Configurar o aplicativo assistente Entra ID (Azure AD) no Control Hub

Ativar a ID da Entra no Control Hub

No Webex for Government, o aplicativo Assistente Entra ID (Azure AD) se conecta exclusivamente à Identidade Global Entra ID Entra, que abrange os clientes Consumer/Enterprise e GCC Moderate Entra ID (Azure AD). Os clientes de alto nível do GCC devem utilizar o aplicativo Control Hub na Microsoft Enterprise Gallery para provisionar usuários e grupos ao Webex. Uma versão do assistente que ofereça suporte ao GCC High estará disponível em uma versão futura do Control Hub.

Alguns dos recursos descritos neste artigo ainda não estão disponíveis para todos os clientes.

Antes de você começar

Certifique-se de ter acesso a uma conta Entra ID com a autoridade para conceder o consentimento de administrador em todo o locatário a um aplicativo .

Inicie sessão no Control Hub com uma conta de administrador completa.

Vá para Configurações da organização e, em seguida, role para baixo até a seção Sincronização de diretório .

Clique em Configurar para iniciar a configuração.

Autentique sua conta de administrador Entra ID.

Se você não for um administrador global ou aged-role na ID Entra, poderá solicitar acesso para conceder permissão ao aplicativo Assistente Entra ID (Azure AD).

Se você tiver privilégios de administrador total na ID Entra, poderá revisar e conceder acesso às solicitações acessando Identity > Aplicativos > Aplicativos empresariais . Em Atividade , selecione Solicitações de consentimento do administrador e clique em Cisco Webex Identity Integration e selecione Revisar permissões e aceitar . Este processo concede autenticação geral ao aplicativo Webex.

Finalmente, clique na guia Todos (pré-visualização) , selecione Cisco Webex Identity Integration e clique em Revisar aplicativo . Sob Segurança > Permissões , clique em Consentimento de administrador Grant para Cisco conceder todas as permissões necessárias para ativar a ID Entra no Control Hub.

Consulte Suporte da Microsoft para obter mais informações sobre esse processo.

Revise as permissões e clique em Aceitar para conceder a autorização da conta para acessar o locatário da ID Entra.

Cisco Webex Identity é um aplicativo corporativo Entra ID na ID Entra. O aplicativo assistente se conecta a este aplicativo para acessar as APIs do gráfico Entra ID. As permissões necessárias para acessá-las são as permissões mínimas necessárias para suportar e usá-las.

Image showing the available permissions.

Permissão	Uso
Gerenciar aplicativos que este aplicativo cria ou possui	Necessário para gerenciar o aplicativo de Identidade Cisco Webex na Entra ID Enterprise, incluindo: Criar/excluir este aplicativo na ID Entra Configuração de mapeamento de atributos Renomear o aplicativo na ID da Entra Habilitar/desabilitar provisão automática
Ler todos os dados de registro de auditoria	Usado para acessar o registro de auditoria de provisionamento do Cisco Webex Identity para ler o histórico de provisionamento. Essas informações são usadas para a função de resumo de sincronização e relatório de sincronização no aplicativo assistente.
Ler todos os grupos/Ler todas as associações de grupos	Lê a lista de grupos da ID da Entra para permitir a configuração bem-sucedida do escopo de sincronização de grupos. As atualizações para associações em grupo podem levar até 12 horas para serem sincronizadas. Se um novo usuário não tiver sincronizado automaticamente quando a sincronização de grupo ocorrer, você precisará esperar mais 12 horas para que o novo usuário sincronize com o grupo.
Leia os perfis completos de todos os usuários	Usado ao adicionar usuários no escopo de sincronização. Por exemplo, esta permissão permite a leitura de informações do usuário, pesquisando um usuário e exibindo os usuários na tabela na página do usuário.

Para clientes SMB, aceite as configurações padrão marcando a caixa de seleção Sincronizar padrões e clicando em Continuar . Para clientes corporativos, vá para a próxima etapa e continue a configuração.

