- ホーム
- /
- 投稿記事
Control Hub で Entra ID (Azure AD) ウィザード アプリをセットアップする
Microsoft Entra ID でユーザーとグループを管理する場合、Control Hub の Entra ID (Azure AD) ウィザード アプリを使用して、ユーザーとグループを Webex と同期します。
Control Hub で Entra ID を有効にする
政府版 Webex では、Entra ID (Azure AD) ウィザード アプリは、GCC Moderate Entra ID と GCC High Entra ID の両方の顧客に対して使用できます。
この記事で説明されている機能の一部は、すべての顧客がまだ利用できません。
開始する前に
1 |
フル管理者アカウントで Control Hub にサインイン します。 | ||||||||||
2 |
[組織設定] に移動し、[Microsoft Azure Active Directory ウィザード アプリ] までスクロールします。 | ||||||||||
3 |
[設定 ] をクリック して構成を開始します。 | ||||||||||
4 |
(オプション) 政府版 Webex 管理者については、[Entra Worldwide] または [Entra GCC High] のいずれかを選択し、[続行] をクリックします。 Entra Worldwide は、GCC Moderate と Commercial の両方について、ウィザードを Entra AD に送信します。Entra GCC High はウィザードを Entra AD for GCC High に送信します。
| ||||||||||
5 |
Entra ID 管理者アカウントを認証します。 Entra ID のグローバル管理者または権限を持つロール管理者ではない場合、Entra ID (Azure AD) ウィザード アプリの権限を付与するためのアクセスを要求できます。 Entra ID のフル管理者権限を持っている場合、[アクティビティ] の下で、[管理者の同意要求] を選択し、[Cisco Webex アイデンティティ インテグレーション] をクリックして、[権限を確認して承認] を選択します。このプロセスにより、Webex アプリケーションに一般的な認証が許可されます。 の順に移動して、要求へのアクセスを確認し、許可できます。最後に、[すべて (プレビュー)] タブをクリックし、[Cisco Webex アイデンティティ インテグレーション] を選択し、[アプリケーションの確認] をクリックします。 の下で、[Cisco の管理者の同意を付与する] をクリックして、Control Hub で Entra ID を有効にするために必要なすべての権限を付与します。 このプロセスの詳細については、Microsoft サポート を参照してください。 | ||||||||||
6 |
権限を確認し、[承認] をクリックして、Entra ID テナントにアクセスするためのアカウント認証を付与します。 Cisco Webex Identity は、Entra ID の Entra ID エンタープライズ アプリケーションです。ウィザードアプリはこのアプリケーションに接続して、Entra ID グラフ API にアクセスします。アクセスに必要な権限は、サポートと使用に必要な最小限の権限です。
| ||||||||||
7 |
SMB顧客の場合、[同期のデフォルト] チェックボックスに チェックを入れ、[ 続行] をクリックして既定の設定を承認 します。エンタープライズの顧客の場合、次のステップに進み、構成を続行します。 デフォルトの設定に同意する場合は、以下を行います。
| ||||||||||
8 |
エンタープライズ顧客 (1000 人以上のユーザー)、または手動で設定を構成する顧客の場合、[属性] タブをクリックして、属性をマッピングします。[保存]をクリックします。 他のユーザー属性を Entra ID から Webex にマッピングしたり、[属性] ページを使用して既存のユーザー属性マッピングを変更したりできます。マッピングは、正しく設定されていることを確実にすることで、カスタマイズできます。ユーザー名としてマップする値は重要です。Webex はユーザーのメール アドレスをユーザー名として使用します。デフォルトでは、Entra ID の userPrincipalName (UPN) は Control Hub のメール アドレス (ユーザー名) にマップされます。 最初のセットアップ中にマッピングを編集できます。その時点で、対応するインスタンスは完全に構築され、カスタマイズされたマッピング属性のインスタンスはありません。ただし、設定が完了したら 、[ 編集] をクリックして変更できます。 | ||||||||||
