在Control Hub中设置Entra ID (Azure AD)向导应用程序

在Control Hub中启用输入标识

在Webex for 中，Entra ID (Azure AD)向导应用程序仅连接到Entra ID全局标识，该标识涵盖消费者/企业和GCC协调Entra ID (Azure AD)客户。 GCC高级客户必须使用Microsoft Enterprise Gallery中的Control Hub应用程序为Webex预配置用户和组。在未来的Control Hub发行版中将提供支持GCC High的向导版本。

本文中介绍的某些功能尚无法供所有客户使用。

准备工作

确保您有权访问Entra ID帐户，该帐户有权租户范围内的管理员同意应用程序。

使用完全权限管理员帐户登录Control Hub 。

转至组织设置，然后向下滚动至目录同步部分。

单击设置以开始配置。

验证您的Entra ID管理员帐户。

如果您不是Entra ID中的全局或老角色管理员，可以请求访问权限以授予Entra ID (Azure AD)向导应用程序的权限。

如果您在Entra ID中拥有完全管理员权限，则可以转至查看并授予对请求的访问权限 > 程序 > 应用程序。在活动下，选择管理员同意请求，然后单击Cisco Webex身份集成并选择审核权限并接受。此过程将向Webex应用程序授予常规身份验证。

最后，单击全部（预览）标签页，选择Cisco Webex身份集成，然后单击查看应用程序。在下 > ，单击 Cisco 管理员同意以授予所有必要的权限以在Control Hub中启用Entra ID。

有关此过程的更多信息，请参阅Microsoft支持。

查看权限，然后单击接受授予帐户授权，以访问您的Entra ID租户。

Cisco Webex Identity 是Entra ID中的Entra ID企业应用程序。向导应用程序连接到此应用程序以访问Entra ID图形API。访问它所需的权限是支持和使用它所需的最低权限。

Image showing the available permissions.

许可	使用情况
管理此应用程序创建或拥有的应用程序	需要在Entra ID Enterprise中管理Cisco Webex 应用程序，包括：在Entra ID中创建/删除此应用程序属性映射配置在Entra ID中重命名应用程序启用/禁用自动设置
读取所有审核日志数据	用于访问Cisco Webex身份设置审核日志以读取设置历史记录。此信息用于向导应用程序中的同步摘要和同步报告功能。
读取所有组/读取所有组成员身份	从Entra ID读取组列表，以成功配置组同步范围。组成员身份更新可能需要长达12小时才能同步。如果新用户在组同步发生时未自动同步，您将需要再等待12小时，以便新用户同步到其组。
读取所有用户的完整档案	在同步范围中添加用户时使用。例如，该权限允许通过搜索用户并在用户页的表格中显示用户来读取用户信息。

对于SMB客户，选中“同步缺省值 ”复选框并单击“继续”，以接受默认设置。对于企业客户，请转至下一步并继续配置。

如果您接受缺省设置，则表示您希望：

将所有用户同步到Webex。
接受默认的属性映射。
启用切换开关以同步所有用户的档案照片以显示在Webex服务上。
配置完成后启用自动同步。

Image showing the Azure AD sync default setting option

对于企业客户（超过1000名用户）或想要手动配置设置的客户，单击属性选项卡，然后映射属性。单击保存。

您可以将其他用户属性从Entra ID映射到Webex，或使用属性页面更改现有用户属性映射。您可以通过确保正确配置来自定义映射。映射为用户名的值很重要。 Webex 使用用户的电子邮件地址作为其用户名。默认情况下，Entra ID中的userPrincipalName (UPN)会映射到Control Hub中的电子邮件地址（用户名）。

您无法在第一次设置期间编辑映射。此时，对应的实例未完全生成，也没有自定义映射属性的实例。但是，您可以在设置完成后单击编辑进行更改。

单击选项卡，将用户添加到同步范围。

您可以输入用户名以搜索并将用户添加到同步范围。您也可以通过单击右侧的“回收站”图标从同步范围中删除用户。单击保存。

如果要从Entra ID中选择所有用户，请选择选择所有用户。如果选择该选项，则无需选择作用域中的组，因为此选项会同时同步组。

对于拥有数十万用户的重要企业客户，我们不建议使用选择所有用户，因为初始化过程需要很长时间。如果您在Control Hub中意外同步了很多用户，删除这些用户也需要更长时间。

