Freigeben über

Einmaliges Anmelden mit Microsoft Entra ID für Agents in Microsoft Teams konfigurieren

Copilot Studio unterstützt einmaliges Anmelden (Single Sign-On, SSO) für Agents, die in Microsoft Teams 1:1-Chats veröffentlicht wurden. Mit diesem Support können sich Agents automatisch mit ihren Microsoft Teams-Anmeldeinformationen anmelden. SSO wird nur unterstützt, wenn Microsoft Entra ID verwendet wird. Andere Dienstanbieter, z. B. Azure AD v1, unterstützen SSO in Microsoft Teams nicht.

Wichtig

Sie können SSO in Microsoft Teams-Chats verwenden, ohne dass eine manuelle Authentifizierung erforderlich ist. Um diese Methode für einen zuvor veröffentlichten Agent zu nutzen, konfigurieren Sie den Agent für die Verwendung von Mit Microsoft authentifizieren neu, und veröffentlichen Sie ihn dann erneut in Microsoft Teams. Es kann einige Stunden dauern, bis diese Änderung wirksam wird. Wenn ein Benutzer sich mitten in einer Unterhaltung befindet und die Änderung noch nicht erfolgt ist, kann er im Chat „Neu starten“ eingeben, um die Unterhaltung mit der neuesten Version des Agenten neu zu starten. Diese Änderungen sind jetzt für Teams 1:1-Chats zwischen dem Benutzenden und dem Agent verfügbar. Sie sind noch nicht für Gruppenchats oder Kanalnachrichten verfügbar.

SSO wird nicht unterstützt, wenn Ihr Agent in Dynamics 365 Customer Service integriert ist.

Fahren Sie mit dem folgenden Dokument nur fort, wenn dies erforderlich ist. Wenn Sie die manuelle Authentifizierung für Ihren Agent verwenden möchten, lesen Sie bitte Benutzerauthentifizierung mit Microsoft Entra ID konfigurieren.

Anmerkung

Wenn Sie die Teams-SSO-Authentifizierung mit der manuellen Authentifizierungsoption verwenden und den Agent gleichzeitig auf benutzerdefinierten Websites verwenden, müssen Sie die Teams-App mithilfe des App-Manifests bereitstellen.

Weitere Informationen finden Sie unter Das Teams-App-Manifest für einen Agenten herunterladen.

Andere Konfigurationen, z. B. Authentifizierungsoptionen neben „Manuell“ oder über die Teams-Bereitstellung mit Copilot Studio mit einem Klick, funktionieren nicht.

Voraussetzungen

Konfigurieren Sie eine App-Registrierung

Bevor Sie SSO für Teams konfigurieren, richten Sie bitte die Benutzerauthentifizierung mit Microsoft Entra ID ein. Bei diesem Vorgang wird eine App-Registrierung erstellt, die Sie zum Einrichten von SSO benötigen.

  1. Eine ‑App-Registrierung erstellen Weitere Informationen finden Sie in den Anweisungen unter Benutzerauthentifizierung mit Microsoft Entra ID konfigurieren.

  2. Die Umleitungs-URL hinzufügen.

  3. Geheimen Clientschlüssel generieren.

  4. Manuelle Authentifizierung konfigurieren.

Suchen Sie Ihre Teams-Kanal-App-ID

  1. Öffnen Sie in Copilot Studio den Agent, für den Sie SSO konfigurieren möchten.

  2. Wechseln Sie zur Seite Kanäle für Ihren Agent, und wählen Sie die Kachel Teams und Microsoft 365 Copilot aus.

  3. Wählen Sie im Konfigurationsfenster Teams und Microsoft 365 Copilot die Option Details bearbeiten aus, erweitern Sie Mehr und wählen Sie dann neben dem Feld App-ID die Option Kopieren aus.

Hinzufügen Ihrer Teams-Kanal App ID zu Ihrer App Registrierung

  1. Wechseln Sie zum Azure-Portal. Öffnen Sie die App-Registrierungsinstanz für die App-Registrierung, die Sie bei der Konfiguration der Benutzerauthentifizierung für Ihren Agenten erstellt haben.

