認証により、ユーザーはサインインして、エージェントに制限付きリソースや情報へのアクセスを与えることができます。 ユーザーは、Microsoft Entra ID、または Google や Facebook などの任意の OAuth2 ID プロバイダーでサインインできます。
メモ
Microsoft Teamsでは、認証機能を提供するように Copilot Studio エージェントを構成して、ユーザーが microsoft または Facebook アカウントなどの Microsoft Entra ID または任意の OAuth2 ID プロバイダーでサインインできるようにすることができます。
トピックを編集する際に、ユーザー認証をトピックに追加 できます。
重要
認証構成の変更は、エージェントを公開した後にのみ有効になります。 エージェントに認証の変更を加える前に、事前に計画してください。
認証オプションを選択する
Copilot Studio では、いくつかの認証オプションがサポートされています。 ニーズに合ったオプションを選択して構成します。
エージェントの設定に移動し、セキュリティを選択します。
[ 認証] を選択します。
認証オプションを選択し、必要に応じて構成します。 次の認証オプションを使用できます:
- 認証なし
- Microsoft で認証する
- 手動で認証する
保存を選びます。
認証なし
認証なしを選択すると、エージェントは会話中にユーザーにサインインを要求しません。 認証なしの構成の場合、エージェントがアクセスできるのは、一般に公開されている情報やリソースにのみということになります。 従来型のチャットボットの設定は、既定で認証 なし になっています。
注意
認証なし オプションを選択すると、リンクを持っているすべてのユーザーがエージェントまたはコパイロットとチャットしたり対話したりできるようになります。
特に、組織内または特定のユーザーに対してボットまたは エージェント を その他のセキュリティおよびガバナンス制御と共に使用している場合は認証を適用することをお勧めします。
メモ
このオプションは、Power Platform管理センターのデータポリシーが認証を必要とするように設定されている場合は利用できません。 詳細については、「 エージェントのデータポリシーの設定」をご覧ください。
Microsoft で認証する
重要
Authenticate with Microsoft オプションを選択すると、Teams + Microsoft 365 チャネルにアクセスできます。 ネイティブ アプリとカスタム アプリ チャネルを使用することもできます。
さらに、Authenticate with Microsoft オプションは、Dynamics 365 Customer Service と統合されているエージェントでは使用できません。
この構成では、手動で構成しなくても、Teams のMicrosoft Entra ID認証が自動的に設定されます。 Teams 認証でユーザーの識別が完結するため、エージェントのスコープを拡張する必要が生じない限り、Teams の使用中にユーザーがサインインを求められることはありません。
エージェントを Teams + Microsoft 365 以外のチャネルに発行する必要があるが>エージェントの認証が必要な場合は、Authenticate を手動でを選択します。
Microsoft と認証を選択した場合、トピック作成キャンバスで次の変数を使用できます。
User.IDUser.DisplayName
これらの変数とその使用方法の詳細については、トピックにユーザー認証を追加する を参照してください。
と の変数は、このオプションでは使用できません。 認証トークンが必要な場合は、手動認証 オプションを使用します。
手動で認証 から Microsoft と認証 に変更し、トピックに変数 または が含まれている場合、変更後に 不明な 変数として表示されます。 エージェントを公開する前に、エラーのあるトピックを必ず修正してください。
手動で認証する
Copilot Studio では、Authenticate の手動 オプションで次の認証サービス プロバイダーがサポートされます。
- Microsoft Entra ID V2 をフェデレーション資格情報で使用する
- 証明書を使用した Microsoft Entra ID V2
- Microsoft Entra ID V2のクライアント シークレットを使用する
- Microsoft Entra ID
- Generic OAuth 2 - OAuth2 標準 に準拠している ID プロバイダー
手動で認証するを選択した場合、トピック作成キャンバスで次の変数を使用できます。
User.IdUser.DisplayNameUser.AccessTokenUser.IsLoggedIn
これらの変数とその使用方法の詳細については、トピックにユーザー認証を追加する を参照してください。
構成が保存されたら、変更が有効になるように必ずエージェントを公開してください。
メモ
- 認証の変更は、エージェントが公開された後にのみ有効になります。
- この設定は、Power Platform の対応する管理者コントロールで制御します。 コントロールを有効にすると、手動認証オプションが Copilot Studio 内でオンまたはオフにすることができなくなります。 コントロールは常にオンになり、Authenticate を手動でオプションCopilot Studio で変更することはできません。
必要なユーザー サインインとエージェントの共有
ユーザーにサインインを要求する では、ユーザーがエージェントと対話する前にサインインする必要があるかどうかを判断します。 機密情報や制限された情報にアクセスする必要があるエージェントには、この設定をオンにすることを強くお勧めします。
このオプションは、認証なし および Microsoft で認証する オプションでは使用できません。
メモ
Power Platform管理センターのデータポリシーが認証を必要とする設定になっている場合、このオプションはオフにできません。 詳細については、「 エージェントのデータポリシーの設定」をご覧ください。
このオプションをオフにすると、サインインを必要とするトピックが検出されるまで、エージェントはユーザーにサインインを求めません。
