Freigeben über

Einmaliges Anmelden mit Microsoft Entra ID für Agenten in Microsoft Teams konfigurieren

  • Artikel

Copilot Studio unterstützt Single Sign-On (SSO) für Agenten, die in Microsoft Teams 1:1-Chats veröffentlicht werden, was bedeutet, dass Agenten Benutzer automatisch mit ihren Microsoft Teams Anmeldeinformationen anmelden können. SSO wird nur unterstützt, wenn Microsoft Entra ID verwendet wird. Andere Dienstanbieter, z. B. Azure AD v1, unterstützen SSO in Microsoft Teams nicht.

Wichtig

Es ist möglich, SSO in Microsoft Teams-Chats zu verwenden, ohne dass eine manuelle Authentifizierung erforderlich ist. Um diese Methode für einen zuvor veröffentlichten Agent zu nutzen, konfigurieren Sie den Agent neu, um Mit Microsoft authentifizieren zu verwenden. Veröffentlichen Sie ihn dann erneut in Microsoft Teams. Es kann einige Stunden dauern, bis diese Änderung wirksam wird. Wenn sich Benutzende mitten in einer Unterhaltung befinden und die Änderung scheinbar nicht wirksam geworden ist, können sie im Chat „Neu starten“ eingeben, um den Neustart der Agent-Unterhaltung vom letzten veröffentlichten Stand aus auszulösen. Diese Änderungen sind jetzt für Teams 1:1-Chats zwischen dem Benutzenden und dem Agent verfügbar. Sie sind noch nicht für Gruppenchats oder Kanalnachrichten verfügbar.

SSO wird nicht bei Agenten unterstützt, die in Dynamics 365 Customer Service integriert sind.

Bitte fahren Sie mit dem folgenden Dokument nicht fort, es sei denn, dies ist erforderlich. Wenn Sie die manuelle Authentifizierung für Ihre Agent verwenden möchten, finden Sie weitere Informationen unter Konfigurieren der Benutzerauthentifizierung mit Microsoft Entra ID.

Anmerkung

Wenn Sie die Teams-SSO-Authentifizierung mit der manuellen Authentifizierungsoption verwenden und gleichzeitig die Agent auf benutzerdefinierten Websites verwenden, müssen Sie die Teams-App mithilfe des App-Manifests bereitstellen.

Weitere Informationen finden Sie unter Herunterladen des Teams-App-Manifests für eine Agent.

Andere Konfigurationen, z. B. andere Authentifizierungsoptionen als „Manuell“ oder über die Teams-Bereitstellung mit Copilot Studio mit einem Klick, funktionieren nicht.

Anforderungen

Konfigurieren Sie eine App-Registrierung

Bevor Sie SSO für Teams konfigurieren, müssen Sie die Benutzerauthentifizierung mit Microsoft Entra ID konfigurieren. Bei diesem Prozess wird eine App-Registrierung erstellt, die zum Einrichten von SSO erforderlich ist.

  1. Erstellen Sie eine -App-Registrierung. Weitere Informationen finden Sie in den Anweisungen unter Benutzerauthentifizierung mit Microsoft Entra ID konfigurieren.

  2. Die Umleitungs-URL hinzufügen.

  3. Geheimen Clientschlüssel generieren.

  4. Manuelle Authentifizierung konfigurieren.

Suchen Sie Ihre Microsoft Teams Kanal-App-ID

  1. Öffnen Sie in Copilot Studio den Agenten, für den Sie SSO konfigurieren möchten.

  2. Wählen Sie unter den Einstellungen für die Agent die Option Kanäle aus. Wählen Sie die Kachel Microsoft Teams.

  3. Wenn der Microsoft Teams Kanal noch nicht mit Ihrem Agent verbunden ist, wählen Sie Teams aktivieren aus. Weitere Informationen finden Sie unter Verbinden einer Agent mit dem Microsoft Teams Kanal.

