在Control Hub中设置Entra ID (Azure AD)向导应用程序

在Control Hub中启用Entra ID

在Webex for Government中，Entra ID (Azure AD)向导应用程序适用于GCC Moderate Entra ID和GCC High Entra ID客户。

本文中介绍的一些功能尚未提供给所有客户。

开始之前

确保您有权访问Entra ID帐户，授予整个租户管理员对应用程序的同意。

使用完整的管理员帐户登录Control Hub 。

转至组织设置，然后向下滚动至Microsoft Azure Active Directory向导应用程序。

单击设置开始配置。

（可选）对于Webex for Government Administrators，选择 Entra Worldwide 或 Entra GCC High ，然后单击Proceed。

Entra Worldwide 向GCC中级和商业级的Entra AD发送向导。Entra GCC High 将向导发送到GCC High的Entra AD。

验证您的Entra ID管理帐户。

如果您不是Entra ID中的全局或特权角色管理员，则可以请求访问以授予对Entra ID (Azure AD)向导应用程序的权限。

如果您在Entra ID中拥有完整的管理员权限，则可以通过转到身份 > 应用程序 > 企业应用程序来查看和授予对请求的访问权限。在活动下，选择管理员同意请求并单击Cisco Webex Identity Integration 并选择审查权限并接受。此过程授予对Webex应用程序的通用身份验证。

最后，单击全部（预览）选项卡，选择Cisco Webex Identity Integration ，然后单击审查应用程序。在安全 > 权限下，单击为Cisco授予管理员同意以在Control Hub中启用Entra ID的所有必要权限。

有关此流程的详细信息，请参阅 Microsoft支持。

查看权限并单击接受授予帐户授权以访问您的Entra ID租户。

Cisco Webex身份是Entra ID中的Entra ID企业应用程序。向导应用程序连接到此应用程序以访问Entra ID图形API。访问它所需的权限是支持和使用它所需的最小权限。

权限	使用情况
管理此应用程序创建或拥有的应用程序	需要在Entra ID Enterprise中管理Cisco Webex Identity应用程序，包括：在Entra ID中创建/删除此应用程序属性映射配置在Entra ID中重命名应用程序启用/禁用自动配置
读取所有审核日志数据	用于访问Cisco Webex身份设置审核日志以读取配置历史记录。此信息用于向导应用程序中的同步摘要和同步报告功能。
阅读所有组/阅读所有组成员	从Entra ID读取组列表，以便成功配置组同步范围。对组会员的更新最多需要12小时才能同步。如果在组同步发生时新用户未自动同步，则需要再等待12个小时才能新用户同步到其组。
读取所有用户的完整档案	在同步范围中添加用户时使用。例如，此权限允许通过搜索用户并在用户页面上的表中显示用户来读取用户信息。

对于 SMB 客户，选中同步缺省值复选框并单击继续以接受缺省设置。对于企业客户，请转至下一步，然后继续配置。

如果您接受缺省设置，则意味着您希望：

将所有用户同步到Webex。
接受缺省属性映射。
启用切换开关可同步所有用户的档案照片以显示在 Webex 服务上。
配置完成后启用自动同步。

对于企业客户（超过1000名用户）或要手动配置设置的客户，单击属性选项卡并映射属性。单击保存。

您可以将Entra ID中的其他用户属性映射到Webex，或者使用属性页更改现有用户属性映射。您可以通过确保正确配置来自定义映射。映射为用户名的值非常重要。Webex 使用用户的电子邮件地址作为其用户名。默认情况下，Entra ID中的USERPrincipalName (UPN)映射到Control Hub中的电子邮件地址（用户名）。

第一次设置期间不能编辑映射。此时，相应的实例构建不完全，并且没有自定义映射属性的实例。但是，您可以在设置完成后单击编辑对其进行更改。

单击用户标签页将用户添加到同步范围。

您可以输入用户名以搜索并在同步范围中添加用户。单击保存。

如果要从Entra ID中选择所有用户，请选择选择所有用户。如果选中该组，则无需选择范围中的组，因为该选项将同时同步组。

对于拥有成千上万用户的重要企业客户，我们建议您不要为所有用户进行选择，因为初始化过程需要很长时间。如果您不小心在 Control Hub 中同步了许多用户，删除这些用户还会花费更长时间。

