Control Hub で Entra ID を有効にする


 

政府版 Webex では、Entra ID (Azure AD) ウィザード アプリは、コンシューマー/エンタープライズおよび GCC Moderate Entra ID (Azure AD) の顧客を対象とする Entra ID グローバル アイデンティティにのみ接続します。 GCC High Customers は、Microsoft Enterprise Gallery の Control Hub アプリケーションを使用して、ユーザーとグループを Webex にプロビジョニングする必要があります。 GCC High をサポートするウィザード バージョンは、今後の Control Hub リリースで利用可能になります。

この記事で説明されている機能の一部は、すべての顧客にはまだ利用できません。

Image showing the Azure AD sync setup.

始める前に

アプリケーションにテナント全体の管理者同意を付与する権限を持つ Entra ID アカウントにアクセスできることを確認します。
1

フル管理者アカウントで Control Hub にサインインします。

2

このリンクを選択します:組織設定デスクトップアプリの隣にあるディレクトリ同期セクションまで下方にスクロールします。

3

クリックセットアップを選択して、構成を開始します。

4

Entra ID 管理者アカウントを認証します。


 

Entra ID でグローバル管理者または高齢ロール管理者ではない場合は、Entra ID (Azure AD) ウィザード アプリに権限を付与するためのアクセスを要求できます。

Entra IDに完全な管理者権限がある場合は、に移動してリクエストへのアクセスを確認および許可できます。 ID > アプリケーション > エンタープライズアプリケーション。 [アクティビティ] から [管理者同意リクエスト] を選択し、[Cisco Webex Identity Integration] をクリックして [権限を確認して承認] を選択します。 このプロセスにより、Webex アプリケーションの一般認証が許可されます。

最後に、[すべて (プレビュー)] タブをクリックし、[Cisco Webex Identity Integration] を選択し、[アプリケーションの確認] をクリックします。 未満 [セキュリティ]>[権限]の順に移動し、[Cisco の管理者同意を付与する]をクリックして、Control Hub で Entra ID を有効にするために必要なすべての権限を付与します。

このプロセスの詳細については、「Microsoft サポート」を参照してください。

5

権限を確認し、[承諾] をクリックして、Entra ID テナントにアクセスするためのアカウント認証を付与します。

Cisco Webex Identity は、Entra ID の Entra ID エンタープライズ アプリケーションです。 ウィザードアプリはこのアプリケーションに接続し、Entra ID グラフ API にアクセスします。 アクセスに必要な権限は、サポートと使用に必要な最小限の権限です。

Image showing the available permissions.
権限 使用法
このアプリが作成した、または所有するアプリを管理する

Entra ID Enterprise で Cisco Webex ID アプリを管理するために必要です。これには以下が含まれます。

  • Entra ID でこのアプリを作成/削除する

  • 属性マッピングの設定

  • Entra ID でアプリの名前を変更する

  • 自動プロビジョニングを有効化/無効化

すべての監査ログ データの読み取りプロビジョニング履歴を読み取るために、 Cisco Webexアイデンティティプロビジョニング監査ログにアクセスするために使用されます。 この情報はウィザード アプリの同期概要と同期レポート機能で使用されます。
すべてのグループの読み取り/すべてのグループ メンバーシップの読み取りEntra ID からグループのリストを読み取り、グループの同期範囲を正常に設定できるようにします。

 
グループメンバーシップの更新は、同期に最大 12 時間かかる場合があります。 グループ同期時に新しいユーザーが自動同期していない場合、新しいユーザーがグループと同期するまでさらに 12 時間待つ必要があります。
すべてのユーザーのフルプロファイルを読み取る同期範囲でユーザーを追加するときに使用されます。 たとえば、この権限はユーザを検索し、ユーザページのテーブルにユーザを表示することによって、ユーザー情報を読み取ることができます。
6

