Compartilhar via

Configurar autenticação do usuário com o Microsoft Entra ID

Adicionar autenticação ao seu agente permite que os usuários entrem, dando ao seu agente acesso a um recurso ou informação restrita.

Este artigo aborda como configurar o Microsoft Entra ID como seu provedor de serviços. Para saber mais sobre outros provedores de serviços e autenticação de usuários em geral, consulte Configurar autenticação de usuário no Copilot Studio.

Se você tiver direitos de administração de locatários, poderá configurar permissões de API. Caso contrário, você precisa pedir a um administrador do locatário para fazer isso para você.

Pré-requisitos

Saiba como adicionar autenticação de usuário a um tópico

Você conclui as primeiras etapas no portal do Azure e conclui as duas etapas finais no Copilot Studio.

Criar um registro de aplicativo

  1. Entre no portal do Azure, usando uma conta de administrador no mesmo tenant que seu agente.

  2. Acesse Registros de aplicativo.

  3. Selecione Novo registro e insira um nome para o registro. Não altere registros de aplicativos existentes.

    Recomenda-se usar posteriormente o nome de seu agente. Por exemplo, se o seu agente se chamar "Ajuda de vendas da Contoso", você pode nomear o registro do aplicativo "ContosoSalesReg".

  4. Em Tipos de Conta com Suporte, selecione Contas somente neste diretório organizacional (somente Contoso – locatário único).

  5. Deixe a seção URI de redirecionamento em branco por enquanto. Insira essas informações nas próximas etapas.

  6. Selecione Registrar.

  7. Após concluir o registro, acesse Visão geral.

  8. Copie o ID do aplicativo (cliente) e cole em um local temporário. Você precisará delas mais tarde.

Adicionar a URL de redirecionamento

  1. Em Gerenciar, selecione Autenticação.

  2. Em Configurações da plataforma, selecione Adicionar uma plataforma e Web.

  3. Em URIs de Redirecionamento, insira https://token.botframework.com/.auth/web/redirect ou https://europe.token.botframework.com/.auth/web/redirect para a Europa. Você também pode copiar o URI da caixa de texto url de redirecionamento na página de configuração do Copilot Studio Security em Autenticar manualmente.

    Essa ação direciona você de volta à página Configurações da plataforma.

  4. Selecione tokens do Access (usados para fluxos implícitos) e tokens de ID (usados para fluxos implícitos e híbridos).

  5. Selecione Configurar.

Configurar a autenticação manual

Em seguida, configure a autenticação manual. Você pode escolher entre várias opções para seu provedor, no entanto, recomendamos que você use a ID do Microsoft Entra V2 com credenciais federadas. Você também pode usar segredos do cliente se não puder usar credenciais federadas.

Configurar a autenticação manual usando credenciais federadas

  1. No Copilot Studio, acesse Configurações de seu agente e selecione Segurança.

  2. Selecione Autenticação.

  3. Selecione Autenticar manualmente.

  4. Deixe ativada a opção Exigir que os usuários entrem.

  5. Insira os seguintes valores para as propriedades:

    • Provedor de serviços: selecione a ID do Microsoft Entra V2 com credenciais federadas.

    • ID do cliente: insira a ID do aplicativo (cliente) copiada anteriormente no portal do Azure.

  6. Selecione Salvar para ver o emissor e o valor da credencial federada.

  7. Copie o emissor da credencial federada e o valor da credencial federada e cole-o em um arquivo temporário. Você precisará delas mais tarde.

  8. Acesse o portal do Azure e o registro de aplicativo que você criou anteriormente. Em Gerenciar, selecione Certificados &segredos e, em seguida , credenciais federadas.

  9. Selecione Adicionar credencial.

  10. No cenário de credencial federada, selecione Outro emissor.

  11. Insira os seguintes valores para as propriedades:

    • Emissor: Insira o valor do emissor da credencial federada que você copiou anteriormente do Copilot Studio.
    • Valor: insira os dados de valor de credencial federados copiados anteriormente do Copilot Studio.
    • Nome: Forneça um nome.

  12. Selecione Adicionar para concluir a configuração.

Configurar permissões de API

  1. Acesse Permissões da API.

  2. Selecione Conceder consentimento do administrador para <nome do seu locatário>, depois selecione Sim. Se o botão não estiver disponível, talvez seja necessário pedir a um administrador de locatários para inseri-lo para você.

    Captura de tela da janela Permissões de API com uma permissão de locatário realçada.

    Importante

    Para evitar que os usuários precisem consentir com cada aplicativo, alguém atribuído pelo menos ao cargo de Administrador de Aplicativos ou Administrador de Aplicativos de Nuvem pode conceder consentimento para todo o locatário aos registros do seu aplicativo.

  3. Selecione Adicionar uma permissão e escolha Microsoft Graph.

    Captura de tela da janela Solicitar permissões de API com Microsoft Graph realçado.

  4. Selecione Permissões delegadas.

    Captura de tela com Permissões delegadas realçado.

  5. Expanda Permissões de OpenId e ative o código aberto e o perfil.

    Captura de tela com permissões OpenId, openid e perfil realçados.

  6. Selecione Adicionar permissões.

Definir um escopo personalizado para seu agente

Escopos permitem determinar funções de usuário e administrador, além de direitos de acesso. Você cria um escopo personalizado para o registro do aplicativo de tela que você cria em uma etapa posterior.

  1. Acesse Expor uma API e selecione Adicionar um escopo.

    Captura de tela com Expor uma API e o botão Adicionar um escopo realçados.

  2. Defina as seguintes propriedades. Você pode deixar as outras propriedades em branco.

    Propriedade Valor
    Nome do escopo Insira um nome que faça sentido no seu ambiente, como Test.Read
    Quem pode consentir? Selecione Administradores e usuários
    Nome de exibição do consentimento do administrador Insira um nome que faça sentido no seu ambiente, como Test.Read
    Descrição do consentimento do administrador Inserir Allows the app to sign the user in.
    Estado Selecione Habilitado

  3. Selecione Adicionar escopo.

Configurar a autenticação no Copilot Studio

  1. No Copilot Studio, em Configurações, selecione Autenticação>de Segurança.

  2. Selecione Autenticar manualmente.

  3. Deixe ativada a opção Exigir que os usuários entrem.

  4. Selecione um Provedor de serviços e forneça os valores necessários. Consulte Configurar autenticação de manual no Copilot Studio.

  5. Selecione Salvar.

Dica

A URL de troca de token é usada para trocar o token Em Nome de (OBO) pelo token de acesso solicitado. Para obter mais informações, consulte Configurar o logon único com o Microsoft Entra ID.

Observação

Os escopos devem incluir profile openid e os itens a seguir, dependendo do seu caso de uso:

  • Sites.Read.All Files.Read.All para SharePoint
  • ExternalItem.Read.All para Conexão do Graph
  • https://[OrgURL]/user_impersonation para dados estruturados do Dataverse

Por exemplo, Dados Estruturados do Dataverse têm os seguintes escopos: profile openid Sites.Read.All Files.Read.All https://myorg123.com/user_impersonation

Testar o seu agente

  1. Publique seu agente.

  2. No painel Testar seu agente, envie uma mensagem para seu agente.

  3. Quando o agente responder, selecione Entrar.

    Uma nova guia do navegador será aberta solicitando que você entre.

  4. Entre e copie o código de validação exibido.

  5. Cole o código no chat do agente para concluir o processo de entrada.

    Captura de tela de uma autenticação de usuário bem-sucedida em uma conversa do agente, com o código de validação realçado.