Ativar o Entra AD no Control Hub


 

Atualmente, você não pode usar o Aplicativo Assistente do Azure AD com o Webex for Government. Adicionaremos suporte ao Webex for Government no futuro.

Alguns dos recursos descritos neste artigo ainda não estão disponíveis para todos os clientes.

Image showing the Azure AD sync setup.

Antes de você começar

Certifique-se de ter acesso a uma conta Entra ID com a autoridade para conceder o consentimento de administrador em todo o locatário a um aplicativo .
1

Inicie sessão no Control Hub com uma conta de administrador completa.

2

Ir para Configurações da organização e, em seguida, role para baixo até o Sincronização de diretório seção.

3

Clique Configurar para iniciar a configuração.

4

Autentique sua conta de administrador Entra ID.


 

Se você não for um administrador global ou aged-role na ID da Entra, poderá solicitar acesso para conceder permissão ao Assistente do Azure AD.

Se você tiver privilégios de administrador total na ID Entra, poderá revisar e conceder acesso às solicitações acessando Identity > Aplicativos > Aplicativos empresariais . Em Atividade , selecione Solicitações de consentimento do administrador e clique em Cisco Webex Identity Integration e selecione Revisar permissões e aceitar . Este processo concede autenticação geral ao aplicativo Webex.

Finalmente, clique na guia Todos (pré-visualização) , selecione Cisco Webex Identity Integration e clique em Revisar aplicativo . Sob Segurança > Permissões , clique em Consentimento de administrador Grant para Cisco conceder todas as permissões necessárias para ativar a ID Entra no Control Hub.

Consulte Suporte da Microsoft para obter mais informações sobre esse processo.

5

Revise as permissões e clique em Aceitar para conceder a autorização da conta para acessar o locatário da ID Entra.

Cisco Webex Identity é um aplicativo corporativo Entra ID na ID Entra. O aplicativo assistente se conecta a este aplicativo para acessar as APIs do gráfico Entra ID. As permissões necessárias para acessá-lo são as permissões mínimas necessárias para oferecer suporte e usá-lo.

Image showing the available permissions.
Permissão Uso
Gerenciar aplicativos que este aplicativo cria ou possui

Necessário para gerenciar o aplicativo de Identidade Cisco Webex na Entra ID Enterprise, incluindo:

  • Criar/excluir este aplicativo na ID Entra

  • Configuração de mapeamento de atributos

  • Renomear o aplicativo na ID da Entra

  • Ativar/desativar o provisionamento automático

Ler todos os dados do registro de auditoriaUsado para acessar o registro de auditoria de provisionamento do Cisco Webex Identity para ler o histórico de provisionamento. Essas informações são usadas para o resumo da sincronização e a função de relatório de sincronização no aplicativo Assistente.
Ler todos os grupos/ler todas as associações a gruposLê a lista de grupos da ID da Entra para permitir a configuração bem-sucedida do escopo de sincronização de grupos.

 
As atualizações para associações em grupo podem levar até 12 horas para serem sincronizadas. Se um novo usuário não tiver sincronizado automaticamente quando a sincronização de grupo ocorrer, você precisará esperar mais 12 horas para que o novo usuário sincronize com o grupo.
Ler os perfis completos de todos os usuáriosUsado ao adicionar usuários no escopo de sincronização. Por exemplo, essa permissão permite a leitura de informação do usuário pesquisando um usuário e exibindo os usuários na tabela da página do usuário.
6

Para clientes SMB, aceite as configurações padrão verificando a Padrões de sincronização caixa de seleção e clicar Continuar . Para clientes corporativos, vá para a próxima etapa e continue a configuração.

Se você aceitar as configurações padrão, isso significa que você deseja:
  • Sincronize todos os usuários para o Webex.
  • Aceite os mapeamentos de atributo padrão.
  • Ative a alternância para sincronizar as fotos de perfil de todos os usuários para exibição nos serviços Webex .
  • Ative a sincronização automática depois que a configuração for concluída.
Image showing the Azure AD sync default setting option
7

Para clientes Enterprise (mais de 1000 usuários) ou clientes que desejam definir as configurações manualmente, clique no Atributos guia e mapear os atributos. Clique em Salvar.

