概要


Webex Calling 専用インスタンス ディレクトリ サービスの限定リリースには、ユーザーの同期と管理のサポートが含まれます。

Webex Calling 専用インスタンス ディレクトリ サービスを使用して、クラウドからオンプレミスまたはクラウド UC インフラストラクチャ (Cisco Unified Communications Manager や Cisco Unity Connection など) にユーザーを同期して管理できます。 同期中、システムでは Webex アイデンティティ サービスに同期されている Azure Active Directory (または同様の Cloud ディレクトリ サービス) からユーザーと関連するユーザー データのリストをインポートします。 同期が必要な Unified CM クラスタを Control Hub から選択し、適切な Unified CM ユーザー ID フィールド マッピングを選択して、同期を実行するために必要な同期合意を選択します。


展開された製品が Cisco Unity Connection (Unity Connection) の場合、Cisco Unified Communications Manager は Cisco Unity Connection であると見なしてください。

クラスタの詳細を表示する

Control Hub の [管理] ページから、ユーザー データを同期するクラスタを選択します。

この選択によりクラスタの名前、クラスタ同期のステータス、最後の同期状態、関連する製品など、クラスタの詳細も提供されます。

クラスタの詳細

説明

クラスタ名

クラスタの名前

ステータス

同期のステータス

最後の同期:

前回の同期日

製品

製品の詳細

ディレクトリ同期

要件に応じて、Directory Connector を使用してオンプレミスの Active Directory から Control Hub にユーザーを同期するか、Azure Directory から Control Hub に直接ユーザーを同期してから、Cisco Unified Communications Manager に同期できます。

以下のセクションでは、Azure Directory とオンプレミスの両方の同期の手順について詳しく説明します。

Azure Directory からユーザーを同期する

専用インスタンス ディレクトリ サービスの同期によって、エンドユーザー データを Azure ディレクトリから Unified Communications Manager データベースにインポートし、エンドユーザー構成ウィンドウに表示できるようになります。

Azure Directory を使用してユーザーを同期するには:

  1. Azure Active Directory ユーザーを Control Hub に同期させる必要があります。

  2. ディレクトリ同期を設定する」の手順に従い、Control Hub のユーザーを Cisco Unified Communications Manager に同期します。

オンプレミス Active Directory からユーザーを同期する

オンプレミス Active Directory の場合、ユーザーは Common Identity (CI) ディレクトリ コネクタに同期できます。

オンプレミス Active Directory からユーザーを同期するには:

  1. Directory Connector を使用して、Active Directory ユーザーを Common Identity (CI) に同期します。コネクタ ソフトウェアは Control Hub からダウンロードして、ローカル マシンにインストールできます。 詳細については、「ディレクトリ コネクタの導入ガイド」を参照してください。

  2. ディレクトリ同期を設定する」の手順に従い、Control Hub のユーザーを Cisco Unified Communications Manager に同期します。

ディレクトリ同期を設定する


00:00 UTC から 06:00 UTC の間にテレメトリ COP ファイルのアップグレードをスケジュールしないでください。またプロビジョニング操作間のテレメトリ アップグレードを避けてください。


クラスタのプロビジョニングでさらなる遅延が発生することがあります。 このようなシナリオでは、このアクティビティにかなりの時間がかかりますが、プロビジョニングは引き続き行われます。

  1. https://admin.webex.com/login で、Control Hub にサインインします:。

  2. [サービス] > [Calling] > [専用インスタンス] > [管理] の順に進みます。

  3. UC アプリケーションを選択し、右側のパネルにある [ディレクトリ同期を有効にする] で [設定] をクリックします。

  4. フィールド マッピング設定ウィンドウで、Unified CM ユーザーの ID フィールドに選択したマッピングが、プロビジョニングを開始した後でクラスタ内のユーザーを一意に識別していることを確認します。

  5. Webex からユーザーを同期させるために適切な [Unified CM ユーザー ID] フィールド マッピングを選択します。

    • Unified CM の [ユーザー ID] フィールドは Webex のユーザーのメール ID に対応しています。

    • Unified CM の [メール ID] フィールドは Webex のユーザーのメール ID に対応しています。

    • Unified CM の [ユーザー ID] フィールドは Webex のユーザーのドメイン部分がないメール ID に対応しています。


      Unified CM の既存のユーザー アカウントでマッピングできなかった場合、新しいユーザー アカウントが作成されます。 ユーザーの [メール ID] は、新しく作成されるユーザー アカウントの一意の識別子として使用されます。 このメモはオプション 1 と 2 に適用されます。