  2. Wählen Sie API sichtbar machen im Seitenbereich aus. Wählen Sie Festlegen für die Anwendung-ID-URI aus.

    Screenshot der Position der Einstellungs-Schaltfläche für den Anwendungs-ID-URI.

  3. api://botid-{teamsbotid} eingeben und {teamsbotid} mit Ihrer Teams-Kanal-App-ID ersetzen, die Sie vorhin gefunden haben.

    Screenshot einer korrekt formatierten URI, die in das Feld Anwendungs-ID-URI eingegeben wurde.

  4. Wählen Sie Save (Speichern).

Anwendungen sind autorisiert, APIs aufzurufen, wenn Benutzer oder Administratoren während des Einwilligungsprozesses Berechtigungen erteilen. Weitere Informationen zu Berechtigungen finden Sie unter Berechtigungen und Zustimmung in der Microsoft Identity Platform.

Wenn die Option für die Administratoreinwilligung verfügbar ist, erteilen Sie die Zustimmung:

  1. Bitte navigieren Sie im Azure-Portal zu Ihrer App-Registrierung und wählen Sie API-Berechtigungen aus.

  2. Wählen Sie Einwilligung des Administrators für <Mandantennamen> gewähren und dann Ja aus.

Wichtig

Um zu vermeiden, dass Benutzende jeder Anwendung zustimmen müssen, muss mindestens eine Fachkraft mit der Rolle für die Anwendungs- oder Cloud-Anwendungsadministration die mandantenweite Einwilligung zu Ihren Anwendungsregistrierungen erteilen.

Hinzufügen von API-Berechtigungen

  1. Bitte navigieren Sie im Azure-Portal zu Ihrer App-Registrierung und wählen Sie API-Berechtigungen aus.

  2. Eine Berechtigung hinzufügen und Microsoft Graph auswählen.

  3. Wählen Sie Delegierte Berechtigungen. Eine Liste von Berechtigungen wird angezeigt.

  4. Erweitern Sie OpenId-Berechtigungen.

  5. Wählen Sie OpenID und Profil aus.

  6. Wählen Sie Zugriffsrechte hinzufügen.

    Screenshot der aktivierten openid- und Profilberechtigungen.

Einen benutzerdefinierten Bereich für Ihren Agent festlegen

  1. Navigieren Sie im Azure-Portal zu Ihrer App-Registrierungsinstanz und wählen Sie API verfügbar machen.

  2. Wählen Sie Ein Bereich hinzufügen.

    Screenshot der Schaltfläche einen Umfang hinzufügen.

  3. Legen Sie die folgenden Eigenschaften fest:

    Eigenschaften Wert
    Umfangsname Geben Sie Test.Read ein
    Wer kann die Einwilligung erteilen? Wählen Sie Administratoren und Benutzer aus
    Administratorzustimmung für Anzeigename Geben Sie Test.Read ein
    Administratoreinwilligung Beschreibung Geben Sie Allows the app to sign the user in. ein
    Bundesstaat Wählen Sie Aktiviert aus

    Anmerkung

    Der Bereichsname Test.Read ist ein Platzhalterwert. Ersetzen Sie ihn durch einen Namen, der in Ihrer Umgebung sinnvoll ist.

  4. Wählen Sie Umfang hinzufügen aus.

Microsoft Teams Client-ID hinzufügen

Wichtig

In den folgenden Schritten sollten die für Microsoft Teams-Client-IDs bereitgestellten Werte wörtlich verwendet werden, da sie für alle Mandanten gleich sind.

  1. Wechseln Sie im Azure-Portal in Ihrer App-Registrierungsinstanz zu API verfügbar machen, und wählen Sie Clientanwendung hinzufügen aus.

    Screenshot der Schaltfläche eine Client-Anwendung hinzufügen.

