- 主页
- /
- 文章
感谢您的反馈。
在 Control Hub 中设置 Entra ID Wizard 应用程序
在此文章中
反馈?如果您在 Microsoft Entra ID 中管理用户和组,请使用 Control Hub 中的 Entra ID Wizard 应用将用户和组与 Webex 同步。
在控制中心启用Entra ID
在 Webex for Government 中,GCC 中等 Entra ID 和 GCC 高级 Entra ID 客户均可使用 Entra ID Wizard 应用程序。
本文中介绍的部分功能尚未向所有客户开放。
准备工作
请确保您拥有一个 Entra ID 帐户,该 帐户有权授予租户范围内的应用程序管理员同意权。
您必须是 Control Hub 组织中的完整管理员才能设置 Entra ID Wizard 应用程序。
| 1 | |
| 2 |
转到 组织设置 ,然后向下滚动到 Microsoft Entra ID Wizard 应用程序。 |
| 3 |
单击 设置 开始配置。 |
| 4 |
(可选)对于 Webex for Government 管理员,请选择 Entra Worldwide 或 Entra GCC High ,然后单击 继续。 Entra Worldwide 将 Wizard 发送到 Entra AD,用于 GCC 中等和商业用途。Entra GCC High 将 Wizard 发送到 GCC High 的 Entra AD。
|
| 5 |
请验证您的Entra ID管理员帐户。 如果您不是 Entra ID 中的全局管理员或特权角色管理员,您可以请求访问权限以授予 Entra ID Wizard 应用程序权限。 如果您在 Entra ID 中拥有完整的管理员权限,您可以通过转到 。在 活动下,选择 管理员同意请求 ,然后单击 Cisco Webex Identity Integration ,并选择 查看权限并接受。此过程授予 Webex 应用程序通用身份验证。 最后,点击 全部(预览) 选项卡,选择 Cisco Webex Identity Integration ,然后点击 查看应用程序。在 ,点击 授予 Cisco 管理员同意 以授予在 Control Hub 中启用 Entra ID 所需的所有权限。 有关此过程的更多信息,请参阅 Microsoft 支持 。 |
| 6 |
查看权限,然后点击 接受 以授予帐户访问您的 Entra ID 租户的授权。 Cisco Webex Identity Integration 是 Entra ID 中的 Entra ID 企业应用程序。Wizard App 连接到此应用程序以访问 Entra ID 图形 API。访问该程序所需的权限是支持和使用该程序所需的最低权限。 |
| 7 |
对于 SMB 客户,选中同步缺省值复选框 并单击继续以接受缺省 设置。对于企业客户,请转至下一步,然后继续配置。 如果您接受缺省设置,则意味着您希望:
 |
| 8 |
对于企业客户(超过 1000 个用户)或想要手动配置设置的客户,单击 属性 选项卡,并映射属性。单击保存。 您可以使用 属性 页面将其他用户属性从 Entra ID 映射到 Webex,或更改现有的用户属性映射。您可以通过确保正确配置来自定义映射。映射为用户名的值非常重要。Webex 使用用户的电子邮件地址作为其用户名。默认情况下,Entra ID 中的 userPrincipalName (UPN) 映射到 Control Hub 中的电子邮件地址(用户名)。 第一次设置期间不能编辑映射。此时,相应的实例构建不完全,并且没有自定义映射属性的实例。但是,您可以在设置 完成后单击编辑对其进行更改。 |
| 9 |
单击用户标签页将用户添加到同步 范围。 您可以输入用户名进行搜索,并将用户添加到同步范围。您也可以点击右侧的回收站图标,将用户从同步范围中移除。单击保存。 如果您想选择 Entra ID 中的所有用户,请选择 选择所有用户。如果选中该组,则无需选择范围中的组,因为该选项将同时同步组。  对于拥有成 千上万用户的重要企业客户,我们建议您不要为所有用户进行选择,因为初始化过程需要很长时间。如果您不小心在 Control Hub 中同步了许多用户,删除这些用户还会花费更长时间。 单击保存。 |
| 10 |
在 “群组 ”选项卡上,您可以搜索各个群组并将其添加到 Webex。
|
| 11 |
(可选)在 “更多 ”选项卡中,您可以选择配置一些高级同步选项:
|
| 12 |
您可以决定是否允许立即或稍后进行同步。如果选择“现在 允许” 选项,所有设置将应用于即将进行的同步。如果您选择保存 并稍后允许 选项,同步不会开始,直到您允许自动同步。  |
| 13 |
该应用程序与 Entra ID 通信以设置配置并安排同步。  |
- 积极的: 同步成功。
- 隔离: 同步作业在多次失败后被 Entra ID 隔离。有关更多信息,请参阅 Entra ID 文档 。
- 不运行: 此状态仅在首次设置后显示。首次设置后,该服务尚未运行。
您还可以点击 查看摘要 查看更多信息,例如上次同步的时间和日期,以及已同步、已跳过或同步失败的用户数量:
用户
- 已同步: 显示成功同步到 Webex 的用户数量。
