Control Hub で Entra ID を有効にする

政府版 Webex では、Entra ID (Azure AD) ウィザード アプリは、GCC Moderate Entra ID と GCC High Entra ID の両方の顧客に対して使用できます。

この記事で説明されている機能の一部は、すべての顧客がまだ利用できません。

開始する前に

アプリケーションに対するテナント全体の管理者の同意を付与する権限を持つ Entra ID アカウントにアクセスできることを確認します。
1

フル管理者アカウントで Control Hub にサインイン します。

2

[組織設定] に移動し、[Microsoft Azure Active Directory ウィザード アプリ] までスクロールします。

3

[設定 ] をクリック して構成を開始します。

4

(オプション) 政府版 Webex 管理者については、[Entra Worldwide] または [Entra GCC High] のいずれかを選択し、[続行] をクリックします。

Entra Worldwide は、GCC Moderate と Commercial の両方について、ウィザードを Entra AD に送信します。Entra GCC High はウィザードを Entra AD for GCC High に送信します。
5

Entra ID 管理者アカウントを認証します。

Entra ID のグローバル管理者または権限を持つロール管理者ではない場合、Entra ID (Azure AD) ウィザード アプリの権限を付与するためのアクセスを要求できます。

Entra ID のフル管理者権限を持っている場合、[アイデンティティ] > [アプリケーション] > [エンタープライズ アプリケーション] の順に移動して、要求へのアクセスを確認し、許可できます。[アクティビティ] の下で、[管理者の同意要求] を選択し、[Cisco Webex アイデンティティ インテグレーション] をクリックして、[権限を確認して承認] を選択します。このプロセスにより、Webex アプリケーションに一般的な認証が許可されます。

最後に、[すべて (プレビュー)] タブをクリックし、[Cisco Webex アイデンティティ インテグレーション] を選択し、[アプリケーションの確認] をクリックします。[セキュリティ] > [権限] の下で、[Cisco の管理者の同意を付与する] をクリックして、Control Hub で Entra ID を有効にするために必要なすべての権限を付与します。

このプロセスの詳細については、Microsoft サポート を参照してください。

6

権限を確認し、[承認] をクリックして、Entra ID テナントにアクセスするためのアカウント認証を付与します。

Cisco Webex Identity は、Entra ID の Entra ID エンタープライズ アプリケーションです。ウィザードアプリはこのアプリケーションに接続して、Entra ID グラフ API にアクセスします。アクセスに必要な権限は、サポートと使用に必要な最小限の権限です。

利用可能な権限を示す画像。
権限 使用法
このアプリが作成または所有するアプリを管理

以下を含む Entra ID Enterprise で Cisco Webex アイデンティティ アプリを管理するために必要です。

  • Entra ID でこのアプリを作成/削除

  • 属性マッピング設定

  • Entra ID でアプリの名前を変更する

  • 自動プロビジョニングを有効/無効にする

すべての監査ログ データを読み取る プロビジョニング履歴を読み取る Cisco Webex Identity プロビジョニング監査ログにアクセスするために使用されます。この情報は、ウィザードアプリの同期概要と同期レポート機能に使用されます。
すべてのグループを読み取る/すべてのグループ メンバーシップを読み取る Entra ID からグループのリストを読み取り、グループの同期範囲を正常に設定できるようにします。

グループ メンバーシップの更新は、同期に最大 12 時間かかる場合があります。グループ同期が行われたときに新しいユーザーが自動同期されていない場合は、新しいユーザーがグループに同期されるまでさらに 12 時間待つ必要があります。

すべてのユーザーのフルプロファイルを読み取る 同期範囲でユーザーを追加する場合に使用されます。たとえば、この権限により、ユーザを検索し、ユーザページのテーブルにユーザを表示することにより、ユーザ情報を読み取ることができます。
7

SMB顧客の場合、[同期のデフォルト] チェックボックスに チェックを入れ、[ 続行] をクリックして既定の設定を承認 します。エンタープライズの顧客の場合、次のステップに進み、構成を続行します。