  4. Wählen Sie Details bearbeiten aus, erweitern Sie Mehr und wählen Sie dann Kopieren neben dem Feld App-ID aus.

Hinzufügen Ihrer Teams App ID zu Ihrer Microsoft Teams Kanal App-IT, um Ihre App zu registrieren

  1. Wechseln Sie zum Azure-Portal. Öffnen Sie das Blatt App-Registrierung für die App-Registrierung, die Sie erstellt haben, als Sie die Benutzerauthentifizierung für Ihre Agent konfiguriert haben.

  2. Wählen Sie API sichtbar machen im Seitenbereich aus. Wählen Sie Festlegen für die Anwendung-ID-URI aus.

    Screenshot der Position der Einstellungs-Schaltfläche für den Anwendungs-ID-URI.

  3. api://botid-{teamsbotid} eingeben und {teamsbotid} mit Ihrer Teams-Kanal-App-ID ersetzen, die Sie vorhin gefunden haben.

    Screenshot einer korrekt formatierten URI, die in das Feld Anwendungs-ID-URI eingegeben wurde.

  4. Wählen Sie Save (Speichern).

Anwendungen sind berechtigt, APIs aufzurufen, wenn ihnen von Benutzenden/Administrierenden im Rahmen des Einwilligungsprozesses Berechtigungen erteilt werden. Weitere Informationen zu Berechtigungen finden Sie unter Berechtigungen und Zustimmung in der Microsoft Identity Platform.

Wenn die Option „Administratoreinwilligung“ verfügbar ist, müssen Sie die Einwilligung erteilen:

  1. Gehen Sie dann bei Ihrer App-Registrierung im Azure-Portal zu API-Berechtigungen.

  2. Wählen Sie Einwilligung des Administrators für <Mandantennamen> gewähren und dann Ja aus.

Wichtig

Um zu vermeiden, dass Benutzende jeder Anwendung zustimmen müssen, muss mindestens eine Fachkraft mit der Rolle für die Anwendungs- oder Cloud-Anwendungsadministration die mandantenweite Einwilligung zu Ihren Anwendungsregistrierungen erteilen.

API Berechtigungen hinzufügen

  1. Gehen Sie dann bei Ihrer App-Registrierung im Azure-Portal zu API-Berechtigungen.

  2. Eine Berechtigung hinzufügen und Microsoft Graph auswählen.

  3. Wählen Sie Delegierte Berechtigungen. Eine Liste von Berechtigungen wird angezeigt.

  4. Erweitern Sie OpenId-Berechtigungen.

  5. Wählen Sie OpenID und Profil aus.

  6. Wählen Sie Berechtigungen hinzufügen aus.

    Screenshot der aktivierten openid- und Profilberechtigungen.

Einen benutzerdefinierten Bereich für Ihren Agenten festlegen

  1. Gehen Sie dann bei Ihrer App-Registrierung im Azure-Portal zu API sichtbar machen.

  2. Wählen Sie Ein Bereich hinzufügen.

    Screenshot der Schaltflche einen Umfang hinzufügen.

  3. Legen Sie die folgenden Eigenschaften fest:

    Eigenschaften Wert
    Umangsname Geben Sie Test.Read ein
    Wer kann die Einwilligung erteilen? Wählen Sie Administratoren und Benutzer aus
    Administratorzustimmung für Anzeigename Geben Sie Test.Read ein
    Administratoreinwilligung Beschreibung Geben Sie Allows the app to sign the user in. ein
    Bundesstaat Wählen Sie Aktiviert aus

    Notiz

    Der Bereichsname Test.Read ist ein Platzhalterwert und sollte durch einen Namen ersetzt werden, der in Ihrer Umgebung sinnvoll ist.

  4. Wählen Sie Umfang hinzufügen aus.

Microsoft Teams Client-ID hinzufügen

Wichtig

In den folgenden Schritten sollten die bereitgestellten Werte für Microsoft Teams Client-IDs wörtlich verwendet werden, da sie für alle Mandanten gleich sind.

  1. Wählen Sie im Azure Portal auf Ihrerer Aop-Registrierungsmaske die Option API sichtbar machen und wählen Sie Client-Anwendugn hinzufügen aus.

    Screenshot der Schaltflche eine Client-Anwendung hinzufügen.

