Copilot Studio でユーザー認証の構成
認証により、ユーザーはサインインして、コパイロットに制限付きリソースや情報へのアクセスを与えることができます。 ユーザーは、Microsoft Entra ID、または Google や Facebook などの OAuth2 ID プロバイダー でサインインできます。
注意
Microsoft Teams では、認証機能を提供するために Copilot Studio コパイロットを構成できます。そのため、ユーザーは、Microsoft Entra ID や、Microsoft アカウント、Facebook アカウントなどの任意の OAuth2 ID プロバイダー にサインインできます。
トピック を編集するときに、 トピックにエンドユーザー認証を追加 できます。
重要
認証構成の変更は、コパイロットを公開した後にのみ有効になります。 コパイロットに認証の変更を加える前に、事前に計画してください。
認証オプションを選択する
Copilot Studio は、いくつかの認証オプションをサポートしています。 ニーズに合ったものを選択してください。
副操縦士の 設定 と選択 セキュリティに移動します。
認証を選択します。
次の認証オプションを使用できます:
保存 を選びます。
認証なし
認証がないということは、コパイロットと対話するときにコパイロットがユーザーにサインインを要求しないことを意味します。 認証されていない構成とは、コパイロットが公開情報とリソースにのみアクセスできることを意味します。 クラシック チャットボットは、デフォルトで認証を必要としないように設定されています。
注意
認証なし オプションを選択すると、リンク を持つすべてのユーザーが ボット または副操縦士とチャットしたり対話したりできるようになります。
特に組織内または特定のユーザーに対してボットやコパイロットを使用している場合は、その他のセキュリティとガバナンス コントロールとともに認証を適用することをお勧めします。
Microsoft で認証する
重要
[Microsoftで認証] オプションを選択すると、Teamsチャネルを除くすべてのチャネルが無効になります。
さらに、 Microsoftで認証 オプションは、 Dynamics 365顧客サービス と統合されているコパイロットでは使用できません。
この構成では、手動で構成する必要なく、Teams の Microsoft Entra ID 認証を自動的に設定します。 Teams認証自体がユーザーを識別するため、副操縦士が拡張されたスコープを必要としない限り、ユーザーはTeamsにいる間はログインを要求されません。
このオプションを選択すると、Teams チャネルのみが使用可能になります。 コパイロットを他のチャネルに公開する必要があるが、コパイロットの認証も必要な場合は、 「手動で認証する」 を選択します。
選択 Microsoftで認証する場合、オーサリング キャンバスで次の変数を使用できます。
User.IDUser.DisplayName
これらの変数とその使用方法の詳細については、トピックにエンドユーザー認証をに追加するを参照してください。
User.AccessToken User.IsLoggedIn このオプションでは変数は使用できません。 認証トークンが必要な場合は、 手動で認証 オプションを使用します。
手動で認証 から Microsoftで認証に変更し、トピックに変数 User.AccessToken または User.IsLoggedInが含まれている場合、変更後は 不明な 変数として表示されます。 コパイロットを公開する前に、エラーのあるトピックを必ず修正してください。
手動で認証する
Copilot Studio 手動で認証 オプションでは、次の認証プロバイダーがサポートされています。
- Azure Active Directory
- Azure Active Directory v2
- Azure Active Directory 証明書付きv2
- Generic OAuth 2 - OAuth2標準に準拠する任意のIDプロバイダー
手動認証の構成後、作成キャンバスで次の変数を使用できます:
User.IdUser.DisplayNameUser.AccessTokenUser.IsLoggedIn
これらの変数とその使用方法の詳細については、トピックにエンドユーザー認証をに追加するを参照してください。
構成が保存されたら、変更が有効になるように必ずコパイロットを公開してください。
注意
- 認証の変更は、コパイロットが公開された後にのみ有効になります。
- この設定は、Power Platform の対応する管理コントロールによって制御できます。 コントロールを有効にすると、 手動で認証 オプションが Copilot Studio内で有効または無効にできなくなります。 コントロールは常に有効になっており、 手動で認証 オプションは Copilot Studioで変更できません。
必要なユーザー サインインとコパイロット共有
ユーザーにログインを要求する は、副操縦士と会話する前にユーザーがログインする必要があるかどうかを決定します。 機密情報や制限された情報にアクセスする必要がある副操縦士の場合は、この設定をオンにすることを強くお勧めします。
このオプションは、 認証なし および Microsoftで認証 オプションでは使用できません。
注意
このオプションは、Power Platform 管理センターの DLP ポリシーが認証を必要とするように構成されている場合にも構成できません。 詳細については、データ損失防止の事例 - コパイロットでのエンドユーザー認証の要求 をご確認ください。
このオプションをオフにすると、サインインを必要とするトピックが検出されるまで、コパイロットはユーザーにサインインを求めません。
このオプションをオンにすると、ユーザーにサインインを要求する というシステム トピックが作成されます。 このトピックは、手動で認証 設定にのみ関連します。 ユーザーは常に Teams で認証されます。
ユーザーにサインインを要求する トピックは、認証されていなくても、コパイロットと対話するすべてのユーザーに対して自動的にトリガーされます。 ユーザーがサインインに失敗した場合、トピックは エスカレート システム トピックにリダイレクトされます。
トピックは読み取り専用で、カスタマイズすることはできません。 表示するには、作成キャンバスに移動 を選択します。
