如果您在 Microsoft Azure Active Directory中管理用户和组,请使用 Control Hub 中的 Azure AD 向导应用程序将用户和组与 Webex 同步。
当前无法将 Azure AD 向导应用程序与 Webex for Government 配合使用。 将来,我们将增加对 Webex for Government 的支持。 本文中描述的某些功能尚未对所有客户可用。 即将推出。 |
1 | 使用完整管理员帐户登录 Control Hub。 | ||||||||||
2 | 转至组织设置然后向下滚动至目录同步部分。 | ||||||||||
3 | 单击设置以开始配置。 ![]() | ||||||||||
4 | 使用 Azure AD 配置对 Azure AD 管理员帐户进行身份验证。 确保您使用的帐户具有下一步中所述的权限。 | ||||||||||
5 | 查看权限,然后单击接受以授予帐户访问 Azure AD 租户的权限。 Cisco Webex身份同步是 Azure AD 中的 Azure AD 企业应用程序。 向导应用程序连接到此应用程序以访问 Azure AD 图形 API。 访问所需的权限是支持和使用所需的最低权限。 ![]()
| ||||||||||
6 | 对于 SMB 客户,接受默认设置,方法是选中同步默认值复选框并单击继续。 对于企业客户,请转至下一步并继续配置。 如果您接受缺省设置,即表示您希望:
![]() | ||||||||||
7 | 对于企业客户(超过 1000 个用户)或想要手动配置设置的客户,单击属性选项卡,然后映射属性。 单击保存。 您可以将其他用户属性从 Azure 映射到 Webex,或者使用属性页面。 您可以通过确保正确配置映射来自定义映射。 映射为用户名的值很重要。 Webex 使用用户的电子邮件地址作为其用户名。 默认情况下,Azure AD 中的 userPrincipalName (UPN) 映射到 Control Hub 中的电子邮件地址(用户名)。
| ||||||||||
8 | 将用户添加到同步范围,方法是单击用户标签页。 您可以输入用户名以在同步范围中搜索和添加用户。 您还可以通过单击右侧的回收站图标将用户从同步范围中删除。 单击保存。 如果要全选用户,请选择选择所有用户。 如果选中它,则无需在范围中选择组,因为此选项会同时同步这些组。 ![]()
单击保存。 | ||||||||||
9 | 在群组标签页上,您可以搜索一组用户并将其添加到 Webex。 此操作会同步这些组中的用户,但不会同步组本身。 如果要同步组,请转至更多标签页。 ![]() 单击保存。 | ||||||||||
10 | 在更多信息标签页上,您可以配置一些高级同步选项:
| ||||||||||
11 | 您可以决定是允许立即进行同步还是在稍后阶段进行同步。 如果您选择立即允许选项,它将所有设置应用于即将进行的同步。 如果您选择保存并允许稍后选项,则在您允许自动同步之前,同步不会开始。 ![]() | ||||||||||
12 | 应用程序与 Azure AD 通信以设置配置并安排同步。 ![]() |
- 活动: 同步成功。
- 隔离: 同步作业在多次失败后被隔离在 Azure AD 中。 请参阅 Azure AD 文档获取更多信息。
- 未运行: 此状态仅在首次设置后出现。 首次设置后服务尚未运行。
您还可以单击查看摘要要查看上次同步的时间和日期以及同步、跳过或失败的用户数量等其他信息:
用户
- 已同步: 显示成功同步到 Webex 的用户数量。
- 已跳过: 显示在上次同步中跳过的用户数。 例如,Azure AD 中未添加到 Azure AD 向导应用程序同步范围的新用户。 这些用户未同步到 Webex;将它们添加到同步范围中以将其同步到 Webex。
- 失败: 显示同步失败的用户数。 查看 Azure AD 应用程序预配置审核日志,详细了解这些用户同步失败的原因。 如果您需要立即同步这些用户,可以按需部署用户。
组
- 已同步: 显示成功同步到 Webex 并在 Control Hub 中创建的组数。
- 要同步: 此状态表示尚未添加组中的所有用户。 用户必须先成功同步到 Webex。
如果您已在 Azure AD 中设置Cisco Webex企业应用程序,可以将所有配置自动迁移到 Azure AD 向导应用程序。 您可以在 Control Hub 中管理 Azure AD 所有这些,而不会丢失之前的任何配置。