9 |
[ユーザー] タブをクリックして、同期範囲にユーザーを 追加 します。 ユーザー名を入力して同期範囲内でユーザーを検索して追加できます。また、右側のゴミ箱アイコンをクリックして、同期範囲からユーザーを削除することもできます。[保存]をクリックします。 Entra ID からすべてのユーザーを選択する場合は、[すべてのユーザーを選択] を選択します。これを選択した場合、このオプションがグループを同時に同期するために、範囲でグループを選択する必要はありません。 初期化には長い時間 が必要ですが、数百、数千のユーザーを持つ大企業の顧客には [すべてのユーザーを選択する] を使用することをお勧めしません。Control Hub の多くのユーザーを誤って同期してしまった場合、これらのユーザーの削除にも時間がかかります。 [保存] をクリックします。 | ||||||||||
10 |
[グループ] タブで、個々のグループを検索して Webex に追加できます。
| ||||||||||
11 |
[詳細] タブ では、いくつかの高度な同期オプションを構成できます。
| ||||||||||
12 |
即座に同期を行うのか、または後の段階で行うのを許可するか決めます。[今すぐ許可する ] オプションを 選択すると、すべての設定が今後の同期に適用されます。[保存して後で 許可する] オプションを 選択した場合、自動同期を許可するまで同期は開始されません。 | ||||||||||
13 |
アプリケーションは Entra ID と通信して設定をセットアップし、同期をスケジュールします。 |
- アクティブ: 同期に成功しました。
- 検疫中: 同期ジョブは、複数の失敗後に Entra ID で隔離されました。詳細については、Entra ID のドキュメント を参照してください。
- 非実行: このステータスは、最初のセットアップ後にのみ表示されます。最初のセットアップ後、サービスはまだ実行されていません。
[概要の表示] をクリックして、前回の同期の日時、同期済み、スキップ、失敗したユーザー数などの追加情報を表示することもできます。
ユーザー
- 同期: は、Webex に正常に同期されたユーザーの数を示します。
- スキップ済み: は、最後の同期でスキップされたユーザーの数を示します。たとえば、Entra ID (Azure AD) ウィザード アプリの同期範囲に追加されていない Entra ID の新しいユーザーです。これらのユーザーは Webex に同期されませんでした。同期範囲に追加して Webex に同期します。
- 失敗: 同期に失敗したユーザーの数を示します。これらのユーザが同期に失敗した理由の詳細については、Entra ID アプリケーションのプロビジョニング監査ログを確認してください。これらのユーザーをすぐに同期する必要がある場合は、オンデマンドでユーザーをプロビジョニングできます。
グループ
- 同期: Webex に正常に同期され、Control Hub で作成されたグループの数を示します。
- 同期するには: このステータスは、グループ内のすべてのユーザがまだ追加されていないことを示します。ユーザーはまず、Webex に正常に同期する必要があります。
既存の Cisco Webex Enterprise アプリ設定を Entra ID (Azure AD) ウィザード アプリに移行する
Entra ID で Cisco Webex Enterprise アプリをすでにセットアップしている場合、すべての設定を Entra ID (Azure AD) ウィザード アプリに自動的に移行できます。Entra ID は、以前の設定のいずれも失うことなく、Control Hub ですべて管理できます。
1 |
フル管理者アカウントで Control Hub にサインイン します。 | ||||||||||
2 |
[組織の 設定] に 移動して、[ディレクトリ同期] セクションまで スクロール ダウンします。 | ||||||||||
3 |
[設定 ] をクリック して構成を開始します。 | ||||||||||
4 |
Entra ID 設定で Entra ID 管理アカウントを認証します。次の手順で説明される権限を持つアカウントを使用することを確認してください。 | ||||||||||
5 |
権限を確認し、[承認] をクリックして、Entra ID テナントにアクセスするためのアカウント認証を付与します。 Cisco Webex アイデンティティ 同期 は、Entra ID の Entra ID エンタープライズ アプリケーションです。ウィザードアプリはこのアプリケーションに接続して、Entra ID グラフ API にアクセスします。アクセスに必要な権限は、サポートと使用に必要な最小の権限です。