SMB の顧客は、以下にチェックを入れて、デフォルト設定を承認します。デフォルトを同期チェックボックスを選択し、続行を選択します。 エンタープライズ顧客の場合は、次のステップに進んで構成を続けてください。

デフォルトの設定を受け入れると、次のようになります。
  • すべてのユーザーをWebexに同期します。
  • デフォルトの属性マッピングを受け入れます。
  • トグルを有効にして、すべてのユーザーのプロファイル画像を同期してWebexサービスに表示します。
  • 設定が完了したら自動同期を有効にします。
Image showing the Azure AD sync default setting option
7

エンタープライズ顧客 (1000 人以上のユーザー)、または手動で設定を構成する顧客の場合、属性を選択し、属性をマッピングします。 [保存] をクリックします。

Entra ID から Webex に他のユーザー属性をマッピングしたり、[属性] ページを使用して既存のユーザー属性マッピングを変更したりできます。 正しく設定することによって、マッピングをカスタマイズます。 ユーザー名としてマッピングする値は重要です。 Webex はユーザーのメール アドレスをユーザー名として使用します。 デフォルトでは、Entra ID の userPrincipalName (UPN) は Control Hub のメールアドレス (ユーザー名) にマッピングされます。


 
最初のセットアップ中にマッピングを編集することはできません。 この時点で、対応するインスタンスは完全に構築されず、カスタマイズされたマッピング属性のインスタンスはありません。 ただし、次を編集:を選択し、セットアップが完了したら変更します。
8

クリックして、同期範囲にユーザーを追加します。ユーザータブの下に表示します。

ユーザー名を入力して同期範囲内のユーザーを検索して追加することができます。 また、右側にある [ゴミ箱] アイコンをクリックして、同期範囲からユーザーを削除することもできます。 [保存] をクリックします。

Entra IDからすべてのユーザーを選択する場合は、[すべてのユーザーを選択]を選択します。 選択した場合、このオプションではグループが同時に同期されるため、範囲内のグループを選択する必要はありません。

Image showing all users synchronized

 

使用することはおすすめしません。すべてのユーザーを選択初期化プロセスに時間がかかるため、数十万人のユーザーを抱える大規模なエンタープライズ顧客向けに提供されます。 Control Hub で多くのユーザーを誤って同期した場合、これらのユーザーを削除するのにもより時間がかかります。

[保存] をクリックします。

9

[グループ] タブで、個々のグループを検索して Webex に追加できます。

  • [グループメンバーの同期] タブをクリックして、選択したグループ内のすべてのユーザーを選択します。
  • 特定の子グループ内のユーザーを選択するには、[子グループを同期]タブをクリックします。
Image showing the screen to add or remove groups

[保存] をクリックします。


 
デフォルトでは、選択したグループのユーザーだけが同期します。 グループ自体を同期する場合は、[その他]タブで[グループオブジェクトの同期]を選択します。
10

パーソナル会議室の詳細次のような高度な同期オプションを構成できます。

  • ユーザーのアバターを同期—これをオンにすると、Webex アプリがスコープ内のユーザーのアバターをすべて Webex に同期できます。 ユーザーのアバターが更新されると、ユーザーのアバターはWebexで自動的に更新されます。 更新をトリガーするのに更新通知に依存しているため、すぐに更新されない場合があります。

  • グループ オブジェクトを同期—これをオンにすると、[グループ] タブで選択したグループ オブジェクトが Webex に同期されます。

  • シングル サインオンをアクティブにする—これをオンにして、組織の OpenID Connect(OIDC)SSO を設定します。


     
    組織ですでに SAML オプションの 1 つを使用してSSO が有効になっている場合、Entra ID (Azure AD) ウィザード アプリで OIDC SSO をアクティブにするには、まず SAML オプションを無効にする必要があります。

  • 会議室オブジェクトを識別して同期する—これをオンにして、会議室オブジェクトを Webex に同期します。

11

同期をすぐに行うか、後で同期するかを選択できます。 パーソナル会議室の今すぐ許可、今後の同期にすべての設定を適用します。 パーソナル会議室の保存して後で許可を追加した場合、自動同期を許可するまで同期は開始しません。

