Настройка приложения Entra ID (Azure AD) в Control Hub

Включение идентификатора центра в Control Hub

В Webex для правительственных организаций приложение Entra ID (Azure AD) подключается исключительно к глобальной идентификации Entra ID, которая охватывает клиентов потребительских/корпоративных клиентов и умеренных GCC Entra ID (Azure AD). Клиенты с высоким уровнем обслуживания GCC должны использовать приложение Control Hub в галерее предприятия Microsoft для подготовки пользователей и групп к Webex. Версия мастера, поддерживающая GCC High, будет доступна в будущем выпуске Control Hub.

Некоторые функции, описанные в этой статье, пока доступны не всем клиентам.

Перед началом работы

Убедитесь в том, что у вас есть доступ к учетной записи Entra ID, которая уполномочена предоставлять согласие администратора всего клиента на использование приложения.

Войдите в Control Hub с помощью учетной записи администратора с полными правами.

Перейдите в раздел Настройки организации и прокрутите страницу вниз до раздела Синхронизация каталогов .

Щелкните Настройка , чтобы запустить конфигурацию.

Аутентификация учетной записи администратора Entra ID.

Если вы не являетесь глобальным администратором или администратором с привилегированной ролью в Entra ID, вы можете запросить доступ, чтобы предоставить полномочие на использование приложения мастера Entra ID (Azure AD).

Если у вас есть полные права администратора в Entra ID, вы можете просмотреть и предоставить доступ к запросам, перейдя по ссылке Identity > Applications > Enterprise applications. В разделе Activity выберите Admin consent requests (Запросы согласия администратора), щелкните Cisco Webex Identity Integration (Интеграция удостоверений Cisco Webex) и выберите Review permissions (Проверка полномочий и принятие). Этот процесс обеспечивает общую аутентификацию приложению Webex.

Наконец, щелкните вкладку Все (предпросмотр), выберите интеграцию удостоверений Cisco Webex и щелкните Просмотреть приложение. Под Безопасность > Полномочия. Щелкните Предоставить согласие администратора для Cisco, чтобы предоставить все необходимые полномочия для включения идентификатора центра в Control Hub.

Дополнительную информацию об этом процессе см. в разделе Поддержка Microsoft .

Проверьте полномочия и нажмите Принять , чтобы предоставить авторизацию учетной записи для доступа к вашему клиенту Entra ID.

Cisco Webex Identity — это корпоративное приложение Entra ID в идентификаторе Entra ID. Приложение мастера подключается к этому приложению для доступа к API диаграммы идентификаторов центра. Разрешения, необходимые для доступа к нему, являются минимальными разрешениями, необходимыми для его поддержки и использования.

Image showing the available permissions.

Полномочие	Использование
Управление приложениями, созданными или принадлежащими этому приложению	Требуется для управления приложением удостоверений Cisco Webex в Entra ID Enterprise, в том числе: Создание/удаление этого приложения в идентификаторе Entra конфигурация сопоставления атрибутов Переименование приложения в идентификатор центра Включить/отключить автоматическую подготовку
Прочесть все данные журнала аудита	Используется для доступа к журналу аудита подготовки удостоверений Cisco Webex для чтения истории подготовки. Эта информация используется для функции сводной информации о синхронизации и синхронизации отчета в приложении мастера.
Читать все группы/Читать все членства в группах	Считывает список групп из Entra ID, чтобы разрешить успешную конфигурацию области синхронизации групп. Синхронизация обновления членства в группах может занять до 12 часов. Если новый пользователь не выполнил автоматическую синхронизацию во время синхронизации группы, потребуется подождать еще 12 часов для синхронизации нового пользователя с его группой.
Чтение полных профилей всех пользователей	Используется при добавлении пользователей в области синхронизации. Например, это разрешение позволяет считывать информацию о пользователе путем поиска пользователя и отображения пользователей в таблице на странице пользователя.

Для клиентов SMB примите настройки по умолчанию, установив флажок Синхронизировать значения по умолчанию и щелкнув Продолжить. Для корпоративных клиентов перейдите к следующему шагу и продолжите настройку.

