Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
A autenticação permite que os usuários entrem, dando ao seu agente acesso a um recurso ou informação restrita. Os usuários podem entrar com o Microsoft Entra ID, ou com qualquer provedor de identidade do OAuth2 como Google ou Facebook.
Observação
No Microsoft Teams, é possível configurar um agente do Copilot Studio para fornecer recursos de autenticação, de forma que os usuário entrem no Microsoft Entra ID ou em qualquer Provedor de identidade do OAuth2, como uma conta da Microsoft ou do Facebook.
Você pode adicionar autenticação de usuário aos tópicos ao editar um tópico.
Importante
As alterações na configuração de autenticação só terão efeito após a publicação do seu agente. Planeje com antecedência antes de fazer alterações de autenticação em seu agente.
Escolha uma opção de autenticação
O Copilot Studio dá suporte a várias opções de autenticação. Selecione e configure a opção que atenda às necessidades.
Acessar Configurações para seu agente e selecionar Segurança.
Selecione Autenticação.
Selecione uma opção de autenticação e configure conforme necessário. As seguintes opções de autenticação estão disponíveis:
Selecione Salvar.
Sem autenticação
Nenhuma autenticação significa que seu agente não exige que os usuários entrem ao interagir com ele. Uma configuração não autenticada significa que seu agente só pode acessar informações e recursos públicos. Os chatbots clássicos são configurados por padrão para não exigir autenticação.
Cuidado
Selecionar a opção Sem autenticação permite que qualquer pessoa que tenha o link converse e interaja com seu bot ou agente.
Recomendamos que você aplique autenticação, especialmente se estiver usando seu bot ou agente em sua organização ou para usuários específicos, juntamente com outros controles de segurança e governança.
Observação
Esta opção não permanece disponível quando a política de dados no Centro de administração do Power Platform está configurada para exigir autenticação. Para obter mais informações, consulte Exemplo de política de dados - Exigir autenticação de usuário em agentes.
Autenticar com a Microsoft
Importante
Quando a opção Autenticar com a Microsoft está selecionada, você tem acesso ao canal Teams + Microsoft 365. Você também pode usar canais de aplicativo personalizados e aplicativos nativos.
Além disso, a opção Autenticar com a Microsoft não está disponível para agentes integrados ao Dynamics 365 Customer Service.
Essa configuração configura automaticamente a autenticação do Microsoft Entra ID para o Teams sem a necessidade de qualquer configuração manual. Como a autenticação do Teams identifica o usuário, os usuários não são solicitados a entrar enquanto estão no Teams, a menos que seu agente exija um escopo expandido.
Se você precisar publicar o agente em canais diferentes do Teams + Microsoft 365, mas ainda quiser autenticação para o agente, escolha Autenticar manualmente.
Se você selecionar a opção Autenticar com a Microsoft, as seguintes variáveis permanecerão disponíveis na tela de criação do tópico:
User.IDUser.DisplayName
Para obter mais informações sobre essas variáveis e como usá-las, consulte Adicionar autenticação do usuário a tópicos.
As variáveis User.AccessToken e User.IsLoggedIn não estão disponíveis com esta opção. Se você precisar de um token de autenticação, use a opção Autenticar manualmente.
Se você alterar de Autenticar manualmente para Autenticar com a Microsoft e os tópicos contiverem as variáveis User.AccessToken ou User.IsLoggedIn, elas serão exibidas como variáveis Desconhecidas depois da alteração. Certifique-se de corrigir todos os tópicos com erros antes de publicar seu agente.
Autenticar manualmente
O Copilot Studio dá suporte aos seguintes provedores de serviço de autenticação na opção Autenticar manualmente:
- Microsoft Entra ID V2 com credenciais federadas
- Microsoft Entra ID V2 com certificados
- Microsoft Entra ID V2 com segredos do cliente
- Microsoft Entra ID
- Generic OAuth 2 - Qualquer provedor de identidade que esteja em conformidade com o padrão OAuth2
Se você selecionar a opção Autenticar manualmente, as seguintes variáveis permanecerão disponíveis na tela de criação do tópico:
User.IdUser.DisplayNameUser.AccessTokenUser.IsLoggedIn
Para obter mais informações sobre essas variáveis e como usá-las, consulte Adicionar autenticação do usuário a tópicos.