  2. In dem Feld Kunden ID geben Sie im Feld die Client-ID für Microsoft Teams Mobil/Desktop ein, die 1fec8e78-bce4-4aaf-ab1b-5451cc387264 ist. Aktivieren Sie das Kontrollkästchen für den Umfang, den Sie zuvor erstellt haben.

    Screenshot der Client-ID, die im Bereich Client-Anwendung hinzufügen eingegeben wurde.

  3. Wählen Sie Anwendung hinzufügen aus.

  4. Wiederholen Sie die vorherigen Schritte, jedoch geben Sie für Client-ID die Client-ID für Microsoft Teams im Web ein, die 5e3ce6c0-2b1f-4285-8d4b-75ee78787346 lautet.

  5. Bestätigt die Seite Stellen Sie eine API bereit die die Microsoft Teams Client-App-IDs aufführt.

Zusammenfassend lässt sich sagen, dass die beiden Microsoft Teams-Client-IDs, die der Seite API verfügbar machen hinzugefügt wurden, wie folgt lauten:

  • 1fec8e78-bce4-4aaf-ab1b-5451cc387264
  • 5e3ce6c0-2b1f-4285-8d4b-75ee78787346

Die Token-Austausch-URL zu den Authentifizierungseinstellungen Ihres Agenten hinzufügen

Um die Microsoft Entra ID-Authentifizierungseinstellungen in Copilot Studio zu aktualisieren, müssen Sie die Tokenaustausch-URL hinzufügen, damit Microsoft Teams und Copilot Studio Informationen austauschen können.

  1. Navigieren Sie im Azure-Portal zu Ihrer App-Registrierungsinstanz und wählen Sie API verfügbar machen.

  2. Wählen Sie unter Bereiche das Symbol In Zwischenablage kopieren aus.

  3. Wählen Sie in Copilot Studio unter den Einstellungen für den Agenten die Option Sicherheit und anschließend die Kachel Authentifizierung.

  4. Für den Token-Austausch-URL (erforderlich für SSO) fügen Sie den Bereich ein, den Sie zuvor kopiert haben.

  5. Wählen Sie Speichern aus.

    Screenshot der Stelle, an der die URL für den Tokenaustausch in Copilot Studio eingefügt werden soll.

SSO zum Teams-Kanal Ihres Agenten hinzufügen

  1. Wählen Sie in Copilot Studio unter den Einstellungen für den Agenten die Option Kanäle aus.

  2. Wählen Sie die Kachel Teams und Microsoft 365 Copilot.

  3. Wählen Sie Details bearbeiten und erweitern Sie Mehr.

  4. Für Client-ID der AAD-Anwendung fügen Sie die Anwendung (Client-ID) der Seite Ihrer-App-Registrierung hinzu.

    Um diesen Wert zu erhalten, öffnen Sie das Azure-Portal. Bitte gehen Sie bei Ihrer App-Registrierung zu Übersicht. Kopieren Sie den Wert im Kästchen Anwendung (Client)-ID.

  5. Für Ressourcen-URI geben Sie die Anwendungs-ID-URI aus Ihrer App-Registrierung ein.

    Um diesen Wert zu erhalten, öffnen Sie das Azure-Portal. Bitte gehen Sie bei Ihrer App-Registrierung zu API verfügbar machen. Kopieren Sie den Wert im Kästchen Anwendungs-ID URI.

    Screenshot der Stelle, an der der Anwendungs-ID-URI im Teams-Kanal von Copilot Studio eingefügt werden soll

  6. Wählen Sie Speichern und dann Schließen aus.

  7. Veröffentlichen Sie den Agenten erneut, um Ihren Kunden die neuesten Änderungen zur Verfügung zu stellen.

  8. Wählen Sie Agent in Teams anzeigen, um eine neue Unterhaltung mit Ihrem Agent in Teams zu beginnen und zu überprüfen, ob Sie automatisch angemeldet werden.

Bekannte Probleme

Wenn Sie Ihren Agent zuerst mithilfe der manuellen Authentifizierung ohne Teams SSO veröffentlicht haben, fordert der Agent in Teams die Benutzer kontinuierlich auf, sich anzumelden.

  • Last updated on