Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
L’authentification permet aux utilisateurs de se connecter, en donnant à votre agent l’accès à une ressource ou à des informations restreintes. Les utilisateurs peuvent se connecter à l’aide de Microsoft Entra ID ou de tout fournisseur d’identité OAuth2 tel que Google ou Facebook.
Note
Dans Microsoft Teams, vous pouvez configurer un agent Copilot Studio pour fournir des fonctionnalités d’authentification afin que les utilisateurs puissent se connecter à l’aide d’un Microsoft Entra ID ou de n’importe quel fournisseur d’identité OAuth2, tel qu’un compte Microsoft ou Facebook.
Vous pouvez ajouter l’authentification de l’utilisateur à vos rubriques lors de la modification d’une rubrique.
Important
Les modifications apportées à la configuration d’authentification prennent effet uniquement après la publication de votre agent. Planifiez avant d’apporter des modifications d’authentification à votre agent.
Choisir une option d’authentification
Copilot Studio prend en charge plusieurs options d’authentification. Sélectionnez et configurez l’option qui répond à vos besoins.
Accédez à Paramètres pour votre agent et sélectionnez Sécurité.
Sélectionnez Authentification.
Sélectionnez une option d’authentification et configurez-la si nécessaire. Les options d’authentification suivantes sont disponibles :
Cliquez sur Enregistrer.
Aucune authentification
L’absence d’authentification signifie que votre agent n’exige pas que vos utilisateurs se connectent lorsqu’ils interagissent avec lui. Une configuration non authentifiée signifie que votre agent peut accéder uniquement aux informations et ressources publiques. Les chatbots classiques sont configurés par défaut pour ne pas nécessiter d’authentification.
Avertissement
La sélection de l’option Aucune authentification permet à toute personne disposant du lien de discuter et d’interagir avec votre bot ou agent.
Nous vous recommandons d’appliquer l’authentification, en particulier si vous utilisez votre bot ou agent au sein de votre organisation ou pour des utilisateurs spécifiques, ainsi que d’autres contrôles de sécurité et de gouvernance.
Note
Cette option n’est pas disponible lorsqu’une politique de données dans le centre d’administration Power Platform est configurée pour exiger une authentification. Pour plus d’informations, voir Configurer les politiques de données pour les agents.
Authentifier avec Microsoft
Important
Lorsque vous sélectionnez l’option Authenticate avec Microsoft, vous accédez au canal Teams + Microsoft 365. Vous pouvez également utiliser des canaux d’applications natives et personnalisées.
En outre, l'option Authenticate avec Microsoft n'est pas disponible pour les agents qui s'intègrent à Dynamics 365 Customer Service.
Cette configuration configure automatiquement l’authentification Microsoft Entra ID pour Teams sans avoir besoin d’une configuration manuelle. Comme l’authentification Teams identifie elle-même l’utilisateur, les utilisateurs ne sont pas invités à se connecter lorsqu’ils sont dans Teams, sauf si votre agent nécessite une étendue élargie.
Si vous devez publier votre agent sur des canaux autres que Teams + Microsoft 365 mais que vous souhaitez toujours l’authentification pour votre agent, choisissez Authenticate manuellement.
Si vous sélectionnez Authentifier avec Microsoft, les variables suivantes sont disponibles dans le canevas de création de la rubrique :
User.IDUser.DisplayName
Pour plus d’informations sur ces variables et comment les utiliser, consultez Ajouter l’authentification de l’utilisateur aux rubriques.
Les variables User.AccessToken et User.IsLoggedIn ne sont pas disponibles avec cette option. Si vous avez besoin d’un jeton d’authentification, utilisez l’option Authentifier manuellement.
Si vous passez de Authentifier manuellement à Authentifier avec Microsoft et que vos rubriques contiennent les variables User.AccessToken ou User.IsLoggedIn, celles-ci sont affichées comme des variables Inconnues après le changement. Assurez-vous de corriger toutes les rubriques contenant des erreurs avant de publier votre agent.
Authentifier manuellement
Copilot Studio prend en charge les fournisseurs de services d’authentification suivants sous l’option Authenticate manuellement :
- Microsoft Entra ID V2 avec des informations d’identification fédérées
- Microsoft Entra ID V2 avec des certificats
- Microsoft Entra ID V2 avec des secrets de client
- Microsoft Entra ID (système d'identification de Microsoft)
- Generic OAuth 2 : tout fournisseur d’identité conforme à la norme OAuth2
Si vous sélectionnez Authentifier manuellement, les variables suivantes sont disponibles dans le canevas de création de la rubrique :
User.IdUser.DisplayNameUser.AccessTokenUser.IsLoggedIn
Pour plus d’informations sur ces variables et comment les utiliser, consultez Ajouter l’authentification de l’utilisateur aux rubriques.