- 已跳过: 显示上次同步中被跳过的用户数量。例如,Entra ID 中的新用户,但未添加到 Entra ID Wizard 应用程序同步范围。这些用户尚未同步到 Webex;请将他们添加到同步范围,以便将他们同步到 Webex。
- 失败的: 显示同步失败的用户数量。查看 Entra ID 应用程序配置审核日志,了解这些用户同步失败的原因。如果您需要立即同步这些用户,您可以 按需配置用户。
群组
- 已同步: 显示已成功同步到 Webex 并在 Control Hub 中创建的群组数量。
- 待同步: 此状态表示组中的所有用户尚未全部添加。用户必须先成功同步到 Webex。
将现有的 Cisco Webex Enterprise App 配置迁移到 Entra ID Wizard App
如果您已经在 Entra ID 中设置了 Cisco Webex Enterprise App,则可以将所有配置自动迁移到 Entra ID Wizard App。您可以在控制中心管理 Entra ID,而不会丢失任何先前的配置。
| 1 | |||||||||||
| 2 |
转至组织设置 ,然后向下滚动至 目录同步 部分。 | ||||||||||
| 3 |
单击 设置 开始配置。 | ||||||||||
| 4 |
使用 Entra ID 配置验证 Entra ID 管理员帐户。确保您使用的帐户具有下一步中描述的权限。 | ||||||||||
| 5 |
查看权限,然后点击 接受 以授予帐户访问您的 Entra ID 租户的授权。 Cisco Webex Identity Synchronization 是 Entra ID 中的 Entra ID 企业应用程序。Wizard App 连接到此应用程序以访问 Entra ID 图形 API。访问所需的权限是支持和使用它所需的最低权限。 
| ||||||||||
| 6 |
选择 迁移现有应用。 | ||||||||||
| 7 |
接受其他只读权限请求后,选择要迁移到向导应用程序的现有应用程序,然后选择 继续。 如果选定的现有应用程序没有将用户配置到同一个控制中心,则迁移将失败。 | ||||||||||
| 8 |
迁移完成后,我们建议 您在启用自动同步之前进行一次试运行 ,以确保没有错误。 |
进行一次试运行
在启用自动同步之前,我们建议您先进行一次试运行,以确保没有任何错误。试运行完成后,您可以下载试运行报告以查看详细信息。报告中可用的列有:
| 列名 | 描述 |
|---|---|
| 对象类型 | Entra ID 中的对象类型,例如用户或组。 |
| 行动类型 | 同步期间将对对象执行的操作类型。可能的操作类型包括:
|
| 入口 ID | Entra ID 中对象的 ID。 |
| 输入名称 | Entra ID 中的对象名称。 |
| Webex名称 | Webex 中的对象名称。 |
| 原因 | 同步期间发生某种操作类型的原因。 |
| 1 |
使用完整的管理员帐户登录 Control Hub。 |
| 2 |
转至组织设置 ,然后向下滚动至 目录同步 部分。 |
| 3 |
单击要同步的实例旁边的三个垂直点,然后选择 试运行。 |
| 4 |
试运行完成后,点击 下载摘要 将报告下载为 CSV 文件。 |
禁用Entra ID同步
暂停 Control Hub 和 Entra ID 之间的同步非常简单,不会影响您现有的配置。您可以随时恢复同步。
禁用同步后,以前同步的用户和组可以直接在 Control Hub 中进行管理,就像 手动添加的 用户或组一样。如果重新启用同步,这些用户和组将被重新同步,并且在同步暂停期间所做的任何更改都将被 Entra ID 覆盖。
| 1 | |
| 2 |
转到 组织设置 并向下滚动到 Microsoft Entra ID Wizard 应用程序。 |
| 3 |
关闭Entra ID同步开关。 |
启用或禁用自动同步
Entra ID Wizard 应用程序及其相应的后端服务会检查是否启用了自动同步,以确定何时将用户或组从 Entra ID 同步到 Webex。启用 自动同步 以允许自动配置用户和组同步。禁用 自动同步 后,向导应用程序不会将任何内容同步到 Webex,但现有配置将被保留。
根据微软的策略,用户 通常每 40 分钟同步 一次。
要更改已同步的用户或组,您需要 禁用Entra ID 同步 ,而不仅仅是 禁用自动 同步。
| 1 |
以完整客户管理员身份登录 Control Hub。 |
| 2 |
转至组织设置 ,然后向下滚动至 目录同步 部分。 |
| 3 |
将切换开关切换到右侧以启用自动 同步。 通过切换左侧的自动 同步 开关来禁用它。 |
编辑 Entra ID Wizard 应用程序配置
| 1 |
使用完整的管理员帐户登录 Control Hub。 |
| 2 |
转至组织设置 ,然后向下滚动至 目录同步 部分。 |
| 3 |
点击 编辑配置。  |
| 4 |
通过从左侧列中选择源自 Entra ID 的属性来自定义属性映射。“Webex 云”中的目标属性位于右列。有关映射属性的更多信息,请参阅 Entra ID Wizard 应用程序属性映射 。  |
| 5 |
在用户 和 组标签 页中,从同步范围中添加或删除用户和组。 嵌套组不会自动同步到云端。请确保选择所有嵌套在您要同步的组中的组。 |
| 6 |
如果需要, 在 更多标签页中更改首选项。 |
| 7 |
单击 Save (保存)保存修改后的配置。 您的更新将应用于下一次同步。Entra ID 自动同步机制负责处理用户和用户组的同步。 |
