Konfigurieren der Benutzerauthentifizierung mit Microsoft Entra ID

Wenn Sie Ihrem Agenten eine Authentifizierung hinzufügen, können sich Nutzer anmelden und Ihrem Agenten Zugriff auf eine eingeschränkte Ressource oder Informationen gewähren.

In diesem Artikel wird erläutert, wie Sie Microsoft Entra ID als Dienstanbieter konfigurieren. Informationen zu anderen Dienstanbietern und Benutzerauthentifizierung finden Sie unter Configure-Benutzerauthentifizierung in Copilot Studio.

Wenn Sie über Mandantenverwaltungsrechte verfügen, können Sie API-Berechtigungen konfigurieren. Andernfalls sollten Sie einen Mieteradministrator bitten, diese Berechtigungen zu erteilen.

Anforderungen

Erfahren Sie, wie Sie einem Thema die Benutzerauthentifizierung hinzufügen

Sie führen die ersten Schritte im Azure-Portal aus, und führen Sie die beiden letzten Schritte in Copilot Studio aus.

Erstellen einer App-Registrierung

Melden Sie sich beim Azure-Portal an, indem Sie ein Administratorkonto im selben Mandanten wie Ihr Agent verwenden.
Wechseln Sie zu App registrations.
Wählen Sie Neue Registrierung aus und geben Sie einen Namen für die Registrierung ein. Ändern Sie vorhandenen App-Registrierungen nicht.

Es kann später hilfreich sein, den Namen Ihres Agent zu verwenden. Wenn Ihr Agent beispielsweise „Contoso-Verkaufshilfe“ heißt, können Sie die App-Registrierung „ContosoSalesReg“ nennen.
Wählen Sie unter "Unterstützte Kontotypen" nur "Konten" in diesem Organisationsverzeichnis (nur Contoso – Einzelner Mandant) aus.
Lassen Sie den Abschnitt Umleitungs-URI vorerst leer. Geben Sie diese Information in den nächsten Schritten ein.
Wählen Sie Registrieren aus.
Nach Abschluss der Registrierung gehen Sie zu Übersicht.
Kopieren Sie die Anwendungs-ID (Client), und fügen Sie sie in eine temporäre Datei ein. Sie brauchen sie in den weiteren Schritten.

Die Umleitungs-URL hinzufügen

Wählen Sie unter Verwalten die Option Authentifizierung aus.
Wählen Sie unter PlattformkonfigurationenEine Plattform hinzufügen und dann Web aus.
Geben Sie unter Umleitungs-URIshttps://token.botframework.com/.auth/web/redirect oder https://europe.token.botframework.com/.auth/web/redirect für Europa ein. Sie können den URI auch aus dem Textfeld Redirect URL unter Copilot Studio Security Einstellungsseite unter Authenticate manuell kopieren.

Mit dieser Aktion kehren Sie zur Seite Plattformkonfigurationen zurück.

Eine Liste der erforderlichen Dienste, mit der Copilot Studio eine Verbindung herstellt, einschließlich token.botframework.com, finden Sie unter Required Services.
Wählen Sie sowohl Zugriffstoken (für implizite Flüsse verwendet) als auch ID-Token (für implizite und hybride Flüsse verwendet) aus.
Wählen Sie "Konfigurieren" aus.

Manuelle Authentifizierung konfigurieren

Dann konfigurieren Sie manuelle Authentifizierung. Sie können aus mehreren Optionen für Ihren Anbieter auswählen. Verwenden Sie jedoch Microsoft Entra ID V2 mit Verbundanmeldeinformationen. Sie können auch Clientgeheimnisse verwenden, wenn Sie keine Verbundanmeldeinformationen verwenden können.

Konfigurieren von Verbundanmeldeinformationen (empfohlen)
Konfigurieren geheimer Clientschlüssel

Konfigurieren der manuellen Authentifizierung mit Verbundanmeldeinformationen

Copilot Studio erstellt standardmäßig Verbundidentitätsanmeldeinformationen (FIC) in der Azure-App-Registrierung, um eine sichere, geheimnislose Authentifizierung mit kurzzeitigen OpenID Connect-Token zu ermöglichen. Diese Authentifizierungsmethode entfernt gespeicherte geheime Schlüssel, verringert das Risiko von Anmeldeinformationen und richtet sich an die Zero Trust Sicherheitsstandards von Microsoft.