| ||||||||||
6 |
[既存のアプリを移行] を選択します。 | ||||||||||
7 |
追加の読み取り専用権限要求を承認した後、ウィザードアプリに移行する既存のアプリを選択し、[続行] を選択します。 選択した既存のアプリが同じ Control Hub にユーザーをプロビジョニングしない場合、移行は失敗します。 | ||||||||||
8 |
移行が完了したら、自動同期を有効にする前にドライ ランを実行して 、エラーがないことを確認することをお勧めします。 |
ドライ ランを実行
自動同期を有効にする前に、最初にドライ ランを実行して、エラーがないことを確認することをお勧めします。ドライ ランが完了したら、ドライ ラン レポートをダウンロードして詳細な情報を確認できます。レポートで使用可能な列は次のとおりです。
列名 | 説明 |
---|---|
オブジェクトタイプ | Entra ID のオブジェクトのタイプ(ユーザーやグループなど)。 |
アクション タイプ | 同期中にオブジェクトに対して実行されるアクションのタイプ。可能なアクションタイプは次のとおりです。
|
Azure ID | Entra ID のオブジェクトの ID。 |
Azure の名前 | Entra ID のオブジェクトの名前。 |
Webex 名 | Webex のオブジェクトの名前。 |
理由 | 同期中にアクションタイプが発生する理由。 |
1 |
フル管理者アカウントで Control Hub にサインイン します。 |
2 |
[組織の 設定] に 移動して、[ディレクトリ同期] セクションまで スクロール ダウンします。 |
3 |
同期するインスタンスの横にある 3 つの垂直ドットをクリックし、[ドライラン] を選択します。 |
4 |
ドライ ランが完了したら、[概要のダウンロード] をクリックして、レポートを CSV ファイルとしてダウンロードします。 |
自動同期を有効または無効にする
Entra ID (Azure AD) ウィザード アプリと対応するバックエンド サービスは、自動同期が有効になっているかどうかをチェックし、ユーザーまたはグループを Entra ID から Webex に同期するタイミングを決定します。[自動同期] を有効にして、ユーザーとグループの同期を自動プロビジョニングできるようにします。[自動同期] を無効にすると、ウィザード アプリは Webex に何も同期しませんが、既存の構成は保持されます。
通常、ユーザーは Microsoft ポリシーごとに 40 分ごとに同期されます 。
1 |
フル組織管理者として Control Hub にログインします。 |
2 |
[組織の 設定] に 移動して、[ディレクトリ同期] セクションまで スクロール ダウンします。 |
3 |
トグルを右に切り替えて自動同期を 有効にします。 自動同期トグルを左に切 り替 えて無効にします。 |
Entra ID (Azure AD) ウィザード アプリの設定を編集する
1 |
フル管理者アカウントで Control Hub にサインイン します。 |
2 |
[組織の 設定] に 移動して、[ディレクトリ同期] セクションまで スクロール ダウンします。 |
3 |
[構成の編集] をクリックします。 |
4 |
Entra ID に由来する左側の列にある属性を選択して、属性マッピングをカスタマイズします。Webex Cloud の接続先属性は右の列です。マッピング属性の詳細については、「Entra ID (Azure AD) ウィザード アプリの属性のマッピング 」を参照してください。 |
5 |
[ユーザーおよび グループ ] タブ で、同期範囲からユーザーおよびグループを追加または削除します。 ネストされたグループは、自動的にクラウドに同期されません。同期するグループ内にネストされているグループを必ず選択します。 |
6 |
[詳細] タブ で必要に応じて基本設定を変更します。 |
7 |
[保存 ] を クリックして、変更した構成を保存します。 更新は次の同期に適用されます。Entra ID の自動同期メカニズムは、ユーザとユーザのグループの同期を処理します。 |
Webex インスタンス名を編集
Entra ID エンタープライズ アプリケーション リストで Cisco Webex Identity インスタンス名の表示方法を変更します。
1 |
フル管理者アカウントで Control Hub にサインイン します。 |
2 |