デフォルトの設定に同意する場合は、以下を行います。
  • すべてのユーザーを Webex と同期します。
  • デフォルトの属性マッピングを受け入れる。
  • トグルを有効にして、すべてのユーザーのプロファイル画像を同期し、Webex サービスで表示します。
  • 構成が完了した後で、自動同期を有効にします。
Azure AD 同期デフォルト設定オプションを示す画像
8

エンタープライズ顧客 (1000 人以上のユーザー)、または手動で設定を構成する顧客の場合、[属性] タブをクリックして、属性をマッピングします。[保存]をクリックします。

他のユーザー属性を Entra ID から Webex にマッピングしたり、[属性] ページを使用して既存のユーザー属性マッピングを変更したりできます。マッピングは、正しく設定されていることを確実にすることで、カスタマイズできます。ユーザー名としてマップする値は重要です。Webex はユーザーのメール アドレスをユーザー名として使用します。デフォルトでは、Entra ID の userPrincipalName (UPN) は Control Hub のメール アドレス (ユーザー名) にマップされます。

最初のセットアップ中にマッピングを編集できます。その時点で、対応するインスタンスは完全に構築され、カスタマイズされたマッピング属性のインスタンスはありません。ただし、設定が完了したら 、[ 編集] をクリックして変更できます。

9

[ユーザー] タブをクリックして、同期範囲にユーザーを 追加 します。

ユーザー名を入力して同期範囲内でユーザーを検索して追加できます。また、右側のゴミ箱アイコンをクリックして、同期範囲からユーザーを削除することもできます。[保存]をクリックします。

Entra ID からすべてのユーザーを選択する場合は、[すべてのユーザーを選択] を選択します。これを選択した場合、このオプションがグループを同時に同期するために、範囲でグループを選択する必要はありません。

すべてのユーザーの同期を示す画像

初期化には長い時間 が必要ですが、数百、数千のユーザーを持つ大企業の顧客には [すべてのユーザーを選択する] を使用することをお勧めしません。Control Hub の多くのユーザーを誤って同期してしまった場合、これらのユーザーの削除にも時間がかかります。

[保存] をクリックします。

10

[グループ] タブで、個々のグループを検索して Webex に追加できます。

  • [グループ メンバーを同期] タブをクリックして、特定のグループ内のすべてのユーザーを検索して選択します。
  • [子グループを同期] タブをクリックして、子グループを同期する親グループを選択します。
    • 親グループを選択すると、その子グループ内のユーザのみが同期されます。[グループ メンバーを同期] タブを使用して、より大きな親グループを同期します。

    • デフォルトでは、選択したグループのユーザーのみが Webex に同期されます。グループを同期する場合は、[詳細] タブに移動し、[グループ オブジェクトを同期] を選択します。

グループの追加または削除を行う画面を示す画像
11

[詳細] タブ では、いくつかの高度な同期オプションを構成できます。

  • ユーザー アバターを同期: これをオンにすると、Webex アプリが範囲内のすべてのユーザーのアバターを Webex に同期できるようになります。ユーザーのアバターが更新される場合、Webex ではユーザーのアバターが自動的に更新されます。更新をトリガーする更新通知に依存して、直ちに更新されない場合があります。

  • グループ オブジェクトを同期: これをオンにすると、[グループ] タブで選択したグループ オブジェクトが Webex に同期されます。

  • シングルサインオンを有効にする—これをオンにして、組織の OpenID Connect (OIDC) SSO を構成します。

    組織が SAML オプションの 1 つを使用して SSO を有効化している場合、Entra ID (Azure AD) ウィザード アプリで OIDC SSO をアクティベートする前に、まず SAML オプションを無効にする必要があります。

  • 会議室オブジェクトの特定と同期 - これをオンにすると、会議室オブジェクトを Webex に同期できます。

12

即座に同期を行うのか、または後の段階で行うのを許可するか決めます。[今すぐ許可する ] オプションを 選択すると、すべての設定が今後の同期に適用されます。[保存して後で 許可する] オプションを 選択した場合、自動同期を許可するまで同期は開始されません。