1 | 使用完整管理员帐户登录 Control Hub。 | ||||||||||
2 | 转至组织设置然后向下滚动至目录同步部分。 | ||||||||||
3 | 单击设置以开始配置。 | ||||||||||
4 | 使用 Azure AD 配置对 Azure AD 管理员帐户进行身份验证。 确保您使用的帐户具有下一步中所述的权限。 | ||||||||||
5 | 查看权限,然后单击接受以授予帐户访问 Azure AD 租户的权限。 Cisco Webex身份同步是 Azure AD 中的 Azure AD 企业应用程序。 向导应用程序连接到此应用程序以访问 Azure AD 图形 API。 访问所需的权限是支持和使用所需的最低权限。 ![]()
| ||||||||||
6 | 选择迁移现有应用程序。 | ||||||||||
7 | 在接受其他只读权限请求后,选择要迁移到向导应用程序的现有应用程序,然后选择继续。
| ||||||||||
8 | 迁移完成后,我们建议您进行演习在启用自动同步之前,请确保没有任何错误。 |
在启用自动同步之前,我们建议您先进行预演,以确保没有任何错误。 预演完成后,您可以下载预演报告以查看详细信息。 报告中可用的列如下:
列名称 | 描述 |
---|---|
对象类型 | Azure AD 中的对象类型,例如用户或组。 |
操作类型 | 同步期间将对对象执行的操作类型。 可能的操作类型包括:
|
Azure 标识 | Azure AD 中对象的 ID。 |
Azure 名称 | Azure AD 中对象的名称。 |
Webex 名称 | Webex 中对象的名称。 |
原因 | 同步期间将发生某种操作类型的原因。 |
1 | 使用完整管理员帐户登录 Control Hub。 |
2 | 转至组织设置然后向下滚动至目录同步部分。 |
3 | 单击要同步的实例旁的三个垂直点,然后选择空运行。 |
4 | 演习完成后,单击下载摘要以将报告下载为CSV 文件。 |
Azure AD 向导及其对应的后端服务检查是否启用了自动同步,以确定何时将用户或组从 Azure AD 同步到 Webex。 启用自动同步以允许自动预配置用户和组同步。 当您禁用自动同步向导应用程序不会将任何内容同步到 Webex,但会保留现有配置。
1 | 以具有完全权限的组织管理员身份登录 Control Hub。 |
2 | 转至组织设置然后向下滚动至目录同步部分。 |
3 | 将开关拨至右侧以启用自动同步。 通过切换自动同步向左切换。 |
1 | 以具有完全权限的组织管理员身份登录 Control Hub。 | ||
2 | 转至组织设置然后向下滚动至目录同步部分。 | ||
3 | 单击编辑配置。 ![]() | ||
4 | 通过从左列中选择源自 Azure AD 的属性来自定义属性映射。 Webex Cloud中的目标属性位于右列中。 请参阅Azure AD 向导应用程序属性映射有关映射属性的更多信息。 ![]() | ||
5 | 在用户和群组标签页,在同步范围中添加或删除用户和组。
| ||
6 | 在更多信息必要时更改首选项。 | ||
7 | 单击保存以保存修改的配置。
|
更改Cisco Webex标识实例名称在 Azure AD 企业应用程序列表中的显示方式。
1 | 以具有完全权限的组织管理员身份登录 Control Hub。 |
2 | 转至组织设置然后向下滚动至目录同步部分。 |
3 | 单击编辑实例名称。 ![]() |
4 | 输入新实例名称,然后单击保存。 |
删除 Azure AD 向导应用程序时,它将删除 Azure AD 同步的配置。 Webex 或 Azure AD 不会保留该配置。 如果要在将来使用 Azure AD 同步,则需要进行完全重新配置。
准备工作
1 | 以具有完全权限的组织管理员身份登录 Control Hub。 |
2 | 转至组织设置然后向下滚动至目录同步部分。 |
3 | 单击删除实例。 ![]() |
4 | 在删除 Azure AD 实例?页面,选择撤销 Azure AD 管理员同意如果您想从 Webex 删除同意协议。 如果选择此选项,则必须输入凭证并再次授予权限。 ![]() |
5 | 单击删除。 |
您可以独立于 Azure AD 同步,立即将用户预配置到 Webex,并即时检查结果。 这有助于对设置期间的问题进行疑难解答。
1 | 以具有完全权限的组织管理员身份登录 Control Hub。 |
2 | 转至组织设置然后向下滚动至目录同步部分。 |
