Enable Entra ID in Control Hub

In Webex for Government, the Entra ID (Azure AD) Wizard App connects exclusively to the Entra ID Global Identity, which covers Consumer/Enterprise and GCC Moderate Entra ID (Azure AD) Customers. GCC High Customers must utilize the Control Hub application in the Microsoft Enterprise Gallery to provision users and groups to Webex. A wizard version supporting GCC High will be available in a future Control Hub release.

Some of the features described in this article aren’t yet available to all customers.

Bild, das die Azure AD-Synchronisierungseinrichtung zeigt.

Vorbereitungen

Ensure that you have access to an Entra ID account that has the authority to grant tenant-wide admin consent to an application.
1

Sign in to Control Hub with a full administrator account.

2

Gehen Sie zu Organisationseinstellungen und scrollen Sie nach unten zum Abschnitt Verzeichnissynchronisierung .

3

Klicken Sie auf Einrichten, um die Konfiguration zu starten.

4

Authenticate your Entra ID admin account.

If you are not a global or privilaged-role administrator in Entra ID, you can request access to grant permission to the Entra ID (Azure AD) Wizard App.

If you have full administrator privileges in Entra ID, you can review and grant access to requests by going to Identity > Applications > Enterprise applications. Under Activity, select Admin consent requests and click on Cisco Webex Identity Integration and select Review permissions and accept. This process grants general authentication to the Webex application.

Finally, click on the All (preview) tab, select Cisco Webex Identity Integration and click Review Application. Under Security > Permissions, click on Grant admin consent for Cisco to grant all the necessary permissions to enable Entra ID in Control Hub.

See Microsoft support for more information on this process.

5

Review the permissions and click Accept to grant the account authorization to access your Entra ID tenant.

Cisco Webex Identity is an Entra ID enterprise application in Entra ID. The Wizard App connects to this application to access Entra ID graph APIs. Die für den Zugriff erforderlichen Berechtigungen sind die Mindestberechtigungen, die zur Unterstützung und Verwendung erforderlich sind.

Bild, das die verfügbaren Berechtigungen zeigt.
Berechtigung Verwendung
Manage apps that this app creates or owns

Required to manage the Cisco Webex Identity app in Entra ID Enterprise, including:

  • Create/delete this app in Entra ID

  • Attribute mapping configuration

  • Renaming the app in Entra ID

  • Enable/disable auto provision

Read all audit log data Used to access the Cisco Webex Identity provision audit log to read provisioning history. This information is used for the sync summary and sync report function in the Wizard App.
Read all groups/Read all group memberships Reads the list of groups from Entra ID to allow successful configuration of the groups sync scope.
Updates to group memberships can take up to 12 hours to synchronize. If a new user hasn't auto-synced when the group synchronization occurs, you will need to wait another 12 hours for the new user to sync to their group.
Vollständige Profile aller Nutzer lesen Used when adding users in the sync scope. For example, this permission allows the reading of user information by searching for a user and displaying the users in the table on the user page.
6

Übernehmen Sie für SMB-Kunden die Standardeinstellungen, indem Sie das Kontrollkästchen Synchronisierungs-Standards aktivieren und auf Fortfahren klicken. Für Unternehmenskunden gehen Sie zum nächsten Schritt und setzen Sie die Konfiguration fort.

Wenn Sie die Standardeinstellungen akzeptieren, haben Sie die folgenden Möglichkeiten:
  • Synchronisieren Sie alle Benutzer mit Webex.
  • Akzeptieren Sie die Standard-Attributzuordnungen.
  • Aktivieren Sie den Umschalter, um die Profilbilder aller Benutzer zu synchronisieren, damit sie in den Webex-Diensten angezeigt werden.
  • Aktivieren Sie die automatische Synchronisierung, nachdem die Konfiguration abgeschlossen ist.
Bild, das die Standardeinstellung für die Azure AD-Synchronisierung zeigt
7

For Enterprise customers (more than 1000 users), or the customers who want to configure the settings manually, click the Attributes tab, and map the attributes. Klicken Sie auf Speichern.

You can map other user attributes from Entra ID to Webex, or change existing user attribute mappings using the Attributes page. Sie können die Zuordnung anpassen, indem Sie sicherstellen, dass Sie sie richtig konfigurieren. Der Wert, den Sie als Benutzernamen zuordnen, ist wichtig. Webex verwendet die E-Mail-Adresse des Benutzers als Benutzernamen. By default, the userPrincipalName (UPN) in Entra ID maps to the email address (username) in Control Hub.