Se você aceitar as configurações padrão, significa que deseja:

Sincronize todos os usuários com o Webex.
Aceite os mapeamentos de atributos padrão.
Ative a alternância para sincronizar as imagens de perfil de todos os usuários para exibição nos serviços Webex.
Ative a sincronização automática após a conclusão da configuração.

Image showing the Azure AD sync default setting option

Para clientes Empresariais (mais de 1000 usuários) ou os clientes que desejam definir as configurações manualmente, clique na guia Atributos e mapeie os atributos. Clique em Salvar.

Você pode mapear outros atributos de usuário da ID Entra no Webex ou alterar os mapeamentos de atributos de usuário existentes usando a página Atributos . Você pode personalizar o mapeamento, garantindo que você o configure corretamente. O valor que você mapeia como nome de usuário é importante. O Webex usa o endereço de e-mail do usuário como seu nome de usuário. Por padrão, o userPrincipalName (UPN) na ID Entra mapeia o endereço de e-mail (nome de usuário) no Control Hub.

Você não poderá editar o mapeamento durante a primeira configuração. Nesse ponto, a instância correspondente não é construída completamente e não há nenhuma instância do atributo de mapeamento personalizado. No entanto, você pode clicar em Editar para alterá-lo quando a configuração for concluída.

Adicione usuários ao escopo da sincronização clicando na guia Users .

Você pode inserir o nome de usuário para pesquisar e adicionar o usuário no escopo da sincronização. Você também pode remover um usuário do escopo de sincronização clicando no ícone da Lixeira do lado direito. Clique em Salvar.

Se você quiser selecionar todos os usuários da ID Entra, selecione Selecionar todos os usuários . Se você selecioná-lo, não precisará selecionar grupos no escopo, pois essa opção sincroniza os grupos ao mesmo tempo.

Não recomendamos usar o Selecione todos os usuários para clientes empresariais significativos com centenas de milhares de usuários, pois o processo de inicialização requer muito tempo. Se você sincronizar acidentalmente muitos usuários no Control Hub, também levará mais tempo para excluir esses usuários.

Clique em Salvar.

Na guia Grupos , você pode procurar grupos individuais e adicioná-los ao Webex.

Clique na guia Sincronizar membros do grupo para selecionar todos os usuários nos grupos selecionados.
Clique na guia Sincronizar grupos de crianças para selecionar usuários em grupos de crianças específicos.

Image showing the screen to add or remove groups

Clique em Salvar.

Por padrão, apenas os usuários nos grupos selecionados serão sincronizados. Vá para a guia More e selecione Sincronizar objetos do grupo se você também quiser sincronizar os próprios grupos.

Na guia More , você pode configurar algumas opções avançadas de sincronização:

Sincronizar avatares de usuários —ative essa opção para permitir que o aplicativo Webex sincronize todos os avatares de usuários no escopo com o Webex. Quando um avatar de usuários é atualizado, o avatar do usuário é atualizado automaticamente no Webex. Ele pode não ser atualizado imediatamente porque depende da notificação de atualização para acionar a atualização.
Sincronizar objetos do grupo —ative-o para que os objetos do grupo selecionados na guia Grupos sejam sincronizados com o Webex.
Ative o registro único —ative-o para configurar o SSO do OpenID Connect (OIDC) para sua organização.

Se sua organização já tiver o SSO ativado usando uma das opções SAML , você deverá desativar a opção SAML primeiro antes de ativar o SSO OIDC no aplicativo Assistente Entra ID (Azure AD).
Identificar e sincronizar objetos da sala —ative-os para sincronizar objetos da sala com o Webex.

Você pode decidir se deseja permitir que a sincronização ocorra imediatamente ou em um estágio posterior. Se você selecionar a opção Permitir agora , ela aplicará todas as configurações à próxima sincronização. Se você selecionar a opção Salvar e permitir posteriormente , a sincronização não será iniciada até que você permita a sincronização automática.