Wechseln Sie in Copilot Studio zu Settings für Ihren Agent, und wählen Sie Security aus.
Wählen Sie "Authentifizierung" aus.
Wählen Sie Manuell authentifizieren aus.
Lassen Sie Benutzer müssen sich anmelden aktiviert.
Geben Sie die folgenden Werte für die Eigenschaften ein:
- Serviceanbieter: Wählen Sie Microsoft Entra ID V2 mit Verbundanmeldeinformationen aus.
- Client-ID: Geben Sie die Anwendungs-ID (Client) ein, die Sie zuvor aus dem Azure Portal kopiert haben.
Wählen Sie Speichern aus, um den Aussteller und den Wert der Verbundanmeldeinformationen anzuzeigen.
Kopieren Sie den Herausgeber der Verbundanmeldedaten und den Wert der Verbundanmeldedaten und fügen Sie sie in eine temporäre Datei ein. Sie brauchen sie in den weiteren Schritten.
Wechseln Sie zum Azure-Portal und zur zuvor erstellten App-Registrierung. Wählen Sie unter "Verwalten" zertifikate und geheime Schlüssel und dann Verbundanmeldeinformationen aus.
Wählen Sie Anmeldeinformationen hinzufügen.
Wählen Sie unter Szenario für Verbundanmeldeinformationen die Option Anderer Aussteller aus.
Geben Sie die folgenden Werte für die Eigenschaften ein:
- Issuer: Geben Sie den Emittentenwert für Verbundanmeldeinformationen ein, den Sie zuvor aus Copilot Studio kopiert haben.
- Value: Geben Sie die Daten der Verbundanmeldeinformationen ein, die Sie zuvor aus Copilot Studio kopiert haben.
- Name: Geben Sie einen Namen an.
Wählen Sie "Hinzufügen" aus, um die Konfiguration abzuschließen.

Geheimen Clientschlüssel generieren

Wählen Sie unter Verwalten die Option Zertifikate und Geheimnisse aus.
Wählen Sie im Abschnitt Geheime Clientschlüssel die Option Neuer geheimer Clientschlüssel aus.
(Optional) Geben Sie eine Beschreibung ein. Eine Standardbeschreibung wird bereitgestellt, wenn du sie leer lässt.
Wählen Sie den Ablaufzeitraum aus. Wählen Sie den kürzesten Zeitraum aus, der für die Lebensdauer Ihres Agent relevant ist.
Klicken Sie auf Hinzufügen, um das Geheimnis zu erstellen.
Speichern Sie den Wert des geheimen Schlüssel in einer sicheren temporären Datei. Du brauchst es, wenn du später die Authentifizierung deines Agenten konfigurierst.

Tipp

Verlassen Sie die Seite nicht, bevor Sie den Wert des geheimen Clientschlüssels kopiert haben. Wenn Sie das tun, wird der Wert verschlüsselt und Sie müssen ein neues Clientgeheimnis generieren.

Konfigurieren der manuellen Authentifizierung mithilfe von geheimem Clientschlüssel

Wechseln Sie in Copilot Studio zu Settings für Ihren Agent, und wählen Sie Security aus.
Wählen Sie "Authentifizierung" aus.
Wählen Sie Manuell authentifizieren aus.
Lassen Sie Benutzer müssen sich anmelden aktiviert.
Geben Sie die folgenden Werte für die Eigenschaften ein:
- Serviceanbieter: Wählen Sie Microsoft Entra ID V2 mit geheimen Clientschlüsseln aus.
- Client-ID: Geben Sie die Anwendungs-ID (Client) ein, die Sie zuvor aus dem Azure Portal kopiert haben.
- Client secret: Geben Sie den zuvor aus dem Azure Portal generierten geheimen Clientschlüssel ein.
- Umfang: Geben Sie profile openid ein.
Wählen Sie Speichern aus, um die Konfiguration abzuschließen.