設定を保存するオプションを示す画像
13

アプリケーションは Entra ID と通信して設定をセットアップし、同期をスケジュールします。

設定が正常されたことを示す画像
同期が完了すると、次のいずれかの結果が [ジョブのステータス] フィールドに表示されます。
  • アクティブ: 同期に成功しました。
  • 検疫中: 同期ジョブは、複数の失敗後に Entra ID で隔離されました。詳細については、Entra ID のドキュメント を参照してください。
  • 非実行: このステータスは、最初のセットアップ後にのみ表示されます。最初のセットアップ後、サービスはまだ実行されていません。

[概要の表示] をクリックして、前回の同期の日時、同期済み、スキップ、失敗したユーザー数などの追加情報を表示することもできます。

ユーザー

  • 同期: は、Webex に正常に同期されたユーザーの数を示します。
  • スキップ済み: は、最後の同期でスキップされたユーザーの数を示します。たとえば、Entra ID (Azure AD) ウィザード アプリの同期範囲に追加されていない Entra ID の新しいユーザーです。これらのユーザーは Webex に同期されませんでした。同期範囲に追加して Webex に同期します。
  • 失敗: 同期に失敗したユーザーの数を示します。これらのユーザが同期に失敗した理由の詳細については、Entra ID アプリケーションのプロビジョニング監査ログを確認してください。これらのユーザーをすぐに同期する必要がある場合は、オンデマンドでユーザーをプロビジョニングできます。

グループ

  • 同期: Webex に正常に同期され、Control Hub で作成されたグループの数を示します。
  • 同期するには: このステータスは、グループ内のすべてのユーザがまだ追加されていないことを示します。ユーザーはまず、Webex に正常に同期する必要があります。

既存の Cisco Webex Enterprise アプリ設定を Entra ID (Azure AD) ウィザード アプリに移行する

Entra ID で Cisco Webex Enterprise アプリをすでにセットアップしている場合、すべての設定を Entra ID (Azure AD) ウィザード アプリに自動的に移行できます。Entra ID は、以前の設定のいずれも失うことなく、Control Hub ですべて管理できます。

1

フル管理者アカウントで Control Hub にサインイン します。

2

[組織の 設定] に 移動して、[ディレクトリ同期] セクションまで スクロール ダウンします。

3

[設定 ] をクリック して構成を開始します。

4

Entra ID 設定で Entra ID 管理アカウントを認証します。次の手順で説明される権限を持つアカウントを使用することを確認してください。

5

権限を確認し、[承認] をクリックして、Entra ID テナントにアクセスするためのアカウント認証を付与します。

Cisco Webex アイデンティティ 同期 は、Entra ID の Entra ID エンタープライズ アプリケーションです。ウィザードアプリはこのアプリケーションに接続して、Entra ID グラフ API にアクセスします。アクセスに必要な権限は、サポートと使用に必要な最小の権限です。

利用可能な権限を示す画像。
権限 使用法
このアプリが作成または所有するアプリを管理

以下を含む Entra ID Enterprise で Cisco Webex アイデンティティ アプリを管理するために必要です。

  • Entra ID でこのアプリを作成/削除

  • 属性マッピング設定

  • Entra ID でアプリの名前を変更する

  • 自動プロビジョニングを有効/無効にする

すべての監査ログ データを読み取る プロビジョニング履歴を読み取る Cisco Webex Identity プロビジョニング監査ログにアクセスするために使用されます。この情報は、ウィザードアプリの同期概要と同期レポート機能に使用されます。
すべてのグループを読み取る/すべてのグループ メンバーシップを読み取る Entra ID からグループのリストを読み取り、グループの同期範囲を正常に設定できるようにします。
すべてのユーザーのフルプロファイルを読み取る 同期範囲でユーザーを追加する場合に使用されます。たとえば、この権限により、ユーザを検索し、ユーザページのテーブルにユーザを表示することにより、ユーザ情報を読み取ることができます。
6

