Configurar autenticação de usuário no Copilot Studio
A autenticação permite que os usuários entrem, dando ao seu agente acesso a um recurso ou informação restrita. Os usuários podem fazer login com uma conta do Microsoft Entra ID ou com qualquer provedor de identidade OAuth2 como Google ou Facebook.
Observação
No Microsoft Teams, é possível configurar um agente do Copilot Studio para fornecer recursos de autenticação, de forma que os usuário entrem no Microsoft Entra ID ou em qualquer Provedor de identidade do OAuth2, como uma conta da Microsoft ou do Facebook.
Você pode adicionar autenticação de usuário aos tópicos ao editar um tópico.
Importante
As alterações na configuração de autenticação só terão efeito após a publicação do seu agente. Planeje com antecedência antes de fazer alterações de autenticação em seu agente.
Escolha uma opção de autenticação
O Copilot Studio dá suporte a várias opções de autenticação. Escolha aquela que atenda às suas necessidades.
Acessar Configurações para seu agente e selecionar Segurança.
Selecione Autenticação.
As seguintes opções de autenticação estão disponíveis:
Selecione Salvar.
Sem autenticação
Nenhuma autenticação significa que seu agente não exige que os usuários entrem ao interagir com ele. Uma configuração não autenticada significa que seu agente só pode acessar informações e recursos públicos. Os chatbots clássicos são configurados por padrão para não exigir autenticação.
Cuidado
Selecionar a opção Sem autenticação permite que qualquer pessoa que tenha o link converse e interaja com seu bot ou agente.
Recomendamos que você aplique autenticação, especialmente se estiver usando seu bot ou agente em sua organização ou para usuários específicos, juntamente com outros controles de segurança e governança.
Autenticar com a Microsoft
Importante
Quando a opção Autenticar com a Microsoft estiver selecionada, todos os canais, exceto o canal do Teams, serão desabilitados.
Além disso, a opção Autenticar com Microsoft não está disponível para agentes integrados ao Dynamics 365 Customer Service.
Essa configuração define automaticamente a autenticação da ID do Microsoft Entra para o Teams, sem a necessidade de nenhuma configuração manual. Como a autenticação do Teams identifica o usuário, os usuários não são solicitados a entrar enquanto estão no Teams, a menos que seu agente exija um escopo expandido.
Somente o canal do Teams estará disponível se você selecionar essa opção. Se você precisar publicar o copiloto em outros canais, mas ainda quiser autenticação para o copiloto, escolha Autenticar manualmente.
Se você selecionar a opção Autenticar com a Microsoft, as seguintes variáveis permanecerão disponíveis na tela de criação:
User.IDUser.DisplayName
Para obter mais informações sobre essas variáveis e como usá-las, consulte Adicionar autenticação do usuário a tópicos.
As variáveis User.AccessTokeneUser.IsLoggedIn não estão disponíveis com esta opção. Se você precisar de um token de autenticação, use a opção Autenticar manualmente.
Se você alterar de Autenticar manualmente para Autenticar com a Microsoft e os tópicos contiverem as variáveis User.AccessToken ou User.IsLoggedIn, elas serão exibidas como variáveis Desconhecidas depois da alteração. Certifique-se de corrigir todos os tópicos com erros antes de publicar seu agente.
Autenticar manualmente
O Copilot Studio oferece suporte aos seguintes provedores de autenticação na opção Autenticar manualmente:
- Azure Active Directory
- Azure Active Directory v2
- Azure Active Directory v2 com Certificados
- OAuth 2 Genérico - Qualquer provedor de identidade que esteja em conformidade com o OAuth2 padrão
Se você selecionar a opção Somente para o Teams, as seguintes variáveis ficarão disponíveis na tela de autoria:
User.IdUser.DisplayNameUser.AccessTokenUser.IsLoggedIn
Para obter mais informações sobre essas variáveis e como usá-las, consulte Adicionar autenticação do usuário a tópicos.
Depois que a configuração for salva, publique seu agente para que as alterações tenham efeito.
Observação
- As alterações de autenticação só têm efeito após a publicação do agente.
- Essa configuração pode ser controlada pelo controle de administrador correspondente no Power Platform. Quando está habilitado, o controle impede que a opção Autenticar manualmente seja habilitada ou desabilitada dentro do Copilot Studio. O controle permanece sempre habilitado, e a configuração Autenticar manualmente não pode ser modificada no Copilot Studio.
Logon do usuário e compartilhamento de agente necessário
Exigir que os usuários entrem determina se um usuário precisa entrar antes de falar com o agente. É altamente recomendável que você ative essa configuração para agentes que precisam acessar informações confidenciais ou restritas.
Essa opção não está disponível para as opções Sem autenticação e Autenticar com a Microsoft.
Observação
Essa opção também não é configurável quando a política DLP no centro de administração do Power Platform está configurada para exigir autenticação. Para obter mais informações, consulte Exemplo de prevenção contra perda de dados - Exigir autenticação de usuário em agentes.
Se você desativar essa opção, seu agente não solicita que os usuários entrem até encontrar um tópico que exija que eles façam isso.
Quando você ativa esta opção, ela cria um tópico do sistema chamado Exigir que os usuários façam login. Este tópico só é relevante para a configuração Autenticar manualmente. Os usuários são sempre autenticados no Teams.
