter avec votre copilote.

Champs d’authentification manuelle

Voici tous les champs que vous pouvez voir lorsque vous configurez l’authentification manuelle. Les champs que vous voyez dépendent de votre choix pour le fournisseur de services.

Nom du champ Description
Modèle d’URL d’autorisation Modèle d’URL pour les autorisations, comme défini par votre fournisseur d’identité. Par exemple, https://login.microsoftonline.com/common/oauth2/v2.0/authorize
Modèle de chaîne de requête de l’URL d’autorisation Le modèle de requête pour les autorisations, comme fourni par votre fournisseur d’identité. Les clés du modèle de chaîne de requête varient en fonction du fournisseur d’identité (?client_id={ClientId}&response_type=code&redirect_uri={RedirectUrl}&scope={Scopes}&state={State}).
ID Client Votre ID client obtenu auprès du fournisseur d’identité.
Client secret Votre clé secrète client obtenue lorsque vous avez créé l’enregistrement de l’application auprès du fournisseur d’identité.
Actualiser le modèle de corps Le modèle pour le corps d’actualisation (refresh_token={RefreshToken}&redirect_uri={RedirectUrl}&grant_type=refresh_token&client_id={ClientId}&client_secret={ClientSecret}).
Actualiser le modèle de chaîne de requête de l’URL d’autorisation Le séparateur de chaîne de requête de l’URL d’actualisation pour l’URL du jeton, généralement un point d’interrogation (?).
Actualiser le modèle d’URL Le modèle d’URL pour l’actualisation ; par exemple, https://login.microsoftonline.com/common/oauth2/v2.0/token.
Délimiteur de la liste des étendues Le caractère séparateur de la liste des étendues. Les espaces vides ne sont pas pris en charge dans ce champ.1
Étendues La liste des étendues que vous souhaitez que les utilisateurs aient après leur connexion. Utilisez le Délimiteur de la liste des étendues pour séparer plusieurs étendues.1 Définissez uniquement les étendues nécessaires et suivez le Principe de contrôle d’accès avec privilèges minimum.
Fournisseur de services Le fournisseur de services que vous souhaitez utiliser pour l’authentification. Pour plus d’informations, voir OAuth fournisseurs génériques.
ID locataire Votre ID client Microsoft Entra ID. Consultez Utiliser un client Microsoft Entra ID existant pour savoir comment trouver votre ID client.
Modèle de corps de jeton Le modèle pour le corps du jeton. (code={Code}&grant_type=authorization_code&redirect_uri={RedirectUrl}&client_id={ClientId}&client_secret={ClientSecret})
URL d’échange de jetons (requise pour SSO) Ce champ facultatif est utilisé lorsque vous configurez l’authentification unique. ...
Modèle d’URL de jeton Le modèle d’URL pour les jetons, comme indiqué par votre fournisseur d’identité, par exemple, https://login.microsoftonline.com/common/oauth2/v2.0/token
Modèle de chaîne de requête de l’URL de jeton Le séparateur de chaîne de requête pour l’URL du jeton, généralement un point d’interrogation (?).

1 Vous pouvez utiliser des espaces dans le champ Étendues si le fournisseur d’identité l’exige. Dans ce cas, saisissez une virgule (,) dans Délimiteur de la liste des étendues, et entrez des espaces dans le champ Étendues.

Désactiver l’authentification

  1. Avec votre copilote ouvert, sélectionnez Paramètres dans la barre de menu supérieure.

  2. Sélectionner Sécurité, puis Sélectionner Authentification.

  3. Sélectionnez Aucune authentification.

    Si des variables d’authentification sont utilisées dans un rubrique, elles deviennent des variables inconnues . Accédez à la page Sujets pour voir quels sujets comportent des erreurs et les corriger avant de les publier.

  4. Publier le copilote.

Important

Si votre copilote a des actions configurées pour utiliser les informations d’identification de l’utilisateur final, ne désactivez pas l’authentification au niveau du copilote, car cela empêcherait ces actions de fonctionner. ...