Если вы принимаете настройки по умолчанию, это означает, что вы хотите:

Синхронизируйте всех пользователей с Webex.
Принять сопоставления атрибутов по умолчанию.
Включите переключатель для синхронизации всех изображений профилей пользователей, которые будут отображаться в службах Webex.
Включите автоматическую синхронизацию после завершения конфигурации.

Image showing the Azure AD sync default setting option

Для корпоративных клиентов (более 1000 пользователей) или клиентов, которые хотят настроить настройки вручную, щелкните вкладку Атрибуты и сопоставьте атрибуты. Щелкните Сохранить.

Другие атрибуты пользователя из идентификатора центра можно сопоставить с Webex или изменить существующие сопоставления атрибутов пользователя на странице Атрибуты . Можно настроить сопоставление, убедившись в правильности его настройки. Значение, которое вы сопоставляете как имя пользователя, важно. В качестве имени пользователя Webex использует его адрес электронной почты. По умолчанию userPrincipalName (UPN) в идентификаторе центра сопоставляется с адресом электронной почты (имя пользователя) в Control Hub.

Во время первой настройки невозможно редактировать сопоставление. В этот момент соответствующий экземпляр не построен полностью и нет экземпляра настраиваемого атрибута сопоставления. Однако по завершении настройки можно щелкнуть Редактировать , чтобы изменить его.

Добавьте пользователей в область синхронизации, перейдя на вкладку Пользователи.

Можно ввести имя пользователя для поиска и добавления пользователя в области синхронизации. Также можно удалить пользователя из области синхронизации, щелкнув пиктограмму корзины справа. Щелкните Сохранить.

Чтобы выбрать всех пользователей из идентификатора центра, выберите Выбрать всех пользователей. При выборе этого параметра не нужно выбирать группы в области, так как этот параметр синхронизирует группы одновременно.

Не рекомендуется использовать параметр Выбрать всех пользователей для крупных корпоративных клиентов с сотнями тысяч пользователей, поскольку процесс инициализации требует длительного времени. При случайной синхронизации большого количества пользователей в Control Hub удаление этих пользователей также занимает больше времени.

Щелкните Сохранить.

На вкладке Группы можно выполнить поиск отдельных групп и добавить их в Webex.

Щелкните вкладку Синхронизация участников группы , чтобы выбрать всех пользователей в выбранных группах.
Щелкните вкладку Синхронизация дочерних групп , чтобы выбрать пользователей в определенных дочерних группах.

Image showing the screen to add or remove groups

Щелкните Сохранить.

По умолчанию синхронизируются только пользователи из выбранных групп. Перейдите на вкладку Дополнительно и выберите Синхронизировать объекты группы , если необходимо синхронизировать сами группы.

На вкладке Дополнительно можно настроить некоторые дополнительные параметры синхронизации.

Синхронизировать аватары пользователей. Включите этот параметр, чтобы приложение Webex могло синхронизировать все аватары пользователей в области применения с Webex. При обновлении аватара пользователя в Webex автоматически обновляется аватар пользователя. Он может не обновляться немедленно, поскольку для запуска обновления требуется уведомление об обновлении.
Синхронизировать объекты групп. Включите этот параметр, чтобы выбранные объекты групп на вкладке Группы синхронизировались с Webex.
Активировать систему единого входа. Включите эту функцию, чтобы настроить систему единого входа OpenID Connect (OIDC) для своей организации.

Если в вашей организации уже включена SSO с помощью одного из параметров SAML, прежде чем активировать SSO OIDC в приложении мастера настройки Entra ID (Azure AD), необходимо отключить параметр SAML.
Идентификация и синхронизация объектов комнат. Включите эту функцию, чтобы синхронизировать объекты комнат с Webex.

Можно решить, следует ли разрешить синхронизацию немедленно или на более позднем этапе. Если выбран параметр Разрешить сейчас , к предстоящей синхронизации будут применены все настройки. Если выбран параметр Сохранить и разрешить позже , синхронизация не начнется, пока вы не разрешите автоматическую синхронизацию.

