Configuración del inicio de sesión único con Microsoft Entra ID para agentes en Microsoft Teams

Copilot Studio admite el inicio de sesión único (SSO) para agentes publicados en chats de Microsoft Teams 1:1. Con esta compatibilidad, los agentes pueden iniciar sesión automáticamente a los usuarios con sus credenciales de Microsoft Teams. SSO solo es compatible cuando se utiliza Microsoft Entra ID.

Importante

Puede usar el inicio de sesión único en chats de Microsoft Teams sin necesidad de autenticación manual. Para usar este método para un agente publicado anteriormente, vuelva a configurar el agente para que use Authenticate con Microsoft y vuelva a publicarlo en Microsoft Teams. Es posible que pasen algunas horas antes de que este cambio surta efecto. Si un usuario está en medio de una conversación y el cambio todavía no ha surtido efecto, puede escribir "empezar de nuevo" en el chat para forzar el reinicio de la conversación con la última versión del agente. Estos cambios ya están disponibles para los chats 1:1 de Teams entre el usuario y el agente. Todavía no están disponibles para chats grupales o mensajes de canal.

SSO no es compatible par agentes integrados con Dynamics 365 Customer Service.

No continúe con el siguiente documento a menos que sea necesario. Si quiere usar la autenticación manual para su agente, consulte Configurar autenticación de usuario con Microsoft Entra ID.

Note

Si utiliza la autenticación SSO de Teams con la opción de autenticación manual y, al mismo tiempo, utiliza el agente en sitios web personalizados, debe implementar la aplicación Teams mediante el manifiesto de la aplicación.

Para obtener más información, consulte Descargar el manifiesto de la aplicación de Teams para un agente.

Otras configuraciones, como opciones de autenticación además de Manual, o a través del despliegue de Teams mediante Copilot Studio con un solo clic, no funcionan.

Prerrequisitos

Configurar un registro de aplicación

Antes de configurar SSO para Teams, configure la autenticación de usuarios con Microsoft Entra ID. Este proceso crea un registro de aplicación que necesita para configurar SSO.

  1. Crear un registro de aplicación. Consulte las instrucciones en Configurar la autenticación de usuario con Microsoft Entra ID.

  2. Agregar la URL de redireccionamiento.

  3. Generar un secreto de cliente.

  4. Configuración manual de la autenticación.

Localizar el ID de la aplicación del canal de Teams

  1. En Copilot Studio, abra el agente para el que desea configurar el SSO.

  2. Vaya a la página Canales del agente y seleccione el icono Teams y Microsoft 365 Copilot.

  3. En el panel de configuración de Teams y Microsoft 365 Copilot, seleccione Editar detalles, expanda Más y, a continuación, seleccione Copiar junto al campo Id. de la aplicación.

Agregue su id. de aplicación del canal Teams al registro de la aplicación

  1. Vaya al portal Azure. Abra la instancia de registro de la aplicación que creó al configurar la autenticación de usuarios para su agente.

  2. En el panel lateral, seleccione Exponer una API. Para URI del ID de la aplicación, seleccione Configurar.

    Captura de pantalla de la ubicación del botón Establecer para el URI de ID de aplicación.

  3. Introduzca api://botid-{teamsbotid} y reemplace {teamsbotid} con su ID de aplicación del canal de Teams que encontró antes.

    Captura de pantalla de un URI con formato correcto ingresado en el cuadro URI de ID de aplicación.

  4. Haga clic en Guardar.

Las aplicaciones están autorizadas a llamar a las API cuando los usuarios o administradores conceden permisos durante el proceso de consentimiento. Para más información sobre los consentimiento, consulte Permisos y consentimiento de la Plataforma de identidad de Microsoft.

Si la opción de consentimiento del administrador está disponible, otorgue el consentimiento:

  1. En el portal de Azure, en el registro de la aplicación, vaya a Permisos de API.

  2. Seleccione Otorgar consentimiento de administrador para <su nombre de inquilino> y después seleccione .

Importante

Para evitar que los usuarios tengan que dar su consentimiento a cada aplicación, alguien asignado con al menos el rol de Administrador de Aplicaciones o Administrador de Aplicaciones en la Nube puede conceder el consentimiento a nivel de inquilino para los registros de sus aplicaciones.

Agrega permisos de API

  1. En el portal de Azure, en el registro de la aplicación, vaya a Permisos de API.

  2. Seleccione Agregar un permiso y elija Microsoft Graph.

  3. Seleccione Permisos delegados. Aparecerá una lista de permisos.

  4. Ampliar Permisos OpenId.

  5. Seleccione openid y perfil.

  6. Seleccione Agregar permisos.

    Captura de pantalla de los permisos de perfil y openid activados.

