Einmaliges Anmelden mit Microsoft Entra ID für Agents in Microsoft Teams konfigurieren

Copilot Studio unterstützt einmaliges Anmelden (Single Sign-On, SSO) für Agenten, die in Microsoft Teams 1:1-Chats veröffentlicht wurden. Mithilfe dieser Funktion können sich Agenten automatisch mit ihren Microsoft-Teams-Anmeldeinformationen anmelden. SSO wird nur unterstützt, wenn Microsoft Entra ID verwendet wird.

Wichtig

Sie können SSO in Microsoft Teams-Chats verwenden, ohne dass eine manuelle Authentifizierung erforderlich ist. Um diese Methode für einen zuvor veröffentlichten Agent zu verwenden, konfigurieren Sie den Agent neu, um Authenticate mit Microsoft zu verwenden, und veröffentlichen Sie ihn dann erneut in Microsoft Teams. Es kann einige Stunden dauern, bis diese Änderung wirksam wird. Wenn ein Benutzer sich mitten in einer Unterhaltung befindet und die Änderung noch nicht erfolgt ist, kann er im Chat „Neu starten“ eingeben, um die Unterhaltung mit der neuesten Version des Agenten neu zu starten. Diese Änderungen sind jetzt für Teams 1:1-Chats zwischen dem Benutzenden und dem Agent verfügbar. Sie sind noch nicht für Gruppenchats oder Kanalnachrichten verfügbar.

SSO wird nicht unterstützt, wenn Ihr Agent in Dynamics 365 Customer Service integriert ist.

Fahren Sie mit dem folgenden Dokument nur fort, wenn dies erforderlich ist. Wenn Sie die manuelle Authentifizierung für Ihren Agent verwenden möchten, lesen Sie bitte Benutzerauthentifizierung mit Microsoft Entra ID konfigurieren.

Note

Wenn Sie die Teams-SSO-Authentifizierung mit der manuellen Authentifizierungsoption verwenden und den Agent gleichzeitig auf benutzerdefinierten Websites verwenden, müssen Sie die Teams-App mithilfe des App-Manifests bereitstellen.

Weitere Informationen finden Sie unter Das Teams-App-Manifest für einen Agenten herunterladen.

Andere Konfigurationen, wie beispielsweise Authentifizierungsoptionen außer 'Manuell' oder die Bereitstellung über Teams mit einem Klick per Copilot Studio, funktionieren nicht.

Voraussetzungen

Konfigurieren Sie eine App-Registrierung

Bevor Sie SSO für Teams konfigurieren, richten Sie bitte die Benutzerauthentifizierung mit Microsoft Entra ID ein. Bei diesem Vorgang wird eine App-Registrierung erstellt, die Sie zum Einrichten von SSO benötigen.

  1. Erstellen Sie eine App-Registrierung. Weitere Informationen finden Sie in den Anweisungen unter Benutzerauthentifizierung mit Microsoft Entra ID konfigurieren.

  2. Die Umleitungs-URL hinzufügen.

  3. Geheimen Clientschlüssel generieren.

  4. Manuelle Authentifizierung konfigurieren.

Ermitteln Sie Ihre Teams-Kanal-App-ID

  1. Öffnen Sie in Copilot Studio den Agent, für den Sie SSO konfigurieren möchten.

  2. Wechseln Sie zur Seite Kanäle für Ihren Agent, und wählen Sie die Kachel Teams und Microsoft 365 Copilot aus.

  3. Wählen Sie im Konfigurationsfenster Teams und Microsoft 365 Copilot die Option Details bearbeiten aus, erweitern Sie Mehr und wählen Sie dann neben dem Feld App-ID die Option Kopieren aus.

Fügen Sie die Teams-Kanal-App-ID zu Ihrer App-Registrierung hinzu

  1. Gehen Sie zu Azure-Portal. Öffnen Sie die App-Registrierungsinstanz für die App-Registrierung, die Sie bei der Konfiguration der Benutzerauthentifizierung für Ihren Agenten erstellt haben.