[組織の 設定] に 移動して、[ディレクトリ同期] セクションまで スクロール ダウンします。 |
3 |
[インスタンス名の編集] をクリックします。 |
4 |
新しいインスタンス名を入力し、[保存] をクリックします。 |
Entra ID (Azure AD) ウィザード アプリの設定を削除
Entra ID (Azure AD) ウィザード アプリを削除すると、Entra ID 同期の設定が削除されます。設定は Webex または Entra ID では保持されません。今後 Entra ID 同期を使用する場合は、完全な再構成を行う必要があります。
Entra ID から Cisco Webex アプリケーションを削除しないでください。
1 |
フル管理者アカウントで Control Hub にサインイン します。 |
2 |
[組織の 設定] に 移動して、[ディレクトリ同期] セクションまで スクロール ダウンします。 |
3 |
[インスタンスの削除] をクリックします。 |
4 |
Webex から 同意書を削除する場合は、[Azure AD インスタンスの削除? ] ページで、[Azure AD 管理者の同意を取り消す] を選択します。このオプションを選択した場合は、資格情報を入力して再度権限を付与する必要があります。 |
5 |
[削除] をクリックします。 |
オンデマンドで Webex にユーザーをプロビジョニング
Entra ID 同期に関係なく、Webex にユーザーをプロビジョニングし、即座に結果を確認できます。これは、セットアップ中の問題をトラブルシューティングする場合に役立ちます。
1 |
フル管理者アカウントで Control Hub にサインイン します。 |
2 |
[組織設定] に移動し、[ディレクトリ同期] セクションまでスクロールダウンします。 |
3 |
[オンデマンドでユーザーをプロビジョニング] をクリックします。 |
4 |
プロビジョニングするユーザーを検索して選択し、[プロビジョニング] をクリックします。 |
5 |
完了すると、次のいずれかの結果が表示されます。
|
6 |
スキップまたは失敗した場合、同じユーザーを再度プロビジョニングするには、[再試行] をクリックします。 |
7 |
[別のユーザーをプロビジョニング] をクリックして、プロビジョニング ページに戻ります。 |
8 |
完了したら [完了] をクリックします。 |
Entra ID 検証済みドメインを Control Hub にインポート
顧客は、Entra ID で何百ものドメインを検証している可能性があります。Control Hub との統合中に、検証済みドメインを Entra ID から Control Hub にインポートする場合。これにより、保守またはセットアップの処理に費やされる多くの労力を節約できます。
1 |
コントロール ハブの [組織 設定] タブの [ ドメイン 秒] に移動します。 |
2 |
[Entra ID で追加] をクリックします。 |
3 |
[検証 済みドメインの追加] ページ で、追加するドメインを検索して選択します。 |
4 |
[追加] をクリックします。 検証済みドメインのリストに、検証済みドメインが表示されます。
|
Entra ID (Azure AD) ウィザード アプリの属性のマッピング
Entra ID (Azure AD) ウィザード アプリは、属性表現に対する変更をサポートし、同期できます。たとえば、Entra ID では、displayName
をマッピングして、surname
と givenName
属性の両方を表示できます。これらの変更はウィザードアプリに表示されます。
属性表現のマッピングに関する詳細は、Microsoft ヘルプ サイトの Entra ID で確認できます。
特定の Entra ID 属性については、次の表を参照してください。
Entra ID が null 値を同期しません。Entra ID で属性値を null に設定した場合、Webex では削除またはヌル値によるパッチは適用されません。詳細については、Microsoft ヘルプ サイト の制限を参照してください。
Entra ID 属性(ソース) |
Webex ユーザー属性 (ターゲット) | 説明 |
---|---|---|
userPrincipalName |
userName |
これは Webex のユーザーの一意の ID です。形式されたメールです。 |
displayName |
displayName |
Webex アプリケーション上に表示されるユーザー名です。 |
surname |
name.familyName |
|
givenName |
name.givenName |
|
objectId |
