Configurer l’authentification unique avec Microsoft Entra ID pour les agents dans Microsoft Teams

Copilot Studio permet l’authentification unique (SSO) pour les assistants déployés dans les discussions individuelles de Microsoft Teams. À l’aide de cette prise en charge, les agents peuvent automatiquement connecter des utilisateurs avec leurs informations d’identification Microsoft Teams. L’authentification unique n’est prise en charge que lors de l’utilisation de Microsoft Entra ID.

Important

Vous pouvez utiliser l’authentification unique dans les conversations Microsoft Teams sans nécessiter d’authentification manuelle. Pour utiliser cette méthode pour un agent précédemment publié, reconfigurez l’agent pour utiliser Authenticate avec Microsoft, puis publiez-le à nouveau sur Microsoft Teams. Quelques heures peuvent s’écouler avant que cette modification ne prenne effet. Si un utilisateur est en pleine conversation et que le changement n’a pas encore pris effet, il peut saisir « start over » dans la conversation instantanée afin de forcer le redémarrage de la conversation avec la dernière version de l’assistant. Ces modifications sont désormais disponibles pour les conversations Teams 1:1 entre l’utilisateur et l’agent. Elles ne sont pas encore disponibles pour les conversations de groupe ou les messages de canal.

L’authentification SSO n’est pas prise en charge pour les assistants intégrés à Dynamics 365 Customer Service.

Ne poursuivez pas avec le document suivant, sauf si cela est nécessaire. Si vous souhaitez utiliser l’authentification manuelle pour votre assistant, consultez la section Configurer l’authentification des utilisateurs avec Microsoft Entra ID.

Note

Si vous utilisez l’authentification SSO de Teams avec l’option d’authentification manuelle, et que vous utilisez également l’assistant sur des sites web personnalisés en même temps, vous devez déployer l’application Teams à l’aide du manifeste d’application.

Pour plus d’informations, consultez Télécharger le manifeste de l’application Teams pour un agent.

D'autres configurations, telles que les options d'authentification autres que manuelles, ou par le biais du déploiement de Teams en un clic avec Copilot Studio, ne fonctionnent pas.

Prerequisites

Configurer une inscription d’application

Avant de configurer l’authentification SSO pour Teams, configurez l’authentification de l’utilisateur avec Microsoft Entra ID. Ce processus crée un enregistrement d’application dont vous avez besoin pour configurer l’authentification SSO.

  1. Créez un enregistrement d’application. Consultez les instructions dans Configurer l’authentification des utilisateurs avec Microsoft Entra ID.

  2. Ajouter l’URL de redirection.

  3. Générer une clé secrète client.

  4. Configurer l’authentification manuelle.

Retrouvez l’ID d’application de votre canal d’équipe Teams

  1. Dans Copilot Studio, ouvrez l’assistant pour lequel vous souhaitez configurer l’authentification SSO.

  2. Accédez à la page Canaux de votre assistant et sélectionnez la vignette Teams et Microsoft 365 Copilot.

  3. Dans le panneau de configuration Teams et Microsoft 365 Copilot, sélectionnez Modifier les détails, développez Plus, puis sélectionnez Copier en regard du champ ID d’application.

Ajoutez l'ID d'application du canal Teams à votre enregistrement d'application

  1. Accédez au Portail Azure. Ouvrez l’instance d’inscription d’application correspondant à l’inscription que vous avez créée lorsque vous avez configuré l’authentification des utilisateurs pour votre assistant.

  2. Sélectionnez Exposer une API dans le volet latéral. Pour URI de l’ID d’application, sélectionnez Définir.

    Capture d’écran de l’emplacement du bouton Définir pour l’URI de l’ID d’application.

  3. Saisissez api://botid-{teamsbotid} et remplacez {teamsbotid} par l’ID d’application de votre canal Teams que vous avez identifié plus tôt.

    Capture d’écran d’un URI correctement formaté saisi dans la zone URI d’ID d’application.

  4. Cliquez sur Enregistrer.

Les applications sont autorisées à appeler les API lorsque les utilisateurs ou les administrateurs accordent des autorisations pendant le processus de consentement. Pour plus d’informations sur le consentement, consultez Autorisations et consentement dans la plateforme d’identités Microsoft.

Si l’option de consentement administrateur est disponible, accordez votre consentement :

  1. Dans le portail Azure, sur l’inscription de votre application, accédez à autorisationsAPI.

  2. Sélectionnez Accorder un consentement administrateur pour <votre nom de client>, puis cliquez sur Oui.

Important

Pour éviter aux utilisateurs d’avoir à accorder leur consentement à chaque application, une personne à laquelle au moins le rôle Administrateur d’application ou Administrateur d’application cloud est affectée peut accorder son consentement à l’échelle du locataire à vos inscriptions d’applications.

Ajouter des autorisations d’API

  1. Dans le portail Azure, sur l’inscription de votre application, accédez à autorisationsAPI.

  2. Sélectionnez Ajouter une permission et choisissez Microsoft Graph.

  3. Sélectionnez Autorisations déléguées. Une liste d’autorisations apparaît.

  4. Étendez les autorisations OpenId.

