Copilot Studio: cómo crear agentes paso a paso (guía 2025)
Esta guía explica cómo crear un agente en Copilot Studio de principio a fin: preparación del entorno, diseño del caso de uso, cómo elegir las fuentes de conocimiento, construir acciones del agente (integraciones), redactar prompts de calidad, probar y evaluar, y publicar en Microsoft Teams, web (Direct Line) y WhatsApp. Incluye buenas prácticas de seguridad (DLP/RGPD), ALM, métricas clave, checklists y enlaces oficiales.
¿Quieres lanzar tu primer agente con garantías?
En MSAdvance diseñamos el agente, conectamos datos y sistemas, configuramos canales (Teams/web/WhatsApp) y montamos métricas y gobierno.
Vídeo oficial de Microsoft en YouTube.
¿Qué es Copilot Studio?
Copilot Studio es la plataforma de Microsoft para crear agentes conversacionales (copilotos) con interfaz visual, dotarlos de conocimiento empresarial y permitirles ejecutar acciones sobre tus sistemas. Puedes publicarlos en Microsoft Teams, sitios web (iframe/Direct Line) y canales externos como WhatsApp mediante Azure Communication Services.
Su potencia reside en tres pilares: Knowledge (grounding sobre tus fuentes), Actions (integraciones con APIs/Power Automate/Graph) y Orquestación (prompts/reglas que definen el comportamiento). El resultado: respuestas más precisas y automatización de tareas en un mismo flujo conversacional.
Galería rápida (UI e ideas de arquitectura)
Requisitos y preparación del entorno
- Capacidad: habilita Copilot Studio (packs o PAYG) y, si usarás consumo bajo demanda, vincula facturación de Azure.
- Accesos: asigna Copilot Studio User License a makers; da rol de Environment Maker en el entorno.
- Entornos: prepara Dev / Test / Prod con cuotas de consumo diferenciadas.
- DLP: define políticas de data loss prevention antes de conectar datos externos o acciones.
- Identidades de servicio: registra una app (Azure AD) para llamadas a APIs y guarda secretos en Key Vault.
- Telemetría: decide qué paneles usar (analítica nativa y/o exportación a Power BI) y umbrales de alerta.
Trabaja dentro de Solutions desde el primer día para facilitar ALM (migraciones y versionado).
Diseño del agente: objetivos, intents y KPIs
- Define objetivos (máximo 2–3): p. ej., “resolver FAQs de RR. HH.” y “crear tickets L1”.
- Mapa de intents: lista de preguntas/acciones por prioridad (MoSCoW: Must/Should/Could/Won’t).
- Alcance de conocimiento: qué cubren las FAQs clásicas, qué va a grounding y qué requiere acciones.
- Restricciones: límites técnicos y de negocio (qué puede consultar/escribir, por rol o grupo).
- KPIs: tasa de resolución, desvío de tickets, CSAT, coste/conversación y latencia P50/P95.
Plantilla resumida de PRD del agente: propósito → usuarios → intents → fuentes → acciones → políticas (privacidad/seguridad) → métricas → hitos.
Fuentes de conocimiento: SharePoint, web y datos internos
Tu precisión depende de la calidad de las fuentes y su curación. Combina:
- FAQs clásicas: redacta respuestas “oficiales” para lo repetitivo. Son baratas, precisas y estables.
- Grounding (RAG): usa bibliotecas de SharePoint, OneDrive y URLs corporativas mantenidas y versionadas.
- Datos en vivo: integra APIs (ERP/CRM/ITSM) mediante acciones para recuperar o actualizar información en tiempo real.
| Tipo | Cuándo usar | Fuerte | Ojo con… |
|---|---|---|---|
| FAQ clásica | Políticas/procesos estables | Precisión, coste bajo | Necesita curación periódica |
| Grounding | Documentación viva | Cobertura amplia | Calidad de origen/permisos |
| Acciones | Datos en tiempo real | Cierra casos | Seguridad y validaciones |
Incluye metadatos (propietario, fecha, versión, categoría) y un workflow de revisión para evitar respuestas obsoletas.
Acciones del agente: integraciones y automatizaciones
Con acciones el agente hace cosas útiles (crear tickets, consultar estados, reservar). Fuentes típicas:
- Power Automate (conectores estándar/premium y Logic Apps).
- Microsoft Graph (calendarios, usuarios, archivos, Teams).
- APIs propias (OpenAPI/Swagger, Azure Functions).