Depois que a configuração for salva, publique seu agente para que as alterações tenham efeito.
Observação
- As alterações de autenticação só têm efeito após a publicação do agente.
- Controle essa configuração com o controle de administrador correspondente no Power Platform. Quando está habilitado, o controle impede que a opção Autenticar manualmente seja ativada ou desativada dentro do Copilot Studio. O controle sempre permanece ativado, e a opção Autenticar manualmente não pode ser modificada no Copilot Studio.
Logon do usuário e compartilhamento de agente necessário
Exigir que os usuários entrem determina se um usuário precisa entrar antes de falar com o agente. É altamente recomendável que você ative essa configuração para agentes que precisam acessar informações confidenciais ou restritas.
Essa opção não está disponível para as opções Sem autenticação e Autenticar com a Microsoft.
Observação
Essa opção não pode ser desativada quando a política de dados no Centro de administração do Power Platform está definida como exigir autenticação. Para obter mais informações, consulte Exemplo de política de dados - Exigir autenticação de usuário em agentes.
Se você desativar essa opção, seu agente não solicita que os usuários entrem até encontrar um tópico que exija que eles façam isso.
Quando você ativa esta opção, ela cria um tópico do sistema chamado Exigir que os usuários façam login. Este tópico só é relevante para a configuração Autenticar manualmente. Os usuários são sempre autenticados no Teams.
O tópico Exigir que os usuários entrem é acionado automaticamente para qualquer usuário que fale com o agente sem ser autenticado. Se o usuário não fizer login, o tópico redireciona para o tópico do sistema Escalar.
O tópico é somente leitura e não pode ser personalizado. Para vê-lo, selecione Ir para a tela de criação.
Controle quem pode conversar com o agente na organização
A combinação do tipo de autenticação do agente e da configuração Exigir que os usuários entrem determinam se você pode compartilhar o agente para controlar quem na organização pode conversar com ele. A configuração de autenticação não afeta o compartilhamento de um agente para colaboração.
Sem autenticação: qualquer usuário que tenha um link para o agente (ou consiga encontrá-lo, por exemplo, no seu site) pode conversar com ele. Não é possível controlar quais usuários na sua organização podem conversar com o agente.
Autenticar com a Microsoft: o agente funciona apenas no canal do Teams. Como o usuário estará sempre conectado, a configuração Exigir que os usuários entrem está ativada e não pode ser desativada. Você pode usar o compartilhamento do agente para controlar quem na sua organização pode conversar com o agente.
Autenticar manualmente:
Se o provedor de serviços for o Microsoft Entra ID, você poderá ativar Exigir que os usuários entrem para controlar quem na organização pode conversar com o agente usando o compartilhamento de agente.
Se o provedor de serviços for OAuth2 genérico, você pode ativar ou desativar a opção Exigir que os usuários façam login. Quando está ativado, um usuário que faz login pode conversar com o agente. Não é possível controlar quais usuários específicos na sua organização podem conversar com o agente usando o compartilhamento de agente.
Quando a configuração da autenticação de um agente não permite controlar quem pode conversar com ele você seleciona Compartilhar na página visão geral do agente, uma mensagem informa que qualquer pessoa pode conversar com o agente.
