Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Il controllo dell'uso delle credenziali fornite dall'autore è una funzionalità di governance in Microsoft Copilot Studio che consente agli amministratori di determinare come gli autori possono autenticare gli strumenti aggiunti agli agenti.
Quando si configura un agente, a maker può aggiungere uno strumento che richiede l'autenticazione a un altro servizio (ad esempio un connettore o un flusso di Power Automate) usando le credenziali personali. Quando un utente usa l'agente, l'agente usa le credenziali dell'autore, non le credenziali dell'utente finale, per eseguire l'autenticazione con i servizi connessi. L'uso delle credenziali dell'autore potrebbe comportare una condivisione eccessiva di dati o funzionalità, ad esempio un utente finale potrebbe recuperare informazioni o eseguire azioni che solo l'account dell'autore è autorizzato a eseguire.
Configurando il modo in cui gli autori possono autenticare gli strumenti, è possibile evitare azioni dannose perché ogni utente finale ha accesso solo a ciò che il proprio account consente.
La funzionalità delle opzioni Controllo credenziali dell'autore consente di controllare come un autore può autenticare gli strumenti in un agente. È possibile selezionare se gli autori possono scegliere di usare le proprie credenziali per l'autenticazione delle connessioni degli strumenti, usare le credenziali dell'utente finale o avere accesso a entrambi.
L'applicazione dell'uso delle credenziali dell'utente finale richiede all'utente finale di accedere (al servizio o al connettore pertinente) quando necessario. In fase di esecuzione non vengono utilizzate credenziali dell'autore archiviate, allineando il comportamento dell'agente alle autorizzazioni effettive dell'utente finale.
Gli amministratori possono abilitare e disabilitare la selezione delle credenziali fornite dall'autore nell'interfaccia di amministrazione di Power Platform, come descritto in questo articolo.
Attenzione
Per impostazione predefinita, le credenziali fornite dall'utente finale e dall'autore sono abilitate.
Come iniziare
Avvertimento
Se configurata come indicato, la funzionalità disattiva immediatamente la possibilità dell'autore di selezionare le proprie credenziali per l'autenticazione degli strumenti all'interno dell'ambiente o del gruppo di ambienti. Tutti gli strumenti per tutti gli agenti negli ambienti interessati cambiano immediatamente per richiedere le credenziali dell'utente finale in fase di esecuzione.
È consigliabile preparare gli autori e gli utenti a questa modifica, perché qualsiasi nuova conversazione con gli agenti interessati richiede all'utente dell'agente i dettagli di accesso per il servizio connesso.
Prerequisiti
- Autorizzazioni di amministratore di Power Platform (amministratore dell'ambiente per un singolo ambiente o amministratore/amministratore globale di Power Platform per i gruppi di ambienti).
Impedire l'uso delle credenziali fornite dall'autore
Scegli se le credenziali dell'utente finale o dell'autore (o entrambe) possono essere selezionate dagli autori degli agenti in un ambiente o per tutti gli agenti in tutti gli ambienti di un gruppo di ambienti.
Suggerimento
Se l'ambiente da configurare fa parte di un gruppo di ambienti, è necessario essere un amministratore del tenant con accesso al gruppo.
Non è possibile configurare questa funzionalità nella singola pagina dei dettagli per gli ambienti che si trovano in un gruppo, è necessario usare la pagina dei dettagli del gruppo.
Vai all'interfaccia di amministrazione di Power Platform e accedi con l'account amministratore.
Nel pannello di navigazione laterale, selezionare Gestisci.
Selezionare Ambienti o Gruppi di ambiente. Nell'elenco visualizzato seleziona il nome dell'ambiente o del gruppo di ambienti da configurare. Si apre la pagina dei dettagli per l'ambiente o il gruppo di ambienti.
Nella pagina dei dettagli dell'ambiente seleziona Impostazioni nella barra dei menu in alto. Espandi la sezione Prodotto, quindi seleziona Funzionalità.
Scorrere fino alla sezione agenti di Copilot Studio.
In Opzioni credenziali autore del controllo selezionare Credenziali dell'utente finale o Credenziali fornite dall'autore o entrambe.