Você pode mapear outros atributos de usuário da ID Entra no Webex ou alterar os mapeamentos de atributos de usuário existentes usando a página Atributos . Você pode personalizar o mapeamento certificando-se de configurá-lo corretamente. O valor que você mapeia como o nome de usuário é importante. O Webex usa o endereço de e-mail do usuário como seu nome de usuário. Por padrão, o userPrincipalName (UPN) na ID Entra mapeia o endereço de e-mail (nome de usuário) no Control Hub.


 
Você não pode editar o mapeamento durante a primeira configuração. Nesse ponto, a ocorrência correspondente não é completamente construída e não há nenhuma ocorrência do atributo de mapeamento personalizado. No entanto, você pode clicar Editar para alterá-lo quando a configuração for concluída.
8

Adicione usuários ao escopo de sincronização clicando no Usuários guia.

Você pode inserir o nome de usuário para pesquisar e adicionar o usuário no escopo de sincronização. Você também pode remover um usuário do escopo de sincronização clicando no ícone da Lixeira do lado direito. Clique em Salvar.

Se você quiser selecionar todos os usuários da ID Entra, selecione Selecionar todos os usuários . Se você selecioná-la, você não precisa selecionar os grupos no escopo, pois essa opção sincroniza os grupos ao mesmo tempo.

Image showing all users synchronized

 

Não recomendamos o uso Selecionar todos os usuários para grandes clientes corporativos com centenas de milhares de usuários, já que o processo de inicialização é demorado. Se você sincronizar acidentalmente muitos usuários no Control Hub, também levará mais tempo para excluir esses usuários.

Clique em Salvar.

9

Na guia Grupos , você pode procurar grupos individuais e adicioná-los ao Webex.

  • Clique na guia Sincronizar membros do grupo para selecionar todos os usuários nos grupos selecionados.
  • Clique na guia Sincronizar grupos de crianças para selecionar usuários em grupos de crianças específicos.
Image showing the screen to add or remove groups

Clique em Salvar.


 
Por padrão, apenas os usuários nos grupos selecionados serão sincronizados. Vá para a guia More e selecione Sincronizar objetos do grupo se você também quiser sincronizar os próprios grupos.
10

Na página Mais guia, você pode configurar algumas opções de sincronização avançadas:

  • Sincronizar avatares de usuários —ative essa opção para permitir que o aplicativo Webex sincronize todos os avatares de usuários no escopo com o Webex. Quando o avatar de um usuário é atualizado, o avatar do usuário é atualizado automaticamente no Webex. Ele pode não ser atualizado imediatamente porque depende da notificação de atualização para acionar a atualização.

  • Sincronizar objetos do grupo —ative-o para que os objetos do grupo selecionados na guia Grupos sejam sincronizados com o Webex.

  • Ative o registro único —ative-o para configurar o SSO do OpenID Connect (OIDC) para sua organização.


     
    Se sua organização já tiver SSO ativado usando uma das opções de SAML , você deve desabilitar a opção SAML primeiro antes de poder ativar o SSO OIDC no aplicativo Assistente do Azure AD.

  • Identificar e sincronizar objetos da sala —ative-os para sincronizar objetos da sala com o Webex.

11

Você pode decidir se deseja permitir que a sincronização ocorra imediatamente ou em um estágio posterior. Se você selecionar a Permitir agora opção, ele aplica todas as configurações para a próxima sincronização. Se você selecionar a Salvar e permitir mais tarde opção, a sincronização não inicia até que você permita a sincronização automática.

Image showing the option to save the configuration
12

O aplicativo se comunica com a ID Entra para configurar a configuração e agendar a sincronização.