API-Berechtigungen konfigurieren

Gehen Sie zu API-Berechtigungen.
Wählen Sie Administratorzustimmung für <Ihren Mandantennamen> erteilen und dann Ja aus. Wenn die Schaltfläche nicht verfügbar ist, müssen Sie möglicherweise einen Mandantenadministrator bitten, sie für Sie einzugeben.

Wichtig

Um zu vermeiden, dass Benutzende jeder Anwendung zustimmen müssen, muss mindestens eine Fachkraft mit der Rolle für die Anwendungs- oder Cloud-Anwendungsadministration die mandantenweite Einwilligung zu Ihren Anwendungsregistrierungen erteilen.
Wählen Sie Hinzufügen einer Berechtigung aus und dann Microsoft Graph.
Wählen Sie delegierte Berechtigungen aus.
Erweitern Sie OpenId-Berechtigungen und schalten Sie openid und Profil ein.
Wählen Sie "Berechtigungen hinzufügen" aus.

Einen benutzerdefinierten Bereich für Ihren Agenten festlegen

Scopes bestimmen Benutzer- und Administratorrollen sowie Zugriffsrechte. Erstellen Sie einen benutzerdefinierten Umfang für die Registrierung der Canvas-App.

Gehen Sie zu Eine API verfügbar machen und wählen Sie Einen Bereich hinzufügen aus.

Legen Sie die folgenden Eigenschaften fest. Sie können die anderen Eigenschaften leer lassen.

Eigenschaften	Wert
Bereichsname	Geben Sie einen Namen ein, der in Ihrer Umgebung sinnvoll ist, wie `Test.Read`
Wer kann die Einwilligung erteilen?	Wählen Sie Administratoren und Benutzer aus
Administratorzustimmung Anzeigename	Geben Sie einen Namen ein, der in Ihrer Umgebung sinnvoll ist, wie `Test.Read`
Beschreibung der Administratoreinwilligung	Geben Sie `Allows the app to sign the user in.` ein.
Bundesstaat	Wählen Sie Aktiviert aus

Wählen Sie "Bereich hinzufügen" aus.

Konfigurieren der Authentifizierung in Copilot Studio

Wählen Sie in Copilot Studio unter SettingsSecurity>Authentication aus.
Wählen Sie Manuell authentifizieren aus.
Lassen Sie Benutzer müssen sich anmelden aktiviert.
Wählen Sie einen Dienstanbieter aus, und geben Sie die erforderlichen Werte an. Weitere Informationen finden Sie unter Configure manual authentication in Copilot Studio.
Wählen Sie Speichern aus.

Tipp

Verwenden Sie die URL des Tokenaustauschs, um das On-Behalf-Of (OBO)-Token für das angeforderte Zugriffstoken auszutauschen. Weitere Informationen finden Sie unter Configure single sign-on with Microsoft Entra ID.

Anmerkung

Die Scopes sollten profile openid sowie folgende Scopes je nach Anwendungsfall enthalten:

Sites.Read.All Files.Read.All für SharePoint
ExternalItem.Read.All für Graph-Verbindung
https://[OrgURL]/user_impersonation für Dataverse strukturierte Daten

Zum Beispiel sollten Dataverse-Strukturdaten folgende Geltungsbereiche haben: profile openid Sites.Read.All Files.Read.All https://myorg123.com/user_impersonation

Ihren Agent testen

Veröffentlichen Sie Ihren Agent.
Senden Sie im Bereich Agent testen eine Nachricht an Ihren Agent.
Wenn der Agent antwortet, wählen Sie Anmelden aus.

Ein neuer Browser-Tab öffnet sich und fordert dich auf, dich anzumelden.
Melden Sie sich an und kopieren Sie dann den angezeigten Validierungscode.
Fügen Sie den Code in den Agent-Chat ein, um den Anmeldevorgang abzuschließen.

Feedback

War diese Seite hilfreich?

Last updated on 2026-03-10