このオプションをオンにすると、ユーザーにサインインを要求する というシステム トピックが作成されます。 このトピックは、手動で認証 設定にのみ関連します。 ユーザーは常に Teams で認証されます。
ユーザーにサインインを要求する トピックは、認証されていなくても、エージェントと対話するすべてのユーザーに対して自動的にトリガーされます。 ユーザーがサインインに失敗した場合、トピックは エスカレート システム トピックにリダイレクトされます。
トピックは読み取り専用で、カスタマイズすることはできません。 表示するには、[作成キャンバスに移動する] を選択してください。
組織内のエージェントとチャットできるユーザーを制御する
エージェントの認証タイプとユーザーにサインインを要求する設定の組み合わせにより、エージェントを共有して組織内の誰がエージェントとチャットできるかを制御できるかどうかが決まります。 認証設定は、コラボレーションのためのエージェントの共有には影響しません。
認証なし: エージェントへのリンクがある (または、たとえば、Web サイト などでリンクを見つけることができる) あらゆるユーザーがボットとのチャットを行えます。 組織内のどのユーザーがエージェントとチャットできるかを制御することはできません。
Microsoft で認証する: エージェントは Teams チャネルでのみ機能します。 ユーザーは常にサインインしているため、ユーザーにサインインを要求する 設定がオンになっていて、オフにすることはできません。 エージェント共有を使用して、組織内の誰がエージェントとチャットできるかを制御できます。
手動で認証する:
サービス プロバイダーが Microsoft Entra ID の場合は、Require ユーザーのサインインを有効にして、エージェント共有を使用してエージェントとチャットできる組織内のユーザーを制御できます。
サービス プロバイダーが 汎用 OAuth2 の場合は、ユーザーにサインインを要求する をオンまたはオフにします。 オンにすると、サインインしたユーザーがエージェントとチャットできます。 エージェント共有を使用して組織内のどの特定のユーザーがエージェントとチャットできるかを制御することはできません。
エージェントの認証設定でエージェントとチャットできるユーザーを制御できない場合、エージェントの概要ページで共有を選択すると、誰でもエージェントとチャットできることを通知するメッセージが表示されます。
手動認証フィールド
次の表では、手動認証を構成するときに表示される可能性のあるフィールドについて説明します。 表示される特定のフィールドは、サービス プロバイダーの選択によって異なります。
| フィールド名 | 説明 |
|---|---|
| 認証 URL テンプレート | ID プロバイダーによって定義されている、認証の URL テンプレート。 たとえば、 のように指定します。 |
| 認証 URL のクエリ文字列テンプレート | ID プロバイダーによって提供された認証用のクエリ テンプレート。 クエリ文字列テンプレートのキーは、ID プロバイダー () によって異なります。 |
| クライアント ID | ID プロバイダーから取得したクライアント ID。 |
| クライアント シークレット | ID プロバイダーのアプリ登録を作成したときに取得したクライアント シークレット。 |
| クライアント証明書のKeyVault URL | クライアント証明書が格納されている KeyVault の URL。 証明書認証を使用したMicrosoft Entra IDに必要です。 |
| [付与タイプ] | 使用する OAuth2 付与タイプ。 |
| x5c 要求が必須であるかどうか | トークン要求で x5c 要求が必要かどうかを指定します。 証明書認証を使用したMicrosoft Entra IDに必要です。 |
| ログイン URL | ユーザーがログインするように指示される URL。 |
| 本文テンプレートの更新 | 更新本文のテンプレート ()。 |
| URL のクエリ文字列テンプレートの更新 | トークン URL の更新 URL クエリ文字列区切り記号は通常、疑問符 () です。 |
| URL テンプレートの更新 | 更新用のURL テンプレート; 例 。 |
| リソース URL | トークンが要求されるリソース URL。 |
| スコープ リストの区切り文字 | スコープ リストの区切り文字。 このフィールドでは、空白はサポートされていません。1 |
| スコープ | ユーザーがサインインした後に所有する スコープ のリスト。 スコープ リストの区切り文字 を使用して複数のスコープを区切ります。1 必要なスコープのみを設定し、最小権限アクセス制御の原則 に従います。 |
| サービス プロバイダー | 認証に使用するサービス プロバイダー。 詳細については、OAuth 汎用プロバイダー を参照してください。 |
| テナント ID | あなたの Microsoft Entra ID テナント ID。 テナント ID の検索方法については、「既存のMicrosoft Entra ID テナントを使用するを参照してください。 |
| トークン本体のテンプレート | トークン本体のテンプレート。 () |
| トークン Exchange URL (シングル サインオン (SSO) に必要) | これは、シングル サインオンを構成 する際に使用するオプションのフィールドです。 |
| トークン URL テンプレート | ID プロバイダーによって指定されたトークン用の URL テンプレート; 例 。 |
| トークン URL のクエリ文字列テンプレート | トークン URL のクエリ文字列区切り記号は通常、疑問符 () です。 |
1 ID プロバイダーが必要とする場合は、スコープ フィールドでスペースを使用できます。 その場合は、コンマ () を スコープ リストの区切り文字に入力し、スコープ フィールドにスペースを入力します。
認証をオフにする
エージェントを開いた状態で、上部のメニュー バーにある設定を選択します。
セキュリティ を選択し、認証 を選択します。
認証なしを選択します。
認証変数がトピックで使用されている場合は、不明な 変数になります。 トピック ページに移動して、エラーのあるトピックを確認し、公開する前に修正してください。
エージェントを公開する。
重要
エージェントにユーザー認証が必要となるツールが構成されている場合、エージェント レベルで認証をオフにしないでください。これらのツールが機能しなくなります。