Sie können die Zuordnung während der ersten Einrichtung nicht bearbeiten. Zu diesem Zeitpunkt wird die entsprechende Instanz nicht vollständig erstellt und es gibt keine Instanz des benutzerdefinierten Zuordnungsattributs. Sie können jedoch auf Bearbeiten klicken, um ihn nach Abschluss der Einrichtung zu ändern.
8

Fügen Sie Benutzer zum Synchronisierungsumfang hinzu, indem Sie auf die Registerkarte Benutzer klicken.

You can input the username to search and add the user in the synchronization scope. ​​​​​​​You can also remove a user from the sync scope by clicking the right side Recycle Bin icon. Klicken Sie auf Speichern.

If you want to select all users from Entra ID, select Select all users. Wenn Sie diese Option auswählen, müssen Sie keine Gruppen im Umfang auswählen, da diese Option die Gruppen gleichzeitig synchronisiert.

Bild, das alle Benutzer synchronisiert zeigt

Wir empfehlen die Verwendung von Select all users nicht für bedeutende Unternehmenskunden mit Hunderten von Tausenden von Nutzern, da der Initialisierungsprozess eine lange Zeit erfordert. Wenn Sie versehentlich viele Benutzer in Control Hub synchronisieren, dauert es auch länger, diese Benutzer zu löschen.

Klicken Sie auf Speichern.

9

On the Groups tab, you can search for individual groups and add them to Webex.

  • Click on the Sync group members tab to select all users with in the selected groups.
  • Click on the Sync children groups tab to select users in specific child groups.
Bild, das den Bildschirm zum Hinzufügen oder Entfernen von Gruppen zeigt

Klicken Sie auf Speichern.

By default, only the users in the selected groups will synchronize. Go to the More tab and select Sync group objects if you also want to synchronize the groups themselves.
10

Auf der Registerkarte Mehr können Sie einige erweiterte Synchronisierungsoptionen konfigurieren:

  • Sync user avatars—turn this on to allow Webex App to sync all in-scope user's avatars to Webex. Wenn ein Benutzer-Avatar aktualisiert wird, wird der Avatar des Benutzers automatisch in Webex aktualisiert. Möglicherweise wird die Aktualisierung nicht sofort aktualisiert, da zum Auslösen der Aktualisierung die Aktualisierung auf die Aktualisierungsbenachrichtigung angewiesen ist.

  • Sync group objects—turn this on so that the selected group objects on the Groups tab are synchronized to Webex.

  • Activate single sign-on—turn this on to configure OpenID Connect (OIDC) SSO for your organization.

    If your organization already has SSO enabled using one of the SAML options, you must disable the SAML option first before you can activate OIDC SSO in the Entra ID (Azure AD) Wizard App.

  • Identify and sync room objects—turn this on to sync room objects to Webex.

11

Sie können entscheiden, ob die Synchronisierung sofort oder später möglich sein soll. Wenn Sie die Option Jetzt zulassen auswählen , werden alle Einstellungen auf die anstehende Synchronisierung angewendet. Wenn Sie die Option Speichern auswählen und später zulassen , wird die Synchronisierung erst gestartet, wenn die automatische Synchronisierung erlaubt ist.

Bild, das die Option zum Speichern der Konfiguration zeigt
12

The application communicates with Entra ID to set up the configuration and schedules the synchronization.

Bild, das zeigt, dass die Einrichtung erfolgreich war
After the synchronization completes, one of the following results appears in the Job status field:
  • Active: the synchronization was successful.
  • Quarantine: the synchronization job was quarantined in Entra ID after multiple failures. See the Entra ID documentation for more information.
  • NotRun: this status appears only after first setup. The service has not yet run after first setup.

You can also click View summary to see additional information such as the time and date of the last synchronization, and the number of users synced, skipped, or failed:

Users

  • Synced: shows the number of users successfully synced to Webex.
  • Skipped: shows the number of users that were skipped in the last synchronization. For example, new users in Entra ID that were not added to the Entra ID (Azure AD) Wizard App sync scope. These users were not synced to Webex; add them in the sync scope to sync them to Webex.
  • Failed: shows the number of users that failed to sync. Check the Entra ID application provision audit log for more information about why these users failed to sync. If you need to sync these users immediately, you can provision users on demand.