Image showing that the setup is successful
Após a conclusão da sincronização, um dos seguintes resultados é exibido no Status da tarefa campo:
  • Ativo: a sincronização foi bem-sucedida.
  • Quarentena : o trabalho de sincronização foi colocado em quarentena na ID Entra após várias falhas. Consulte a documentação Entra ID para obter mais informações.
  • Não Executar : esse status aparece somente após a primeira configuração. O serviço ainda não foi executado após a primeira configuração.

Você também pode clicar Visualizar resumo para ver informações adicionais, como a hora e a data da última sincronização e o número de usuários sincronizados, ignorados ou que falharam:

Usuários

  • Sincronizado: mostra o número de usuários sincronizados com êxito com o Webex.
  • Ignorado: mostra o número de usuários que foram ignorados na última sincronização. Por exemplo, novos usuários na ID Entra que não foram adicionados ao escopo de sincronização do aplicativo Assistente do Azure AD. Estes usuários não foram sincronizados com o Webex; adicione-os no escopo de sincronização para sincronizá-los com o Webex.
  • Falha: mostra o número de usuários que falharam ao serem sincronizados. Verifique o registro de auditoria de provisionamento de aplicativos Entra ID para obter mais informações sobre por que esses usuários não sincronizaram. Se você precisar sincronizar esses usuários imediatamente, poderá usuários de provisionamento sob demanda .

Grupos

  • Sincronizado: mostra o número de grupos sincronizados com êxito com o Webex e criados no Control Hub.
  • A serem sincronizados: esse status indica que todos os usuários em um grupo ainda não foram adicionados. Os usuários devem primeiro ser sincronizados com êxito com o Webex.

Migrar as configurações existentes do aplicativo Cisco Webex Enterprise para o aplicativo Assistente do Azure AD

Se você já tiver configurado um aplicativo Cisco Webex Enterprise na ID Entra, poderá migrar todas as configurações para o aplicativo Assistente do Azure AD automaticamente. Você pode gerenciar a ID Entra tudo no Control Hub sem perder nenhuma das configurações anteriores.

1

Inicie sessão no Control Hub com uma conta de administrador completa.

2

Ir para Configurações da organização e, em seguida, role para baixo até o Sincronização de diretório seção.

3

Clique Configurar para iniciar a configuração.

4

Autentique a conta de administrador Entra ID com a configuração de ID Entra. Certifique-se de usar uma conta que tenha as permissões descritas na próxima etapa.

5

Revise as permissões e clique em Aceitar para conceder a autorização da conta para acessar o locatário da ID Entra.

Sincronização de identidade do Cisco Webex é um aplicativo corporativo Entra ID na ID Entra. O aplicativo assistente se conecta a este aplicativo para acessar as APIs do gráfico Entra ID. As permissões necessárias para acessá-lo são as permissões mínimas necessárias para oferecer suporte e usá-lo.

Image showing the available permissions.
Permissão Uso
Gerenciar aplicativos que este aplicativo cria ou possui

Necessário para gerenciar o aplicativo de Identidade Cisco Webex na Entra ID Enterprise, incluindo:

  • Criar/excluir este aplicativo na ID Entra

  • Configuração de mapeamento de atributos

  • Renomear o aplicativo na ID da Entra

  • Ativar/desativar o provisionamento automático

Ler todos os dados do registro de auditoriaUsado para acessar o registro de auditoria de provisionamento do Cisco Webex Identity para ler o histórico de provisionamento. Essas informações são usadas para o resumo da sincronização e a função de relatório de sincronização no aplicativo Assistente.
Ler todos os grupos/ler todas as associações a gruposLê a lista de grupos da ID da Entra para permitir a configuração bem-sucedida do escopo de sincronização de grupos.
Ler os perfis completos de todos os usuáriosUsado ao adicionar usuários no escopo de sincronização. Por exemplo, essa permissão permite a leitura de informação do usuário pesquisando um usuário e exibindo os usuários na tabela da página do usuário.
6

Selecionar Migrar aplicativo existente .