单击保存。

在组标签页上，您可以搜索单个组并将其添加到Webex。

单击同步组成员选项卡，选择所选组中的所有用户。
单击同步子组选项卡，选择特定子组中的用户。

Image showing the screen to add or remove groups

单击保存。

默认情况下，只有所选组中的用户会同步。如果您还想同步组本身，请转至更多选项卡并选择同步组对象。

在更多标签页上，您可以配置一些高级同步选项：

同步用户头像—开启此功能以允许Webex应用程序将范围内用户的所有头像同步到Webex。更新用户头像后，用户的头像会在Webex中自动更新。它可能不会立即更新，因为它依赖更新通知来触发更新。
同步组对象—打开该选项，以便组选项卡上的组对象同步到Webex。
激活单点登录—开启此功能可为您的组织配置OpenID Connect (OIDC) SSO。

如果您的组织已使用其中一种SAML选项启用SSO，则必须先禁用SAML选项，然后才能在EntrA ID (Azure AD)向导应用程序中激活OIDC SSO。
识别并同步协作室对象—开启此功能可将协作室对象同步到Webex。

您可以决定是允许立即进行同步还是在稍后阶段进行同步。如果您选择现在允许选项，它会将所有设置应用于即将进行的同步。如果您选择保存并允许稍后选项，则在您允许自动同步之前，同步不会开始。

Image showing the option to save the configuration

应用程序与Entra ID通信，以设置配置并安排同步。

Image showing that the setup is successful

同步完成后，以下结果之一将显示在作业状态字段中：

活动：同步成功。
检疫：同步作业在多次失败后已在Entra ID中隔离。详细信息请参阅Entra ID文档。
未运行：该状态仅在首次设置后显示。首次设置后，服务尚未运行。

您也可以单击查看摘要以查看其他信息，例如上次同步的时间和日期以及同步、跳过或失败的用户数：

用户

已同步：显示成功同步到Webex的用户数。
已跳过：显示上次同步中跳过的用户数。例如，未添加到Entra ID (Azure AD)向导应用程序同步范围的Entra ID中的新用户。这些用户未同步到Webex；将其添加到同步范围中以将其同步到Webex。
失败：显示同步失败的用户数。查看Entra ID应用程序预配置审核日志，了解有关这些用户同步失败的更多信息。如果您需要立即同步这些用户，可以根据需要预配置用户。

组

已同步：显示成功同步到Webex并在Control Hub中创建的组数。
要同步：此状态表示尚未添加组中的所有用户。用户必须先成功同步到Webex。

将现有Cisco Webex企业应用程序配置迁移到Entra ID (Azure AD)向导应用程序

如果您已经在Entra ID中设置了Cisco Webex企业版应用程序，您可以自动将所有配置迁移到Entra ID (Azure AD)向导应用程序。您可以在Control Hub中管理所有Entra ID，而不会丢失之前的任何配置。

使用完全权限管理员帐户登录Control Hub 。

转至组织设置，然后向下滚动至目录同步部分。

单击设置以开始配置。

使用Entra ID配置验证Entra ID管理员帐户。确保您使用的帐户具有下一步中描述的权限。

查看权限，然后单击接受授予帐户授权，以访问您的Entra ID租户。

Cisco Webex身份同步 是Entra ID中的Entra ID企业应用程序。向导应用程序连接到此应用程序以访问Entra ID图形API。访问它所需的权限是支持和使用它所需的最低权限。

许可	使用情况
管理此应用程序创建或拥有的应用程序	需要在Entra ID Enterprise中管理Cisco Webex 应用程序，包括：在Entra ID中创建/删除此应用程序属性映射配置在Entra ID中重命名应用程序启用/禁用自动设置
读取所有审核日志数据	用于访问Cisco Webex身份设置审核日志以读取设置历史记录。此信息用于向导应用程序中的同步摘要和同步报告功能。
读取所有组/读取所有组成员身份	从Entra ID读取组列表，以成功配置组同步范围。
读取所有用户的完整档案	在同步范围中添加用户时使用。例如，该权限允许通过搜索用户并在用户页的表格中显示用户来读取用户信息。