Image showing the option to save the configuration

Приложение взаимодействует с Entra ID для настройки конфигурации и планирования синхронизации.

Image showing that the setup is successful

После завершения синхронизации в поле Состояние задания появится один из приведенных ниже результатов.

Активно: синхронизация прошла успешно.
Карантин: задание синхронизации было помещено на карантин в Entra ID после нескольких сбоев. Дополнительную информацию см. в документации Entra ID.
NotRun: это состояние отображается только после первой настройки. Служба еще не запущена после первой настройки.

Также можно щелкнуть Просмотр сводной информации , чтобы просмотреть дополнительную информацию, такую как время и дата последней синхронизации, а также количество пользователей, синхронизированных, пропущенных или неудачных.

Пользователи

Синхронизировано: отображает количество пользователей, успешно синхронизированных с Webex.
Пропущено: отображает количество пользователей, пропущенных во время последней синхронизации. Например, новые пользователи в Entra ID, которые не были добавлены в область синхронизации приложения мастера Entra ID (Azure AD). Эти пользователи не были синхронизированы с Webex; добавьте их в область синхронизации, чтобы синхронизировать их с Webex.
Сбой: отображает количество пользователей, которые не смогли синхронизировать. Дополнительную информацию о том, почему эти пользователи не синхронизировались, см. в журнале аудита подготовки приложения Entra ID. При необходимости немедленной синхронизации этих пользователей можно подготовить пользователей по запросу.

Группы

Синхронизировано: отображает количество групп, успешно синхронизированных с Webex и созданных в Control Hub.
Для синхронизации. это состояние означает, что все пользователи в группе еще не добавлены. Сначала пользователи должны быть успешно синхронизированы с Webex.

Миграция существующих конфигураций корпоративного приложения Cisco Webex в приложение мастера настройки идентификатора центра (Azure AD)

Если корпоративное приложение Cisco Webex уже настроено в Entra ID, можно автоматически перенести все конфигурации в мастер настройки Entra ID (Azure AD). Управлять идентификатором центра можно всеми способами в Control Hub, не теряя ни одной из предыдущих конфигураций.

Войдите в Control Hub с помощью учетной записи администратора с полными правами.

Перейдите в раздел Настройки организации и прокрутите страницу вниз до раздела Синхронизация каталогов .

Щелкните Настройка , чтобы запустить конфигурацию.

Выполните аутентификацию учетной записи администратора Entra ID с помощью конфигурации Entra ID. Убедитесь, что вы используете учетную запись с полномочиями, описанными на следующем шаге.

Проверьте полномочия и нажмите Принять , чтобы предоставить авторизацию учетной записи для доступа к вашему клиенту Entra ID.

Синхронизация удостоверений Cisco Webex – это корпоративное приложение Entra ID в идентификаторе Entra ID. Приложение мастера подключается к этому приложению для доступа к API диаграммы идентификаторов центра. Разрешения, необходимые для доступа к нему, являются минимальными разрешениями, необходимыми для его поддержки и использования.

Полномочие	Использование
Управление приложениями, созданными или принадлежащими этому приложению	Требуется для управления приложением удостоверений Cisco Webex в Entra ID Enterprise, в том числе: Создание/удаление этого приложения в идентификаторе Entra конфигурация сопоставления атрибутов Переименование приложения в идентификатор центра Включить/отключить автоматическую подготовку
Прочесть все данные журнала аудита	Используется для доступа к журналу аудита подготовки удостоверений Cisco Webex для чтения истории подготовки. Эта информация используется для функции сводной информации о синхронизации и синхронизации отчета в приложении мастера.
Читать все группы/Читать все членства в группах	Считывает список групп из Entra ID, чтобы разрешить успешную конфигурацию области синхронизации групп.
Чтение полных профилей всех пользователей	Используется при добавлении пользователей в области синхронизации. Например, это разрешение позволяет считывать информацию о пользователе путем поиска пользователя и отображения пользователей в таблице на странице пользователя.

