Configurare l'autenticazione utente con Microsoft Entra ID

  • Articolo

Aggiungere l'autenticazione al tuo copilota consente agli utenti di accedere, dando al tuo copilota l'accesso a una risorsa o informazioni limitate.

Questo articolo spiega come configurare Microsoft Entra ID come provider di servizi. Per informazioni su altri provider di servizi e sull'autenticazione utente in generale, vedi Configurare l'autenticazione utente in Copilot Studio.

Se hai i diritti di amministrazione del tenant puoi configurare le autorizzazioni API. Altrimenti, è necessario chiedere a un amministratore del tenant di farlo al posto tuo.

Prerequisiti

Scopri come aggiungere l'autenticazione dell'utente finale a un argomento

Completa i primi passaggi nel portale di Azure e i due passaggi finali in Copilot Studio.

Creare una registrazione app

  1. Accedi al portale di Azure utilizzando un account amministratore nello stesso tenant del copilota.

  2. Vai a Registrazioni app.

  3. Seleziona Nuova registrazione e immetti un nome per la registrazione. Non modificare le registrazioni delle app esistenti.

    Può essere utile in un secondo momento usare il nome del tuo copilota. Ad esempio, se il tuo copilota si chiama "Contoso Sales Help", potresti denominare la registrazione dell'app "ContosoSalesReg".

  4. In Tipi di account supportati, Seleziona Account in qualsiasi tenant organizzativo (directory Qualsiasi Microsoft Entra ID - Multitenant) e account Microsoft personali (ad esempio Skype, Xbox).

  5. Lascia la sezione URI di reindirizzamento vuota per ora. Immetti tali informazioni nei passaggi successivi.

  6. Selezionare Registrazione.

  7. Una volta completata la registrazione, vai a Panoramica.

  8. Copia l'ID applicazione (client) e incollalo in un file temporaneo. Ti servirà in un secondo momento.

Aggiungere l'URL di reindirizzamento

  1. In Gestisci, Seleziona Autenticazione.

  2. In Configurazioni della piattaforma seleziona Aggiungi una piattaforma, quindi seleziona Web.

  3. In URI di reindirizzamento, inserisci https://token.botframework.com/.auth/web/redirect e Seleziona Configura.

    Questa azione ti riporta alla pagina Configurazioni piattaforma .

  4. In URI di reindirizzamento per la piattaforma Web , Seleziona Aggiungi URI.

  5. Inserisci https://europe.token.botframework.com/.auth/web/redirect e Seleziona Salva.

    Nota

    Il riquadro di configurazione dell'autenticazione in Copilot Studio potrebbe mostrare il seguente URL di reindirizzamento: https://unitedstates.token.botframework.com/.auth/web/redirect. L'utilizzo di quell'URL fa fallire l'autenticazione; utilizza l'URI.

  6. Nella sezione Concessione implicita e flussi ibridi , Seleziona sia i token di accesso (utilizzati per i flussi impliciti) sia i token ID (utilizzati per i flussi impliciti e ibridi).

  7. Seleziona Salva.

Generare un segreto client

  1. In Gestisci, Seleziona Certificati e segreti.

  2. Nella sezione Segreti client seleziona Nuovo segreto client.

  3. Immetti una descrizione (facoltativa). Ne viene fornita una se lasciato vuoto.

  4. Seleziona il periodo di scadenza. Seleziona il periodo più breve rilevante per la vita del tuo copilota.

  5. Selezionare Aggiungi per creare il segreto.

  6. Conserva il valore del segreto in un file provvisorio protetto. Ti servirà quando configurerai l'autenticazione del tuo copilota più avanti.

Suggerimento

Non uscire dalla pagina prima di aver copiato il valore del segreto client. In caso contrario, il valore verrà offuscato e sarà necessario generare un nuovo segreto client.

Configurare l'autenticazione manuale

  1. In Copilot Studio, vai su Impostazioni per il tuo copilota e su Seleziona Sicurezza.

  2. Seleziona Autenticazione.

  3. Seleziona Autentica manualmente.

  4. Lasciare attivata l'opzione Richiedi agli utenti di effettuare l'accesso.

  5. Immetti i seguenti valori per le proprietà:

    • Fornitore del servizio: Seleziona Azure Active Directory v2.

