Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Die Steuerung der Verwendung von vom Hersteller bereitgestellten Anmeldeinformationen ist ein Governance-Feature in Microsoft Copilot Studio, mit dem Administratoren bestimmen können, wie Entwickler Tools authentifizieren können, die sie agents hinzufügen.
Beim Konfigurieren eines Agents könnte ein Hersteller mithilfe ihrer persönlichen Anmeldeinformationen ein Tool hinzufügen, das eine Authentifizierung für einen anderen Service erfordert (z. B. einen Konnektor oder einen Power Automate-Flow). Wenn jemand den Agent verwendet, verwendet der Agent die Anmeldeinformationen des Erstellers, nicht die Anmeldeinformationen des Endbenutzers, um sich bei verbundenen Diensten zu authentifizieren. Die Verwendung von Ersteller-Anmeldeinformationen kann zu einer Überteilung von Daten oder Funktionen führen, z. B. kann ein Endbenutzer Informationen abrufen oder Aktionen ausführen, die nur das Konto des Erstellers ausführen darf.
Indem Sie konfigurieren, wie Ersteller Tools authentifizieren können, können Sie schädliche Aktionen verhindern, da jeder Endbenutzer nur Zugriff auf das hat, was sein eigenes Konto zulässt.
Das Feature Optionen für Anmeldeinformationen für Steuerelementersteller ermöglicht dies, indem Sie steuern können, wie ein Ersteller Tools in einem Agent authentifizieren kann. Sie wählen aus, ob Ersteller ihre eigenen Anmeldeinformationen für die Authentifizierung von Toolverbindungen verwenden können, um die Anmeldeinformationen des Endbenutzers zu verwenden oder auf beide Zugreifen haben können.
Durch Erzwingen der Verwendung von Endbenutzeranmeldeinformationen wird der Endbenutzer aufgefordert, sich bei Bedarf (beim relevanten Dienst oder Konnektor) anzumelden. Zur Laufzeit werden keine gespeicherten Ersteller-Anmeldeinformationen verwendet, wobei das Verhalten des Agents an den tatsächlichen Berechtigungen des Endbenutzers ausgerichtet wird.
Administratoren können die Auswahl von vom Hersteller bereitgestellten Anmeldeinformationen im Power Platform Admin Center aktivieren und deaktivieren, wie in diesem Artikel beschrieben.
Vorsicht
Standardmäßig sind sowohl die vom Endbenutzer als auch vom Ersteller bereitgestellten Anmeldeinformationen aktiviert.
Erste Schritte
Warnung
Wenn sie wie angewiesen konfiguriert ist, deaktiviert das Feature sofort die Fähigkeit des Erstellers, seine Anmeldeinformationen für die Authentifizierung von Tools innerhalb der Umgebung oder Umgebungsgruppe auszuwählen. Alle Tools für alle Agents in den betroffenen Umgebungen ändern sich sofort, um Endbenutzeranmeldeinformationen zur Laufzeit anzufordern.
Sie sollten Ihre Ersteller und Benutzer auf diese Änderung vorbereiten, da alle neuen Unterhaltungen mit den betroffenen Agents den Agent-Benutzer zur Eingabe ihrer Anmeldedetails für den verbundenen Dienst auffordern.
Voraussetzungen
- Berechtigungen für Power Platform-Administratoren (Umgebungsadministrator für eine einzelne Umgebung oder Power Platform-Administrator/globaler Administrator für Umgebungsgruppen).
Verhindern der Verwendung von vom Hersteller bereitgestellten Anmeldeinformationen
Wählen Sie aus, ob Endbenutzer- oder Herstelleranmeldeinformationen (oder beides) von Entscheidungsträgern für Agents in einer Umgebung oder für alle Agents in allen Umgebungen in einer Umgebungsgruppe ausgewählt werden können.
Tipp
Wenn die Umgebung, die Sie konfigurieren möchten, Teil einer Umgebungsgruppe ist, müssen Sie ein Mandantenadministrator mit Zugriff auf die Gruppe sein.
Sie können dieses Feature nicht auf der einzelnen Detailseite für Umgebungen konfigurieren, die sich in einer Gruppe befinden, sie müssen die Detailseite der Gruppe verwenden.
Wechseln Sie zum Power Platform Admin Center und melden Sie sich mit Einem Admin-Konto an.
Wählen Sie auf der Seitennavigation "Verwalten" aus.
Wählen Sie "Umgebungen " oder "Umgebungsgruppen" aus. Wählen Sie in der angezeigten Liste den Namen der Umgebung oder die Umgebungsgruppe aus, die Sie konfigurieren möchten. Die Detailseite für die Umgebung oder Umgebungsgruppe wird geöffnet.
Wählen Sie auf der Detailseite der Umgebung die Option Einstellungen in der oberen Menüleiste aus. Erweitern Sie den Abschnitt Produkt, und wählen Sie Funktionen aus.
Scrollen Sie zum Abschnitt Copilot Studio-Agents.
Wählen Sie unter "Control maker credential options" die Option "Endbenutzeranmeldeinformationen " oder " Von Maker bereitgestellte Anmeldeinformationen" oder beides aus.
Tipp
Wenn sich die Umgebung in einer Gruppe befindet, sind die Optionen nicht verfügbar, und eine Meldung weist Sie an, die Einstellung für die Gruppe zu konfigurieren, nicht die einzelne Umgebung.
