Compartilhar via

Configurar a autenticação do usuário com Microsoft Entra ID

Quando você adiciona autenticação ao seu agente, os usuários podem fazer login e dar acesso ao agente a um recurso ou informação restrita.

Este artigo explica como configurar Microsoft Entra ID como seu provedor de serviços. Para obter informações sobre outros provedores de serviços e autenticação de usuário, consulte Configurar a autenticação de usuário no Copilot Studio.

Se você tiver direitos de administração de locatários, poderá configurar permissões de API. Caso contrário, peça a um administrador de inquilinos que conceda essas permissões.

Pré-requisitos

Saiba como adicionar a autenticação de usuário a um tópico

Conclua as primeiras etapas no portal do Azure e conclua as duas etapas finais no Copilot Studio.

Criar um registro de aplicativo

  1. Entre no portal Azure usando uma conta de administrador no mesmo locatário do agente.

  2. Vá para App registrations.

  3. Selecione Novo registro e insira um nome para o registro. Não altere registros de aplicativos existentes.

    Recomenda-se usar posteriormente o nome de seu agente. Por exemplo, se o seu agente se chamar "Ajuda de vendas da Contoso", você pode nomear o registro do aplicativo "ContosoSalesReg".

  4. Em Tipos de conta com suporte, selecione Contas somente neste diretório organizacional (somente Contoso – único locatário).

  5. Deixe a seção URI de redirecionamento em branco por enquanto. Insira essas informações nas próximas etapas.

  6. Selecione Registrar.

  7. Após o término do registro, vá para Visão Geral.

  8. Copie o ID do aplicativo (cliente) e cole em um local temporário. Você precisa dele em etapas posteriores.

Adicionar a URL de redirecionamento

  1. Em Gerenciar, selecione Autenticação.

  2. Em Configurações da plataforma, selecione Adicionar uma plataforma e Web.

  3. Em URIs de Redirecionamento, digite https://token.botframework.com/.auth/web/redirect ou https://europe.token.botframework.com/.auth/web/redirect para Europa. Você também pode copiar o URI da caixa de texto Redirect URL na página de configuração de Security do Copilot Studio em Autenticar manualmente.

    Essa ação direciona você de volta à página Configurações da plataforma.

    Para obter uma lista dos serviços necessários aos quais Copilot Studio se conecta, incluindo token.botframework.com, consulte Required services.

  4. Selecione tokens do Access (usados para fluxos implícitos) e tokens de ID (usados para fluxos implícitos e híbridos).

  5. Selecione Configurar.

Configurar a autenticação manual

Em seguida, configure a autenticação manual. Você pode escolher entre várias opções de provedores. No entanto, use Microsoft Entra ID V2 com credenciais federadas. Você também pode usar os segredos do cliente se não conseguir usar credenciais federadas.

Configurar autenticação manual usando credenciais federadas

Copilot Studio cria automaticamente credenciais de identidade federadas (FIC) por padrão no Registro de Aplicativo do Azure para habilitar a autenticação segura sem necessidade de segredos, usando tokens OpenID Connect de curta duração. Esse método de autenticação remove segredos armazenados, reduz o risco de credencial e se alinha aos padrões de segurança Zero Trust da Microsoft.

  1. No Copilot Studio, acesse Settings para seu agente e selecione Security.

  2. Selecione Autenticação.

  3. Selecione Autenticar manualmente.

  4. Deixe ativada a opção Exigir que os usuários entrem.

  5. Insira os seguintes valores para as propriedades:

    • Serviço: selecione Microsoft Entra ID V2 com credenciais federadas.

    • Client ID: insira a ID do aplicativo (cliente) copiada anteriormente do portal Azure.

  6. Selecione Salvar para ver o emissor e o valor da credencial federada.

  7. Copie o Emissor de credencial federada e o Valor de credencial federada e cole-os em um arquivo temporário. Você precisa dele em etapas posteriores.

  8. Acesse o portal do Azure e a inscrição de aplicativo que você criou anteriormente. Em Gerenciar, selecione Certificados & segredos e, em seguida Credenciais federadas.

