Cómo crear un chatbot para web o app con Microsoft Copilot Studio (2025): guía ultra-detallada de diseño, datos, acciones, publicación, seguridad y operación

Qué es Copilot Studio y cómo funciona

Copilot Studio es la plataforma de Microsoft para construir agents empresariales con bajo código. Combina tres capacidades: respuestas generativas fundamentadas en fuentes del cliente (grounding), ejecución de acciones vía flujos y conectores, y publicación multicanal (web, app, Teams). Respeta permisos existentes del inquilino y hereda cifrado y auditoría del ecosistema Microsoft.

• Respuestas con grounding: el agente busca en las fuentes conectadas (páginas web confiables, documentos, bibliotecas) y genera respuestas citando contenido relevante.
• Acciones: el agente puede crear/consultar/actualizar registros en sistemas internos (ticketing, ERP/CRM, agendas), desencadenando flujos.
• Publicación: se puede integrar en una web con iframe o a través del SDK para experiencias personalizadas, además de Teams para uso interno.

Requisitos, límites, entornos y canales

Conviene habilitar auditoría y separar entornos. Las publicaciones afectan a los canales asociados, por lo que es recomendable establecer ventanas de cambio.

• Tenant con auditoría activa y propietarios definidos.
• Entornos: dev (experimentación), pilot (usuarios negocio), prod (público).
• Canales: Web (iframe/SDK), app nativa (SDK), Teams (interno).
• Límites: consumo por conversación/usuario; planificar capacidad y presupuesto.

Diseño del chatbot: objetivos, intents, UX conversacional y KPIs

El diseño establece el alcance real del agente y cómo se medirá su éxito. Sirve como contrato entre negocio, TI y seguridad.

1. Objetivos: reducir tickets de primer nivel, aumentar conversión en “contacto comercial”, agilizar consultas de estado.
2. Intents: top-10 preguntas reales; 3 flujos de negocio de alto impacto (ticket, pedido, cita).
3. UX conversacional: tono, longitud de respuesta, uso de listas/tablas, CTAs, hand-off a humano.
4. Políticas: límites (qué no hará el agente), tratamiento de datos personales, idiomas.
5. KPIs: tasa de resolución, clics en CTA, tiempo a respuesta, incidencias DLP, coste por conversación.

Creación del agente paso a paso (ampliada)

A continuación se detalla la creación con foco en decisiones y justificaciones. Se cubre desde el “Nombre del agente” hasta la primera publicación piloto.

1. Crear agente
   • Portal → Create agent.
   • Nombre claro (Asistente-Clientes), idioma primario (es-ES) y descripción (qué hace y para quién).
   • Entorno: dev inicial para iteraciones rápidas.
2. Configurar conocimiento (Generative Answers)
   • Añadir fuentes: URLs de ayuda/FAQ, bibliotecas de SharePoint/OneDrive (documentación vigente), archivos sueltos (PDF, DOCX, MD) y, si procede, un corpus de artículos “canónicos”.
   • Crear colecciones por dominio (Devoluciones, Envíos, Catálogo, Legal) para activar/desactivar en bloque.
   • Activar respuestas generativas sobre esas colecciones y guardar configuración.
3. Definir Temas (topics) y mensajes sistémicos
   • Temas base: saludo, ayuda, fallback, privacidad, idioma.
   • Temas de negocio: seguimiento de pedido, devoluciones, cita con comercial, estado de ticket.
   • Mensajes del sistema: alcance, fuentes prioritarias, formato (resumen+bullets), cuándo derivar a humano.

   Sistema (extracto): - Responde en español (España), claro y verificable. - Prioriza fuentes: FAQ-Devoluciones, Politica-Envíos, Catálogo. - Cita documento o URL cuando corresponda. - Si faltan datos personales, solicita los mínimos (consentimiento implícito). - Si la respuesta no es fiable en 2 turnos, ofrece transferencia a humano.