Image showing the option to save the configuration

O aplicativo se comunica com a ID Entra para configurar a configuração e agendar a sincronização.

Image showing that the setup is successful

Após a conclusão da sincronização, um dos seguintes resultados é exibido no campo Status do trabalho :

Ativo : a sincronização foi bem-sucedida.
Quarentena : o trabalho de sincronização foi colocado em quarentena na ID Entra após várias falhas. Consulte a documentação Entra ID para obter mais informações.
NotRun : este status aparece apenas após a primeira configuração. O serviço ainda não foi executado após a primeira configuração.

Você também pode clicar em Visualizar resumo para ver informações adicionais, como a hora e a data da última sincronização, e o número de usuários sincronizados, ignorados ou falhados:

Usuários

Sincronizado : mostra o número de usuários sincronizados com êxito com o Webex.
Ignorado : mostra o número de usuários que foram ignorados na última sincronização. Por exemplo, novos usuários na ID Entra que não foram adicionados ao escopo de sincronização do aplicativo Entra ID (Azure AD) Wizard. Esses usuários não foram sincronizados com o Webex; adicione-os no escopo de sincronização para sincronizá-los com o Webex.
Falha : mostra o número de usuários que falharam na sincronização. Verifique o registro de auditoria de provisionamento de aplicativos Entra ID para obter mais informações sobre por que esses usuários não sincronizaram. Se você precisar sincronizar esses usuários imediatamente, poderá provisionar usuários sob demanda .

Grupos

Sincronizado : mostra o número de grupos sincronizados com êxito com o Webex e criados no Control Hub.
A ser sincronizado : esse status indica que todos os usuários em um grupo ainda não foram adicionados. Primeiro, os usuários devem ser sincronizados com êxito com o Webex.

Migre as configurações existentes do aplicativo Cisco Webex Enterprise para o aplicativo assistente Entra ID (Azure AD)

Se você já tiver configurado um aplicativo Cisco Webex Enterprise na ID Entra, poderá migrar todas as configurações para o aplicativo Assistente Entra ID (Azure AD) automaticamente. Você pode gerenciar a ID Entra tudo no Control Hub sem perder nenhuma das configurações anteriores.

Inicie sessão no Control Hub com uma conta de administrador completa.

Vá para Configurações da organização e, em seguida, role para baixo até a seção Sincronização de diretório .

Clique em Configurar para iniciar a configuração.

Autentique a conta de administrador Entra ID com a configuração de ID Entra. Certifique-se de usar uma conta com as permissões descritas na próxima etapa.

Revise as permissões e clique em Aceitar para conceder a autorização da conta para acessar o locatário da ID Entra.

Sincronização de identidade do Cisco Webex é um aplicativo corporativo Entra ID na ID Entra. O aplicativo assistente se conecta a este aplicativo para acessar as APIs do gráfico Entra ID. As permissões necessárias para acessá-las são as permissões mínimas necessárias para suportar e usá-las.

Permissão	Uso
Gerenciar aplicativos que este aplicativo cria ou possui	Necessário para gerenciar o aplicativo de Identidade Cisco Webex na Entra ID Enterprise, incluindo: Criar/excluir este aplicativo na ID Entra Configuração de mapeamento de atributos Renomear o aplicativo na ID da Entra Habilitar/desabilitar provisão automática
Ler todos os dados de registro de auditoria	Usado para acessar o registro de auditoria de provisionamento do Cisco Webex Identity para ler o histórico de provisionamento. Essas informações são usadas para a função de resumo de sincronização e relatório de sincronização no aplicativo assistente.
Ler todos os grupos/Ler todas as associações de grupos	Lê a lista de grupos da ID da Entra para permitir a configuração bem-sucedida do escopo de sincronização de grupos.
Leia os perfis completos de todos os usuários	Usado ao adicionar usuários no escopo de sincronização. Por exemplo, esta permissão permite a leitura de informações do usuário, pesquisando um usuário e exibindo os usuários na tabela na página do usuário.