7

Depois de aceitar solicitações de permissão de somente leitura adicionais, selecione o aplicativo existente que você deseja migrar para o aplicativo do assistente e, em seguida, selecione Continuar .


 

Se o aplicativo existente selecionado não usuários de provisionamento para o mesmo Control Hub, a migração falhará.

8

Após a conclusão da migração, recomendamos que você executar uma simulação antes de ativar a sincronização automática para garantir que não haja erros.

Realizar uma simulação

Antes de ativar a sincronização automática, recomendamos que você faça uma simulação primeiro para garantir que não haja erros. Quando a simulação for concluída, você poderá baixar um relatório de simulação para ver informação detalhada. As colunas disponíveis no relatório são:

Tabela 1. Descrições das colunas do relatório de simulação
Nome da colunaDescrição
Tipo de objetoTipo de objeto na ID Entra, como usuário ou grupo.
Tipo de açãoTipo de ação que será executada no objeto durante uma sincronização. Os tipos de ação possíveis são:
  • Correspondido —O objeto corresponde na ID Entra e no Control Hub.
  • Adicionar —O objeto será adicionado ao Control Hub.
  • Desativar —O objeto está no Control Hub, mas o objeto foi removido na ID Entra ou não foi adicionado ao escopo de sincronização. Após a sincronização, o objeto será desativado.
ID do AzureID do objeto na ID Entra.
Nome do AzureNome do objeto na ID Entra.
Nome WebexNome do objeto no Webex.
MotivoMotivo pelo qual um tipo de ação ocorrerá durante uma sincronização.
1

Inicie sessão no Control Hub com uma conta de administrador completa.

2

Ir para Configurações da organização e, em seguida, role para baixo até o Sincronização de diretório seção.

3

Clique nos três pontos verticais ao lado da ocorrência que você deseja sincronizar e selecione Teste de simulação .

4

Quando a simulação for concluída, clique em Baixar resumo para baixar o relatório como um arquivo CSV.

Habilitar ou desabilitar a sincronização automática

O Assistente do Azure AD e seu serviço de back-end correspondente verificam se a sincronização automática está ativada para determinar quando sincronizar usuários ou grupos da ID Entra com o Webex. Ative Sincronização automática para permitir a sincronização de usuários e grupos de provisionamento automático. Quando você desativa Sincronização automática , o aplicativo assistente não sincroniza nada com o Webex, mas a configuração existente é preservada.


 

Normalmente, os usuários são sincronizados a cada 40 minutos por política da Microsoft.

1

Faça logon no Control Hub como administrador completo da organização.

2

Ir para Configurações da organização e, em seguida, role para baixo até o Sincronização de diretório seção.

3

Alterne a alternância para a direita para ativar Sincronização automática .

Desative-o alternando o Sincronização automática alternar para a esquerda.

Editar a configuração do aplicativo Assistente do Azure AD

1

Faça logon no Control Hub como um administrador de organização completa.

2

Ir para Configurações da organização e, em seguida, role para baixo até o Sincronização de diretório seção.

3

Clique Editar configuração .

Image showing the option to delete an Azure AD instance
4

Personalize o mapeamento de atributos selecionando um atributo na coluna esquerda originária da ID Entra. O atributo de destino no Nuvem Webex está na coluna da direita. Ver Mapeamento de atributos do aplicativo Assistente do Azure AD para obter mais informações sobre atributos de mapeamento.

Image showing the custom attributes
5

Na página Usuários e Grupos guias, adicionar ou remover usuários e grupos do escopo de sincronização.


 
Os grupos aninhados não são sincronizados automaticamente com a nuvem. Certifique-se de selecionar os grupos que estão aninhados dentro dos grupos que você deseja sincronizar.
6

Na página Mais altere suas preferências, se necessário.

7

Clique Salvar para salvar a configuração modificada.


 

Suas atualizações serão aplicadas na próxima sincronização. O mecanismo de sincronização automática Entra ID lida com a sincronização de usuários e grupos de usuários.