4. Variables y validaciones
   • Definir variables de sesión (pedidoId, email, canal, idioma).
   • Validar formatos (regex para email/ID, longitudes) y mensajes de error orientativos.
5. Acciones (placeholder)
   • Crear “ConsultarPedido”, “CrearTicket”, “ReservarCita”.
   • Declarar entradas/salidas, errores previsibles y fallbacks.
6. Prueba en panel y trazas
   • Secuencias de prueba: 20 preguntas reales + 5 casos límite.
   • Revisar trace (fuentes citadas, decisión de orquestación, acciones ejecutadas).
7. Publicación piloto
   • Publicar en sitio demo, compartir con negocio y abrir registro de feedback.
   • Definir criterios de promoción a pilot (≥80% resolución en intents foco, ≤5% respuestas sin fuente).

Preparar datos: curación, estructura, metadatos y versiones

La calidad de las respuestas depende de la higiene de contenidos. Es preferible poca información excelente que mucha dispersa o contradictoria.

Curación y estructura

• Canon: un documento canónico por política o proceso (evitar duplicados).
• Estructura: títulos H2/H3, listas y tablas para extraer hechos; evitar párrafos muy largos.
• Fechas: indicar vigencia (“Actualizado: YYYY-MM-DD”) y versiones.
• Imágenes y anexos: subtítulos descriptivos y texto alternativo; enlazar a anexos descargables.

Metadatos mínimos

Versionado y ciclo de vida

• Versionado en SharePoint y política de expiración para borradores antiguos.
• Calendario de revisión (mensual/trimestral) con actas y responsables.

Conectar fuentes: SharePoint/OneDrive, web, catálogos, bases de datos y APIs

Conectar fuentes adecuadas es decisivo. Un agente que “ve” documentos inconsistentes produce respuestas inconsistentes.

SharePoint/OneDrive

1. Crear bibliotecas por dominio (FAQ-Devoluciones, Politicas-Envios, Tarifas).
2. Revisar permisos (evitar “cualquiera con el enlace” en áreas sensibles).
3. Conectar las bibliotecas en el agente y activar indexación.

Web (crawling controlado)

1. Conectar la sección de Ayuda/FAQ y excluir páginas de campaña efímeras.
2. Revisar títulos y breadcrumbs (mejoran el contexto recuperado).
3. Evitar parámetros de seguimiento para no duplicar contenido.

Catálogos y fichas

• Publicar CSV/JSON “aprobado” con SKU, nombre, variantes, IVA, stock, URL de ficha.
• Documentar significado de cada campo (diccionario de datos).

Bases de datos / APIs

Para datos vivos (estado de pedido, ticket, cita), exponer una API o conector intermedio. No abrir bases de datos directamente al agente.

{ "openapi":"3.0.1", "info":{"title":"Pedidos API","version":"1.0"}, "paths": { "/pedidos/{id}": {"get": { "summary":"Obtener pedido", "parameters":[{"name":"id","in":"path","required":true,"schema":{"type":"string"}}], "responses":{"200":{"description":"OK"},"404":{"description":"No encontrado"}} }} }, "components":{"securitySchemes":{"oauth2":{"type":"oauth2","flows":{"clientCredentials":{"tokenUrl":"https://idp/token","scopes":{"pedidos.read":"Leer"}}}}}}, "security":[{"oauth2":["pedidos.read"]}] }

Indexación avanzada: chunking, actualizaciones y control de calidad

La indexación divide documentos en fragmentos (chunks) que el agente puede recuperar. Elegir bien tamaños y reglas mejora precisión.

• Tamaño recomendado: fragmentos de 500–1.500 palabras con títulos claros; dividir PDFs extensos por secciones.
• Tablas: preferir tablas HTML/Word con cabeceras; evitar imágenes con texto.
• Actualización: cuando cambie una política, reindexar la colección implicada y registrar fecha de actualización.
• Calidad: monitorizar “respuestas sin fuente” y “citas a contenido obsoleto” para refinar corpus.