  6. [次へ] をクリックします。

  7. 新しい同期合意を作成するには、ドロップダウン リストから合意を選択します。 新しい同期合意が作成されると、オンプレミスのディレクトリを指定している既存の同期合意はすべて削除されます。 変更は新しい同期合意が作成された後に加えることができます。

  8. 同期を開始する前に、[同意プレビュー] セクションでユーザーのリストと連絡先の詳細 (Unified Communications Manager で利用可能な既存の外部 LDAP ディレクトリの詳細) を確認します。 次の詳細を表示できます。

    • グループ情報

    • ユニバーサル回線とデバイス テンプレートを使用して適用した機能グループ テンプレート

    • 挿入されたユーザーの同期された電話番号への回線とマスクの詳細

    • 新しくプロビジョニングされたユーザーと内線

    • 同期される標準ユーザー フィールド セクション

    • ディレクトリ サーバーのホスト名または IP アドレス


    Cisco Unity Connection にはグループ情報セクションは適用されません。 そのため、Cisco Unity Connection の合意プレビュー セクションには表示されません。

  9. [グループを選択] ドロップダウン メニューから同期する特定のグループを選択します。 すべてのユーザー グループを選択するには、[すべてのグループを選択する] チェックボックスをオンにします。

    デフォルトでは、すべてのユーザーが同期されます。 グループを選択しない場合、すべてのユーザーと関連するユーザー データは自動的に同期されます。


    ディレクトリ内のネストされたグループの場合、ユーザーは、デフォルトで親グループに含まれていないため、特にプロビジョニング中にサブセット ユーザー グループを選択する必要があります。 プロビジョニング中に必要なユーザーのみが含まれていることを確認するために、反復的なネスト (ある場合) を確認する必要があります。

    同期合意への変更 (ターゲット ユーザーまたはグループの削除など) は、定期的な同期中には反映されません。 そのクラスタのディレクトリ サービスをリセットし、新しい同期合意または変更した同期合意でクラスタを再プロビジョニングする必要があります。 Cisco TAC サポートに連絡して、必要なクラスタのディレクトリ サービスをリセットしてください。

  10. [次へ] をクリックして、同期プロセスの準備をします。

  11. ユーザー データがシステムで Unified CM の一時ストレージ スペースに正常にコピーされ、新しい同期合意が作成されたら、[同期を有効にする] ウィンドウで同期を有効にします (次のスクリーンショットに示すように、ステップ 1 と 2 の後)。


    同期を有効にする前に、ユーザー ランクを 5 に変更する TAC ケースを作成します。

  12. [レポートをダウンロード] オプションを使用すると、結果の一部を表示できます。 Unified CM クラスタの完全なレポートを取得するには、次の CLI コマンドを実行します。 file get activelog /cm/trace/CIService/log4j/DryRunResults.csv

    ドライ ランの結果は、以下を示します。

    • 新規ユーザー ‐ ユーザーは Unified CM では表示されませんが、Webex アイデンティティ サービスに表示されます。 ユーザーは同期を有効にした後、Unified CM で作成されます。

    • 一致するユーザー ‐ ユーザーは Unified CM と Webex アイデンティティ サービスで表示されます。 これらのユーザーは、同期が完了した後も Unified CM でアクティブのままになります。

    • 一致しないユーザー ‐ ユーザーは Unified CM と Webex アイデンティティ サービスで表示されます。 これらのユーザーは、同期が完了した後に Unified CM で非アクティブとして表示され、非アクティブ状態が 24 時間続いた後に削除されます。


    レポートをチェックして、同じユーザー リストを保持するか、ユーザーを追加または削除するか決定できます。 決定に基づいて、[放棄] をクリックしてプロセスを停止し、プロビジョニングの変更を元に戻します。

  13. 同期合意の検証後、[Unified CM をプレビュー] をクリックしてインフラストラクチャにサインインし、新しく作成された同期合意に変更を加えます。


    グループ情報の編集のみできます。 合意の名前を変更したり、詳細を変更したりすることはできません。

  14. チェックボックスをオンにして、Unified CM で同期合意が見直され、確認されるという条件に同意します。


    デフォルトでは、ユーザーはランク 1 と同期されます。パートナー管理者の権限がランク 3 の場合はユーザーを変更できません。

    デバイスと回線をエンドユーザーに関連付ける権限とエンドユーザーをグループに追加する機能は、Cisco TAC でのみ利用できます。 Cisco TAC サポートに連絡してユーザー ランクを変更してください。