Une fois que vous avez enregistré la configuration, veillez à publier votre agent afin que les modifications prennent effet.
Note
- Les modifications de l’authentification ne prennent effet qu’après la publication de l’agent.
- Contrôlez ce paramètre avec le contrôle d’administrateur correspondant dans Power Platform. Lorsque vous activez le contrôle, il empêche l’option Authenticate manuellement d’être activée ou désactivée dans Copilot Studio. Le contrôle est toujours activé et l'option Authenticate manuellement ne peut pas être modifiée dans Copilot Studio.
Connexion utilisateur requise et partage de l’agent
L’option Demander aux utilisateurs de se connecter détermine si un utilisateur doit se connecter avant de discuter avec l’assistant. Activez ce paramètre pour les agents qui doivent accéder aux informations sensibles ou restreintes.
Cette option n’est pas disponible pour les options Aucune authentification et Authentifier avec Microsoft.
Note
Vous ne pouvez pas désactiver cette option lorsque la stratégie de données dans le Centre d’administration Power Platform est définie pour exiger l’authentification. Pour plus d’informations, voir Configurer les politiques de données pour les agents.
Si vous désactivez cette option, votre agent ne demande pas aux utilisateurs de se connecter tant qu’il ne rencontre pas une rubrique qui les oblige à le faire.
Lorsque vous activez cette option, elle crée une rubrique système appelée Demander aux utilisateurs de se connecter. Cette rubrique n’est pertinente que pour le paramètre Authentifier manuellement. Les utilisateurs sont toujours authentifiés sur Teams.
Le sujet "Exiger que les utilisateurs se connectent" se déclenche automatiquement pour tout utilisateur qui communique avec l’agent sans être authentifié. Si l’utilisateur ne parvient pas à se connecter, le sujet redirige vers la rubrique système Escalader.
Le sujet est en lecture seule et ne peut pas être personnalisé. Pour le voir, sélectionnez Accéder au canevas de création.
Contrôlez qui peut discuter avec l'agent au sein de l'organisation.
La combinaison du type d’authentification de votre agent et exiger que l’utilisateur se connecte détermine si vous pouvez partager l’agent pour contrôler qui dans votre organisation peut discuter avec lui. Le paramètre d’authentification n’affecte pas le partage d’un agent pour la collaboration.
Aucune authentification : tout utilisateur disposant d’un lien vers l’agent (ou peut le trouver, par exemple, sur votre site web) peut discuter avec lui. Vous ne pouvez pas contrôler quels utilisateurs peuvent discuter avec l’agent dans votre organisation.
Authentifier avec Microsoft : l’assistant ne fonctionne que sur le canal Teams. Puisque l’utilisateur est toujours connecté, le paramètre Demander aux utilisateurs de se connecter est activé et ne peut pas être désactivé. Vous pouvez utiliser le partage d’agent pour contrôler qui dans votre organisation peut discuter avec l’agent.
Authentifier manuellement :
Si le fournisseur de services est Microsoft Entra ID, vous pouvez activer Require les utilisateurs pour se connecter pour contrôler qui dans votre organisation peut discuter avec l’agent à l’aide du partage d’agent.
Si le fournisseur de services est OAuth2 générique, vous pouvez activer ou désactiver Demander aux utilisateurs de se connecter. Lorsque l’option est activée, un utilisateur qui se connecte peut discuter avec l’agent. Vous ne pouvez pas contrôler quels utilisateurs spécifiques de votre organisation peuvent discuter avec l’agent à l’aide du partage d’agent.
Lorsque le paramètre d’authentification de l’assistant ne vous permet pas de contrôler qui peut discuter avec lui, et que vous sélectionnez Partager sur la page d’aperçu de l’assistant, un message informe que n’importe qui peut discuter avec votre assistant.