Campos de autenticação manual
A tabela a seguir descreve campos que você pode encontrar ao configurar uma autenticação manual. Os campos específicos que você vê dependem da seleção do provedor de serviços.
| Nome do campo | Descrição |
|---|---|
| Modelo da URL de autorização | O modelo de URL para autorização, conforme definido pelo seu provedor de identidade. Por exemplo, https://login.microsoftonline.com/common/oauth2/v2.0/authorize |
| Modelo da cadeia de caracteres de consulta da URL de autorização | O modelo de consulta para autorização, conforme fornecido pelo seu provedor de identidade; por exemplo. As chaves no modelo de cadeia de consulta variam de acordo com o provedor de identidade (?client_id={ClientId}&response_type=code&redirect_uri={RedirectUrl}&scope={Scopes}&state={State}). |
| ID do cliente | Sua ID do Cliente obtida do provedor de identidade. |
| Segredo do cliente | Seu segredo do cliente, obtido quando você criou o registro do aplicativo do provedor de identidade. |
| URL do KeyVault de certificado do cliente | A URL do KeyVault onde o certificado do cliente está armazenado. Necessária para Microsoft Entra ID com autenticação de certificados. |
| Tipo de concessão | O tipo de concessão OAuth2 que você deseja usar. |
| A declaração x5c é necessária | Especifique se a declaração x5c é necessária na solicitação do token. Necessária para Microsoft Entra ID com autenticação de certificados. |
| URL de logon | A URL aonde os usuários são direcionados para fazer login. |
| Atualizar modelo de corpo | O modelo para o corpo de atualização (refresh_token={RefreshToken}&redirect_uri={RedirectUrl}&grant_type=refresh_token&client_id={ClientId}&client_secret={ClientSecret}). |
| Atualizar modelo da cadeia de caracteres de consulta da URL | O separador de string de consulta do URL de atualização para o URL do token, geralmente um ponto de interrogação (?). |
| Atualizar modelo de URL | O modelo de URL para atualização; por exemplo, https://login.microsoftonline.com/common/oauth2/v2.0/token. |
| URL do recurso | A URL do recurso para a qual o token é solicitado. |
| Delimitador da lista de escopos | O caractere separador da lista de escopos. Espaços vazios não são permitidos neste campo.1 |
| Escopos | A lista de escopos que você deseja que os usuários tenham após entrarem. Use o Delimitador de lista do escopo para separar vários escopos.1 Defina apenas os escopos necessários e siga o princípio de controle de acesso de privilégio mínimo. |
| Provedor de serviços | O provedor de serviços que você deseja usar para autenticação. Para obter mais informações, veja Provedores genéricos OAuth. |
| ID do locatário | Seu ID do locatário do Microsoft Entra ID. Consulte Use um locatário existente do Microsoft Entra ID para saber como encontrar seu ID de locatário. |
| Modelo do corpo do token | O modelo para o corpo do token. (code={Code}&grant_type=authorization_code&redirect_uri={RedirectUrl}&client_id={ClientId}&client_secret={ClientSecret}) |
| URL de troca de token (necessário para logon único [SSO]) | Este é um campo opcional usado durante a configuração do logon único. |
| Modelo de URL do token | O modelo de URL para tokens, conforme definido pelo seu provedor de identidade; por exemplo, https://login.microsoftonline.com/common/oauth2/v2.0/token |
| Modelo da cadeia de caracteres de consulta da URL do token | O separador de string de consulta para o URL do token, geralmente um ponto de interrogação (?). |
1 Você pode usar espaços no campo Escopos se o provedor de identidade exigir isso. Nesse caso, insira uma vírgula (,) em Delimitador de lista de escopo e insira espaços no campo Escopos.
Desativar a autenticação
Com o agente aberto, selecione Configurações na barra de menu superior.
Selecione Segurança e, em seguida, Autenticação.
Selecione Sem autenticação.
Se as variáveis de autenticação estiverem sendo usadas em um tópico, elas se tornarão variáveis Desconhecidas. Acesse a página Tópicos para ver quais tópicos contêm erros e corrija-os antes de publicar.
Publicar o agente.
Importante
Se o agente tiver ferramentas configuradas para exigir credenciais de usuário, não desative a autenticação no nível agente, pois isso impediria que essas ferramentas funcionassem.