組織内のコパイロットとチャットできるユーザーを制御する
コパイロットの認証と ユーザーにサインインを要求する 設定の組み合わせにより、コパイロットを共有 して、組織内の誰がチャットできるかを制御することができます。 認証設定は、コラボレーション用のコパイロットの共有には影響しません。
認証なし: コパイロットへの リンク を持つユーザー (または、たとえばWebサイトで見つけることができるユーザー) は、コパイロットとチャットできます。 組織内のどのユーザーがコパイロットとチャットできるかを制御することはできません。
Microsoftで認証: コパイロットは、 Teamsチャネルでのみ動作します。 ユーザーは常にサインインしているため、ユーザーにサインインを要求する 設定がオンになっていて、オフにすることはできません。 コパイロット共有を使用して、組織内の誰がコパイロットとチャットできるかを制御できます。
手動で認証する:
サービス プロバイダーが Azure Active Directory または Microsoft Entra ID のどちらかである場合、ユーザーにサインインを要求する をオンにして、組織内の誰がコパイロット共有を使用してコパイロットとチャットできるかを制御することができます。
サービス プロバイダーが 汎用 OAuth2 の場合は、ユーザーにサインインを要求する をオンまたはオフにします。 オンにすると、サインインしたユーザーがコパイロットとチャットできます。 コパイロット共有を使用して組織内のどの特定のユーザーがコパイロットとチャットできるかを制御することはできません。
コパイロットの認証設定でチャットできるユーザーを制御できない場合は、コパイロットの概要ページで 共有 を選択すると、誰でもコパイロットとチャットできることを通知するメッセージが表示されます。
手動認証フィールド
以下は、手動認証を構成するときに表示されるすべてのフィールドです。 表示されるフィールドは、サービス プロバイダーの選択によって異なります。
| フィールド名 | 説明設定 |
|---|---|
| 認証 URL テンプレート | ID プロバイダーによって定義されている、認証の URL テンプレート。 例: https://login.microsoftonline.com/common/oauth2/v2.0/authorize |
| 認証 URL のクエリ文字列テンプレート | ID プロバイダーによって提供された認証用のクエリ テンプレート。 クエリ文字列テンプレートのキーは、ID プロバイダー (?client_id={ClientId}&response_type=code&redirect_uri={RedirectUrl}&scope={Scopes}&state={State}) によって異なります。 |
| Client ID | ID プロバイダーから取得したクライアント ID。 |
| Client secret | ID プロバイダーのアプリ登録を作成したときに取得したクライアント シークレット。 |
| 本文テンプレートの更新 | 更新本文のテンプレート (refresh_token={RefreshToken}&redirect_uri={RedirectUrl}&grant_type=refresh_token&client_id={ClientId}&client_secret={ClientSecret})。 |
| URL のクエリ文字列テンプレートの更新 | トークン URL の更新 URL クエリ文字列区切り記号は通常、疑問符 (?) です。 |
| URL テンプレートの更新 | 更新用のURL テンプレート; 例 https://login.microsoftonline.com/common/oauth2/v2.0/token。 |
| スコープ リストの区切り文字 | スコープ リストの区切り文字。 このフィールドでは、空白はサポートされていません。1 |
| スコープ | ユーザーがサインインした後に所有する スコープ のリスト。 スコープ リストの区切り文字 を使用して複数のスコープを区切ります。1 必要なスコープのみを設定し、最小権限アクセス制御の原則 に従います。 |
| サービス プロバイダー | 認証に使用するサービス プロバイダー。 詳細については、 OAuth 汎用プロバイダーを参照してください。 |
| Tenant ID | Microsoft Entra ID テナント ID。 テナント ID を見つける方法については、既存の Microsoft Entra ID テナントを使用するを参照してください。 |
| トークン本体のテンプレート | トークン本体のテンプレート。 (code={Code}&grant_type=authorization_code&redirect_uri={RedirectUrl}&client_id={ClientId}&client_secret={ClientSecret}) |
| トークンの交換 URL (SSO に必要) | このオプション フィールドは、 シングル サインオンを構成するときに使用されます。 |
| トークン URL テンプレート | ID プロバイダーによって指定されたトークン用の URL テンプレート; 例 https://login.microsoftonline.com/common/oauth2/v2.0/token。 |
| トークン URL のクエリ文字列テンプレート | トークン URL のクエリ文字列区切り記号は通常、疑問符 (?) です。 |
1 アイデンティティ プロバイダーが要求する場合は、 スコープ フィールドにスペースを使用できます。 その場合は、コンマ (,) を スコープ リストの区切り文字に入力し、スコープ フィールドにスペースを入力します。
認証をオフにする
コパイロットを開いた状態で、上部メニューバーの設定を選択します。
選択 セキュリティ、次に 選択 認証。
認証なしを選択します。
トピック で認証変数が使用されている場合、それらは 不明な 変数になります。 トピック ページに移動して、どのトピックにエラーがあるかを確認し、公開する前に修正してください。
コパイロットを公開します。
重要
コパイロットに アクション が エンドユーザーの資格情報を使用するように構成されている場合は、コパイロット レベルで認証をオフにしないでください。オフにすると、これらのアクションが機能しなくなります。