- Dataverse (tablas/acciones personalizadas).
Para operaciones de escritura, exige confirmación (“¿Confirmas?”), valida entradas y registra trazabilidad (quién, qué, cuándo).
Ejemplo: acción “Estado de pedido” (OpenAPI)
{
"openapi": "3.0.1",
"info": {"title": "Pedidos API", "version": "1.0.0"},
"paths": {
"/orders/{id}": {
"get": {
"summary": "Obtener estado del pedido",
"parameters": [{"name":"id","in":"path","required":true,"schema":{"type":"string"}}],
"responses": {"200": {"description":"OK"}},
"security": [{"oauth2": ["orders.read"]}]
}
}
},
"components": {"securitySchemes": {"oauth2":{"type":"oauth2","flows":{"clientCredentials":{"tokenUrl":"https://login.microsoftonline.com/{tenant}/oauth2/v2.0/token","scopes":{"orders.read":"Leer pedidos"}}}}}}
}Importa el documento OpenAPI en Copilot Studio o invócalo desde un flujo de Power Automate.
Prompts y comportamiento: guía de estilo y control
- Instrucciones del sistema: rol, tono, idioma, límites (“si no hay evidencia suficiente, pide aclaración o deriva”).
- Formato: responde con títulos claros, pasos accionables, enlaces a fuentes y evita párrafos largos.
- Fuentes: cuando uses grounding, añade enlace a la página/documento que respalda la respuesta.
- Seguridad: nunca inventar datos personales; nunca exponer secretos; manejar PII según RGPD.
Plantilla de prompt inicial (copiar/pegar)
Actúas como un agente de soporte de {producto}.
- Responde en español claro.
- Usa únicamente las fuentes permitidas (SharePoint/URLs).
- Si no hay evidencia, pide más contexto o ofrece derivar a un humano.
- Para acciones, confirma antes de ejecutar.
Formato: título breve, pasos numerados, enlaces a fuentes.Construcción paso a paso en Copilot Studio
- Crear el agente (entorno Dev) → nómbralo, idioma por defecto y mensaje de bienvenida.
- Añadir conocimiento → “Knowledge” → agrega SharePoint/OneDrive/URLs; crea 15–30 FAQs clásicas para lo crítico.
- Definir acciones → “Actions” → conecta Power Automate/Graph/APIs; añade variables de entorno (URLs/ids).
- Configurar prompts → establece instrucciones de sistema, límites y estilo; exige citación de fuentes.
- Probar en Test canvas → casos felices, bordes y entradas ruidosas; revisa trazas y consumo por evento.
- Telemetría → activa paneles nativos y, si aplica, exportación a Log Analytics/Power BI.
- Preparar publicación → permisos de acceso, política de privacidad, anuncios y FAQ de lanzamiento.
Pruebas, evaluación y calidad
- Dataset de pruebas: 30–50 preguntas reales por intención (incluye errores y jerga); define “respuesta esperada”.
- Conversión a clásica: todo lo repetitivo pasa a FAQ clásica (más rápido y barato).
- Seguridad: prueba prompt injection, PII y operaciones de alto riesgo; valida fallback a humano.
- Evaluación continua: revisa transcripciones semanales; refactoriza respuestas con baja confianza.
- UAT: 10–20 usuarios finales durante 1–2 semanas; objetivo ≥ 60% resolución en primer contacto.
Publicación en Teams, web y WhatsApp
Teams/Microsoft 365: canal ideal para asistentes internos. Web: demo rápida o integración con Direct Line (control de autenticación/CORS). WhatsApp: mediante Azure Communication Services (número verificado y plantillas).
- Roles y permisos: limita el acceso por grupos; define propietarios y revisores del agente.
- Telemetría: valida que los paneles miden uso, satisfacción y errores.
- Despliegue gradual: primero UAT, luego producción con feature flags y anuncio controlado.
Snippet para incrustar el agente (Web Chat + Direct Line)
<div id="webchat"></div>
<script src="https://cdn.botframework.com/botframework-webchat/latest/webchat.js"></script>
<script>
const dl = window.WebChat.createDirectLine({ token: "TU_TOKEN_DIRECT_LINE" });
window.WebChat.renderWebChat({ directLine: dl, locale: "es-ES" }, document.getElementById("webchat"));
</script>Emite el token de Direct Line desde tu backend (intercambio de secretos) y aplica CORS/CSRF adecuados.