Definir un ámbito personalizado para su agente

  1. En el portal de Azure, en la instancia de registro de la aplicación, vaya a Exponga una API.

  2. Seleccione Agregar un ámbito.

    Captura de pantalla del botón Agregar un ámbito resaltado.

  3. Configure las siguientes propiedades:

    Propiedad Value
    Nombre del ámbito Escriba Test.Read.
    ¿Quién puede consentir? Seleccione Administradores y usuarios
    Nombre para mostrar el consentimiento administrativo Escriba Test.Read.
    Descripción del consentimiento del administrador Escriba Allows the app to sign the user in..
    Estado Seleccione Habilitado

    Note

    El nombre del ámbito Test.Read es un valor de marcador de posición. Reemplácelo con un nombre que tenga sentido en su entorno.

  4. Selecciona la opción Agregar un ámbito.

Agregar Id. de cliente de Microsoft Teams

Importante

Use literalmente los valores proporcionados para los identificadores de cliente de Microsoft Teams en los pasos siguientes porque estos identificadores de cliente son los mismos en todos los entornos.

  1. En el portal de Azure, en la instancia de registro de la aplicación, vaya a Exponga una API y seleccione Agregar una aplicación cliente.

    Captura de pantalla del botón Agregar una aplicación cliente.

  2. En el campo Id. de cliente, introduzca el Id. de cliente para Microsoft Teams móvil/escritorio, que es 1fec8e78-bce4-4aaf-ab1b-5451cc387264. Seleccione la casilla de verificación para el ámbito que creó antes.

    Captura de pantalla del Id. de cliente ingresado en el panel Agregar una aplicación de cliente.

  3. Seleccione Agregar una aplicación.

  4. Repita los pasos anteriores pero, para Id. de cliente, introduzca el id. de cliente para Microsoft Teams en la web, que es 5e3ce6c0-2b1f-4285-8d4b-75ee78787346.

  5. Confirme que la página Exponer una API enumera ID de aplicación de cliente de Microsoft Teams.

En resumen, los dos identificadores de cliente de Microsoft Teams que agregue a la página Expose an API son:

  • 1fec8e78-bce4-4aaf-ab1b-5451cc387264
  • 5e3ce6c0-2b1f-4285-8d4b-75ee78787346

Agregar la URL de intercambio de tokens a la configuración de autenticación de su agente

Para actualizar la configuración de autenticación de Microsoft Entra ID en Copilot Studio, agregue la dirección URL de intercambio de tokens para que Microsoft Teams y Copilot Studio puedan compartir información.

  1. En el portal de Azure, en la instancia de registro de la aplicación, vaya a Exponga una API.

  2. En Ámbitos, haga clic en el icono Copiar al portapapeles.

  3. En Copilot Studio, en los ajustes para el agente, seleccione Seguridad y, a continuación, seleccione el icono Autenticación.

  4. Para URL de intercambio de tokens (obligatorio para SSO), pegue el scope que copió anteriormente.

  5. Haga clic en Guardar.

    Captura de pantalla de dónde pegar la URL de intercambio de tokens en Copilot Studio

Agregar SSO al canal de Teams de su agente

  1. En Copilot Studio, en la configuración del agente, seleccione Canales.

  2. Seleccione el icono de Teams y Microsoft 365 Copilot.

  3. Seleccione Editar detalles y ampliar Más.

  4. Para la Id. de cliente de la aplicación AAD, introduzca el Id. de aplicación (cliente) de su registro de la aplicación.

    Para obtener este valor, abra Azure Portal. A continuación, en el registro de su aplicación, vaya a Información general. Copie el valor en la sección Id. de aplicación (cliente).

  5. Para URI de recurso, introduzca la URI de Id. de aplicación desde el registro de su aplicación.

    Para obtener este valor, abra Azure Portal. A continuación, en el registro de la aplicación, vaya a Exponer una API. Copie el valor en el cuadro URI de Id. de aplicación.

    Captura de pantalla de dónde pegar el URI del id. de aplicación en el canal de Teams de Copilot Studio

  6. Seleccione Guardar y luego Cerrar.

  7. Vuelva a publicar el agente, para poner los últimos cambios a disposición de sus clientes.

  8. Seleccione Ver agente en Teams para iniciar una nueva conversación con su agente en Teams y comprobar si inicia sesión automáticamente.

Problemas conocidos

Si publicó por primera vez el agente mediante la autenticación manual sin SSO de Teams, el agente de Teams solicita continuamente a los usuarios que inicien sesión.

  • Last updated on