[既存のアプリを移行] を選択します。

7

追加の読み取り専用権限要求を承認した後、ウィザードアプリに移行する既存のアプリを選択し、[続行] を選択します。

選択した既存のアプリが同じ Control Hub にユーザーをプロビジョニングしない場合、移行は失敗します。

8

移行が完了したら、自動同期を有効にする前にドライ ランを実行して 、エラーがないことを確認することをお勧めします。

ドライ ランを実行

自動同期を有効にする前に、最初にドライ ランを実行して、エラーがないことを確認することをお勧めします。ドライ ランが完了したら、ドライ ラン レポートをダウンロードして詳細な情報を確認できます。レポートで使用可能な列は次のとおりです。

表 1YAZ設定オプション ドライ ランレポート列の説明
列名説明
オブジェクトタイプEntra ID のオブジェクトのタイプ(ユーザーやグループなど)。
アクション タイプ同期中にオブジェクトに対して実行されるアクションのタイプ。可能なアクションタイプは次のとおりです。
  • 一致済み—オブジェクトは Entra ID と Control Hub で一致します。
  • 追加—オブジェクトは Control Hub に追加されます。
  • 非アクティブ化—オブジェクトは Control Hub に存在しますが、オブジェクトは Entra ID で削除されているか、同期範囲に追加されませんでした。同期後、オブジェクトは非アクティブになります。
Azure IDEntra ID のオブジェクトの ID。
Azure の名前Entra ID のオブジェクトの名前。
Webex 名Webex のオブジェクトの名前。
理由同期中にアクションタイプが発生する理由。
1

フル管理者アカウントで Control Hub にサインイン します。

2

[組織の 設定] に 移動して、[ディレクトリ同期] セクションまで スクロール ダウンします。

3

同期するインスタンスの横にある 3 つの垂直ドットをクリックし、[ドライラン] を選択します。

4

ドライ ランが完了したら、[概要のダウンロード] をクリックして、レポートを CSV ファイルとしてダウンロードします。

自動同期を有効または無効にする

Entra ID (Azure AD) ウィザード アプリと対応するバックエンド サービスは、自動同期が有効になっているかどうかをチェックし、ユーザーまたはグループを Entra ID から Webex に同期するタイミングを決定します。[自動同期] を有効にして、ユーザーとグループの同期を自動プロビジョニングできるようにします。[自動同期] を無効にすると、ウィザード アプリは Webex に何も同期しませんが、既存の構成は保持されます。

通常、ユーザーは Microsoft ポリシーごとに 40 分ごとに同期されます

1

フル組織管理者として Control Hub にログインします。

2

[組織の 設定] に 移動して、[ディレクトリ同期] セクションまで スクロール ダウンします。

3

トグルを右に切り替えて自動同期を 有効にします

自動同期トグルを左に切 り替 えて無効にします。

Entra ID (Azure AD) ウィザード アプリの設定を編集する

1

フル管理者アカウントで Control Hub にサインイン します。

2

[組織の 設定] に 移動して、[ディレクトリ同期] セクションまで スクロール ダウンします。

3

[構成の編集] をクリックします。

Azure AD インスタンスを削除するオプションを示す画像
4

Entra ID に由来する左側の列にある属性を選択して、属性マッピングをカスタマイズします。Webex Cloud の接続先属性は右の列です。マッピング属性の詳細については、「Entra ID (Azure AD) ウィザード アプリの属性のマッピング 」を参照してください。

カスタム属性を示す画像
5

[ユーザーおよび グループ ] タブ で、同期範囲からユーザーおよびグループを追加または削除します。

ネストされたグループは、自動的にクラウドに同期されません。同期するグループ内にネストされているグループを必ず選択します。

6

[詳細] タブ で必要に応じて基本設定を変更します。

7

[保存 ] を クリックして、変更した構成を保存します。

更新は次の同期に適用されます。Entra ID の自動同期メカニズムは、ユーザとユーザのグループの同期を処理します。

Webex インスタンス名を編集

Entra ID エンタープライズ アプリケーション リストで Cisco Webex Identity インスタンス名の表示方法を変更します。

1

フル管理者アカウントで Control Hub にサインイン します。

2

[組織の 設定] に 移動して、[ディレクトリ同期] セクションまで スクロール ダウンします。

3

[インスタンス名の編集] をクリックします。

Azure AD インスタンスを削除するオプションを示す画像
4

新しいインスタンス名を入力し、[保存] をクリックします。

Entra ID (Azure AD) ウィザード アプリの設定を削除

Entra ID (Azure AD) ウィザード アプリを削除すると、Entra ID 同期の設定が削除されます。設定は Webex または Entra ID では保持されません。今後 Entra ID 同期を使用する場合は、完全な再構成を行う必要があります。