  15. [同期を有効にする] をクリックして同期を続行します。

    同期中は、完了するまでアクションを実行できません。 特定のクラスタに対する同期が完了すると、ディレクトリ サービス ページではプロビジョニング状態のこのクラスタを一覧表示します。 この時点で、Webex ユーザーを UC インフラストラクチャにプロビジョニングおよび同期する権限を Azure AD に与え、同期のセットアップ手順が完了しました。


    新しい合意が作成されてから 20 時間以内に同期を有効にする必要があります。 LDAP 同期ユーザーは非アクティブになり、非アクティブ状態が 24 時間続いた後に削除されます。 ユーザーは Unified CM サービスにログインして使用することはできません。


    特定のクラスタに対する Azure AD プロビジョニングが完了した後は、新しい同期合意を作成したり、同じクラスタの構成設定を変更したりすることはできません (グループ設定を除く)。 Cisco TAC サポートに連絡してディレクトリ サービスをリセットしてください。 その後、プロビジョニングのための新しい合意を作成できます。


    プロビジョニング完了後、SSO 認証中に Azure IdP を使用している場合は、Azure IdP で正しいクレームを設定するようにしてください。 たとえば、プロビジョニング中にユーザー ID マッピングにオプション 1 が選択されている場合、user.userprincipalname が [追加クレーム] セクションで UID として設定されていることを確認します。

同期の状況を表示する

[ディレクトリ同期ステータス] 列に同期のステータスを表示します。 UC アプリケーションをクリックし、プロビジョニングのステータス、最後に同期した状態、失敗の理由 (ある場合) を示す右側パネルを表示します。 ローカル タイムゾーンも選択できます。 デフォルトのブラウザ タイムゾーンは選択されています。

プロビジョニングのステータス

プロビジョニングのステータス

説明

処理中です

プロビジョニング中です

求められるアクション

特定のクラスタで手動による介入が必要な場合は、必要な手順を実行します。

  • ドライ ラン後に同期を継続または破棄する場合。

  • 新しい合意を作成後、通知を確認し、必要に応じてアクションを取る必要を取る。

エラー

同期の有効化ウィザードでアクションが必要な場合、必要なアクションを確認し、必要に応じて実行してください。

アクティブ

クラスタのプロビジョニングが完了しました。

プロビジョニングされていません

クラスタのプロビジョニングはまだ開始されていません。

Unity Connection のためにユーザーをインポートする

Control Hub からクラスタをプロビジョニングした後、Cisco Unity Connection の [ユーザーをインポート] から Azure AD ユーザーを手動でインポートできます。

ユーザーのインポート方法は 2 つあります。

1

Cisco Unity Connection の管理で、[ユーザー] を展開し、[ユーザーをインポート] を選択します。

2

[ユーザーをインポート] ページで、LDAP ディレクトリ ユーザー アカウントをインポートし、Unity Connection ユーザーを作成します。

  1. [エンドユーザーを検索] フィールドで [LDAP ディレクトリ] を選択します。

  2. 新規ユーザーのベースとなるテンプレートを選択します。

  3. インポートする LDAP ディレクトリ ユーザー アカウントのエイリアス、またはを指定します。

  4. インポートするユーザー アカウントに対するチェックボックスを選択し、[選択項目をインポート] を選択します。

1

Cisco Unity Connection の管理で、[ツール] を展開し、[一括管理ツール] を選択します。

2

Unity Connection ユーザーを追加するには、一括管理ツール ページで以下の手順を実行します。

  1. [操作の選択] から [エクスポート] を選択します。

  2. [オブジェクトタイプを選択] で、[LDAP ディレクトリからのユーザー] を選択します。

  3. すべての必須フィールドに値を入力します。

  4. [提出] を選択します。

    これにより LDAP ディレクトリのユーザー データを含む CSV ファイルが作成されます。 スプレッドシート アプリケーションまたはテキスト エディタで CSV ファイルを開き、必要に応じてデータを編集します。 CSV ファイルからデータをインポートします。

  5. [操作の選択] から [作成] を選択します。

  6. [オブジェクト タイプを選択] から [メールボックスを持つユーザー] を選択します。

  7. すべての必須フィールドに値を入力します。

  8. [提出] を選択します。

3

インポートが完了したら、[失敗したオブジェクトのファイル名] フィールドで指定したファイルを確認し、すべてのユーザーが正常に作成されたことを確認します。

同期に関する問題のトラブルシューティング

このセクションでは、Control Hub から Unified Communications Manager データベースへのユーザーの同期のさまざまな段階で直面する可能性がある一般的な問題を解決するために必要な情報とソリューションについて説明します。