Image showing the option to save the configuration
12

アプリケーションは Entra ID と通信して設定をセットアップし、同期をスケジュールします。

Image showing that the setup is successful
同期が完了したら、次の結果が [ジョブステータスフィールド:
  • アクティブ: 同期に成功しました。
  • 隔離: 同期ジョブは、複数の失敗後に Entra ID で検疫されました。 詳細については、Entra ID のドキュメントを参照してください。
  • NotRun : このステータスは最初のセットアップの後にのみ表示されます。 最初のセットアップ後, サービスはまだ実行されていません。

また、概要を表示を選択して、最後の同期の日時、同期、スキップ、失敗したユーザーの数などの追加情報を表示します。

ユーザー

  • 同期済み: はWebexに正常に同期されたユーザーの数を表示します。
  • スキップ済み: は、最後の同期でスキップされたユーザーの数を表示します。 たとえば、Entra ID (Azure AD) ウィザード アプリの同期範囲に追加されなかった Entra ID の新しいユーザーです。 これらのユーザーはWebexに同期されませんでした。同期範囲に追加してWebexと同期します。
  • 失敗: は同期に失敗したユーザー数を示します。 これらのユーザーが同期に失敗した理由の詳細については、Entra ID アプリケーションプロビジョニング監査ログを確認してください。 これらのユーザーをすぐに同期させる必要がある場合はオンデマンドでのユーザ プロビジョニングを選択します。

グループ

  • 同期済み: は、 Webexに正常に同期され、Control Hub で作成されたグループの数を示します。
  • 同期対象: この状態は、グループ内のすべてのユーザーがまだ追加されていないことを示します。 まず、ユーザーがWebexに正常に同期されている必要があります。

既存の Cisco Webex エンタープライズ アプリ設定を Entra ID (Azure AD) ウィザード アプリに移行する

すでに Entra ID で Cisco Webex Enterprise アプリを設定している場合は、すべての設定を Entra ID (Azure AD) ウィザード アプリに自動的に移行できます。 以前の構成を失うことなく、Control Hub で Entra ID をすべて管理できます。

1

フル管理者アカウントで Control Hub にサインインします。

2

このリンクを選択します:組織設定デスクトップアプリの隣にあるディレクトリ同期セクションまで下方にスクロールします。

3

クリックセットアップを選択して、構成を開始します。

4

Entra ID 設定で Entra ID 管理者アカウントを認証します。 次のステップで説明されている権限を持つアカウントを使用するようにしてください。

5

権限を確認し、[承諾] をクリックして、Entra ID テナントにアクセスするためのアカウント認証を付与します。

Cisco Webex Identity Synchronization は、Entra ID の Entra ID エンタープライズ アプリケーションです。 ウィザードアプリはこのアプリケーションに接続し、Entra ID グラフ API にアクセスします。 アクセスに必要な権限は、サポートと使用に必要な最小限の権限です。

Image showing the available permissions.
権限 使用法
このアプリが作成した、または所有するアプリを管理する

Entra ID Enterprise で Cisco Webex ID アプリを管理するために必要です。これには以下が含まれます。

  • Entra ID でこのアプリを作成/削除する

  • 属性マッピングの設定

  • Entra ID でアプリの名前を変更する

  • 自動プロビジョニングを有効化/無効化

すべての監査ログ データの読み取りプロビジョニング履歴を読み取るために、 Cisco Webexアイデンティティプロビジョニング監査ログにアクセスするために使用されます。 この情報はウィザード アプリの同期概要と同期レポート機能で使用されます。
すべてのグループの読み取り/すべてのグループ メンバーシップの読み取りEntra ID からグループのリストを読み取り、グループの同期範囲を正常に設定できるようにします。
すべてのユーザーのフルプロファイルを読み取る同期範囲でユーザーを追加するときに使用されます。 たとえば、この権限はユーザを検索し、ユーザページのテーブルにユーザを表示することによって、ユーザー情報を読み取ることができます。
6