  2. Wählen Sie API sichtbar machen im Seitenbereich aus. Wählen Sie Festlegen für die Anwendung-ID-URI aus.

    Screenshot der Position der Set-Schaltfläche für die Anwendungs-ID-URI.

  3. api://botid-{teamsbotid} eingeben und {teamsbotid} mit Ihrer Teams-Kanal-App-ID ersetzen, die Sie vorhin gefunden haben.

    Screenshot einer korrekt formatierten URI, die in das Feld Anwendungs-ID-URI eingegeben wurde.

  4. Wählen Sie Speichern.

Anwendungen sind autorisiert, APIs aufzurufen, wenn Benutzer oder Administratoren während des Einwilligungsprozesses Berechtigungen erteilen. Weitere Informationen zu Berechtigungen finden Sie unter Berechtigungen und Zustimmung in der Microsoft Identity Platform.

Wenn die Option für die Administratoreinwilligung verfügbar ist, erteilen Sie die Zustimmung:

  1. Wechseln Sie im Azure-Portal bei ihrer App-Registrierung zu API-Berechtigungen.

  2. Wählen Sie Administratorenzustimmung für <Ihren Mandantennamen> gewähren und wählen Sie anschließend Ja aus.

Wichtig

Um zu vermeiden, dass Benutzende jeder Anwendung zustimmen müssen, muss mindestens eine Fachkraft mit der Rolle für die Anwendungs- oder Cloud-Anwendungsadministration die mandantenweite Einwilligung zu Ihren Anwendungsregistrierungen erteilen.

API Berechtigungen hinzufügen

  1. Wechseln Sie im Azure-Portal bei ihrer App-Registrierung zu API-Berechtigungen.

  2. Eine Berechtigung hinzufügen und Microsoft Graph auswählen.

  3. Wählen Sie Delegierte Berechtigungen. Eine Liste von Berechtigungen wird angezeigt.

  4. Erweitern Sie OpenId-Berechtigungen.

  5. Wählen Sie OpenID und Profil aus.

  6. Wählen Sie Berechtigungen hinzufügen aus.

    Screenshot der aktivierten openid- und Profilberechtigungen.

Einen benutzerdefinierten Bereich für Ihren Agenten festlegen

  1. Wechseln Sie im Azure-Portal in Ihrer App-Registrierungsinstanz zu Expose an API.

  2. Wählen Sie Bereich hinzufügen aus.

    Screenshot der hervorgehobenen Schaltfläche „Einen Bereich hinzufügen“.

  3. Legen Sie die folgenden Eigenschaften fest:

    Eigentum Wert
    Bereichsname Geben Sie Test.Read ein.
    Wer kann die Einwilligung erteilen? Wählen Sie Administratoren und Benutzer aus
    Administratorzustimmung Anzeigename Geben Sie Test.Read ein.
    Beschreibung der Administratorzustimmung Geben Sie Allows the app to sign the user in. ein.
    Staat Wählen Sie Aktiviert aus

    Note

    Der Bereichsname Test.Read ist ein Platzhalterwert. Ersetzen Sie ihn durch einen Namen, der in Ihrer Umgebung sinnvoll ist.

  4. Wählen Sie "Bereich hinzufügen" aus.

Microsoft Teams Client-ID hinzufügen

Wichtig

Verwenden Sie die für Microsoft Teams Client-IDs bereitgestellten Werte buchstäblich in den folgenden Schritten, da diese Client-IDs für alle Mandanten identisch sind.

  1. Wechseln Sie im Azure-Portal in Ihrer App-Registrierungsinstanz zu Expose an API und wählen Sie Add a client application aus.

    Screenshot der hervorgehobenen Schaltfläche

  2. In dem Feld Kunden ID geben Sie im Feld die Client-ID für Microsoft Teams Mobil/Desktop ein, die 1fec8e78-bce4-4aaf-ab1b-5451cc387264 ist. Aktivieren Sie das Kontrollkästchen für den Umfang, den Sie zuvor erstellt haben.