Gruppen

  • Synced: shows the number of groups successfully synced to Webex and created in Control Hub.
  • To Be Synced: this status indicates that all of the users in a group have not yet been added. The users must first be successfully synced to Webex.

Migrate existing Cisco Webex Enterprise App configurations to Entra ID (Azure AD) Wizard App

If you already have set up a Cisco Webex Enterprise App in Entra ID, you can migrate all of your configurations over to the Entra ID (Azure AD) Wizard App automatically. You can manage Entra ID all in Control Hub without losing any of your previous configurations.

1

Sign in to Control Hub with a full administrator account.

2

Gehen Sie zu Organisationseinstellungen und scrollen Sie nach unten zum Abschnitt Verzeichnissynchronisierung .

3

Klicken Sie auf Einrichten, um die Konfiguration zu starten.

4

Authenticate the Entra ID admin account with the Entra ID configuration. Stellen Sie sicher, dass Sie ein Konto mit den im nächsten Schritt beschriebenen Berechtigungen verwenden.

5

Review the permissions and click Accept to grant the account authorization to access your Entra ID tenant.

Cisco Webex Identity Synchronization is an Entra ID enterprise application in Entra ID. The Wizard App connects to this application to access Entra ID graph APIs. Die für den Zugriff erforderlichen Berechtigungen sind die Mindestberechtigungen, die zur Unterstützung und Verwendung erforderlich sind.

Bild, das die verfügbaren Berechtigungen zeigt.
Berechtigung Verwendung
Manage apps that this app creates or owns

Required to manage the Cisco Webex Identity app in Entra ID Enterprise, including:

  • Create/delete this app in Entra ID

  • Attribute mapping configuration

  • Renaming the app in Entra ID

  • Enable/disable auto provision

Read all audit log data Used to access the Cisco Webex Identity provision audit log to read provisioning history. This information is used for the sync summary and sync report function in the Wizard App.
Read all groups/Read all group memberships Reads the list of groups from Entra ID to allow successful configuration of the groups sync scope.
Vollständige Profile aller Nutzer lesen Used when adding users in the sync scope. For example, this permission allows the reading of user information by searching for a user and displaying the users in the table on the user page.
6

Select Migrate existing app.

7

After accepting additional read-only permission requests, select the existing app that you want to migrate over to the Wizard App, and then select Proceed.

If the selected existing app doesn't provision users to the same Control Hub, the migration will fail.

8

After the migration completes, we recommend that you perform a dry run before enabling auto-sync to make sure there aren't any errors.

Perform a dry run

Before enabling auto-sync, we recommend that you perform a dry run first to make sure that there aren't any errors. Once the dry run completes, you can download a dry-run report to see detailed information. The available columns in the report are:

Tabelle 1. Dry-run report column descriptions
SpaltennameBeschreibung
Object TypeType of object in Entra ID, such as user or group.
Action TypeType of action that will be performed to the object during a synchronization. Possible action types are:
  • Matched—Object matches in Entra ID and Control Hub.
  • Add—Object will be added to Control Hub.
  • Deactivate—Object is in Control Hub, but the object has been removed in Entra ID or wasn't added to the sync scope. After synchronization, the object will be deactivated.
Azure IDID of the object in Entra ID.
Azure NameName of the object in Entra ID.
Webex NameName of the object in Webex.
GrundReason for why an action type will occur during a synchronization.
1

Sign in to Control Hub with a full administrator account.

2

Gehen Sie zu Organisationseinstellungen und scrollen Sie nach unten zum Abschnitt Verzeichnissynchronisierung .

3

Click on the three vertical dots next to the instance you want to sync, and then select Dry-run.

4

Once the dry run completes, click on Download summary to download the report as a CSV file.

Automatische Synchronisierung aktivieren oder deaktivieren

The Entra ID (Azure AD) Wizard App and its corresponding backend service checks if auto-sync is enabled to determine when to sync users or groups from Entra ID to Webex. Enable Auto Syncto allow the auto provision user and group synchronization. When you disable Auto Sync the Wizard App doesn't sync anything to Webex, but the existing configuration is preserved.

Typically, users are synced every 40 minutes per Microsoft policy.

1

Melden Sie sich bei Control Hub als vollständiger Org-Administrator an.