单击保存。

在群组选项卡上，您可以搜索单个群组并将其添加到Webex。

单击同步组成员选项卡搜索并选择特定组中的所有用户。
单击同步儿童组选项卡，选择要同步孩子的家长组。
选择父组仅同步其子组中的用户。使用同步组成员标签页同步较大的父组。

默认情况下，只有所选组中的用户同步到Webex。如果要同步群组，转至更多标签页并选择同步群组对象。

在“ 更多 ”标签页中，您可以配置一些高级同步选项：

同步用户头像—打开此功能，允许Webex应用程序将所有范围内的用户头像同步到Webex。更新用户头像后，用户的头像将在更新后自动更新Webex。它可能无法立即更新，因为它依赖于更新通知来触发更新。
同步组对象—打开此功能，使组标签页上的所选组对象与Webex同步。
激活单点登录—打开此登录，为您的组织配置OpenID Connect (OIDC) SSO。

如果您的组织已经使用一个SAML选项启用SSO，您必须先禁用SAML选项，然后才能在ENTRA ID (Azure AD)向导应用程序中激活OIDC SSO。
识别并同步房间对象—打开此打开以将房间对象同步到Webex。

您可以决定是否允许立即或稍后进行同步。如果选择“现在允许” 选项，所有设置将应用于即将进行的同步。如果您选择保存并稍后允许选项，同步不会开始，直到您允许自动同步。

应用程序与Entra ID通信，以设置配置并安排同步。

同步完成后，工作状态字段将显示以下结果之一：

活动状态：同步成功。
隔离：同步工作在多次失败后在Entra ID中隔离。有关更多信息，请参阅 Entra ID文档。
未运行：此状态仅在首次设置后出现。首次设置后，该服务尚未运行。

您还可以单击查看摘要以查看其他信息，例如上次同步的时间和日期，以及已同步、跳过或失败的用户数：

用户

已同步：显示已成功同步到Webex的用户数。
跳过：显示上次同步中跳过的用户数。例如，未添加到Entra ID (Azure AD)向导应用程序同步范围的Entra ID中的新用户。这些用户未同步到Webex；在同步范围中添加它们，以将其同步到Webex。
失败：显示无法同步的用户数。检查Entra ID应用程序设置审核日志，了解这些用户为何无法同步的更多信息。如果您需要立即同步这些用户，您可以按需提供用户。

群

已同步：显示已成功同步到Webex并在控制中心中创建的组数。
要同步：此状态表示组中的所有用户尚未添加。用户必须首先成功同步到Webex。

将现有Cisco Webex企业应用程序配置迁移到Entra ID (Azure AD)向导应用程序

如果您已在Entra ID中设置Cisco Webex企业应用程序，则可以自动将所有配置迁移到Entra ID (Azure AD)向导应用程序。您可以在Control Hub中管理所有Entra ID，而不会丢失任何以前的配置。

使用完整的管理员帐户登录Control Hub 。

转至组织设置，然后向下滚动至目录同步部分。

单击设置开始配置。

使用Entra ID配置验证Entra ID管理帐户。确保您使用的帐户具有下一步中描述的权限。

查看权限并单击接受授予帐户授权以访问您的Entra ID租户。

Cisco Webex身份同步 是Entra ID中的Entra ID企业应用程序。向导应用程序连接到此应用程序以访问Entra ID图形API。访问所需的权限是支持和使用它所需的最低权限。

权限	使用情况
管理此应用程序创建或拥有的应用程序	需要在Entra ID Enterprise中管理Cisco Webex Identity应用程序，包括：在Entra ID中创建/删除此应用程序属性映射配置在Entra ID中重命名应用程序启用/禁用自动配置
读取所有审核日志数据	用于访问Cisco Webex身份设置审核日志以读取配置历史记录。此信息用于向导应用程序中的同步摘要和同步报告功能。
阅读所有组/阅读所有组成员	从Entra ID读取组列表，以便成功配置组同步范围。
读取所有用户的完整档案	在同步范围中添加用户时使用。例如，此权限允许通过搜索用户并在用户页面上的表中显示用户来读取用户信息。