Выберите Миграция существующего приложения.

После принятия дополнительных запросов на полномочия только для чтения выберите существующее приложение, которое необходимо перенести в приложение мастера, а затем нажмите Продолжить.

Если выбранное существующее приложение не обеспечивает пользователей в том же Control Hub, миграция не будет выполнена.

После завершения миграции рекомендуется выполнить пробный запуск , прежде чем включить автоматическую синхронизацию, чтобы убедиться в отсутствии ошибок.

Выполните пробный запуск

Прежде чем включить автоматическую синхронизацию, рекомендуется сначала выполнить пробный запуск, чтобы убедиться в отсутствии ошибок. После завершения пробного запуска можно скачать отчет о пробном запуске для просмотра подробной информации. В отчете доступны следующие столбцы:

Таблица 1. Описания столбцов пробного отчета
Имя столбца	Описание
Тип объекта	Тип объекта в Entra ID, например пользователь или группа.
Тип действия	Тип действия, которое будет выполняться с объектом во время синхронизации. Возможные типы действий: Сопоставление: объект соответствует идентификатору центра и Control Hub. Добавить: объект будет добавлен в Control Hub. Деактивировать: объект находится в Control Hub, но объект был удален в идентификаторе центра или не был добавлен в область синхронизации. После синхронизации объект будет деактивирован.
Azure ID	Идентификатор объекта в Entra ID.
Имя Azure	Имя объекта в Entra ID.
Имя Webex	Имя объекта в Webex.
Причина	Причина возникновения типа действия во время синхронизации.

1.	Войдите в Control Hub с помощью учетной записи администратора с полными правами.
2.	Перейдите в раздел Настройки организации и прокрутите страницу вниз до раздела Синхронизация каталогов .
3.	Щелкните три вертикальные точки рядом с экземпляром, который необходимо синхронизировать, и выберите Пробный запуск.
4.	По завершении пробного запуска щелкните Скачать сводную информацию , чтобы скачать отчет в виде файла CSV.

Включить или отключить автоматическую синхронизацию

Приложение Entra ID (Azure AD) и соответствующая клиентская служба проверяют, включена ли автоматическая синхронизация, чтобы определить, когда синхронизировать пользователей или группы из Entra ID в Webex. Включите автоматическую синхронизацию, чтобы разрешить автоматическую подготовку пользователей и групп. При отключении функции автоматической синхронизации приложение мастера ничего не синхронизирует с Webex, однако существующая конфигурация сохраняется.

Как правило, пользователи синхронизируются каждые 40 минут в соответствии с политикой Microsoft.

1.	Войдите в Control Hub в качестве администратора организации с полными правами.
2.	Перейдите в раздел Настройки организации и прокрутите страницу вниз до раздела Синхронизация каталогов .
3.	Переключите переключатель вправо, чтобы включить автоматическую синхронизацию. Отключите его, переключив переключатель автоматической синхронизации влево.

Изменение конфигурации приложения мастера настройки идентификатора центра (Azure AD)

1.	Войдите в Control Hub с помощью учетной записи администратора с полными правами.
2.	Перейдите в раздел Настройки организации и прокрутите страницу вниз до раздела Синхронизация каталогов .
3.	Щелкните Изменить конфигурацию.
4.	Настройте сопоставление атрибутов, выбрав атрибут из левого столбца, который исходит от идентификатора центра. Атрибут назначения в облаке Webex указан в правом столбце. Дополнительную информацию о сопоставлении атрибутов см. в разделе Сопоставление атрибутов мастера Entra ID (Azure AD).
5	На вкладках Пользователи и группы добавьте или удалите пользователей и группы из области синхронизации. Вложенные группы не синхронизируются автоматически с облаком. Обязательно выберите все группы, вложенные в группы, которые необходимо синхронизировать.
6	При необходимости на вкладке Дополнительно измените предпочтительные параметры.
7.	Нажмите Сохранить , чтобы сохранить измененную конфигурацию. Ваши обновления будут применены при следующей синхронизации. Механизм автоматической синхронизации Entra ID обрабатывает синхронизацию пользователей и групп пользователей.