选择迁移现有应用程序。

在接受其他只读权限请求后，选择要迁移到向导应用程序的现有应用程序，然后选择继续。

如果所选的现有应用程序未将用户预配置到同一Control Hub，迁移将失败。

迁移完成后，我们建议您在启用自动同步之前执行测试，以确保没有任何错误。

执行演习

在启用自动同步之前，我们建议您先执行测试，以确保没有任何错误。测试完成后，您可以下载测试报告以查看详细信息。报告中的可用列为：

表 1. 测试报告列说明
列名称	描述
对象类型	Entra ID中对象的类型，例如用户或组。
操作类型	同步期间对对象执行的操作类型。可能的操作类型包括：匹配—输入ID和Control Hub中的对象匹配。添加—对象将被添加到Control Hub。停用—对象在Control Hub中，但对象已在Entra ID中删除或未添加到同步范围。同步后，对象将被停用。
Azure ID	Entra ID中对象的ID。
Azure名称	Entra ID中对象的名称。
Webex名称	Webex中对象的名称。
原因	同步期间发生操作类型的原因。

1	使用完全权限管理员帐户登录Control Hub 。
2	转至组织设置，然后向下滚动至目录同步部分。
3	单击要同步的实例旁边的三个垂直圆点，然后选择演习。
4	测试完成后，单击下载摘要将报告下载为CSV文件。

启用或禁用自动同步

Entra ID (Azure AD)向导应用程序及其相应的后端服务会检查是否启用了自动同步，以确定何时将用户或组从EntrA ID同步到Webex。启用自动同步以允许自动预配置用户和组同步。禁用同步，向导应用程序不会将任何内容同步到Webex，但保留现有配置。

通常，根据Microsoft策略每40分钟同步一次用户。

1	以完整组织管理员身份登录Control Hub。
2	转至组织设置，然后向下滚动至目录同步部分。
3	向右切换开关以启用自动同步。通过将“ 同步 ”切换到左侧来禁用它。

编辑Entra ID (Azure AD)向导应用程序配置

1	使用完全权限管理员帐户登录Control Hub 。
2	转至组织设置，然后向下滚动至目录同步部分。
3	单击编辑配置。
4	从源自Entra ID的左列中选择一个属性，自定义属性映射。 Webex Cloud中的目标属性位于右列。有关属性的详细信息，请参阅Entra ID (Azure AD)向导应用程序属性映射。
5	在用户和组选项卡上，从同步范围中添加或删除用户和组。嵌套组不会自动同步到云。确保选择嵌套在要同步的组内的组。
6	如有必要，在更多标签页上更改您的首选项。
7	单击保存以保存修改的配置。您的更新将在下次同步中应用。 Entra ID自动同步机制处理用户和用户组的同步。

编辑Webex实例名称

更改Cisco Webex身份实例名称在Entra ID企业应用程序列表中的显示方式。

1	使用完全权限管理员帐户登录Control Hub 。
2	转至组织设置，然后向下滚动至目录同步部分。
3	单击编辑实例名称。
4	输入新实例名称，然后单击保存。

删除Entra ID (Azure AD)向导应用程序配置

删除Entra ID (Azure AD)向导应用程序后，将删除EntrA ID同步的配置。 Webex或Entra ID不保留该配置。如果您想将来使用Entra ID同步，则需要进行完整的重新配置。

请勿从Entra ID中删除Cisco Webex应用程序。

1	使用完全权限管理员帐户登录Control Hub 。
2	转至组织设置，然后向下滚动至目录同步部分。
3	单击删除实例。
4	如果要从Webex删除同意协议，请在删除Azure AD实例？页面中选择撤销Azure AD管理员同意。如选择该选项，必须输入凭证并再次授予权限。
5	单击删除。

为用户预配置Webex随需会议

您可以立即将用户预配置到Webex，而不受Entra ID同步的影响，并立即检查结果。这有助于对设置期间的问题进行疑难解答。

1	使用完全权限管理员帐户登录Control Hub 。
2	转至组织设置并向下滚动至目录同步部分。
3	单击按需预配置用户。
4	搜索并选择您要预配置的用户，然后单击预配置。
5	完成后将显示以下结果之一：预配置成功：已在Webex中成功创建新用户。已跳过预配置：由于某些原因，预配置被跳过，通常是因为用户已存在。详细信息将显示在结果摘要页面上。预配置失败：设置失败。详细信息将显示在结果摘要页面上。
6	如果用户跳过或失败，单击“重新尝试”以再次预配置同一用户。
7	单击预配置其他用户以返回预配置页面。
8	完成后单击完成(Done)。