O tópico Exigir que os usuários entrem é acionado automaticamente para qualquer usuário que fale com o agente sem ser autenticado. Se o usuário não fizer login, o tópico redireciona para o tópico do sistema Escalar.
O tópico é somente leitura e não pode ser personalizado. Para vê-lo, selecione Ir para a tela de criação.
Controle quem pode conversar com o agente na organização
A autenticação do seu agente e a configuração Exigir que os usuários entrem determinam se você pode compartilhar o agente para controlar quem na sua organização pode conversar com ele. A configuração de autenticação não afeta o compartilhamento de um agente para colaboração.
Sem autenticação: qualquer usuário que tenha um link para o agente (ou consiga encontrá-lo, por exemplo, no seu site) pode conversar com ele. Não é possível controlar quais usuários na sua organização podem conversar com o agente.
Autenticar com Microsoft: o agente funciona apenas no canal do Teams. Como o usuário estará sempre conectado, a configuração Exigir que os usuários entrem está ativada e não pode ser desativada. Você pode usar o compartilhamento do agente para controlar quem na sua organização pode conversar com o agente.
Autenticar manualmente:
Se o provedor de serviços for o Azure Active Directory ou Microsoft Entra ID, você pode ativar Exigir que os usuários entrem para controlar quem em sua organização pode conversar com o agente usando o compartilhamento de agente.
Se o provedor de serviços for OAuth2 genérico, você pode ativar ou desativar a opção Exigir que os usuários façam login. Quando está ativado, um usuário que faz login pode conversar com o agente. Não é possível controlar quais usuários específicos na sua organização podem conversar com o agente usando o compartilhamento de agente.
Quando a configuração de autenticação de um agente não puder controlar quem pode conversar com ele, se você selecionar Compartilhar na página visão geral do agente, uma mensagem informa que qualquer pessoa poderá conversar com seu agente.
Campos de autenticação manual
A seguir estão todos os campos que você pode ver ao configurar a autenticação manual. Os campos que você verá dependem de sua escolha de provedor de serviço.
| Nome do campo | Descrição |
|---|---|
| Modelo da URL de autorização | O modelo de URL para autorização, conforme definido pelo seu provedor de identidade. Por exemplo, https://login.microsoftonline.com/common/oauth2/v2.0/authorize |
| Modelo da cadeia de caracteres de consulta da URL de autorização | O modelo de consulta para autorização, conforme fornecido pelo seu provedor de identidade; por exemplo. As chaves no modelo de cadeia de consulta variam de acordo com o provedor de identidade (?client_id={ClientId}&response_type=code&redirect_uri={RedirectUrl}&scope={Scopes}&state={State}). |
| ID do cliente | Sua ID do Cliente obtida do provedor de identidade. |
| Client secret | Seu segredo do cliente, obtido quando você criou o registro do aplicativo do provedor de identidade. |
| Atualizar modelo de corpo | O modelo para o corpo de atualização (refresh_token={RefreshToken}&redirect_uri={RedirectUrl}&grant_type=refresh_token&client_id={ClientId}&client_secret={ClientSecret}). |
| Atualizar modelo da cadeia de caracteres de consulta da URL | O separador de string de consulta do URL de atualização para o URL do token, geralmente um ponto de interrogação (?). |
| Atualizar modelo de URL | O modelo de URL para atualização; por exemplo, https://login.microsoftonline.com/common/oauth2/v2.0/token. |
| Delimitador da lista de escopos | O caractere separador da lista de escopos. Espaços vazios não são permitidos neste campo.1 |
| Escopos | A lista de escopos que você deseja que os usuários tenham após o login. Use o Delimitador de lista do escopo para separar vários escopos.1 Defina apenas os escopos necessários e siga o princípio de controle de acesso de privilégio mínimo. |
| Provedor de serviços | O provedor de serviços que você deseja usar para autenticação. Para obter mais informações, consulte Provedores do OAuth genérico. |
| ID do locatário | Seu ID do locatário do Microsoft Entra ID. Consulte Use um locatário existente do Microsoft Entra ID para saber como encontrar seu ID de locatário. |
| Modelo do corpo do token | O modelo para o corpo do token. (code={Code}&grant_type=authorization_code&redirect_uri={RedirectUrl}&client_id={ClientId}&client_secret={ClientSecret}) |
| URL de troca de Token (obrigatória para SSO) | Este é um campo opcional usado durante a configuração do logon único. |
| Modelo de URL do token | O modelo de URL para tokens, conforme definido pelo seu provedor de identidade; por exemplo, https://login.microsoftonline.com/common/oauth2/v2.0/token |
| Modelo da cadeia de caracteres de consulta da URL do token | O separador de string de consulta para o URL do token, geralmente um ponto de interrogação (?). |
1 Você pode usá-los no campo Escopos se o provedor de identidade exigir. Nesse caso, insira uma vírgula (,) em Delimitador de lista de escopo e insira espaços no campo Escopos.
Desativar a autenticação
Com o agente aberto, selecione Configurações na barra de menu superior.
Selecione Segurança e, em seguida, Autenticação.
Selecione Sem autenticação.
Se as variáveis de autenticação estiverem sendo usadas em um tópico, elas se tornarão variáveis Desconhecidas. Acesse a página Tópicos para ver quais tópicos contêm erros e corrija-os antes de publicar.
Publicar o agente.
Importante
Se o agente tiver ações configuradas para exigir credenciais de usuário, não desative a autenticação no nível agente, pois isso impediria que essas ações funcionassem.