Editar o nome da instância Webex

Altere como o nome da ocorrência de Identidade Cisco Webex aparece na lista de aplicativos corporativos da ID Entra.

1

Faça logon no Control Hub como um administrador de organização completa.

2

Ir para Configurações da organização e, em seguida, role para baixo até o Sincronização de diretório seção.

3

Clique Editar nome da instância .

Image showing the option to delete an Azure AD instance
4

Insira o novo nome da instância e clique em Salvar .

Excluir a configuração do aplicativo Assistente do Azure AD

Quando você exclui o aplicativo Assistente do Azure AD, ele remove a configuração para a sincronização da ID Entra. A configuração não é mantida pelo Webex ou pela ID Entra. Se você quiser usar a sincronização de ID Entra no futuro, precisará fazer uma reconfiguração completa.

Antes de você começar

1

Faça logon no Control Hub como um administrador de organização completa.

2

Ir para Configurações da organização e, em seguida, role para baixo até o Sincronização de diretório seção.

3

Clique Excluir instância .

Image showing the option to delete an Azure AD instance
4

No Excluir a Instância do Azure AD? página, selecione Revogar o consentimento do administrador do Azure AD se você quiser remover o contrato de consentimento do Webex. Se você selecionar essa opção, deverá inserir suas credenciais e conceder as permissões novamente.

Image showing the Delete window to delete an Azure AD instance
5

Clique em Excluir.

Provisionar um usuário para o Webex sob demanda

Você pode provisionar um usuário ao Webex imediatamente, independentemente de uma sincronização de ID Entra e verificar instantaneamente o resultado. Isso ajudará na solução de problemas durante a configuração.

1

Faça logon no Control Hub como um administrador de organização completa.

2

Vá para Configurações da organização e role até a seção Sincronização de diretório .

3

Clique Provisionar um usuário sob demanda .

Image showing the option to delete an Azure AD instance
4

Pesquise e selecione o usuário que você deseja provisionar e clique em Provisão .

5

Um dos seguintes resultados é exibido quando ele é concluído:

  • Sucesso do provisionamento: O novo usuário foi criado com êxito no Webex.
  • Provisionamento ignorado: O provisionamento foi ignorado por algum motivo, geralmente porque o usuário já existe. Os detalhes aparecem na Resumo dos resultados página.
  • Falha no provisionamento: O provisionamento falhou. Os detalhes aparecem na Resumo dos resultados página.
6

Clique Repetir provisionar o mesmo usuário novamente, se ele for ignorado ou falhar.

7

Clique Provisionar outro usuário para retornar à página de provisionamento.

8

Clique Concluído quando você terminar.

Importar domínios verificados com ID Entra no Control Hub

Os clientes podem ter centenas de domínios verificados na ID Entra. Enquanto se integram ao Control Hub, se quiserem importar os domínios verificados da ID Entra para o Control Hub. Isso pode economizar muitos esforços no processo de manutenção ou configuração.

1

Ir para Domínio seção na Configurações da organização guia no Control Hub.

2

Clique Adicionar com o Azure AD .

3

No Adicionar domínios verificados página, pesquise e selecione os domínios a serem adicionados.

4

Clique em Adicionar.

Os domínios vertidos aparecerão na lista de domínios verificados.

Mapeamento de atributos do aplicativo Assistente do Azure AD

O aplicativo Assistente do Azure AD pode oferecer suporte e sincronizar quaisquer alterações que você fizer nas expressões de atributo. Por exemplo, em Entra ID, você pode mapear o displayName para que ele exiba os dois surname e givenName atributos. Essas alterações aparecem no aplicativo do assistente.

Você pode encontrar mais informações sobre como mapear expressões de atributos na ID Entra no site de ajuda da Microsoft .

Use a tabela a seguir para obter informações sobre atributos específicos da ID Entra.