Изменение имени экземпляра Webex

Измените способ отображения имени экземпляра удостоверения Cisco Webex в списке корпоративных приложений Entra ID.

1.	Войдите в Control Hub с помощью учетной записи администратора с полными правами.
2.	Перейдите в раздел Настройки организации и прокрутите страницу вниз до раздела Синхронизация каталогов .
3.	Щелкните Редактировать имя экземпляра.
4.	Введите имя нового экземпляра и нажмите Сохранить.

Удаление конфигурации приложения мастера настройки идентификатора центра (Azure AD)

При удалении приложения мастера настройки идентификатора центра (Azure AD) удаляется конфигурация для синхронизации идентификатора центра. Конфигурация не сохраняется идентификатором Webex или Entra. Если вы хотите использовать синхронизацию Entra ID в будущем, вам потребуется выполнить полную реконфигурацию.

Не удаляйте приложение Cisco Webex из идентификатора центра.

1.	Войдите в Control Hub с помощью учетной записи администратора с полными правами.
2.	Перейдите в раздел Настройки организации и прокрутите страницу вниз до раздела Синхронизация каталогов .
3.	Щелкните Удалить экземпляр.
4.	На странице Удалить экземпляр Azure AD? выберите Отозвать согласие администратора Azure AD, чтобы удалить соглашение о согласии из Webex. Если выбран этот параметр, необходимо ввести свои учетные данные и предоставить полномочия повторно.
5	Щелкните Удалить.

Подготовка пользователя в Webex по запросу

Можно немедленно подготовить пользователя к Webex независимо от синхронизации идентификатора центра и мгновенно проверить результат. Это удобно при устранении неполадок во время настройки.

1.	Войдите в Control Hub с помощью учетной записи администратора с полными правами.
2.	Перейдите в раздел Настройки организации и прокрутите страницу вниз до раздела Синхронизация каталога .
3.	Щелкните Подготовка пользователя по запросу.
4.	Найдите и выберите пользователя, которого необходимо подготовить, и щелкните Подготовка.
5	По завершении отображается один из следующих результатов: Успешная подготовка: Новый пользователь успешно создан в Webex. Подготовка пропущена. Подготовка по какой-то причине была пропущена, как правило, потому что пользователь уже существует. Подробные сведения отображаются на странице Результаты . Сбой подготовки: Не удалось выполнить подготовку. Подробные сведения отображаются на странице Результаты .
6	Щелкните Повторить попытку , чтобы подготовить того же пользователя еще раз, если он пропустил или не удался.
7.	Щелкните Подготовка другого пользователя , чтобы вернуться на страницу подготовки.
8	По завершении нажмите Готово .

Импорт подтвержденных доменов Entra ID в Control Hub

Клиенты могут иметь сотни доменов, проверенных в Entra ID. При интеграции с Control Hub необходимо импортировать проверенные домены из идентификатора центра в Control Hub. Это может сэкономить много усилий в процессе технического обслуживания или настройки.

1.	Перейдите в раздел Домен на вкладке Настройки организации в Control Hub.
2.	Щелкните Добавить с идентификатором центра.
3.	На странице Добавить подтвержденные домены найдите и выберите домены, которые необходимо добавить.
4.	Щелкните Добавить. Проверенные домены будут отображаться в списке проверенных доменов.

Сопоставление атрибутов приложения мастера Entra ID (Azure AD)

Мастер настройки Entra ID (Azure AD) может поддерживать и синхронизировать любые изменения выражений атрибутов. Например, в Entra ID можно сопоставить displayName таким образом, он отображает как surname и givenName attributes. Эти изменения отображаются в приложении мастера.

Дополнительную информацию о сопоставлении выражений атрибутов можно найти в идентификаторе центра на веб-сайте справки Microsoft.