Entra ID から Cisco Webex アプリケーションを削除しないでください。

1

フル管理者アカウントで Control Hub にサインイン します。

2

[組織の 設定] に 移動して、[ディレクトリ同期] セクションまで スクロール ダウンします。

3

[インスタンスの削除] をクリックします。

Azure AD インスタンスを削除するオプションを示す画像
4

Webex から 同意書を削除する場合は、[Azure AD インスタンスの削除? ] ページで、[Azure AD 管理者の同意を取り消す] を選択します。このオプションを選択した場合は、資格情報を入力して再度権限を付与する必要があります。

Azure AD インスタンスを削除する [削除] ウィンドウを示す画像
5

[削除] をクリックします。

オンデマンドで Webex にユーザーをプロビジョニング

Entra ID 同期に関係なく、Webex にユーザーをプロビジョニングし、即座に結果を確認できます。これは、セットアップ中の問題をトラブルシューティングする場合に役立ちます。

1

フル管理者アカウントで Control Hub にサインイン します。

2

[組織設定] に移動し、[ディレクトリ同期] セクションまでスクロールダウンします。

3

[オンデマンドでユーザーをプロビジョニング] をクリックします。

Azure AD インスタンスを削除するオプションを示す画像
4

プロビジョニングするユーザーを検索して選択し、[プロビジョニング] をクリックします。

5

完了すると、次のいずれかの結果が表示されます。

  • プロビジョニングに成功しました: 新しいユーザーが Webex で正常に作成されました。
  • プロビジョニングをスキップしました: ユーザーがすでに存在しているため、プロビジョニングがスキップされました。詳細が [結果の概要 ] ページに表示されます。
  • プロビジョニングに失敗しました: プロビジョニングに失敗しました。詳細が [結果の概要 ] ページに表示されます。
6

スキップまたは失敗した場合、同じユーザーを再度プロビジョニングするには、[再試行] をクリックします。

7

[別のユーザーをプロビジョニング] をクリックして、プロビジョニング ページに戻ります。

8

完了したら [完了] をクリックします。

Entra ID 検証済みドメインを Control Hub にインポート

顧客は、Entra ID で何百ものドメインを検証している可能性があります。Control Hub との統合中に、検証済みドメインを Entra ID から Control Hub にインポートする場合。これにより、保守またはセットアップの処理に費やされる多くの労力を節約できます。

1

コントロール ハブの [組織 設定] タブの [ ドメイン 秒] に移動します。

2

[Entra ID で追加] をクリックします。

3

[検証 済みドメインの追加] ページ で、追加するドメインを検索して選択します。

4

[追加] をクリックします。

検証済みドメインのリストに、検証済みドメインが表示されます。

Entra ID (Azure AD) ウィザード アプリの属性のマッピング

Entra ID (Azure AD) ウィザード アプリは、属性表現に対する変更をサポートし、同期できます。たとえば、Entra ID では、displayName をマッピングして、surnamegivenName 属性の両方を表示できます。これらの変更はウィザードアプリに表示されます。

属性表現のマッピングに関する詳細は、Microsoft ヘルプ サイトの Entra ID で確認できます。

特定の Entra ID 属性については、次の表を参照してください。

Entra ID が null 値を同期しません。Entra ID で属性値を null に設定した場合、Webex では削除またはヌル値によるパッチは適用されません。詳細については、Microsoft ヘルプ サイト の制限を参照してください。

表 2. Azure から Webex へのマッピング

Entra ID 属性(ソース)

Webex ユーザー属性 (ターゲット)