UX conversacional, accesibilidad y multilingüe
- Onboarding: una frase de valor + 3 ejemplos clicables de preguntas.
- Accesibilidad: marcas ARIA, contraste AA+, navegación por teclado.
- Estados: indicador “pensando…” y streaming para reducir percepción de latencia.
- Idioma: detecta idioma o fija
locale; duplica FAQs en idiomas objetivo. - Fallback: ofrece mano humana (ticket/chat) cuando la confianza sea baja o haya PII.
Seguridad, RGPD y gobierno (DLP)
- DLP: separa conectores de negocio y no negocio; bloquea orígenes de alto riesgo.
- Privacidad: aviso de uso de IA, retención y base legal; canal para derechos de interesados.
- Accesos: least privilege para makers; auditoría de publicaciones/cambios.
- Contenido: versiona fuentes, elimina obsoletos y exige propietario por documento.
- Acciones sensibles: límites por rol, aprobaciones y rate limits.
ALM: versiones, entornos y despliegues
- Trabaja en Solutions (Dev): agente, flujos, conexiones y variables de entorno.
- Usa connection references y environment variables para URLs, IDs y secretos.
- Exporta/importa como managed a Test → ejecuta UAT → promueve a Prod con aprobación.
- Documenta changelog (prompts, acciones, fuentes) y crea plan de rollback.
Métricas, costes y optimización
| KPI | Objetivo inicial | Cómo mejorar |
|---|---|---|
| Resolución en primer contacto | ≥ 60% | Más FAQ clásicas y acciones que cierren casos |
| Desvío de tickets | ≥ 30% | Automatiza tareas frecuentes (reset, estados) |
| CSAT | ≥ 4/5 | Respuestas claras + derivación a humano |
| Coste/conversación | ↓ mes a mes | Convertir generativas en clásicas cuando sea viable |
| Latencia P50/P95 | ≤ 3s / 8s | Streaming, cachés y menos grounding |
Optimización de costes
- Usa FAQ clásicas para lo repetitivo y reserva grounding/acciones para lo que aporta valor.
- Ajusta prompts a respuestas más concisas y reutiliza fragmentos aprobados (answer bank).
- Depura fuentes: elimina obsoletos y mejora metadatos para reducir alucinaciones.
- Combina capacidad base + PAYG para picos sin fricciones.
Checklist de lanzamiento (Go-Live)
| Área | Ítem | Estado |
|---|---|---|
| Conocimiento | FAQs críticas revisadas y versionadas | □ |
| Acciones | Validaciones, confirmaciones y auditoría activas | □ |
| Seguridad | DLP aplicadas, permisos mínimos, secretos en Key Vault | □ |
| Privacidad | Aviso de IA, retención, base legal RGPD | □ |
| ALM | Despliegue managed y plan de rollback | □ |
| Telemetría | Panel de KPIs y alertas configuradas | □ |
| Soporte | Canal de feedback y escalado a humano | □ |
FAQ
¿Qué necesito para empezar?
Un entorno de Power Platform, capacidad de Copilot Studio (pack o PAYG), licencias de creador, políticas DLP y un PRD simple del agente.
¿Cómo añado conocimiento?
En “Knowledge”, agrega SharePoint/OneDrive/URLs y crea FAQs clásicas para lo crítico. Versiona y asigna propietario por fuente.
¿Cómo conecto sistemas de negocio?
Con acciones que llaman flujos de Power Automate, Microsoft Graph o tus APIs (OpenAPI/Swagger). Usa credenciales de app y mínimos permisos.
¿Puedo publicar fuera de Microsoft 365?
Sí: web con iframe/Direct Line (controla tokens y CORS) y WhatsApp con Azure Communication Services (número verificado y plantillas).
¿Cómo gestiono cambios sin romper producción?
Trabaja en Solutions (Dev → Test → Prod), usa variables de entorno y despliega como managed con aprobación.
Enlaces oficiales
Conclusión y siguientes pasos
Crear un agente en Copilot Studio es un proceso iterativo: diseña el caso de uso, alimenta el conocimiento, conecta acciones, prueba con usuarios reales y publica con seguridad y métricas. Con una base de FAQ clásicas, grounding curado y acciones bien diseñadas, tu copiloto puede resolver la mayoría de consultas y automatizar tareas con un coste predecible.
¿Quieres acelerar tu primer despliegue?
Te acompañamos en diseño, datos, integraciones, seguridad, ALM y operación.