选择迁移现有应用程序。

接受其他只读权限请求后，选择要迁移到向导应用程序的现有应用程序，然后选择继续。

如果所选的现有应用程序未向相同的Control Hub提供用户，迁移将失败。

迁移完成后，我们建议您在启用自动同步之前进行干运行，以确保没有错误。

执行干运行

在启用自动同步之前，我们建议您先执行干运行，以确保没有错误。干运行完成后，您可以下载干运行报告以查看详细信息。报告中的可用列为：

表1。干运行报告列描述
列名称	描述
对象类型	Entra ID中的对象类型，例如用户或组。
操作类型	同步期间将对对象执行的操作类型。可能的操作类型包括：已匹配—对象在Entra ID和Control Hub中匹配。添加—对象将被添加到Control Hub。停用—对象位于Control Hub中，但对象已在Entra ID中删除，或未添加到同步范围。同步后，对象将被停用。
Azure ID	Entra ID中的对象的ID。
Azure名称	在Entra ID中对象的名称。
Webex名称	在Webex中对象的名称。
原因	在同步过程中发生操作类型的原因。

1	使用完整的管理员帐户登录Control Hub 。
2	转至组织设置，然后向下滚动至目录同步部分。
3	单击要同步的实例旁边的三个垂直点，然后选择干运行。
4	干运行完成后，单击下载摘要将报告下载为CSV文件。

启用或禁用自动同步

Entra ID (Azure AD)向导应用程序及其相应的后端服务检查是否启用自动同步，以确定何时将用户或组从Entra ID同步到Webex。启用自动同步以允许自动提供用户和组同步。当您禁用自动同步时，向导应用程序不会将任何内容同步到Webex，但保留现有的配置。

通常，用户会按照Microsoft政策每40分钟同步一次。

1	以完全权限组织管理员登录 Control Hub。
2	转至组织设置，然后向下滚动至目录同步部分。
3	将切换开关切换到右侧以启用自动同步。通过切换左侧的自动同步开关来禁用它。

编辑Entra ID (Azure AD)向导应用程序配置

1	使用完整的管理员帐户登录Control Hub 。
2	转至组织设置，然后向下滚动至目录同步部分。
3	单击编辑配置。
4	通过从源自Entra ID的左侧列中选择一个属性来自定义属性映射。“Webex 云”中的目标属性位于右列。有关映射属性的更多信息，请参阅Entra ID (Azure AD)向导应用程序属性映射。
5	在用户和组标签页中，从同步范围中添加或删除用户和组。嵌套组不会自动同步到云。请确保选择要同步的组中嵌套的任何组。
6	如果需要，在更多标签页中更改首选项。
7	单击 Save （保存）保存修改后的配置。您的更新将应用于下一次同步。Entra ID自动同步机制处理用户和用户组的同步工作。

编辑Webex实例名称

更改Cisco Webex Identity实例名称在Entra ID企业应用程序列表中显示的方式。

1	使用完整的管理员帐户登录Control Hub 。
2	转至组织设置，然后向下滚动至目录同步部分。
3	单击编辑实例名称。
4	输入新实例名称，然后单击保存。

删除Entra ID (Azure AD)向导应用程序配置

当您删除Entra ID (Azure AD)向导应用程序时，它将删除Entra ID同步的配置。Webex或Entra ID不会保留此配置。如果将来要使用Entra ID同步，则需要进行完整的重新配置。

请勿从Entra ID中删除Cisco Webex应用程序。

1	使用完整的管理员帐户登录Control Hub 。
2	转至组织设置，然后向下滚动至目录同步部分。
3	单击删除实例。
4	如果要从 “删除 Azure AD 实例”中删除同意协议，请选择撤销 Azure AD 管理员Webex。如果选择该选项，必须输入凭证并再次授予权限。
5	单击删除。

按需向用户提供Webex

您可以立即向Webex提供用户，独立于Entra ID同步，并立即检查结果。这有助于对设置期间的问题进行疑难解答。

1	使用完整的管理员帐户登录Control Hub 。
2	转至组织设置，向下滚动至目录同步部分。
3	单击按需提供用户。
4	搜索并选择要提供的用户，然后单击Provision。
5	完成后会出现以下结果之一：配置成功：新用户已在Webex中成功创建。已跳过配置：由于某种原因跳过配置，通常是因为用户已经存在。详细信息显示在结果摘要页上。配置失败：配置失败。详细信息显示在结果摘要页上。
6	如果跳过或失败，请单击重试以再次提供同一用户。
7	单击提供其他用户返回配置页面。
8	完成后，单击完成。

