Microsoft Teams のエージェント向けに Microsoft Entra ID によるシングル サインオンを構成する

Copilot Studio は、Microsoft Teams の 1:1 チャットに公開されたエージェント用のシングルサインオン (SSO) をサポートしています。 このサポートを使用すると、エージェントはMicrosoft Teams資格情報を使用してユーザーを自動的にサインインさせることができます。 SSO は、Microsoft Entra ID を使用する場合にのみサポートされます。

Important

手動認証を必要とせずに、Microsoft Teams チャットで SSO を使用できます。 以前に公開されたエージェントにこの方法を使用するには、Authenticate with Microsoft を利用するようにエージェントを再構成し、もう一度 Microsoft Teams に発行します。 この変更が有効になるまでに数時間かかる場合があります。 ユーザーが会話の途中で変更がまだ行われていない場合は、チャットで「最初からやり直す」と入力すると、最新バージョンのエージェントで会話を強制的に再開できます。 これらの変更は、ユーザーと エージェント 間の Teams の 1 対 1 のチャットで利用できるようになりました。 グループ チャットやチャネル メッセージではまだ利用できません。

Dynamics 365 Customer Service と統合されたエージェントでは SSO はサポートされません。

必要でない限り、次のドキュメントに進まないでください。 エージェントに手動認証を使用する場合は、Microsoft Entra ID を使用してユーザー認証を構成するを参照してください。

Note

手動認証オプションで Teams SSO 認証を使用し、同時にカスタム Web サイトでエージェントも使用している場合は、アプリ マニフェストを使用して Teams アプリを展開する必要があります。

詳細については、エージェントの Teams アプリ マニフェストをダウンロードするを参照してください。

手動以外の認証オプションや、ワンクリックCopilot Studio使用した Teams 展開など、その他の構成は機能しません。

前提条件

アプリの登録を構成する

Teams の SSO を構成する前に、Microsoft Entra ID を使用してユーザー認証を設定します。 このプロセスにより、SSO を設定するために必要なアプリ登録が作成されます。

  1. アプリ登録を作成します。 「Microsoft Entra ID を使用してユーザー認証を構成する」の手順を参照してください。

  2. リダイレクト URL を追加します。

  3. クライアント シークレットを生成します。

  4. 手動認証を構成します。

Teams チャネル アプリ ID を見つける

  1. Copilot Studio で、SSO を構成するエージェントを開きます。

  2. エージェントのチャネル ページに移動し、Teams と Microsoft 365 Copilot タイルを選択します。

  3. Teams と Microsoft 365 Copilot 構成パネルで、[詳細の編集] を選択し、[詳細] を展開して、[アプリ ID] フィールドの横にある [コピー] を選択します。

Teams チャネル アプリ ID をアプリ登録に追加する

  1. Azure ポータル に移動します。 エージェントのユーザー認証を構成したときに作成したアプリ登録のアプリ登録インスタンスを開きます。

  2. サイド ペインでAPI を公開するを選択します。 アプリケーション ID URI には 設定 を選択します。

    アプリケーション ID URIの [設定] ボタンの場所のスクリーンショット。

  3. api://botid-{teamsbotid} を入力して {teamsbotid} を自分の Teams チャネル アプリ ID に置き換えます。

    [アプリケーション ID URI] ボックスに入力された正しい形式の URI のスクリーンショット。

  4. 保存を選びます。

アプリケーションは、同意プロセス中にユーザーまたは管理者がアクセス許可を付与するときに API を呼び出すことが許可されます。 同意の詳細については、Microsoft ID プラットフォームでのアクセス許可と同意を参照してください。

管理者の同意オプションが使用可能な場合は、同意を付与します。

  1. Azure ポータルで、アプリの登録で、API のアクセス許可に移動します。

  2. <テナント名>に管理者の承認を付与するを選択してから、はいを選択します。

Important

ユーザーが各アプリケーションに対して同意する必要をなくすために、少なくともアプリケーション管理者またはクラウド アプリケーション管理者の役割を割り当てられた担当者は、アプリケーション登録に対してテナント全体にわたる同意を与えることができます。

