【Microsoft Copilot Studio】使用Microsoft Entra ID配置用户身份验证

重要事项

在对生成式人工智能进行了大量投资并增强了Microsoft Copilot之间的集成后，Power Virtual Agents的功能和特性现在是Microsoft Copiloth Studio的一部分。

在我们更新文档和培训内容时，一些文章和屏幕截图可能会参考Power Virtual Agents。

向副驾驶添加身份验证允许用户登录，使副驾驶能够访问受限的资源或信息。

本文介绍如何将Microsoft Entra ID配置为您的服务提供商。要了解其他服务提供商和用户身份验证的一般信息，请参阅配置用户身份验证。

如果您具有租户管理权限，则可以配置API权限。否则，您需要请租户管理员为您完成此操作。

先决条件

Learn how to use user authentication in a topic.

您在Azure门户中完成了前几个步骤，并在Copilot Studio中完成了最后两个步骤。

创建应用程序注册

• 使用与副驾驶位于同一租户的管理员帐户登录Azure门户。
• 通过选择图标或在顶部搜索栏中搜索，转到应用程序注册。

显示Azure服务中应用程序注册的屏幕截图。

• 选择“新建注册”，然后输入注册名称。

稍后使用副驾驶的名字可能会有所帮助。例如，如果您的副驾驶名为“Contoso销售帮助”，您可以将应用程序注册命名为“Contoso SalesReg”

• 在“支持的帐户类型”下，选择任何组织目录中的帐户（任何Microsoft Entra ID目录-多租户）和个人Microsoft帐户（例如Skype、Xbox）。
• 暂时将重定向URI部分留空。在接下来的步骤中输入该信息。
• 选择注册。
• 注册完成后，转到概述。
• 复制应用程序（客户端）ID并将其粘贴到临时文件中。您在后续步骤中需要它。

添加重定向URL

• 转到“身份验证”，然后选择“添加平台”。

应用程序注册窗口的屏幕截图，其中身份验证和添加平台按钮突出显示。

• 在“平台配置”下，选择“添加平台”，然后选择“Web”。

突出显示Web应用程序平台的平台配置窗口的屏幕截图。

在重定向URI下，输入https://token.botframework.com/.auth/web/redirect以及https://europe.token….

注：

Copilot Studio中的身份验证配置窗格可能会显示以下重定向URL：https://unitedstates.token.botframework.com/.auth/web/redirect.使用该URL会导…；请改用URI。

• 在隐式授权和混合流[Implicit grant and hybrid flows]部分，同时启用Access令牌（用于隐式流）和ID令牌（用于显式流和混合流）。

“配置Web”窗口的屏幕截图，突出显示了重定向URI、隐式授权和混合流令牌。

• 选择配置。

生成客户端密钥

• 转到证书和机密。
• 在“客户端机密”部分，选择“新建客户端机密”。
• （可选）输入描述。如果留空，则提供一个。
• 选择到期期限。选择与副驾驶寿命相关的最短时间。
• 选择“添加”以创建密钥。
• 将秘密的值存储在安全的临时文件中。稍后配置副驾驶身份验证时需要它。

小贴士

在复制客户端密钥的值之前，不要离开页面。如果这样做，该值将被混淆，您必须生成一个新的客户端密钥。

配置手动身份验证

• 在Copilot Studio的导航菜单中的“设置”下，选择“安全”。然后选择身份验证卡。

选择身份验证卡的屏幕截图。

• 选择“手动”（适用于包括团队在内的任何频道），然后启用“要求用户登录”。

选择手动身份验证选项的屏幕截图。

• 为属性输入以下值：
  • 服务提供商：选择Microsoft Entra ID。
  • 客户端ID：输入您之前从Azure门户复制的应用程序（客户端）ID。
  • 客户端密码：输入您之前从Azure门户生成的客户端密码。
  • 作用域：输入配置文件openid。
• 选择保存以完成配置。

配置API权限

• 转到API权限。
• 为<您的租户名称>选择授予管理员同意，然后选择是。如果按钮不可用，您可能需要让租户管理员为您输入。

突出显示租户权限的API权限窗口的屏幕截图。

注：

为了避免用户必须同意每个应用程序，全球管理员、应用程序管理员或云应用程序管理员可以授予租户范围内对应用程序注册的同意。

• 选择添加权限，然后选择Microsoft Graph。
• 

请求API权限窗口的屏幕截图，突出显示Microsoft Graph。

• 选择“委派权限”。

突出显示授权权限的屏幕截图。

• 展开OpenId权限并打开OpenId和配置文件。

突出显示OpenId权限、OpenId和配置文件的屏幕截图。

• 选择添加权限。

为副驾驶定义自定义范围

作用域允许您确定用户和管理员角色以及访问权限。您可以为稍后步骤中创建的画布应用程序注册创建自定义范围。

• 转到“公开API”，然后选择“添加作用域”。

显示API并突出显示添加范围按钮的屏幕截图。

• 设置以下属性。您可以将其他属性留空。

1. Property	Value
   Scope name	Enter a name that makes sense in your environment, such as Test.Read
   Who can consent?	Select Admins and users
   Admin consent display name	Enter a name that makes sense in your environment, such as Test.Read
   Admin consent description	Enter Allows the app to sign the user in.
   State	Select Enabled

    

• 选择添加范围。

在Microsoft Copilot Studio中配置身份验证

• 在Copilot Studio的“设置”下，选择“安全性”，然后选择“身份验证”。

Copilot Studio安全页面的屏幕截图，突出显示了设置、安全和身份验证。

• 选择手动（用于自定义网站）。
• 启用“要求用户登录”。
• 设置以下属性。

Property	Value
Service provider	Select Microsoft Entra ID
Client ID	Enter the application (client) ID that you copied earlier in the Azure portal
Client secret	Enter the client secret you generated earlier in the Azure portal
Scopes	Enter profile openid

• 选择保存。

小贴士

令牌交换URL用于将代表（OBO）令牌交换为请求的访问令牌。有关更多信息，请参阅为您的自定义网站配置单点登录。

测试你的副驾驶

• 发布你的副驾驶。
• 在“测试副驾驶”窗格中，向副驾驶发送一条消息。
• 当副驾驶响应时，选择登录。

使用Microsoft Entra ID用户身份验证测试Copilot Studio副驾驶的屏幕截图。

一个新的浏览器选项卡打开，要求您登录。

• 登录，然后复制显示的验证码。
• 将代码粘贴到副驾驶聊天中以完成登录过程。

副驾驶对话中用户身份验证成功的屏幕截图，并突出显示验证代码。