Используйте приведенную ниже таблицу для получения информации о конкретных атрибутах Entra ID.

Идентификатор центра не синхронизирует нулевые значения. Если для атрибута установлено значение null в идентификаторе Entra ID, оно не будет удалено или исправлено с нулевым значением в Webex. Для получения дополнительной информации см. ограничения на веб-сайте справки Microsoft.

Таблица 2. Сопоставления Azure с Webex
Атрибут Entra ID (источник)	Атрибут пользователя Webex (целевой объект)	Описание
userPrincipalName	userName	Это уникальный идентификатор пользователя в Webex. Это отформатированный адрес электронной почты.
displayName	displayName	Имя пользователя, отображаемое в приложении Webex.
surname	name.familyName
givenname.	name.givenName
objectId	externalId	Это UID пользователя в Entra ID. Как правило, это строка из 16 Байт. Не рекомендуется изменять это сопоставление.
jobTitle	title
usageLocation	addresses[type eq "work"].country	Мы рекомендуем использовать сопоставление Usagelocation для адресов [type eq "work"].country. При выборе другого атрибута необходимо убедиться, что значения атрибутов соответствуют стандартам. Например, США должны быть США. Китай должен быть CN, и так далее.
city	addresses[type eq "work"].locality
streetAddress	addresses[type eq "work"].streetAddress
state	addresses[type eq "work"].region
postalCode	addresses[type eq "work"].postalCode
TelephoneNumber	phoneNumbers[type eq "work"].value
mobile	phoneNumbers[type eq "mobile"].value
facsimileTelephoneNumber	phoneNumbers[type eq "fax"].value
manager;	manager;	Синхронизирует информацию о менеджере пользователей с Webex, чтобы пользователи всегда могли видеть правильную информацию о менеджере в карточке контакта пользователя. При создании пользователя идентификатор Entra проверяет, находится ли объект диспетчера пользователя в Webex Identity или нет. Если нет, атрибут менеджера пользователя игнорируется. При наличии атрибута manager необходимо выполнить два условия, чтобы атрибут отображался в карточке контакта пользователя. Объект диспетчера синхронизирован с Webex. Пользователь-участник активен в приложении Webex. Технически он может инициировать событие backend для периодического запроса атрибута менеджера пользователя. Таким образом, при добавлении или изменении информации о менеджере пользователя атрибут менеджера пользователя может обновляться с помощью инициированной службы. Эти условия проверяют обновление атрибута диспетчера пользователя, когда срок действия маркера аутентификации пользователя истек. Изменения атрибутов менеджера не будут отражены в карточке контакта пользователя до тех пор, пока пользователь не войдет в систему впервые после изменения.

Вопросы и ответы

Как выполнить миграцию в приложение мастера настройки Entra ID (Azure AD) из подготовки соединителя каталогов Cisco?

Во время настройки приложение мастера определяет, использует ли ваша организация соединитель каталогов. Если этот параметр включен, диалоговое окно, в котором можно выбрать параметр Entra ID и заблокировать соединитель каталогов. Щелкните Блок , чтобы подтвердить, что необходимо продолжить настройку приложения мастера настройки Entra ID (Azure AD).

Кроме того, можно отключить соединитель каталогов перед настройкой приложения мастера. После настройки приложение мастера управляет профилями пользователей. Однако приложение мастера управляет только пользователями, добавленными в область синхронизации. Приложение мастера невозможно использовать для управления пользователями, синхронизированными соединителем каталогов, которые не были частью области синхронизации.

Можно ли настроить систему единого входа с помощью Microsoft Entra?

Можно настроить интеграцию системы единого входа (SSO) между клиентской организацией Control Hub и развертыванием, в котором в качестве поставщика удостоверений используется идентификатор Microsoft Entra.

Когда происходит обновление аватара пользователя в Webex?

Аватары пользователя синхронизируются с Webex при создании пользователя в Webex Identity. Это обновление зависит от обновления аватара пользователя в Entra ID. Затем приложение мастера извлекает новый аватар из идентификатора центра.