将入口ID已验证域导入到Control Hub

客户可能在Entra ID中验证了数百个域。当他们与Control Hub集成时，如果他们想要将已验证域从Entra ID导入到Control Hub。这可以节省维护或设置过程中的许多工作。

1	转至Control Hub的组织设置选项卡中的域部分。
2	单击添加（带输入ID）。
3	在添加已验证的域页面中，搜索并选择要添加的域。
4	单击添加。已验证的域将显示在已验证的域列表中。

Entra ID (Azure AD)向导应用程序属性映射

Entra ID (Azure AD)向导应用程序可支持和同步对属性表达式所做的任何更改。例如，在Entra ID中，您可以映射 displayName 使其同时显示 surname 和 givenName 属性。这些更改将显示在向导应用程序中。

您可以在 Microsoft帮助站点上的Entra ID中找到有关映射属性表达式的更多信息。

下表包含特定Entra ID属性的信息。

Entra ID不同步null值。如果在Entra ID中将属性值设置为null，则不会在Webex中删除该属性值或使用null值修补该属性值。有关更多信息，请参阅 Microsoft帮助站点上的限制。

表 2. Azure 到 Webex 的映射
Entra ID属性（源）	Webex 用户属性（目标）	描述
userPrincipalName	userName	它是Webex中用户的唯一标识。这是一封格式化的电子邮件。
displayName	displayName	显示在Webex应用程序上的用户名。
surname	name.familyName
givenName	name.givenName
objectId	externalId	它是Entra ID中用户的UID。通常为16字节的字符串。我们不建议您更改此映射。
jobTitle	标题
usageLocation	addresses[type eq "work"].country	我们建议使用Usagel 映射到地址[type eq "work"]。country。如果选择其他属性，应确保属性值符合标准。比如，美国应该是美国。中国应该是CN，等等。
city	addresses[type eq "work"].locality
streetAddress	addresses[type eq "work"].streetAddress
state	addresses[type eq "work"].region
postalCode	addresses[type eq "work"].postalCode
telephoneNumber	phoneNumbers[type eq "work"].value
移动设备	phoneNumbers[type eq "mobile"].value
facsimileTelephoneNumber	phoneNumbers[type eq "fax"].value
Manager	Manager	将用户的经理信息同步到Webex，以便用户始终可以在用户的名片上看到正确的经理信息。创建用户后，Entra ID将检查用户的经理对象是否在Webex标识中。如果“否”，则忽略用户的Manager属性。如果有经理属性，则必须满足两个条件才能使该属性显示在用户的名片上：经理对象已同步到Webex。成员用户在Webex应用程序中处于活动状态。从技术上讲，它可以触发后端事件，定期查询用户的经理属性。因此，在添加或更改用户的经理信息时，用户的经理属性可以通过触发的服务更新。当用户的身份验证令牌过期时，这些条件会检查用户的经理属性更新。 Manager属性更改不会反映在用户的名片上，直到用户在更改后首次登录。

常见问题解答

如何从Cisco目录连接器配置迁移到Entra ID (Azure AD)向导应用程序？

在设置期间，向导应用程序会检测您的组织是否使用目录连接器。如果启用，将显示一个对话框，您可以在其中选择使用Entra ID并阻止目录连接器。单击阻止以确认您要继续Entra ID (Azure AD)向导应用程序配置。

您还可以在配置向导应用程序之前选择禁用目录连接器。配置完成后，向导应用程序将管理用户档案。但是，向导应用程序仅管理添加到同步范围的用户；您无法使用向导应用程序管理不属于同步范围的目录连接器同步的用户。

可以使用Microsoft Entra配置单点登录吗？

您可以 Control Hub客户组织与使用Microsoft Entra ID作为身份提供程序的部署之间的单点登录(SSO)集成。

用户头像何时在Webex中更新？

在Webex 中创建用户时，用户头像会同步到Webex。此更新依赖于在Entra ID中更新用户的头像。然后，向导应用程序从Entra ID检索新头像。