API アクセス許可を追加する

  1. Azure ポータルで、アプリの登録で、API のアクセス許可に移動します。

  2. アクセス許可の追加を選択して、Microsoft Graphを選択します。

  3. 委任されたアクセス許可を選択します。 アクセス許可のリストが表示されます。

  4. OpenID アクセス許可を展開します。

  5. openidプロファイルを選択します。

  6. アクセス許可の追加を選択します。

    openid と profile のアクセス許可がオンになっているスクリーンショット。

エージェントのカスタム スコープを定義する

  1. Azure ポータルで、アプリ登録インスタンスの Expose an API に移動します。

  2. スコープの追加 を選択します。

    [スコープの追加] ボタンが強調表示されたスクリーンショット。

  3. 次のようにプロパティを設定します。

    財産 価値
    スコープ名 Test.Read」と入力します
    誰が同意を与えることができますか? 管理者とユーザー を選択します
    管理者同意表示名前 Test.Read」と入力します
    管理者の同意の説明 Allows the app to sign the user in.」と入力します
    状態 有効を選択します

    Note

    スコープ名 Test.Read はプレースホルダー値です。 使用している環境においてわかりやすい名前で上書きします。

  4. スコープの追加を選択します。

Microsoft Teams クライアント ID の追加

Important

これらのクライアント ID はすべてのテナントで同じであるため、次の手順でMicrosoft Teamsクライアント ID に指定された値を文字どおり使用します。

  1. Azure ポータルのアプリ登録インスタンスで、Expose an APIクライアント アプリケーションの追加を選択します。

    [クライアント アプリケーションの追加] ボタンが強調表示されたスクリーンショット。

  2. クライアント ID フィールドで、Microsoft Teams モバイル/デスクトップのクライアント ID を入力します。これは 1fec8e78-bce4-4aaf-ab1b-5451cc387264 です。 以前作成したスコープのチェックボックスを選択します。

    [クライアント アプリケーションの追加] ウィンドウに入力されたクライアント ID のスクリーンショット。

  3. アプリケーションの追加を選択します。

  4. 前の手順を繰り返しますが、クライアント ID に、Web 上の Microsoft Teams のクライアント ID (5e3ce6c0-2b1f-4285-8d4b-75ee78787346) を入力します。

  5. API を公開するページに Microsoft Teams クライアント アプリ ID がリストされることを確認します。

要約すると、Expose an API ページに追加する 2 つのMicrosoft Teamsクライアント ID は次のとおりです。

  • 1fec8e78-bce4-4aaf-ab1b-5451cc387264
  • 5e3ce6c0-2b1f-4285-8d4b-75ee78787346

トークン交換 URL をエージェントの認証設定に追加する

Copilot StudioのMicrosoft Entra ID認証設定を更新するには、Microsoft TeamsとCopilot Studioが情報を共有できるようにトークン交換 URL を追加します。

  1. Azure ポータルで、アプリ登録インスタンスの Expose an API に移動します。

  2. スコープの下で、クリップボードにコピー アイコンを選択します。

  3. Copilot Studioで、エージェントの設定で セキュリティを選択し、認証 タイルを選択します。

  4. トークンの交換 URL (SSO に必要)に、先ほどコピーしたスコープを貼り付けます。

  5. 保存を選びます。

    トークン交換 URL を Copilot Studio に貼り付ける場所のスクリーンショット。

エージェントの Teams チャネルに SSO を追加する

  1. Copilot Studio で、エージェントの設定でチャネルを選択します。

  2. Teams と Microsoft 365 Copilot タイルを選択します。

  3. 詳細の編集を選択して詳細表示を展開します。

  4. AAD アプリケーションのクライアント IDに、アプリの登録からアプリケーション (クライアント) ID を入力します。

    この値を取得するには、Azure portal を開きます。 次に、アプリ登録で概要に移動します。 アプリケーション (クライアント) ID ボックスで値をコピーします。

  5. リソース URI に、アプリの登録からアプリケーション ID URIを入力します。

    この値を取得するには、Azure portal を開きます。 次に、アプリ登録で API を公開するに移動します。 アプリケーション ID URI ボックスで値をコピーします。

    Copilot Studio の Teams チャネルでアプリケーション ID URI を貼り付ける場所のスクリーンショット。

  6. [保存][閉じる] の順に選択します。

  7. エージェントをもう一度公開し、顧客が最新の変更を利用できるようにします。

  8. Teams で エージェントを表示する を選択して、Teams でエージェントと新しい会話を開始し、自動的にログインされるかどうかを確認します。

既知の問題

Teams SSO なしで手動認証を使用してエージェントを最初に公開した場合、Teams のエージェントはユーザーにサインインを継続的に求めます。

  • Last updated on