 

O Azure AD não sincroniza valores nulos. Se você definir um valor de atributo como nulo na ID Entra, ele não será excluído ou corrigido com um valor nulo no Webex. Consulte as limitações no site de ajuda da Microsoft para obter mais informações.

Tabela 2. Azure para Mapeamentos Webex

Atributo Active Directory Azure (fonte)

Atributo de Usuário Webex (destino)

Descrição

Userprincipalname

userName

 É o ID exclusivo do usuário no Webex. É um e-mail formatado.

displayName

displayName

 O nome do usuário exibido no aplicativo Webex .

Sobrenome

nome.famíliaName

Givenname

nome.givenName

Objectid

ID externa

 É o UID do usuário na ID Entra. Geralmente, é uma cadeia de 16 bytes. Não recomendamos que você altere esse mapeamento.

Jobtitle

cargo

alocação de uso

endereços[digite eq "trabalho"].país

 Recomendamos o uso do mapeamento de Usagelocation para endereços [type eq "work"].country. Se você escolher outro atributo, você deve garantir que os valores dos atributos estejam em conformidade com os padrões. Por exemplo, EUA deve ser EUA. A China deve ser CN, e assim por diante.

cidade

endereços[digite eq "trabalho"].localidade

Streetaddress

endereços[digite eq "trabalho"].streetAddress

estado

endereços[digite eq "trabalho"].região

Postalcode

endereços[digite eq "trabalho"].postalCode

Telephonenumber

phoneNumbers[type eq "work"].value

móvel

phoneNumbers[type eq "mobile"].value

ileileTelephoneNumber

phoneNumbers[type eq "fax"].value

manager

manager

Sincroniza as informações do gerente dos usuários com o Webex para que os usuários possam sempre ver as informações corretas do gerente no cartão do contato do usuário .

Quando um usuário é criado, a ID Entra verifica se o objeto do gerenciador do usuário está na Identidade Webex ou não. Se não, o atributo de gerente do usuário é ignorado. Se houver um atributo de gerente, duas condições deverão ser atendidas para que o atributo apareça no cartão do contato do usuário:

  • O objeto do gerenciador é sincronizado com o Webex.
  • O usuário membro está ativo no aplicativo Webex . Tecnicamente, ele pode acionar o evento de backend para consultar o atributo de gerente do usuário periodicamente. Portanto, quando as informações do gerente do usuário são adicionadas ou alteradas, o atributo do gerente do usuário pode ser atualizado através do serviço acionado.

Essas condições verificam a atualização do atributo de gerente do usuário quando um token de autenticação do usuário expira.

Perguntas frequentes

Como posso migrar para o aplicativo Assistente do Azure AD da disposição do Conector de diretórios da Cisco?

Durante a configuração, o aplicativo Assistente detecta se sua organização usa o Conector de diretórios. Se estiver ativado, uma caixa de diálogo onde você pode optar por usar o ID da Entra e bloquear o Conector de diretórios. Clique Bloquear para confirmar que você deseja continuar com a configuração do aplicativo Assistente do Azure AD.

Você também pode optar por desabilitar o Conector de diretórios antes de configurar o aplicativo Assistente. Após a configuração, o aplicativo Wizard gerencia os perfis de usuário. No entanto, o Aplicativo do Assistente gerencia apenas os usuários que foram adicionados ao escopo de sincronização; não é possível usar o aplicativo Assistente para gerenciar usuários sincronizados pelo Conector de diretórios que não fazem parte do escopo de sincronização.

Posso configurar o registro único com o Microsoft Entra?

Você pode configurar uma integração de registro único (SSO) entre uma organização de cliente do Control Hub e uma implantação que usa a ID da Microsoft Entra como um provedor de identidade.

Quando o avatar do usuário é atualizado no Webex?

Os avatares do usuário são sincronizados com o Webex quando o usuário é criado no Webex Identity. Esta atualização depende do avatar do usuário ser atualizado na ID Entra. O aplicativo assistente então recupera o novo avatar da ID Entra.