Klicken Sie auf Speichern.
Die Aktualisierung kann eine Minute dauern, bis sie verteilt wird. Nach der Aktivierung entsprechen alle vorhandenen und neuen Agents in dieser Umgebung dieser Regel, und die Arten von Authentifizierungsoptionen für Entscheidungsträger ändern sich in Copilot Studio.
Umfang der Durchsetzung und Erfahrung
Vorsicht
Auswirkungen auf autonome Agents
Wenn vom Hersteller bereitgestellte Anmeldeinformationen nicht verwendet werden, erfordern Agents echtzeitbasierte Benutzerinteraktionen, da jeder Toolaufruf bei einer Live-Benutzeranmeldung authentifiziert werden muss. Daher können Agents, die durch geplante oder autonome Ereignisse ausgelöst wurden oder die versuchen, im Hintergrund auszuführen, aufgrund fehlender Anmeldeinformationen fehlschlagen.
Alle Agent-Trigger müssen einen aktiven Benutzer umfassen.
Erstellererfahrung
Die Copilot Studio-Benutzeroberfläche für die Dokumenterstellung spiegelt diese Richtlinie automatisch wider. Alle Umschalt- oder Dropdownlisten für Authentifizierungsmethoden haben vom Hersteller bereitgestellte Anmeldeinformationen deaktiviert oder ausgeblendet. Der Hersteller sieht, dass nur die Endbenutzerauthentifizierung (oder die Maker-Authentifizierung) ausgewählt werden kann. Diese Benachrichtigung kann einfach als „Endbenutzeranmeldeinformationen“ in der Benutzeroberfläche bezeichnet werden. Wenn der Hersteller zuvor ein Tool mit seinen Anmeldeinformationen konfiguriert hatte, werden sie möglicherweise aufgefordert, es vor der Veröffentlichung des Agents zu ändern.
Endbenutzererfahrung
Wenn ein Endbenutzer mit einem Agent (z. B. in Teams oder auf einer Website) interagiert und eine Toolaktion auslöst, fordert der Agent den Benutzer auf, sich anzumelden, wenn er noch nicht angemeldet ist. Die Eingabeaufforderung kann eine Anmeldekarte oder ein Link sein. Sobald sich der Benutzer mit seinem eigenen Konto für den erforderlichen Dienst anmeldet, fährt der Agent mit der Aktion mit den Anmeldeinformationen des Benutzers fort. Wenn der Benutzer bereits angemeldet ist (z. B. ist sein Microsoft 365- oder Microsoft Teams-Konto auch für den erforderlichen Dienst autorisiert), kann der Agent diese vorhandene Authentifizierungssitzung verwenden. Die Aktion wird unter der Identität des Endbenutzers ausgeführt. Wenn der Benutzer nicht über die Berechtigung für etwas verfügt, kann der Agent dies nicht im Namen des Benutzers tun – nach Entwurf.
Power Automate-Flow
Die Kontrolle über den Authentifizierungstyp umfasst Konnektoren, integrierte Aktionen und eingebettete Power Automate-Flows gleichermaßen. Ein Power Automate Flow als Tool im Agent erfordert auch, dass sich jeder Benutzer für alle verbindungen anmeldet, die von diesem Fluss verwendet werden.
Umfang der Durchsetzung
Die Richtlinie wird pro Umgebung (oder Umgebungsgruppe) angewendet. Wenn eine Umgebung Teil einer verwalteten Gruppe ist, in der die Richtlinie aktiviert ist, können Sie sie nicht einzeln für eine Umgebung in dieser Gruppe deaktivieren . Umgebungsgruppeneinstellungen setzen alle Umgebungseinstellungen außer Kraft.
Nächste Schritte
Wie bei allen Sicherheitsfeatures sollte dieses Feature Teil Ihrer Verteidigungsstrategie sein. So können Sie beispielsweise Folgendes tun:
Verwenden Sie die Einschränkung von Anmeldeinformationen in sensiblen oder Produktionsumgebungen, in denen Agents für andere Endbenutzer freigegeben werden und datensicherheit von größter Bedeutung ist , z. B. Produktions-Agents, die auf die internen Systeme Ihrer Organisation zugreifen, z. B. Microsoft 365. Die Verwendung der Anmeldeinformationseinschränkung in diesen Umgebungen stellt sicher, dass nur autorisierte Benutzer (aufgrund ihrer eigenen Anmeldeinformationen) vertrauliche Vorgänge über den Agent ausführen können.
Kombinieren Sie die Einschränkung von Anmeldeinformationen mit Agent-Freigabesteuerelementen für noch engere Sicherheit. Indem Sie auch verhindern, dass Ersteller Agents frei teilen (oder indem Sie einschränken, wer bestimmte Agents verwenden kann), verringern Sie das Risiko, dass ein Ersteller beispielsweise einen Agent an jemanden weitergeben kann, der keinen Zugriff haben sollte. Optionen für Anmeldeinformationen für Steuerelementersteller stellen sicher, dass Anmeldeinformationen nicht unangemessen freigegeben werden, und verhindern auch jeden Typ von gespeicherten Anmeldeinformationen, einschließlich API-Schlüsseln.