説明

userPrincipalName

userName

これは Webex のユーザーの一意の ID です。形式されたメールです。

displayName

displayName

Webex アプリケーション上に表示されるユーザー名です。

surname

name.familyName

givenName

name.givenName

objectId

externalId

これは、Entra ID のユーザーの UID です。通常、16 バイトの文字列です。このマッピングの変更はお勧めしません。

jobTitle

title

usageLocation

addresses[type eq "work"].country

使用率割り当てマッピングを使用して、アドレス [type eq "work"].country を使用することをお勧めします。別の属性を選択する場合は、属性値が標準に準拠している必要があります。例えば、米国は米国である必要があります。中国は CN 以下である必要があります。

city

addresses[type eq "work"].locality

streetAddress

addresses[type eq "work"].streetAddress

state

addresses[type eq "work"].region

postalCode

addresses[type eq "work"].postalCode

telephoneNumber

phoneNumbers[type eq "work"].value

mobile

phoneNumbers[type eq "mobile"].value

facsimileTelephoneNumber

phoneNumbers[type eq "fax"].value

manager

manager

ユーザーのマネージャー情報を Webex に同期して、ユーザーがユーザーの連絡先カードに正しいマネージャ情報を常に表示できるようにします。

ユーザーが作成されると、Entra ID は、ユーザーの manager オブジェクトが Webex Identity にあるかどうかを確認します。[いいえ(No)] の場合、ユーザの manager 属性が無視されます。マネージャの属性がある場合、属性がユーザーの連絡先カードに表示されるには、次の 2 つの条件を満たす必要があります。

  • Manager オブジェクトは Webex に同期されます。
  • メンバー ユーザーは Webex アプリでアクティブです。技術的には、バックエンド イベントをトリガーして、ユーザーの manager 属性を定期的にクエリできます。したがって、ユーザのマネージャ情報が追加または変更されると、ユーザの manager 属性は、トリガーされたサービスを通じて更新できます。

これらの条件は、ユーザーの認証トークンの有効期限が切れると、ユーザーの manager 属性の更新を確認します。

マネージャ属性の変更は、ユーザーが変更後に初めてサインインするまでユーザーの連絡先カードに反映されません。

FAQ

Cisco Directory Connector のプロビジョニングから Entra ID (Azure AD) ウィザード アプリに移行するには?

セットアップ中、ウィザードアプリは組織が Directory Connector を使用しているかどうかを検出します。有効になっている場合は、Entra ID を使用し、Directory Connector をブロックするダイアログボックスが表示されます。[ブロック] をクリックして、Entra ID (Azure AD) ウィザード アプリの設定を続行することを確認します。

また、ウィザードアプリを設定する前に、Directory Connector を無効にすることもできます。設定後、ウィザード アプリはユーザー プロファイルを管理します。ただし、ウィザードアプリは同期範囲に追加されたユーザーのみを管理します。ウィザードアプリを使用して、同期範囲の一部ではなかった Directory Connector で同期されたユーザーを管理することはできません。

Microsoft Entra でシングル サインオンを設定できますか?

Control Hub の顧客組織と、Microsoft Entra ID を ID プロバイダとして使用する展開の間でシングル サインオン (SSO) インテグレーションを構成する ことができます。

Webex でユーザー アバターが更新されるのはいつですか?

ユーザーが Webex ID で作成されると、ユーザー アバターが Webex に同期されます。この更新は、Entra ID で更新されているユーザーのアバターに依存しています。ウィザードアプリは、Entra ID から新しいアバターを取得します。

同期後すぐに Control Hub のグループにユーザーが表示されない理由、およびこれをどのように解決できますか?

ユーザーとグループの同期は独立したプロセスです。ユーザー同期は個別に発生できますが、グループ同期は 12 時間ごとに自動的に行われます。ユーザーがグループ経由で同期されているが、Control Hub のグループにすぐに表示されない場合でも、これは引き続き予想される動作です。ユーザーがメイン ユーザー リストにのみ表示され、グループには表示されない場合、これ以上のアクションは必要ありません。次のグループ同期サイクルが完了するのを待つだけです。