  5. Sélectionnez openid et profil.

  6. Sélectionnez Ajouter des autorisations.

    Capture d’écran des autorisations openid et de profil activées.

Définir une étendue personnalisée pour votre agent

  1. Dans le portail Azure, sur votre instance d’inscription d’application, accédez à Expose une API.

  2. Sélectionnez Ajouter une étendue.

    Capture d’écran du bouton Ajouter une portée mis en évidence.

  3. Définissez les propriétés suivantes :

    Propriété Valeur
    Nom de la portée Entrez Test.Read
    Qui peut donner son consentement ? Sélectionnez Administrateurs et utilisateurs
    Nom d’affichage du consentement de l’administrateur Entrez Test.Read
    Description du consentement de l'administrateur Entrez Allows the app to sign the user in.
    État Sélectionnez Activé

    Note

    Le nom de l’étendue Test.Read est une valeur de remplacement. Remplacez-la par un nom qui a du sens dans votre environnement.

  4. Sélectionnez Ajouter une étendue.

Ajouter des identifiants client Microsoft Teams

Important

Utilisez les valeurs fournies pour Microsoft Teams ID client littéralement dans les étapes suivantes, car ces ID client sont identiques sur tous les locataires.

  1. Dans le portail Azure, sur votre instance d’inscription d’application, accédez à Expose une API puis sélectionnez Add une application cliente.

    Capture d’écran du bouton Ajouter une application cliente mis en évidence.

  2. Dans le champ ID client, entrez l’ID client pour Microsoft Teams mobile/bureau, à savoir 1fec8e78-bce4-4aaf-ab1b-5451cc387264. Cochez la case correspondant à l’étendue que vous avez créée précédemment.

    Capture d’écran de l’ID client saisi dans le volet Ajouter une application cliente.

  3. Sélectionnez Ajouter une application.

  4. Répétez les étapes précédentes mais, pour ID client, entrez l’ID client pour Microsoft Teams sur le Web, qui est 5e3ce6c0-2b1f-4285-8d4b-75ee78787346.

  5. Vérifiez que la page Exposer une API contient les ID d’application cliente Microsoft Teams.

Pour résumer, les deux ID de client Microsoft Teams que vous ajoutez à la page Expose une API sont les suivantes :

  • 1fec8e78-bce4-4aaf-ab1b-5451cc387264
  • 5e3ce6c0-2b1f-4285-8d4b-75ee78787346

Ajouter l’URL d’échange de jetons aux paramètres d’authentification de votre agent

Pour mettre à jour les paramètres d’authentification Microsoft Entra ID dans Copilot Studio, ajoutez l’URL d’échange de jetons pour Microsoft Teams et Copilot Studio pouvez partager des informations.

  1. Dans le portail Azure, sur votre instance d’inscription d’application, accédez à Expose une API.

  2. Sous Étendues, sélectionnez l’icône Copier dans le Presse-papier.

  3. Dans Copilot Studio, sous les paramètres de l’agent, sélectionnez Sécurité, puis sélectionnez la vignette Authentification.

  4. Pour URL d’échange de jeton (obligatoire pour l’authentification SSO), collez le périmètre que vous avez copié précédemment.

  5. Cliquez sur Enregistrer.

    Capture d’écran de l’emplacement où coller l’URL d’échange de jetons dans Copilot Studio.

Ajouter SSO au canal Teams de votre agent

  1. Dans Copilot Studio, sous les paramètres de l’assistant, sélectionnez Canaux.

  2. Sélectionnez la vignette Teams et Microsoft 365 Copilot.

  3. Sélectionnez Modifier les détails et développez Plus.

  4. Pour ID client de l’application AAD, saisissez l’ID d’application (client) à partir de l’inscription de votre application.

    Pour obtenir cette valeur, ouvrez le portail Azure. Ensuite, dans votre inscription d’application, accédez à Vue d’ensemble. Copiez la valeur dans la zone ID d’application (client).

  5. Pour URI de la ressource, saisissez URI d'ID d'application à partir de l'enregistrement de votre application.

    Pour obtenir cette valeur, ouvrez le portail Azure. Ensuite, dans votre inscription d’application, accédez à Exposer une API. Copiez la valeur dans la zone URI de l’ID d’application.

    Capture d’écran de l’emplacement où coller l’URI de l’ID d’application dans le canal Teams de Copilot Studio.

  6. Sélectionnez Enregistrer, puis Fermer.

  7. Publiez à nouveau l’agent pour mettre les dernières modifications à la disposition de vos clients.

  8. Sélectionnez Voir l’agent dans Teams pour démarrer une nouvelle conversation avec votre agent dans Teams et vérifier s’il vous connecte automatiquement.

Problèmes connus

Si vous avez initialement publié votre assistant en utilisant l’authentification manuelle sans le SSO Teams, l’assistant dans Teams invite les utilisateurs à se reconnecter continuellement.

  • Last updated on