Selecione Migrar aplicativo existente .

Depois de aceitar solicitações de permissão adicionais de somente leitura, selecione o aplicativo existente que você deseja migrar para o aplicativo Assistente e, em seguida, selecione Prosseguir .

Se o aplicativo existente selecionado não fornecer usuários ao mesmo Control Hub, a migração falhará.

Após a conclusão da migração, recomendamos que você execute uma simulação antes de ativar a sincronização automática para certificar-se de que não há erros.

Executar uma simulação

Antes de ativar a sincronização automática, recomendamos que você execute uma simulação primeiro para certificar-se de que não há erros. Quando a simulação for concluída, você poderá baixar um relatório de simulação para ver informações detalhadas. As colunas disponíveis no relatório são:

Tabela 1. Descrições da coluna de relatório de simulação
nome da Coluna	Descrição
Tipo De Objeto	Tipo de objeto na ID Entra, como usuário ou grupo.
Tipo de ação	Tipo de ação que será executada ao objeto durante uma sincronização. Os tipos de ação possíveis são: Correspondido —O objeto corresponde na ID Entra e no Control Hub. Adicionar —O objeto será adicionado ao Control Hub. Desativar —O objeto está no Control Hub, mas o objeto foi removido na ID Entra ou não foi adicionado ao escopo de sincronização. Após a sincronização, o objeto será desativado.
ID do Azure	ID do objeto na ID Entra.
Nome do Azure	Nome do objeto na ID Entra.
Nome do Webex	Nome do objeto no Webex.
Motivo	Razão pela qual um tipo de ação ocorrerá durante uma sincronização.

1	Inicie sessão no Control Hub com uma conta de administrador completa.
2	Vá para Configurações da organização e, em seguida, role para baixo até a seção Sincronização de diretório .
3	Clique nos três pontos verticais ao lado da instância que deseja sincronizar e selecione Dry-run .
4	Quando a simulação for concluída, clique em Baixar resumo para baixar o relatório como um arquivo CSV.

Ativar ou desativar a sincronização automática

O aplicativo Entra ID (Azure AD) Wizard e seu serviço de back-end correspondente verificam se a sincronização automática está habilitada para determinar quando sincronizar usuários ou grupos da Entra ID com o Webex. Ative Sincronização automática para permitir a sincronização de usuários e grupos de provisionamento automático. Quando você desativa Sincronização automática , o aplicativo assistente não sincroniza nada com o Webex, mas a configuração existente é preservada.

Normalmente, os usuários são sincronizados a cada 40 minutos por política da Microsoft.

1	Faça logon no Control Hub como administrador completo da organização.
2	Vá para Configurações da organização e, em seguida, role para baixo até a seção Sincronização de diretório .
3	Alterne o botão para a direita para ativar Sincronização automática . Desative-o alternando o botão Sincronização automática para a esquerda.

Editar a configuração do aplicativo assistente Entra ID (Azure AD)

1	Inicie sessão no Control Hub com uma conta de administrador completa.
2	Vá para Configurações da organização e, em seguida, role para baixo até a seção Sincronização de diretório .
3	Clique em Editar configuração .
4	Personalize o mapeamento de atributos selecionando um atributo na coluna esquerda originária da ID Entra. O atributo de destino no Webex Cloud está na coluna da direita. Consulte Mapeamento de atributos do Aplicativo Entra ID (Azure AD) para obter mais informações sobre como mapear atributos.
5	Nas guias Users e Groups , adicione ou remova usuários e grupos do escopo de sincronização. Os grupos aninhados não são sincronizados automaticamente com a nuvem. Certifique-se de selecionar todos os grupos aninhados nos grupos que você deseja sincronizar.
6	Na guia Mais , altere suas preferências, se necessário.
7	Clique em Salvar para salvar a configuração modificada. Suas atualizações são aplicadas na próxima sincronização. O mecanismo de sincronização automática Entra ID lida com a sincronização de usuários e grupos de usuários.