  9. Selecione Adicionar credencial.

  10. Em Cenário de credenciais federadas, selecione Outro emissor.

  11. Insira os seguintes valores para as propriedades:

    • Issuer: insira o valor do emissor da credencial federada que você copiou anteriormente do Copilot Studio.
    • Value: Insira o valor da credencial federada que você copiou anteriormente do Copilot Studio.
    • Nome: forneça um nome.

  12. Selecione Adicionar para finalizar a configuração.

Configurar permissões de API

  1. Acesse Permissões da API.

  2. Selecione Conceder consentimento do administrador para <nome do seu locatário>, depois selecione Sim. Se o botão não estiver disponível, talvez seja necessário pedir a um administrador de locatários para inseri-lo para você.

    Captura de tela da janela Permissões de API com uma permissão de locatário realçada.

    Importante

    Para evitar que os usuários precisem consentir com cada aplicativo, alguém atribuído pelo menos ao cargo de Administrador de Aplicativos ou Administrador de Aplicativos de Nuvem pode conceder consentimento para todo o locatário aos registros do seu aplicativo.

  3. Selecione Adicionar uma permissão e selecione Microsoft Graph.

    Screenshot da janela de permissões da API de Solicitação com Microsoft Graph realçado.

  4. Selecione Permissões delegadas.

    Captura de tela de Permissões delegadas destacadas.

  5. Expanda Permissões de OpenId e ative o código aberto e o perfil.

    Captura de tela das permissões OpenId, openid e perfil destacadas.

  6. Selecione Adicionar Permissões.

Definir um escopo personalizado para seu agente

Os escopos determinam os papéis de usuário e administrador e os direitos de acesso. Crie um escopo personalizado para o registro do aplicativo Canvas.

  1. Acesse Expor uma API e selecione Adicionar um escopo.

    Captura de tela do botão Expor uma API e Adicionar um escopo destacado.

  2. Defina as seguintes propriedades. Você pode deixar as outras propriedades em branco.

    Propriedade Valor
    Nome do escopo Insira um nome que faça sentido no seu ambiente, como Test.Read
    Quem pode consentir? Selecione Administradores e usuários
    Nome de exibição do consentimento do administrador Insira um nome que faça sentido no seu ambiente, como Test.Read
    Descrição do consentimento do administrador Inserir Allows the app to sign the user in.
    Estado Selecione Habilitado

  3. Selecione Adicionar escopo.

Configurar a autenticação no Copilot Studio

  1. No Copilot Studio, em Settings, selecione Security>Authentication.

  2. Selecione Autenticar manualmente.

  3. Deixe ativada a opção Exigir que os usuários entrem.

  4. Selecione um Provedor de serviços e forneça os valores necessários. Consulte Configure a autenticação manual no Copilot Studio.

  5. Clique em Salvar.

Gorjeta

Use a URL de troca de tokens para trocar o token On-Behalf-Of (OBO) pelo token de acesso solicitado. Para obter mais informações, consulte Configurar logon único com Microsoft Entra ID.

Observação

Os escopos devem incluir profile openid e os seguintes escopos, dependendo do seu caso de uso:

  • Sites.Read.All Files.Read.All para SharePoint
  • ExternalItem.Read.All para Conexão de Grafo
  • https://[OrgURL]/user_impersonation para dados estruturados do Dataverse

Por exemplo, os Dados Estruturados do Dataverse devem ter os seguintes escopos: profile openid Sites.Read.All Files.Read.All https://myorg123.com/user_impersonation

Testar o seu agente

  1. Publique seu agente.

  2. No painel Testar seu agente, envie uma mensagem para seu agente.

  3. Quando o agente responder, selecione Entrar.

    Uma nova aba do navegador se abre, solicitando que você faça login.

  4. Entre e copie o código de validação exibido.

  5. Para completar o processo de login, cole o código no chat do agente.

    Captura de tela de uma autenticação de usuário bem-sucedida em uma conversa do agente, com o código de validação realçado.

  • Last updated on