2

Gehen Sie zu Organisationseinstellungen und scrollen Sie nach unten zum Abschnitt Verzeichnissynchronisierung .

3

Umschalten Sie nach rechts, um die automatische Synchronisierung zu aktivieren.

Deaktivieren Sie sie, indem Sie den Umschalter für automatische Synchronisierung nach links umschalten.

Edit the Entra ID (Azure AD) Wizard App configuration

1

Sign in to Control Hub with a full administrator account.

2

Gehen Sie zu Organisationseinstellungen und scrollen Sie nach unten zum Abschnitt Verzeichnissynchronisierung .

3

Click Edit configuration.

Bild, das die Option zum Löschen einer Azure AD-Instanz zeigt
4

Customize the attribute mapping by selecting an attribute from the left column that originates from Entra ID. Das Zielattribut in Webex Cloud befindet sich in der rechten Spalte. See Entra ID (Azure AD) Wizard App attributes mapping for more information about mapping attributes.

Bild, das benutzerdefinierte Attribute zeigt
5

Auf den Registerkarten Benutzer und Gruppen können Sie Nutzer und Gruppen aus dem Synchronisierungsumfang hinzufügen oder entfernen.

Nested groups don't automatically synchronize to the cloud. Make sure to select any groups that are nested within the groups you want to synchronize.
6

Ändern Sie auf der Registerkarte Mehr Ihre Einstellungen, falls erforderlich.

7

Klicken Sie auf Save (Speichern), um die geänderte Konfiguration zu speichern.

Ihre Aktualisierungen werden bei der nächsten Synchronisierung angewendet. The Entra ID automatic sync mechanism handles the synchronization of users and user's groups.

Edit the Webex instance name

Change how the Cisco Webex Identity instance name appears in the Entra ID enterprise application list.

1

Sign in to Control Hub with a full administrator account.

2

Gehen Sie zu Organisationseinstellungen und scrollen Sie nach unten zum Abschnitt Verzeichnissynchronisierung .

3

Click Edit instance name.

Bild, das die Option zum Löschen einer Azure AD-Instanz zeigt
4

Enter the new instance name and then click Save.

Delete the Entra ID (Azure AD) Wizard App configuration

When you delete the Entra ID (Azure AD) Wizard App, it removes the configuration for Entra ID synchronization. The configuration is not retained by Webex or Entra ID. If you want to use Entra ID synchronization in the future, you'll need to do a full reconfiguration.

Don't delete the Cisco Webex application from within Entra ID.

1

Sign in to Control Hub with a full administrator account.

2

Gehen Sie zu Organisationseinstellungen und scrollen Sie nach unten zum Abschnitt Verzeichnissynchronisierung .

3

Click Delete instance.

Bild, das die Option zum Löschen einer Azure AD-Instanz zeigt
4

Wählen Sie auf der Seite Azure AD-Instanz löschen? die Option Widerruf der Zustimmung des Azure AD-Administrators aus, wenn Sie die Einwilligungsvereinbarung aus Webex entfernen möchten. Wenn Sie diese Option auswählen, müssen Sie Ihre Anmeldeinformationen eingeben und die Berechtigungen erneut erteilen.

Bild, das das Fenster Löschen zum Löschen einer Azure AD-Instanz zeigt
5

Klicken Sie auf Löschen.

Provision a user to Webex on-demand

You can provision a user to Webex immediately, independently of an Entra ID synchronization, and instantly check the result. Dies ist hilfreich bei der Behebung von Problemen während der Einrichtung.

1

Sign in to Control Hub with a full administrator account.

2

Go to Organization Settings and scroll down to the Directory Synchronization section.

3

Click Provision a user on demand.

Bild, das die Option zum Löschen einer Azure AD-Instanz zeigt
4

Search for and select the user you want to provision, and click Provision.

5

One of following results appear when it completes:

  • Provisioning success: The new user was successfully created in Webex.
  • Provisioning skipped: The provisioning was skipped for some reason, generally because the user already exists. The details appear on the Results summary page.
  • Provisioning failed: The provisioning failed. The details appear on the Results summary page.
6

Click Re-try to provision the same user again, if it skipped or failed.

7

Click Provision another user to return to the provisioning page.

8

Click Done when you are finished.