選択既存のアプリの移行を選択します。

7

追加の読み取り専用権限リクエストを承認した後、ウィザード アプリに移行する既存のアプリを選択し、続行を選択します。


 

選択した既存のアプリが同じ Control Hub にユーザーをプロビジョニングしない場合、移行は失敗します。

8

移行が完了したらリハーサルを実行するエラーがないことを確認してください。

ドライ ランを実行する

自動同期を有効にする前に、まずドライ ランを実行して、エラーがないことを確認することをおすすめします。 ドライランが完了したら、ドライランレポートをダウンロードして詳細情報を確認できます。 レポートで利用できるカラムは次のとおりです。

表 1. ドライラン レポート カラムの説明
列名説明
オブジェクト タイプユーザやグループなどの Entra ID 内のオブジェクトのタイプ。
アクション タイプ同期中にオブジェクトに対して実行されるアクションのタイプです。 可能なアクション タイプは以下のとおりです。
  • 一致済み:Entra ID と Control Hub でオブジェクトが一致します。
  • 追加—オブジェクトは Control Hub に追加されます。
  • 非アクティブ化:オブジェクトは Control Hub にあるが、オブジェクトは Entra ID で削除されているか、同期スコープに追加されていません。 同期後、オブジェクトは非アクティブ化されます。
Azure IDEntra ID のオブジェクトの ID。
Azure の名前Entra ID 内のオブジェクトの名前。
Webex名Webexのオブジェクトの名前。
理由同期中にアクションタイプが発生する理由。
1

フル管理者アカウントで Control Hub にサインインします。

2

このリンクを選択します:組織設定デスクトップアプリの隣にあるディレクトリ同期セクションまで下方にスクロールします。

3

同期させるインスタンスの隣にある 縦に並んだ 3 つの点をクリックしリハーサルを選択します。

4

リハーサルが完了したら次をクリックします概要をダウンロードを使用して、レポートをCSVファイルとしてダウンロードします。

自動同期を有効または無効にする

Entra ID (Azure AD) ウィザード アプリとその対応するバックエンド サービスは、自動同期が有効になっているかどうかを確認し、Entra ID から Webex にユーザーまたはグループを同期するタイミングを決定します。 自動同期を有効にして、自動プロビジョニングのユーザーとグループの同期を許可します。 自動同期を無効にすると、ウィザード アプリは Webex に何も同期しませんが、既存の設定は保持されます。


 

通常、ユーザーはMicrosoftのポリシーに従って40分ごとに同期されます。

1

フル組織管理者として Control Hub にログインします。

2

このリンクを選択します:組織設定デスクトップアプリの隣にあるディレクトリ同期セクションまで下方にスクロールします。

3

トグルを右に切り替えて有効にします自動同期を選択します。

音声オプションを自動同期左に切り替えます。

Entra ID (Azure AD) ウィザード アプリの設定を編集する

1

フル管理者アカウントで Control Hub にサインインします。

2

このリンクを選択します:組織設定デスクトップアプリの隣にあるディレクトリ同期セクションまで下方にスクロールします。

3

クリック構成の編集を選択します。

Image showing the option to delete an Azure AD instance
4

Entra ID から発信される左側の列から属性を選択して、属性マッピングをカスタマイズします。 Webex Cloud の宛先属性は右側の列にあります。 マッピング属性の詳細については、「Entra ID (Azure AD) ウィザード アプリ属性マッピング」を参照してください。

Image showing the custom attributes
5

パーソナル会議室のユーザーおよびグループタブで、同期範囲に対してユーザーおよびグループを追加または削除します。


 
ネストされたグループは自動的にクラウドに同期しません。 同期したいグループ内に含まれているすべてのグループを選択してください。
6

パーソナル会議室の詳細タブを選択します。必要に応じて、基本設定を変更します。

7

クリック保存をクリックして変更された構成を保存します。


 