Suggerimento
Se l'ambiente si trova in un gruppo, le opzioni non sono disponibili e un messaggio indica di configurare l'impostazione per il gruppo, non l'ambiente singolo.
Fare clic su Salva.
La propagazione dell'aggiornamento potrebbe richiedere un minuto. Una volta attivi, tutti gli agenti esistenti e nuovi in tale ambiente rispettano questa regola e i tipi di opzioni di autenticazione per gli autori cambiano in Copilot Studio.
Ambito dell'applicazione e dell'esperienza
Attenzione
Impatto sugli agenti autonomi
Quando le credenziali fornite dall'autore non vengono usate, gli agenti richiedono l'interazione dell'utente in tempo reale perché ogni chiamata allo strumento deve essere autenticata con un accesso utente live. Di conseguenza, gli agenti attivati da eventi pianificati o autonomi o che tentano di essere eseguiti in background hanno esito negativo a causa di credenziali mancanti.
Tutti i trigger degli agenti devono coinvolgere un utente attivo.
Esperienza autore
L'interfaccia utente di creazione di Copilot Studio riflette automaticamente questo criterio. Qualsiasi interruttore o elenco a discesa per i metodi di autenticazione ha l'opzione delle credenziali fornite dall'autore disabilitata o nascosta. L'autore rileva che è possibile scegliere solo l'autenticazione dell'utente finale (o autore). Questa notifica potrebbe essere etichettata semplicemente come "Credenziali dell'utente finale" nell'interfaccia utente. Se in precedenza l'autore aveva configurato uno strumento con le proprie credenziali, potrebbe essere necessario modificarlo prima di pubblicare l'agente.
Esperienza utente finale
Quando un utente finale interagisce con un agente (ad esempio, in Teams o in un sito Web) e attiva un'azione dello strumento, l'agente chiede all'utente di accedere se non è già stato fatto. La richiesta potrebbe essere una scheda o un collegamento di accesso. Dopo che l'utente accede con il proprio account per il servizio richiesto, l'agente procede con l'azione usando le credenziali dell'utente. Se l'utente ha già eseguito l'accesso( ad esempio, il proprio account Microsoft 365 o Teams è autorizzato anche per il servizio necessario), l'agente potrebbe usare la sessione di autenticazione esistente. L'azione viene eseguita con l'identità dell'utente finale. Se l'utente non dispone dell'autorizzazione per un elemento, l'agente non è in grado di autorizzare per suo conto, per impostazione predefinita.
Flussi di Power Automate
Il controllo sul tipo di autenticazione riguarda i connettori, le azioni predefinite e i flussi di Power Automate incorporati. Un flusso di Power Automate come strumento nell'agente richiede anche a ogni utente di accedere per le connessioni usate dal flusso.
Ambito di applicazione
I criteri vengono applicati per ogni ambiente (o gruppo di ambienti). Se un ambiente fa parte di un gruppo gestito in cui è abilitato il criterio, non è possibile disabilitarlo singolarmente per un ambiente di tale gruppo: le impostazioni del gruppo di ambienti sostituiscono le impostazioni di ambiente.
Passaggi successivi
Come per tutte le funzionalità di sicurezza, questa funzionalità deve fare parte della strategia di difesa avanzata. È ad esempio possibile:
Usare la restrizione delle credenziali in ambienti sensibili o di produzione in cui gli agenti vengono condivisi con altri utenti finali e la sicurezza dei dati è fondamentale, ad esempio gli agenti di produzione che accedono ai sistemi interni dell'organizzazione, ad esempio Microsoft 365. L'uso della restrizione delle credenziali in questi ambienti garantisce che solo gli utenti autorizzati (in virtù delle proprie credenziali) possano eseguire operazioni sensibili tramite l'agente.
Combina la restrizione delle credenziali con i controlli di condivisione degli agenti per una maggiore sicurezza. Impedendo anche agli autori di condividere liberamente gli agenti (o limitando chi può usare determinati agenti), si riduce il rischio che un autore possa, ad esempio, condividere un agente con qualcuno che non dovrebbe accedervi. Le opzioni Controlla le credenziali dell'autore assicurano che le credenziali non siano condivise in modo non appropriato e impediscono anche qualsiasi tipo di credenziali archiviate, incluse le chiavi API.