Import Entra ID verified domains to Control Hub

The customers may have hundreds of domains verified in Entra ID. While they integrate with Control hub, if they want to import the verified domains from Entra ID to Control Hub. Dadurch können zahlreiche Bemühungen im Wartungs- oder Einrichtungsprozess ersparen werden.

1

Wechseln Sie in der Registerkarte "Organisationseinstellungen" im Control Hub zum Domänenbereich.

2

Click Add with Entra ID.

3

Suchen Sie auf der Seite Verifizierte Domänen hinzufügen die hinzuzufügenden Domänen und wählen Sie sie aus.

4

Klicken Sie auf Hinzufügen.

The verfied domains will appear in the verified domain list.

Entra ID (Azure AD) Wizard App attributes mapping

The Entra ID (Azure AD) Wizard App can support and synchronize any changes you make to your attribute expressions. For example, in Entra ID, you can map the displayName so that it displays both the surname and givenName attributes. These changes appear in the Wizard App.

You can find more information on mapping attribute expressions in Entra ID on the Microsoft help site.

Use the following table for information on specific Entra ID attributes.

Entra ID doesn't synchronize null values. If you set an attribute value to null in Entra ID, it isn't deleted or patched with a null value in Webex. See the limitations on the Microsoft help site for more information.

Tabelle 2: Azure zu Webex-Zuordnungen

Entra ID Attribute (source)

Webex-Benutzerattribut (Ziel)

Beschreibung

Userprincipalname

Benutzername

 It’s the unique ID of the user in Webex. Es handelt sich um eine E-Mail im Format.

displayName

displayName

 Benutzername, der in der Webex-Anwendung angezeigt wird.

Nachname

name.familyName

givenName

name.givenName

Objectid

externe ID

 It is the user's UID in Entra ID. In der Regel handelt es sich um eine 16-Byte-Zeichenfolge. Wir empfehlen nicht, diese Zuordnung zu ändern.

jobTitle

title

AuslastungStandort

adressen[type eq "work"].country

 Wir empfehlen die Verwendung der Zuordnung zu den Adressen [type eq "work"].country. Wenn Sie ein anderes Attribut auswählen, sollten Sie sicherstellen, dass die Attributwerte den Standards entsprechen. Die USA sollten beispielsweise die USA sein. China sollte CN sein und so weiter.

Stadt

adressen[type eq "work"].locality

streetAddress

adressen[type eq "work"].streetAddress

Staat

adressen[type eq "work"].region

postalCode

adressen[type eq "work"].postalCode

telephoneNumber

phoneNumbers[type eq "work"].value

mobile

phoneNumbers[type eq "mobile"].value

facsimileTelephoneNumber

phoneNumbers[type eq "fax"].value

Manager

Manager

Syncs manager information of users to Webex so that users can always see the correct manager information on a user's contact card.

When a user is created, Entra ID checks if the user's manager object is in Webex Identity or not. If no, the user's manager attribute is ignored. If there is a manager attribute, two conditions must be met for the attribute to show on the user's contact card:

  • The manager object is synced to Webex.
  • The member user is active in Webex App. Technically, it can trigger the backend event to query the user's manager attribute periodically. Therefore, when the user's manager information is added or changed, the user's manager attribute could update through the triggered service.

These conditions check the update to the user's manager attribute when a user's authentication token is expired.

Manager attribute changes won't be reflected on the user's contact card until after the user signs in for the first time after the change.

FAQ – Häufig gestellte Fragen

How can I migrate to Entra ID (Azure AD) Wizard App from Cisco Directory Connector provision?

During setup, the Wizard App detects whether your organization uses Directory Connector. If it is enabled, a dialog box where you can choose to use Entra ID and block Directory Connector. Click Block to confirm that you want to continue the Entra ID (Azure AD) Wizard App configuration.

You can also choose to disable Directory Connector before configuring the Wizard App. After configuration, the Wizard App manages user profiles. However, the Wizard App only manages the users who were added to the synchronization scope; you cannot use the Wizard App to manage users synced by Directory Connector that were not part of the synchronization scope.

Can I configure single sign-on with Microsoft Entra?

You can configure a single sign-on (SSO) integration between a Control Hub customer organization and a deployment that uses Microsoft Entra ID as an identity provider.

When does the user avatar update in Webex?

The user avatars are synced to Webex when the user is created in Webex Identity. This update relies on the user's avatar being updated in Entra ID. The Wizard App then retrieves the new avatar from Entra ID.