    Screenshot der Client-ID, die im Bereich Client-Anwendung hinzufügen eingegeben wurde.

  3. Wählen Sie "Anwendung hinzufügen" aus.

  4. Wiederholen Sie die vorherigen Schritte, jedoch geben Sie für Client-ID die Client-ID für Microsoft Teams im Web ein, die 5e3ce6c0-2b1f-4285-8d4b-75ee78787346 lautet.

  5. Bestätigen Sie, dass die Seite Eine API zugänglich machen die Microsoft Teams Client-App-IDs aufführt.

Zusammenfassend sind die beiden Microsoft Teams-Client-IDs, die Sie zur Seite "Expose an API" hinzufügen:

  • 1fec8e78-bce4-4aaf-ab1b-5451cc387264
  • 5e3ce6c0-2b1f-4285-8d4b-75ee78787346

Die Token-Austausch-URL zu den Authentifizierungseinstellungen Ihres Agenten hinzufügen

Um die Microsoft Entra ID Authentifizierungseinstellungen in Copilot Studio zu aktualisieren, fügen Sie die Tokenaustausch-URL hinzu, damit Microsoft Teams und Copilot Studio Informationen freigeben können.

  1. Wechseln Sie im Azure-Portal in Ihrer App-Registrierungsinstanz zu Expose an API.

  2. Wählen Sie unter Bereiche das Symbol "In Zwischenablage kopieren" aus.

  3. Wählen Sie in Copilot Studio unter den Einstellungen für den Agenten die Option Sicherheit und dann die Kachel Authentifizierung aus.

  4. Für den Token-Austausch-URL (erforderlich für SSO) fügen Sie den Bereich ein, den Sie zuvor kopiert haben.

  5. Wählen Sie Speichern.

    Screenshot der Stelle, an der die URL für den Tokenaustausch in Copilot Studio eingefügt werden soll.

SSO zum Teams-Kanal Ihres Agenten hinzufügen

  1. Wählen Sie in Copilot Studio unter den Einstellungen für den Agenten die Option Kanäle aus.

  2. Wählen Sie die Kachel Teams und Microsoft 365 Copilot aus.

  3. Wählen Sie Details bearbeiten und erweitern Sie Mehr.

  4. Für Client-ID der AAD-Anwendung, geben Sie die Anwendungs-(Client-)ID aus Ihrer App-Registrierung ein.

    Um diesen Wert zu erhalten, öffnen Sie das Azure-Portal. Bitte gehen Sie bei Ihrer App-Registrierung zu Übersicht. Kopieren Sie den Wert im Kästchen Anwendung (Client)-ID.

  5. Für Ressourcen-URI geben Sie die Anwendungs-ID-URI aus Ihrer App-Registrierung ein.

    Um diesen Wert zu erhalten, öffnen Sie das Azure-Portal. Bitte gehen Sie bei Ihrer App-Registrierung zu API verfügbar machen. Kopieren Sie den Wert im Kästchen Anwendungs-ID URI.

    Screenshot der Stelle, an der der Anwendungs-ID-URI im Teams-Kanal von Copilot Studio eingefügt werden soll

  6. Wählen Sie Speichern und dann Schließen aus.

  7. Veröffentlichen Sie den Agenten erneut, um Ihren Kunden die neuesten Änderungen zur Verfügung zu stellen.

  8. Wählen Sie Agent in Teams anzeigen, um eine neue Unterhaltung mit Ihrem Agent in Teams zu beginnen und zu überprüfen, ob Sie automatisch angemeldet werden.

Bekannte Probleme

Wenn Sie Ihren Agent zuerst mithilfe der manuellen Authentifizierung ohne Teams SSO veröffentlicht haben, fordert der Agent in Teams die Benutzer kontinuierlich auf, sich anzumelden.

  • Last updated on