Champs d’authentification manuelle
Le tableau suivant décrit les champs que vous pouvez rencontrer lors de la configuration de l’authentification manuelle. Les champs affichés dépendent du fournisseur de service que vous avez sélectionné.
| Nom du champ | Description |
|---|---|
| Modèle d’URL d’autorisation | Modèle d’URL pour les autorisations, comme défini par votre fournisseur d’identité. Par exemple, https://login.microsoftonline.com/common/oauth2/v2.0/authorize |
| Modèle de chaîne de requête de l’URL d’autorisation | Le modèle de requête pour les autorisations, comme fourni par votre fournisseur d’identité. Les clés du modèle de chaîne de requête varient en fonction du fournisseur d’identité (?client_id={ClientId}&response_type=code&redirect_uri={RedirectUrl}&scope={Scopes}&state={State}). |
| ID client | Votre ID client obtenu auprès du fournisseur d’identité. |
| Le secret du client | Votre clé secrète client obtenue lorsque vous avez créé l’enregistrement de l’application auprès du fournisseur d’identité. |
| URL de KeyVault certificat client | URL du Key Vault où votre certificat client est stocké. Obligatoire pour Microsoft Entra ID avec l’authentification des certificats. |
| Type d’octroi | Type d’autorisation OAuth2 que vous souhaitez utiliser. |
| La revendication x5c est-elle requise ? | Indiquez si la revendication x5c est requise dans la demande de jeton. Obligatoire pour Microsoft Entra ID avec l’authentification des certificats. |
| URL de connexion | URL dans laquelle les utilisateurs sont dirigés pour se connecter. |
| Actualiser le modèle de corps | Le modèle pour le corps d’actualisation (refresh_token={RefreshToken}&redirect_uri={RedirectUrl}&grant_type=refresh_token&client_id={ClientId}&client_secret={ClientSecret}). |
| Actualiser le modèle de chaîne de requête de l’URL | Le séparateur de chaîne de requête de l'URL d'actualisation pour l'URL du jeton est généralement un point d'interrogation (?). |
| Actualiser le modèle d’URL | Le modèle d’URL pour l’actualisation ; par exemple, https://login.microsoftonline.com/common/oauth2/v2.0/token. |
| URL de la ressource | L’URL de la ressource pour laquelle le jeton est demandé. |
| Délimiteur de la liste des étendues | Le caractère séparateur de la liste des étendues. Les espaces vides ne sont pas pris en charge dans ce champ.1 |
| Étendues | La liste des scopes que les utilisateurs auront après leur connexion. Utilisez le Délimiteur de la liste des étendues pour séparer plusieurs étendues.1 Définissez uniquement les étendues nécessaires et suivez le Principe de contrôle d’accès avec privilèges minimum. |
| Fournisseur de services | Le fournisseur de services que vous souhaitez utiliser pour l’authentification. Pour plus d’informations, voir Fournisseurs génériques OAuth. |
| ID de locataire | VOTRE ID de locataire Microsoft Entra ID. Reportez-vous à Utilisation d’un tenant Microsoft Entra ID existant pour savoir comment trouver votre ID de client. |
| Modèle de corps de jeton | Le modèle pour le corps du jeton. (code={Code}&grant_type=authorization_code&redirect_uri={RedirectUrl}&client_id={ClientId}&client_secret={ClientSecret}) |
| URL d’échange de jetons (obligatoire pour l’authentification unique (SSO)) | Ce champ facultatif est utilisé lors de la configuration de l’authentification unique. |
| Modèle d’URL de jeton | Le modèle d’URL pour les jetons, tel que fourni par votre fournisseur d’identité, par exemple, https://login.microsoftonline.com/common/oauth2/v2.0/token |
| Modèle de chaîne de requête de l’URL de jeton | Le séparateur de chaîne de requête pour l’URL du jeton, généralement un point d’interrogation (?). |
1 Vous pouvez utiliser des espaces dans le champ Périmètres si le fournisseur d’identité l’exige. Dans ce cas, saisissez une virgule (,) dans Délimiteur de la liste des étendues, et entrez des espaces dans le champ Étendues.
Désactiver l’authentification
Avec votre agent ouvert, sélectionnez Paramètres dans la barre de menu supérieure.
Sélectionnez Sécurité, puis Authentification.
Sélectionnez Aucune authentification.
Si une rubrique utilise des variables d’authentification, elles deviennent des variables inconnues . Accédez à la page Rubriques pour voir quelles rubriques comportent des erreurs et corrigez-les avant la publication.
Publiez l’agent.
Important
Si vos outils ont été configurés pour exiger des informations d’identification utilisateur, ne désactivez pas l’authentification au niveau de l’agent. Cette action empêche ces outils de fonctionner.