Microsoft Entra ID を使用してユーザー認証を構成する
コパイロットに認証を追加すると、ユーザーはサインインして、コパイロットに制限付きリソースや情報へのアクセスを与えることができます。
この記事では、Microsoft Entra ID をサービス プロバイダーとして構成する方法についても説明します。 他のサービス プロバイダーとユーザー認証全般の詳細については、 Copilot Studio ID を使用したユーザー認証の構成をご参照ください。
テナントの管理権限がある場合は、API のアクセス許可を構成することができます。 それ以外の場合は、テナント管理者に依頼する必要があります。
前提条件
最初のいくつかの手順を Azure portal で完了し、最後の 2 つの手順を Copilot Studio で完了します。
アプリ登録の作成
コパイロットと同じテナントの管理者アカウントを使用して、Azure portal にサインインします。
アプリ登録に進みます。
新しい登録 を選択し、登録の名前を入力します。 既存のアプリ登録を変更しないでください。
コパイロットの名前を使用すると、後で便利です。 たとえば、コパイロットが "Contoso sales help" と呼ばれている場合、アプリの登録に "ContosoSalesReg" という名前を付けることができます。
サポートされているアカウントの種類の下で、選択 任意の組織テナント (任意の Microsoft Entra IDディレクトリ - マルチテナント) 内のアカウントと個人のMicrosoftアカウント (Skypeなど Xbox)。
ここでは、リダイレクト URI セクションを空白のままにします。 この情報は、次の手順で入力します。
登録を選択します。
登録が完了した後、概要に移動します。
アプリケーション (クライアント) ID をコピーして、一時ファイルに貼り付けます。 後の手順で必要になります。
リダイレクト URL の追加
管理の下にある選択 認証。
プラットフォームの構成の下で、プラットフォームの追加、次に Web を選択します。
「リダイレクトURI」 の下に
https://token.botframework.com/.auth/web/redirectと入力し、選択 「構成」 を実行します。このアクションにより、 プラットフォーム構成 ページに戻ります。
Web プラットフォームの「リダイレクトURI」 の下で、選択 「URIを追加」 します。
入力
https://europe.token.botframework.com/.auth/web/redirectし、選択 保存します。注意
Copilot Studio の認証構成ペインには、次のリダイレクト URL が表示される場合があります:
https://unitedstates.token.botframework.com/.auth/web/redirect。 その URL を使用すると認証が失敗します。代わりに URI を使用してください。暗黙的な許可とハイブリッド フロー セクションで、選択 は アクセス トークン (暗黙的なフローで使用) と IDトークン (暗黙的なフローとハイブリッド フローで使用)の両方を指定しました。
保存 を選びます。
クライアント シークレットの生成
管理 の下にある 選択 証明書とシークレット。
クライアント シークレット セクションで、新しいクライアント シークレット を選択します。
(オプション) 説明を入力します。 空白のままにした場合は、1 つ提供されます。
有効期限を選択します。 コパイロットの有効期間に関連する最短期間を選択します。
追加 を選択してシークレットを作成します。
シークレットの値を安全な一時ファイルに保存します。 後でコパイロットの認証を構成するときに必要になります。
チップ
クライアント シークレットの値をコピーする前にページから移動しないでください。 これを行うと、値が難読化されるため、新しいクライアント シークレットを生成する必要があります。
手動認証を構成する
Copilot Studioで、副操縦士の [設定] と 選択 [セキュリティ] に移動します。
認証を選択します。
手動で認証する を選択します。
ユーザーにログインを要求する をオンのままにします。
プロパティに次の値を入力します:
サービスプロバイダー: 選択 Azure Active Directory v2。
クライアントID: 先ほどAzureポータルからコピーしたアプリケーション (クライアント) IDを入力します。
クライアント シークレット: Azureポータルから先ほど生成したクライアント シークレットを入力します。
スコープ: 入力
profile openid。
保存 を選択して構成を完了します。
API アクセス許可の構成
API アクセス許可 に移動します。
<テナント名>に管理者の承認を付与するを選択してから、はいを選択します。 ボタンが利用できない場合は、テナント 管理者 に入力を依頼する必要があるかもしれません。
![テナントのアクセス許可が強調表示された [API アクセス許可] ウィンドウのスクリーンショット。](media/configure-web-sso/api-permission.png)
Note
ユーザーが各アプリケーションに同意するのを防ぐには、グローバル管理者、アプリケーション管理者、またはクラウド アプリケーション管理者がアプリの登録にテナント全体の同意を付与する必要があります。
アクセス許可の追加を選択して、Microsoft Graph を選択します。
![Microsoft Graph が強調表示された [API アクセス許可の要求] ウィンドウのスクリーンショット。](media/configure-web-sso/request-api-permission.png)
委任されたアクセス許可 を選択します。
![[委任されたアクセス許可] が強調表示されたスクリーンショット。](media/configure-web-sso/delegated-permission.png)
OpenId のアクセス許可を展開して、openid と profile をオンにします。
アクセス許可の追加 を選択します。
コパイロットのカスタム スコープを定義する
スコープ を使用すると、ユーザーと管理者の役割とアクセス権を決定できます。 後の手順で作成するキャンバス アプリ登録のカスタム スコープを作成します。
API を公開するに移動してからスコープの追加を選択します。
![[API を公開する] と [スコープの追加] ボタンが強調表示されたスクリーンショット。](media/configure-web-sso/expose-api.png)
次のプロパティを設定します。 その他のプロパティは空白のままにすることができます。
Property 価値 スコープ名 Test.Readなどの使用している環境においてわかりやすい名前を入力します同意できるユーザー 管理者とユーザー を選択します 管理者の同意の表示名 Test.Readなどの使用している環境においてわかりやすい名前を入力します管理者の同意の説明 Allows the app to sign the user in.を入力します状態 有効を選択します スコープの追加を選択します。
Microsoft Copilot Studio の認証の構成
Copilot Studioの 設定 で、選択 セキュリティ>認証 を選択します。
手動で認証する を選択します。
ユーザーにログインを要求する をオンのままにします。
選択a サービス プロバイダー を選択し、必要な値を指定します。 「 手動認証の設定 Copilot Studio」を参照してください。
保存 を選びます。
チップ
トークン交換 URL は、要求されたアクセス トークンと OBO (On-Behalf-Of) トークンを交換するために使用されます。 詳細については、Microsoft Entra ID でシングル サインオンを構成するを参照してください。
注意
スコープには、ユースケースに応じて、 profile openid および次のものを含める必要があります。
Sites.Read.All Files.Read.Allのために SharePointExternalItem.Read.Allグラフ接続用https://[OrgURL]/user_impersonationプロンプトノードと Dataverse 構造化データ- たとえば、 Dataverse 構造データまたはプロンプトノードには次のスコープが必要です。
profile openid Sites.Read.All Files.Read.All https://myorg123.com/user_impersonation
コパイロットをテストする
コパイロットを公開します。
コパイロットのテスト ペインで、コパイロットにメッセージを送信します。
コパイロットが応答したら、ログイン を選択します。
新しいブラウザーのタブが開き、サインインを促されます。
サインインし、表示された検証コードをコピーします。
サインイン処理を完了するには、コパイロット チャットにコードを貼り付けます。