更新は次の同期で適用されます。 Entra ID 自動同期メカニズムは、ユーザとユーザのグループの同期を処理します。

Webexインスタンス名を編集する

Entra ID エンタープライズ アプリケーション リストに Cisco Webex Identity インスタンス名が表示される方法を変更します。

1

フル管理者アカウントで Control Hub にサインインします。

2

このリンクを選択します:組織設定デスクトップアプリの隣にあるディレクトリ同期セクションまで下方にスクロールします。

3

クリックインスタンス名を編集を選択します。

Image showing the option to delete an Azure AD instance
4

新しいインスタンス名を入力し、保存を選択します。

Entra ID (Azure AD) ウィザード アプリの構成を削除する

Entra ID (Azure AD) ウィザード アプリを削除すると、Entra ID 同期の設定が削除されます。 設定は Webex または Entra ID によって保持されません。 今後、Entra ID 同期を使用する場合は、完全な再構成を行う必要があります。

始める前に

1

フル管理者アカウントで Control Hub にサインインします。

2

このリンクを選択します:組織設定デスクトップアプリの隣にあるディレクトリ同期セクションまで下方にスクロールします。

3

クリックインスタンスの削除を選択します。

Image showing the option to delete an Azure AD instance
4

[ Azure AD インスタンスを削除しますか?を選択して、 Azure AD 管理者の同意を取り消す( Webexから同意契約を削除する場合)。 このオプションを選択した場合、クレデンシャルを入力し、再度権限を付与する必要があります。

Image showing the Delete window to delete an Azure AD instance
5

[削除] をクリックします。

オンデマンドでユーザーをWebexにプロビジョニングする

Entra ID 同期とは無関係に、ユーザーをすぐに Webex にプロビジョニングし、結果を即座に確認できます。 これは、セットアップ中の問題をトラブルシューティングする場合に役立ちます。

1

フル管理者アカウントで Control Hub にサインインします。

2

[組織設定] に移動し、[ディレクトリ同期] セクションまでスクロールダウンします。

3

クリックオンデマンドでユーザーをプロビジョニングを選択します。

Image showing the option to delete an Azure AD instance
4

プロビジョニングするユーザーを検索して選択し、プロビジョニングを選択します。

5

完了後、以下のいずれかの結果が表示されます。

  • プロビジョニング成功: Webexで新規ユーザーが正常に作成されました。
  • プロビジョニングがスキップされました: プロビジョニングが何らかの理由でスキップされました。通常、ユーザーはすでに存在しています。 詳細が結果の概要] ページからいつでも確認できます。
  • プロビジョニングに失敗しました: 準備に失敗しました。 詳細が結果の概要] ページからいつでも確認できます。
6

クリック再試行スキップまたは失敗した場合、同じユーザーを再度プロビジョニングする。

7

クリック別のユーザーをプロビジョニングをクリックしてプロビジョニングページに戻ります。

8

クリック完了終了後に選択できます。

Entra ID 検証済みドメインを Control Hub にインポートする

顧客は、Entra ID で検証された何百ものドメインを持っている可能性があります。 Control Hub と統合している間に、検証済みドメインを Entra ID から Control Hub にインポートする場合。 これにより、メンテナンスまたは設定プロセスの多くの労力を節約することができます。

1

次に移動する:ドメインセクションを組織設定タブで共有します。

2

Entra IDで追加をクリックします。

3

[検証済みドメインを追加ページで追加するドメインを検索して選択します。

4

[追加] をクリックします。

検証済みドメインリストには、検証済みドメインが表示されます。

Entra ID (Azure AD) ウィザード アプリの属性マッピング

Entra ID (Azure AD) ウィザード アプリは、属性式に加えた変更をサポートし、同期できます。 たとえば、Entra ID では、 displayName そのため surname および givenName 属性。 これらの変更は、ウィザード アプリ に表示されます。