一致しないユーザー

新しい合意が作成された後 20 時間以内に同期を有効にしてください。 既存のユーザーは非アクティブとして表示され、非アクティブ状態が 24 時間続いた後、Unified CM から削除されます。

エラー ‐ データのコピーに失敗しました。 再試行してください

  • 専用インスタンスと Webex クラウド間の通信が中断したか、Webex クラウドからユーザー データを取得できません。

  • 専用インスタンスと Unified CM の間の通信が中断したか、ユーザー データを Unified CM データベースにプッシュできません。

  • ユーザー データは一時ストレージの場所にコピーされません。

エラー ‐ 同期合意の作成に失敗しました。 再試行してください

  • 専用インスタンスと Unified CM の間の通信が中断したか、同期合意データを Unified CM データベースにプッシュできません。

  • 同期合意が正常に作成されませんでした。

同期合意の詳細を取得できません。 しばらくしてからお試しください。

専用インスタンスと Unified CM の間の通信が中断しています。

Webex Calling 専用インスタンス ディレクトリ サービスの同期の問題と制限

この機能に問題がある場合、既知の問題や推奨される回避策があるかを確認します。

  • Webex Calling 専用インスタンス ディレクトリ サービスのプロビジョニングが LDAP 認証で機能しません。ユーザー データだけが同期され、Unified CM サーバーのパスワードは同期されないため、LDAP 認証が機能しません。

    回避策: ログインにはシングル サイン オン (SSO) を使用する必要があります。 本書はシングル サインオン(SSO)統合のみを取り上げています。

    ユーザーがエンタープライズ ID プロバイダーを介して認証されるようにするには、シングル サインオン (SSO) を設定します。 詳細については「Control Hub でのシングル サインオン インテグレーション」と「SAML ベースの SSO ソリューション」を参照してください。

  • Cisco TAC サポートに連絡してディレクトリ サービスを無効にします。 しばらく待ってから、もう一度ディレクトリ サービスのセットアップを開始します。

  • 削除後に同じ Unified CM クラスタを組織に再度オンボードする場合、まずディレクトリ サービスを無効にし、同じクラスタを再プロビジョニングする必要があります。


    Cisco TAC サポートに連絡してディレクトリ サービスを無効にします。

  • 同期合意ページで、[同期を実行する間隔][次回の再同期時間] フィールドがアクティブと表示されますが、 [同期を 1 回のみ実行] オプションが有効になっていると、Unified CM サーバーでこれらのフィールドはグレー表示されます。 現在のところこれは Webex Calling 専用インスタンス ディレクトリ サービスのプロビジョニング機能の制限であり、今後のリリースで修正される予定です。

  • Azure ポータルで削除されたユーザーは Webex アイデンティティ サービスで非アクティブになりますが、Unified CM ではアクティブと表示されます。

    回避策[管理] > [ユーザー] の順に移動して、Control Hub からユーザーを削除します。 Unified CM ではユーザーは非アクティブと表示されます。

  • 現時点では、大規模な組織 (ユーザーが 80,000 人を超える) に対して新しいクラスタをプロビジョニングすると時間切れになります。 この問題はまもなく解決されます。

  • プロビジョニング中に、[同期を有効にする] ページで [放棄][続行][同期を有効にする]ボタンをクリックしても、ユーザー インターフェイスでクラスタのステータスがすぐに変更されません。 バックエンドでアクションが実行されるため、この制限は混乱を招きます。

    回避策: ボタンを 2 回クリックしないようにし、数秒後にクラスタのステータスを確認します。 クラスタのステータスが [アクションが必要です] から [処理中です] に変わるのが確認できます。 この問題はまもなく解決されます。

  • 現時点では、Unified Communications Manager ネットワークがダウンすると、[同期を有効にする] 機能がハングします。

    回避策: Cisco TAC サポートに連絡してディレクトリ サービスを無効にします。 しばらく待ってから、もう一度ディレクトリ サービスのセットアップを開始します。 この問題は今後のリリースで修正される予定です。

  • プロビジョニング中、Webex Common Identity サービスの同期に関する問題のためグループ詳細リストに情報が入力されません。 ユーザーはプロビジョニングを放棄して、しばらくしてから再試行してください。