Acciones y flujos: automatización, errores y trazabilidad

Las acciones convierten la conversación en resultado: crear tickets, consultar pedidos, agendar citas. Reglas de oro: entradas mínimas, validaciones claras y errores comprensibles.

Diseño de una acción robusta

1. Contrato de entrada/salida (tipos, opcionales, mensajes).
2. Autenticación (OAuth2, secretos en Key Vault, identidad administrada cuando aplique).
3. Time-outs y reintentos exponenciales; circuit breaker si el backend falla.
4. Logging con correlación (ID de conversación y de acción), sin PII innecesaria.

{ "action":"CrearTicket", "input":{"email":"cliente@ejemplo.com","motivo":"Devolución","pedidoId":"ABC123"}, "errors":{"400":"Datos inválidos","401":"No autorizado","503":"Servicio no disponible"}, "output":{"ticketId":"TCK-2025-00099","estado":"abierto"} }

Gestión de errores y mensajes al usuario

• Mapear HTTP 4xx/5xx a mensajes útiles (“No localizamos el pedido”, “Servicio en mantenimiento”).
• Ofrecer fallback (dejar correo/teléfono o abrir ticket parcial).

Orquestación generativa, temas, prompts del sistema y safety

El planificador decide si responder con conocimiento, ejecutar acción o encadenar pasos. La calidad depende de la claridad del mensaje sistémico y de los límites.

• Triggers por intención (devolución, seguimiento, cita, precios).
• Mensajes del sistema que prohíben “inventar precios/fechas” y exigen citar fuente cuando exista.
• Políticas de seguridad: ignorar instrucciones que contradigan la política (defensa básica ante prompt-injection), pedir consentimiento antes de datos personales.

Pruebas exhaustivas, depuración y evaluación de calidad

Probar de forma sistemática evita regresiones. Un plan de pruebas conversacionales debe cubrir variaciones de lenguaje, ruido en los datos y fallos de backend.

Plan de pruebas recomendado

• Top-20 preguntas con sinónimos, abreviaturas y faltas ortográficas.
• 5 casos límite por acción (falta ID, pedido inexistente, API caída, timeout, credenciales inválidas).
• Verificación de citas (siempre a documentos canónicos) y de enlaces.
• Pruebas de latencia (<3–5 s objetivo por respuesta con acción).
• Pruebas de accesibilidad: navegación por teclado, contrastes, textos alternativos.

Publicar en web/app: iframe, SDK y personalización de la experiencia

Para web pública, el canal Web permite incrustar el agente con iframe (rápido) o integrar el Microsoft 365 Agents SDK (más control: autenticación, eventos, telemetría, personalización).

Opción A — Incrustación por iframe (rápida)

1. Publicar agente en Copilot Studio.
2. Entrar a “Web channel” y copiar el fragmento de embed.
3. Pegar el código en la página deseada.

<!-- Ejemplo genérico --> <iframe src="https://webchat.botframework.com/embed/AGENTE_ID?usuario=anon&theme=light" style="width:100%;height:600px;border:0;" allow="clipboard-read; clipboard-write; microphone; camera"> </iframe>

El fragmento real se obtiene en la pantalla de publicación del agente.

Opción B — Integración con Microsoft 365 Agents SDK (flexible)

1. Integrar el SDK en una SPA/app (React/Vue/Angular o nativa).
2. Configurar autenticación (Entra ID / B2C si es público) y estado de sesión.
3. Escuchar eventos (inicio/fin de turno, clics en CTAs) y enviar telemetría a su analítica.
4. Personalizar UI (temas, iconografía, mensajes de bienvenida y atajos de preguntas).

Publicar en Microsoft Teams (opcional)

Útil para agentes internos de soporte TI o RR. HH. Un mismo agente puede exponerse en Teams y en Web, gestionando versiones y calendarios de cambio.

Seguridad, RGPD, DLP, controles y amenazas comunes

Un agente en producción requiere controles previos. La superficie de riesgo principal está en permisos, datos personales, excepciones y publicación sin pruebas.