属性式のマッピングの詳細については、Microsoft ヘルプ サイト の Entra ID を参照してください。

特定の Entra ID 属性については、次の表を参照してください。


 

Entra ID は null 値を同期しません。 Entra ID で属性値を null に設定した場合、Webex では null 値で削除またはパッチされません。 詳細については、Microsoftヘルプサイトの制限を参照してください。

表 2. Azure から Webex へのマッピング

Entra ID 属性 (ソース)

Webex ユーザー属性 (ターゲット)

説明

userPrincipalName

userName

 Webexでのユーザーの一意のIDです。 形式化されたメールです。

displayName

displayName

 Webexアプリケーションに表示されるユーザー名です。

surname

name.familyName

givenName

name.givenName

objectId

externalId

 Entra IDのユーザーのUIDです。 通常、16 バイトの文字列です。 このマッピングを変更することは推奨しません。

jobTitle

title

usageLocation

addresses[type eq "work"].country

 アドレス [type eq "work"].country に対して、[使用場所] マッピングを使用することをお勧めします。 別の属性を選択する場合、属性値が標準に準拠していることを確認する必要があります。 たとえば、米国は米国である必要があります。 中国は CN でなければなりません。

city

addresses[type eq "work"].locality

streetAddress

addresses[type eq "work"].streetAddress

state

addresses[type eq "work"].region

postalCode

addresses[type eq "work"].postalCode

telephoneNumber

phoneNumbers[type eq "work"].value

mobile

phoneNumbers[type eq "mobile"].value

facsimileTelephoneNumber

phoneNumbers[type eq "fax"].value

manager

manager

ユーザーのマネージャー情報がWebexに同期されることで、ユーザーはユーザーの名刺に常に正しいマネージャー情報が表示されます。

ユーザーが作成されると、Entra ID はユーザーのマネージャオブジェクトが Webex ID にあるかどうかを確認します。 [いいえ] の場合、ユーザーのマネージャー属性は無視されます。 マネージャ属性がある場合、属性がユーザの連絡先カードに表示されるためには、次の 2 つの条件を満たす必要があります。

  • マネージャ オブジェクトがWebexに同期されます。
  • メンバー ユーザーはWebexアプリでアクティブになります。 技術的には、バックエンドのイベントをトリガーして、ユーザーのマネージャー属性を定期的にクエリすることができます。 したがって、ユーザーのマネージャー情報が追加または変更されると、ユーザーのマネージャー属性はトリガーされたサービスを通して更新できます。

これらの条件は、ユーザーの認証トークンの期限が切れたときに、ユーザーのマネージャー属性に対する更新を確認します。

FAQ

Cisco Directory Connector プロビジョニングから Entra ID (Azure AD) ウィザード アプリに移行するには?

セットアップ中に、ウィザード アプリは組織が Directory Connector を使用しているかどうかを検出します。 有効になっている場合、Entra ID を使用して Directory Connector をブロックすることを選択できるダイアログボックス。 [ブロック] をクリックして、Entra ID (Azure AD) ウィザード アプリの設定を続行することを確認します。

Wizard アプリを構成する前に Directory Connector を無効にすることもできます。 構成後、ウィザードアプリがユーザープロファイルを管理します。 ただし、ウィザード アプリは同期範囲に追加されたユーザーのみを管理します。ウィザード アプリを使用して、同期範囲の一部ではない Directory Connector によって同期されたユーザーを管理することはできません。

Microsoft Entra でシングル サインオンを設定できますか?

Control Hub の顧客組織と、Microsoft Entra ID を ID プロバイダーとして使用する展開の間でシングル サインオン (SSO) 統合を構成することができます。

ユーザー アバターはWebexで更新されますか?

ユーザーがWebex Identity で作成されると、ユーザー アバターはWebexに同期されます。 この更新は、Entra ID で更新されるユーザーのアバターに依存します。 ウィザードアプリは、Entra IDから新しいアバターを取得します。