将Entra ID验证的域导入到Control Hub

客户可能在Entra ID中验证了数百个域。在与Control hub集成时，如果希望从Entra ID导入验证的域到Control Hub。这样可节省维护或设置过程的许多工作。

1	转至 Control Hub 中的“组织设置 ”标签页中的域安全。
2	单击使用Entra ID添加。
3	在添加已验证域页面中，搜索并选择要添加的域。
4	单击添加。已验证的域将显示在已验证的域列表中。

进入ID (Azure AD)向导应用程序属性映射

Entra ID (Azure AD)向导应用程序可以支持和同步对属性表达式所做的任何更改。例如，在Entra ID中，您可以映射 displayName ，使其同时显示姓氏 和givenName 属性。这些更改会出现在向导应用程序中。

您可以在 Microsoft帮助网站上找到有关Entra ID中映射属性的更多信息。

使用下表了解特定的Entra ID属性的信息。

Entra ID不会同步空值。如果您在Entra ID中将属性值设置为null，则在Webex中不会删除或补丁null值。有关更多信息，请参阅 Microsoft帮助网站上的限制。

表2。 Azure 到 Webex 的映射
输入ID属性（源）	Webex 用户属性（目标）	描述
userPrincipalName	userName	这是Webex中用户的唯一ID。格式为电子邮件。
displayName	displayName	显示在应用程序上的Webex。
surname	name.familyName
givenName	name.givenName
objectId	externalId	这是Entra ID中的用户UID。一般情况下，该字符串为 16 字节。我们建议您不要更改此映射。
jobTitle	title
usageLocation	addresses[type eq "work"].country	我们建议使用“使用分配”映射来地址 [type eq “work”].country。如果您选择其他属性，应确保属性值与标准一致。例如，美国应该是美国。中国应为 CN，以此类比。
city	addresses[type eq "work"].locality
streetAddress	addresses[type eq "work"].streetAddress
state	addresses[type eq "work"].region
postalCode	addresses[type eq "work"].postalCode
telephoneNumber	phoneNumbers[type eq "work"].value
mobile	phoneNumbers[type eq "mobile"].value
facsimileTelephoneNumber	phoneNumbers[type eq "fax"].value
Manager	Manager	将用户的管理器信息同步到Webex，以便用户始终能够看到用户的联系人卡上的正确管理器信息。创建用户时，Entra ID检查用户的管理员对象是否在Webex Identity中。如果没有，将忽略用户的管理员属性。如果有管理者属性，必须满足两个条件才能在用户的联系人卡上显示属性：管理者对象同步到Webex。成员用户在Webex应用程序中处于活动状态。从技术上讲，它可以触发后端事件，定期查询用户的管理员属性。因此，当添加或更改用户经理信息时，用户经理属性可以通过触发服务进行更新。当用户的身份验证令牌过期时，这些条件会检查向用户经理属性的更新。除非用户在更改后首次登录后，经理属性更改不会反映在用户的联系人卡上。

常见问题解答

如何从Cisco Directory Connector配置迁移到Entra ID (Azure AD)向导应用程序？

在设置过程中，向导应用程序检测您的组织是否使用Directory Connector。如果已启用，则是一个对话框，您可以在其中选择使用Entra ID和阻止目录连接器。单击块以确认要继续Entra ID (Azure AD)向导应用程序配置。

您还可以选择在配置向导应用程序之前禁用Directory Connector。配置完成后，向导应用程序会管理用户配置文件。但是，向导应用程序仅管理已添加到同步范围的用户；您无法使用向导应用程序管理由不属于同步范围的Directory Connector同步的用户。

我可以使用Microsoft Entra配置单点登录吗？

您可以在Control Hub客户组织和使用Microsoft Entra ID作为身份提供商的部署之间配置单点登录(SSO)集成。

用户头像何时在Webex中更新？

当用户在Webex Identity中创建时，用户头像会同步到Webex。此更新取决于在Entra ID中更新用户的头像。然后向导应用程序从Entra ID检索新头像。

为什么用户在同步后不会立即出现在Control Hub中的组中，以及如何解决此问题？

用户和组同步是独立的进程。虽然用户同步可以单独进行，但组同步会自动每12小时进行一次。如果用户通过组同步，但未立即出现在Control Hub中的组中，这仍然是预期行为。如果用户仅出现在主用户列表中，但未出现在组中，则无需进一步操作。只需等待下一个组同步周期完成。

感谢您的反馈。