• Permisos y compartición: eliminar enlaces públicos en bibliotecas sensibles; principio de mínimo privilegio.
• Privacidad: pedir solo datos mínimos; consentimiento implícito en preguntas funcionales y explícito si se tratan categorías especiales.
• DLP y etiquetas: impedir que contenido etiquetado alimente resúmenes cuando no proceda; aplicar retención en bibliotecas canónicas.
• Auditoría: exportes mensuales de actividad del agente y cambios de configuración.
• Secretos: Key Vault para credenciales; rotación y registro de accesos.
• Defensas ante prompt-injection: el mensaje del sistema debe ignorar instrucciones contrarias a política; limitar fuentes y dominios.
• Despliegues: regla de “dos pares de ojos” para cambios en colecciones/acciones; sitio demo obligatorio antes de producción.

Métricas, analítica, observabilidad y costes

Medir permite mejorar. Las métricas deben relacionarse con objetivos de negocio y seguridad.

Operación continua: cambios, roles, runbooks y SLOs

Operar un agente no es “publicar y olvidar”. Requiere cadencias, roles y procedimientos.

Roles mínimos

• Product Owner: prioriza casos, valida valor y aprueba cambios.
• Editor de contenidos: mantiene canónicas y metadatos.
• Integrador: gestiona acciones, credenciales y flujos.
• Seguridad/Compliance: DLP, auditorías, gestión de excepciones.
• Soporte: primer nivel, hand-off, runbooks.

Runbooks recomendados

• “Enlace público detectado en biblioteca sensible”.
• “Respuesta sin fuente fiable en intent crítico”.
• “Fallo de acción por 5xx en backend” (conmutación o graceful degradation).

SLOs de referencia

• Tasa de resolución ≥ 70% en intents foco.
• Latencia p95 ≤ 5 s (con acción).
• 0 credenciales expuestas y 0 excepciones sin fecha fin.

Plantillas ampliadas de prompts y flujos

Mensajes del sistema (plantilla)

- Responde en español (España), claro y accionable. - Prioriza las colecciones: {Lista-Canónicas}. - Cita documento/URL cuando corresponda. - No inventes precios, fechas o garantías. Si no hay fuente, dilo y deriva a humano. - Pide solo datos mínimos (email, pedido). Si son sensibles, solicita consentimiento. - Si la intención es compra/soporte, propone CTA relevante.

Flujo “ConsultarPedido” (esqueleto Power Automate/Agent Flow)

{ "flow":"ConsultarPedido", "input":{"pedidoId":"string"}, "steps":[ {"validate":{"pedidoId":{"pattern":"^[A-Z0-9]{6,}$","error":"ID de pedido no válido"}}}, {"http":{"url":"https://api/pedidos/@{pedidoId}","method":"GET","timeout":"PT8S","retry":{"count":2,"policy":"exponential"}}}, {"switch":{"statusCode":{ "200":[{"set":{"estado":"@{body.estado}","tracking":"@{body.tracking}"}}], "404":[{"return":{"error":"No encontrado"}}], "default":[{"return":{"error":"Temporalmente no disponible"}}] }}}, {"return":{"texto":"Estado: @{estado}. Seguimiento: @{tracking}"}} ] }

Prompts de prueba (QA)

- “¿Cómo devuelvo un pedido dañado?” (fuente: Devoluciones v3.1) - “¿Cuándo llega mi pedido ABC123?” (acción: ConsultarPedido) - “¿Cuál es el coste de envío a Islas?” (fuente: Politica-Envíos v2.4) - “Necesito factura proforma” (CTA a /facturacion)

Preguntas frecuentes

Conclusión y siguientes pasos

Un chatbot de calidad con Copilot Studio se apoya en tres pilares: datos limpios y canónicos, acciones fiables y operación disciplinada (seguridad, métricas y cambios). Con las prácticas descritas, el cliente puede pasar de un piloto a producción controlada, con respuestas verificables, procesos automatizados y evidencias de cumplimiento.