Editar o nome da instância Webex

Altere como o nome da ocorrência de Identidade Cisco Webex aparece na lista de aplicativos corporativos da ID Entra.

1	Inicie sessão no Control Hub com uma conta de administrador completa.
2	Vá para Configurações da organização e, em seguida, role para baixo até a seção Sincronização de diretório .
3	Clique em Editar nome da ocorrência .
4	Insira o novo nome da ocorrência e clique em Salvar .

Excluir a configuração do aplicativo assistente Entra ID (Azure AD)

Quando você exclui o aplicativo Entra ID (Azure AD) Wizard, ele remove a configuração para a sincronização do Entra ID. A configuração não é mantida pelo Webex ou pela ID Entra. Se você quiser usar a sincronização de ID Entra no futuro, precisará fazer uma reconfiguração completa.

Não exclua o aplicativo Cisco Webex da ID Entra.

1	Inicie sessão no Control Hub com uma conta de administrador completa.
2	Vá para Configurações da organização e, em seguida, role para baixo até a seção Sincronização de diretório .
3	Clique em Excluir instância .
4	Na página Excluir instância do Azure AD? , selecione Revogar o consentimento do administrador do Azure AD se desejar remover o contrato de consentimento do Webex. Se você selecionar esta opção, deverá inserir suas credenciais e conceder as permissões novamente.
5	Clique em Excluir.

Provisionar um usuário para o Webex sob demanda

Você pode provisionar um usuário ao Webex imediatamente, independentemente de uma sincronização de ID Entra e verificar instantaneamente o resultado. Isso ajudará na solução de problemas durante a configuração.

1	Inicie sessão no Control Hub com uma conta de administrador completa.
2	Vá para Configurações da organização e role até a seção Sincronização de diretório .
3	Clique em Provisionar um usuário sob demanda .
4	Procure e selecione o usuário que você deseja provisionar e clique em Provision .
5	Um dos seguintes resultados é exibido quando for concluído: Provisionamento bem-sucedido: O novo usuário foi criado com êxito no Webex. Provisionamento ignorado: O provisionamento foi ignorado por algum motivo, geralmente porque o usuário já existe. Os detalhes aparecem na página Resumo dos resultados . Falha no provisionamento: O provisionamento falhou. Os detalhes aparecem na página Resumo dos resultados .
6	Clique em Tentar novamente para provisionar o mesmo usuário novamente, se ele ignorou ou falhou.
7	Clique em Provisionar outro usuário para retornar à página de provisionamento.
8	Clique em Concluído quando terminar.

Importar domínios verificados com ID Entra no Control Hub

Os clientes podem ter centenas de domínios verificados na ID Entra. Enquanto se integram ao Control Hub, se quiserem importar os domínios verificados da ID Entra para o Control Hub. Isso pode economizar muitos esforços no processo de manutenção ou configuração.

1	Vá para a Domain secion na guia Configurações da organização no Control Hub.
2	Clique em Adicionar com ID Entra .
3	Na página Adicionar domínios verificados , pesquise e selecione os domínios a serem adicionados.
4	Clique em Adicionar. Os domínios vertidos aparecerão na lista de domínios verificados.

Mapeamento de atributos do aplicativo assistente ID Entra (Azure AD)

O aplicativo Entra ID (Azure AD) Wizard pode oferecer suporte e sincronizar quaisquer alterações feitas em suas expressões de atributo. Por exemplo, em Entra ID, você pode mapear o displayName para que ele exiba ambas as surname e givenName atributos. Essas alterações aparecem no aplicativo Assistente.

Você pode encontrar mais informações sobre como mapear expressões de atributos na ID Entra no site de ajuda da Microsoft .

Use a tabela a seguir para obter informações sobre atributos específicos da ID Entra.

A ID Entra não sincroniza valores nulos. Se você definir um valor de atributo como nulo na ID Entra, ele não será excluído ou corrigido com um valor nulo no Webex. Consulte as limitações no site de ajuda da Microsoft para obter mais informações.