  2. In dem Feld Kunden ID geben Sie im Feld die Client-ID für Microsoft Teams Mobil/Desktop ein, die 1fec8e78-bce4-4aaf-ab1b-5451cc387264 ist. Aktivieren Sie das Kontrollkästchen für den Umfang, den Sie zuvor erstellt haben.

    Screenshot der Client-ID, die im Bereich Client-Anwendung hinzufügen eingegeben wurde.

  3. Wählen Sie Anwendung hinzufügen aus.

  4. Wiederholen Sie die vorherigen Schritte, aber geben Sie unter Client-ID die Client-ID für Microsoft Teams im Web ein, die 5e3ce6c0-2b1f-4285-8d4b-75ee78787346 lautet.

  5. Bestätigt die Seite Stellen Sie eine API bereit die die Microsoft Teams Client-App-IDs aiufführt..

Kurz gesagt: Die beiden Microsoft Teams-Client-IDs, die der Seite Eine API verfügbar machen hinzugefügt wurden, sind:

  • 1fec8e78-bce4-4aaf-ab1b-5451cc387264
  • 5e3ce6c0-2b1f-4285-8d4b-75ee78787346

Die Token-Austausch-URL zu den Authentifizierungseinstellungen Ihres Agenten hinzufügen

Um die Microsoft Entra ID-Authentifizierungseinstellungen in Copilot Studio zu aktualisieren, müssen Sie die Token-Austausch-URL hinzufügen, damit Microsoft Teams und Copilot Studio Informationen austauschen dürfen.

  1. Gehen Sie dann bei Ihrer App-Registrierung im Azure-Portal zu API sichtbar machen.

  2. Wählen Sie unter Bereiche das Symbol In Zwischenablage kopieren aus.

  3. Wählen Copilot Studio Sie unter den Einstellungen für die Agent die Option Sicherheit und dann die Kachel Authentifizierung aus.

  4. Für den Token-Austausch-URL (erforderlich für SSO) fügen Sie den Bereich ein, den Sie zuvor kopiert haben.

  5. Wählen Sie Speichern.

    Screenshot der Stelle, an der die URL für den Tokenaustausch in Copilot Studio eingefügt werden soll.

SSO zum Microsoft Teams-Kanal Ihres Agenten hinzufügen

  1. Wählen Sie in Copilot Studio unter den Einstellungen für den Agenten Kanäle aus.

  2. Wählen Sie die Kachel Microsoft Teams.

  3. Wählen Sie Details bearbeiten und erweitern Sie Mehr.

  4. Für Client-ID der AAD-Anwendung fügen Sie die Anwendung (Cliet-ID) der Seite Ihrer-App-Registrierung hinzu.

    Um diesen Wert zu erhalten, öffnen Sie das Azure-Portal. Gehen Sie dann auf Ihrem App-Registrierungsblatt zu Überblick. Kopieren Sie den Wert im Kästchen Anwendung (Client)-ID.

  5. Für Ressourcen-URI geben Sie die Anwendungs-ID-URI aus Ihrer App-Registrierung ein.

    Um diesen Wert zu erhalten, öffnen Sie das Azure-Portal. Gehen Sie dann auf Ihrem App-Registrierungsblatt zu API sichtbar machen. Kopieren Sie den Wert im Kästchen Anwendungs-ID URI.

    Screenshot der Stelle, an der die Anwendungs-ID-URI im Teams-Kanal von Copilot Studio eingefügt werden soll.

  6. Wählen Sie Speichern und anschließend Schließen aus.

  7. Veröffentlichen Sie den Agenten erneut, um Ihren Kunden die neuesten Änderungen zur Verfügung zu stellen.

  8. Wählen Sie Agent in Teams öffnen, um eine neue Unterhaltung mit Ihrem Agent zu Microsoft Teams beginnen und zu überprüfen, ob Sie automatisch angemeldet werden.

Bekannte Probleme

Wenn Sie Ihren Agenten zuerst mit manueller Authentifizierung ohne Teams-SSO veröffentlicht haben, fordert der Agent in Teams die Benutzenden ständig auf, sich anzumelden.