3 | 单击按需预配置用户。 ![]() |
4 | 搜索并选择要设置的用户,然后单击预配置。 |
5 | 完成后会显示以下结果之一:
![]() |
6 | 单击请重新尝试以在同一用户跳过或失败后重新设置相同的用户。 |
7 | 单击预配置其他用户以返回设置页面。 |
8 | 单击完成完成后。 |
客户可能在 Azure AD 中验证了数百个域。 在与 Control Hub 集成时,如果他们希望将已验证的域从 Azure AD 导入到 Control Hub。 这可以节省维护或设置过程中的许多工作量。
1 | 转至域中的部分组织设置Control Hub 中的标签页。 |
2 | 单击使用 Azure AD 添加。 ![]() |
3 | 在添加已验证的域页面上,搜索并选择要添加的域。 ![]() |
4 | 单击添加。已验证的域是已验证的域列表的一部分。 ![]() |
有关 Azure AD 中属性映射的详细信息,请访问: Microsoft 帮助站点。
Azure Active Directory 属性(源) | Webex 用户属性(目标) | 描述 |
---|---|---|
userPrincipalName | userName | 它是用户在 Webex 中的唯一标识。 它是格式化的电子邮件。 |
displayName | displayName | 显示在 Webex 应用程序上的用户名。 |
surname | name.familyName | |
givenName | name.givenName | |
objectId | externalId | 它是用户在 Azure ID 中的 UID。 通常为 16 字节的字符串。 我们不建议您更改此映射。 |
jobTitle | 标题 | |
usageLocation | addresses[type eq "work"].country | 我们建议使用使用位置映射到地址 [type eq "work"].country。 如果选择其他属性,则应确保属性值符合标准。 例如,USA 应为 US。 中国应为 CN,依此类推。 |
city | addresses[type eq "work"].locality | |
streetAddress | addresses[type eq "work"].streetAddress | |
state | addresses[type eq "work"].region | |
postalCode | addresses[type eq "work"].postalCode | |
telephoneNumber | phoneNumbers[type eq "work"].value | |
移动设备 | phoneNumbers[type eq "mobile"].value | |
facsimileTelephoneNumber | phoneNumbers[type eq "fax"].value | |
Manager | Manager | 将用户的经理信息同步到 Webex,以便用户始终可以看到用户联系人名片上的正确经理信息。 创建用户后,Azure AD 会检查用户的经理对象是否位于 Webex 标识中。 如果否,则忽略用户的经理属性。 如果存在经理属性,则必须满足两个条件才能在用户的联系人名片上显示该属性:
当用户的身份验证令牌过期时,这些条件会检查用户的经理属性更新。 |
如何从Cisco Directory Connector 预配置迁移到 Azure AD 向导应用程序?
在设置期间,向导应用程序会检测您的组织是否使用 Directory Connector。 如果已启用,将显示一个对话框,您可以在其中选择使用 Azure AD 并阻止 Directory Connector。 单击屏蔽以确认是否要继续 Azure AD 向导应用程序配置。
您还可以选择在配置向导应用程序之前禁用 Directory Connector。 配置完成后,向导应用程序将管理用户配置文件。 但是,向导应用程序仅管理添加到同步范围中的用户。您无法使用向导应用程序来管理通过 Directory Connector 同步的不属于同步范围的用户。
Webex 中的用户头像何时更新?
在 Webex 标识中创建用户时,用户头像会同步到 Webex。 此更新依赖于在 Azure AD 中更新用户的头像。 然后,向导应用程序从 Azure AD 检索新头像。