externalId |
これは、Entra ID のユーザーの UID です。通常、16 バイトの文字列です。このマッピングの変更はお勧めしません。 |
jobTitle |
title |
|
usageLocation |
addresses[type eq "work"].country |
使用率割り当てマッピングを使用して、アドレス [type eq "work"].country を使用することをお勧めします。別の属性を選択する場合は、属性値が標準に準拠している必要があります。例えば、米国は米国である必要があります。中国は CN 以下である必要があります。 |
city |
addresses[type eq "work"].locality |
|
streetAddress |
addresses[type eq "work"].streetAddress |
|
state |
addresses[type eq "work"].region |
|
postalCode |
addresses[type eq "work"].postalCode |
|
telephoneNumber |
phoneNumbers[type eq "work"].value |
|
mobile |
phoneNumbers[type eq "mobile"].value |
|
facsimileTelephoneNumber |
phoneNumbers[type eq "fax"].value |
|
manager |
manager |
ユーザーのマネージャー情報を Webex に同期して、ユーザーがユーザーの連絡先カードに正しいマネージャ情報を常に表示できるようにします。 ユーザーが作成されると、Entra ID は、ユーザーの manager オブジェクトが Webex Identity にあるかどうかを確認します。[いいえ(No)] の場合、ユーザの manager 属性が無視されます。マネージャの属性がある場合、属性がユーザーの連絡先カードに表示されるには、次の 2 つの条件を満たす必要があります。
これらの条件は、ユーザーの認証トークンの有効期限が切れると、ユーザーの manager 属性の更新を確認します。 マネージャ属性の変更は、ユーザーが変更後に初めてサインインするまでユーザーの連絡先カードに反映されません。 |
FAQ
Cisco Directory Connector のプロビジョニングから Entra ID (Azure AD) ウィザード アプリに移行するには?
セットアップ中、ウィザードアプリは組織が Directory Connector を使用しているかどうかを検出します。有効になっている場合は、Entra ID を使用し、Directory Connector をブロックするダイアログボックスが表示されます。[ブロック] をクリックして、Entra ID (Azure AD) ウィザード アプリの設定を続行することを確認します。
また、ウィザードアプリを設定する前に、Directory Connector を無効にすることもできます。設定後、ウィザード アプリはユーザー プロファイルを管理します。ただし、ウィザードアプリは同期範囲に追加されたユーザーのみを管理します。ウィザードアプリを使用して、同期範囲の一部ではなかった Directory Connector で同期されたユーザーを管理することはできません。
Microsoft Entra でシングル サインオンを設定できますか?
Control Hub の顧客組織と、Microsoft Entra ID を ID プロバイダとして使用する展開の間でシングル サインオン (SSO) インテグレーションを構成する ことができます。
Webex でユーザー アバターが更新されるのはいつですか?
ユーザーが Webex ID で作成されると、ユーザー アバターが Webex に同期されます。この更新は、Entra ID で更新されているユーザーのアバターに依存しています。ウィザードアプリは、Entra ID から新しいアバターを取得します。
同期後すぐに Control Hub のグループにユーザーが表示されない理由、およびこれをどのように解決できますか?
ユーザーとグループの同期は独立したプロセスです。ユーザー同期は個別に発生できますが、グループ同期は 12 時間ごとに自動的に行われます。ユーザーがグループ経由で同期されているが、Control Hub のグループにすぐに表示されない場合でも、これは引き続き予想される動作です。ユーザーがメイン ユーザー リストにのみ表示され、グループには表示されない場合、これ以上のアクションは必要ありません。次のグループ同期サイクルが完了するのを待つだけです。