Tabela 2. Azure para Mapeamentos Webex
Atributo de ID Entra (origem)	Atributo de Usuário Webex (destino)	Descrição
Userprincipalname	userName	É a ID exclusiva do usuário no Webex. É um e-mail formatado.
displayName	displayName	Nome do usuário que é exibido no aplicativo Webex.
Sobrenome	nome.famíliaName
Givenname	nome.givenName
Objectid	ID externa	É o UID do usuário na ID Entra. Geralmente, é uma sequência de 16 bytes. Não recomendamos que você altere este mapeamento.
Jobtitle	cargo
alocação de uso	endereços[digite eq "trabalho"].país	Recomendamos o uso do mapeamento de Usagelocation para endereços [digite eq "trabalho"].país. Se você escolher outro atributo, você deve garantir que os valores do atributo estejam em conformidade com os padrões. Por exemplo, EUA devem ser EUA. A China deveria ser CN, e assim por diante.
cidade	endereços[digite eq "trabalho"].localidade
Streetaddress	endereços[digite eq "trabalho"].streetAddress
estado	endereços[digite eq "trabalho"].região
Postalcode	endereços[digite eq "trabalho"].postalCode
Telephonenumber	phoneNumbers[type eq "work"].value
móvel	phoneNumbers[type eq "mobile"].value
ileileTelephoneNumber	phoneNumbers[type eq "fax"].value
manager	manager	Sincroniza as informações do gerente dos usuários com o Webex para que os usuários possam sempre ver as informações corretas do gerente no cartão de contato de um usuário. Quando um usuário é criado, a ID Entra verifica se o objeto do gerenciador do usuário está na Identidade Webex ou não. Se não, o atributo de gerenciador do usuário será ignorado. Se houver um atributo de gerente, duas condições devem ser atendidas para que o atributo seja exibido no cartão de contato do usuário: O objeto do gerente é sincronizado com o Webex. O usuário membro está ativo no aplicativo Webex. Tecnicamente, ele pode acionar o evento de back-end para consultar periodicamente o atributo de gerenciador do usuário. Portanto, quando as informações do gerente do usuário são adicionadas ou alteradas, o atributo de gerente do usuário pode atualizar através do serviço acionado. Essas condições verificam a atualização do atributo de gerenciador do usuário quando o token de autenticação de um usuário expirou. As alterações do atributo do gerente não serão refletidas no cartão de contato do usuário até que o usuário entre pela primeira vez após a alteração.

Perguntas frequentes

Como posso migrar para o aplicativo assistente Entra ID (Azure AD) a partir da provisão do Conector de diretórios da Cisco?

Durante a configuração, o aplicativo Assistente detecta se sua organização usa o Conector de diretórios. Se estiver ativado, uma caixa de diálogo onde você pode optar por usar o ID da Entra e bloquear o Conector de diretórios. Clique em Bloquear para confirmar que você deseja continuar a configuração do aplicativo Entra ID (Azure AD) Wizard.

Você também pode optar por desativar o Conector de diretórios antes de configurar o aplicativo Assistente. Após a configuração, o aplicativo assistente gerencia perfis de usuário. No entanto, o aplicativo Assistente só gerencia os usuários que foram adicionados ao escopo da sincronização; você não pode usar o aplicativo Assistente para gerenciar usuários sincronizados pelo Conector de diretórios que não faziam parte do escopo da sincronização.

Posso configurar o registro único com o Microsoft Entra?

Você pode configurar uma integração de registro único (SSO) entre uma organização de cliente do Control Hub e uma implantação que usa a ID da Microsoft Entra como um provedor de identidade.

Quando o avatar do usuário é atualizado no Webex?

Os avatares dos usuários são sincronizados com o Webex quando o usuário é criado no Webex Identity. Esta atualização depende do avatar do usuário ser atualizado na ID Entra. O aplicativo assistente então recupera o novo avatar da ID Entra.