    • ID client: immetti l'ID applicazione (client) copiato in precedenza dal portale di Azure.

    • Segreto client: immetti il segreto client generato in precedenza dal portale di Azure.

    • Ambiti: Invio profile openid.

  6. Selezionare Salva per completare la configurazione.

Configurare autorizzazioni API

  1. Vai ad Autorizzazioni API.

  2. Seleziona Concedi consenso amministratore per <nome del tenant> e quindi . Se il pulsante non è disponibile, potrebbe essere necessario chiedere a un tenant amministratore di inserirlo per te.

    Screenshot della finestra delle autorizzazioni API con un'autorizzazione del tenant evidenziata.

    Nota

    Per evitare che gli utenti debbano fornire il consento per ciascuna applicazione, un amministratore globale, un amministratore dell'applicazione o un amministratore dell'applicazione cloud deve concedere il consenso a livello di tenant alle registrazioni della tua app.

  3. Seleziona Aggiungi un'autorizzazione, quindi seleziona Microsoft Graph.

    Screenshot della finestra Richiedi autorizzazioni API con Microsoft Graph evidenziato.

  4. Seleziona Autorizzazioni delegate.

    Screenshot con le autorizzazioni delegate evidenziate.

  5. Espandi Autorizzazioni OpenId e attiva openid e profilo.

    Screenshot con autorizzazioni OpenId, openid e profilo evidenziati.

  6. Selezionare Aggiungi autorizzazioni.

Definire un ambito personalizzato per il tuo copilota

Gli ambiti consentono di determinare i ruoli degli utenti e degli amministratori e i diritti di accesso. Crea un ambito personalizzato per la registrazione dell'app canvas creata in un passaggio successivo.

  1. Vai a Esponi un'API e seleziona Aggiungi un ambito.

    Screenshot con Esponi un'API e il pulsante Aggiungi un ambito evidenziato.

  2. Imposta le proprietà seguenti. Puoi lasciare vuote le altre proprietà.

    Proprietà valore
    Nome ambito Immetti un nome che abbia senso nel tuo ambiente, ad esempio Test.Read
    Chi può concedere il consenso? Seleziona Amministratori e utenti
    Nome visualizzato consenso dell'amministratore Immetti un nome che abbia senso nel tuo ambiente, ad esempio Test.Read
    Descrizione consenso dell'amministratore Immetti Allows the app to sign the user in.
    Provincia Seleziona Abilitato

  3. Seleziona Aggiungi ambito.

Configurare l'autenticazione in Microsoft Copilot Studio

  1. In Copilot Studio, in Impostazioni, Seleziona Sicurezza>Autenticazione.

  2. Seleziona Autentica manualmente.

  3. Lasciare attivata l'opzione Richiedi agli utenti di effettuare l'accesso.

  4. Seleziona un fornitore di servizi e fornire i valori richiesti. Vedere Configurare l'autenticazione manuale in Copilot Studio.

  5. Seleziona Salva.

Suggerimento

L'URL di scambio del token viene utilizzato per scambiare il token On-Behalf-Of (OBO) con il token di accesso richiesto. Per ulteriori informazioni, vedi Configura Single Sign-on con Microsoft Entra ID.

Nota

Gli ambiti dovrebbero includere profile openid e quanto segue, a seconda del caso d'uso:

  • Sites.Read.All Files.Read.All per SharePoint
  • ExternalItem.Read.All per la connessione del grafico
  • https://[OrgURL]/user_impersonation per nodi Prompt e dati strutturati Dataverse
  • Ad esempio, i dati della struttura o il nodo Prompt dovrebbero avere i seguenti ambiti: Dataverse profile openid Sites.Read.All Files.Read.All https://myorg123.com/user_impersonation

Testare il copilota

  1. Pubblica il copilota.

  2. Nel riquadro Prova copilota, invia un messaggio al tuo copilota.

  3. Quando il copilota risponde, seleziona Accedi.

    Si apre una nuova scheda nel browser che ti chiede di accedere.

  4. Accedi, quindi copia il codice di convalida visualizzato.

  5. Incolla il codice nella chat del copilota per completare il processo di accesso.

    Screenshot di un'autenticazione utente riuscita in una conversazione copilota, con il codice di convalida evidenziato.