编辑 Webex 实例名称
更改 Cisco Webex Identity 实例名称在 Entra ID 企业应用程序列表中的显示方式。
| 1 |
使用完整的管理员帐户登录 Control Hub。 |
| 2 |
转至组织设置 ,然后向下滚动至 目录同步 部分。 |
| 3 |
点击 编辑实例名称。 |
| 4 |
输入新实例名称,然后单击 保存。 |
删除 Entra ID Wizard 应用程序配置
删除 Entra ID Wizard 应用程序时,会移除 Entra ID 同步的配置。Webex 或 Entra ID 不会保留此配置。如果您将来想使用 Entra ID 同步功能,则需要进行完全重新配置。
请勿从 Entra ID 中删除 Cisco Webex 应用程序。
| 1 |
使用完整的管理员帐户登录 Control Hub。 |
| 2 |
转至组织设置 ,然后向下滚动至 目录同步 部分。 |
| 3 |
单击 删除实例。 |
| 4 |
在 删除 Entra ID 实例? 页面中,如果您想从 Webex 中删除同意协议,请选择 撤销 Entra ID 管理员同意 。 如果选择该选项,必须输入凭证并再次授予权限。 |
| 5 |
单击删除。 |
按需为用户配置 Webex 访问权限
您可以立即将用户配置到 Webex,无需 Entra ID 同步,并立即检查结果。这有助于对设置期间的问题进行疑难解答。
| 1 |
使用完整的管理员帐户登录 Control Hub。 |
| 2 |
转到 组织设置 ,向下滚动到 目录同步 部分。 |
| 3 |
点击 按需配置用户。 |
| 4 |
搜索并选择要配置的用户,然后单击 配置。 |
| 5 |
完成后会出现以下结果之一:
|
| 6 |
如果跳过或失败,请点击 重试 再次配置同一用户。 |
| 7 |
点击 配置其他用户 返回配置页面。 |
| 8 |
完成后,请点击 完成 。 |
将已通过 Entra ID 验证的域名导入 Control Hub
客户可能在 Entra ID 中验证了数百个域名。当他们与 Control Hub 集成时,如果他们想将已验证的域名从 Entra ID 导入到 Control Hub。这样可节省维护或设置过程的许多工作。
| 1 |
转至 Control Hub 中的“组织设置 ”标签页中的 域安全。 |
| 2 |
点击 添加 Entra ID。  |
| 3 |
在添加 已验证域 页面中,搜索并选择要添加的域。 |
| 4 |
单击添加。 已验证的域名将出现在已验证域名列表中。
|
Entra ID Wizard 应用程序属性映射
Entra ID Wizard 应用程序可以支持并同步您对属性表达式所做的任何更改。例如,在 Entra ID 中,您可以映射 displayName ,使其同时显示 surname 和 givenName 属性。这些更改会显示在向导应用程序中。
您可以在 Microsoft 帮助网站上找到有关 Entra ID 中映射属性表达式的更多信息。
有关特定 Entra ID 属性的信息,请使用下表。
Entra ID 不会同步空值。如果在 Entra ID 中将属性值设置为 null,则在 Webex 中不会将其删除或用 null 值修补。有关更多信息,请参阅 Microsoft 帮助网站 中的限制。
|
入口 ID 属性(来源) |
Webex 用户属性(目标) | 描述 |
|---|---|---|
|
userPrincipalName |
userName |
这是用户在 Webex 中的唯一 ID。格式为电子邮件。 |
|
displayName |
displayName |
显示在应用程序上的Webex。 |
|
surname |
name.familyName |
|
|
givenName |
name.givenName |
|
|
objectId |
externalId |
这是用户在Entra ID中的UID。一般情况下,该字符串为 16 字节。我们建议您不要更改此映射。 |
|
jobTitle |
title |
|
|
usageLocation |
addresses[type eq "work"].country |
我们建议使用“使用分配”映射来地址 [type eq “work”].country。如果您选择其他属性,应确保属性值与标准一致。例如,美国应该是美国。中国应为 CN,以此类比。 |
|
city |
addresses[type eq "work"].locality |
|
|
streetAddress |
addresses[type eq "work"].streetAddress |
|
|
state |
addresses[type eq "work"].region |
|
|
postalCode |
addresses[type eq "work"].postalCode |
|
|
telephoneNumber |
phoneNumbers[type eq "work"].value |
|
|
mobile |
phoneNumbers[type eq "mobile"].value |
|
|
facsimileTelephoneNumber |
phoneNumbers[type eq "fax"].value |
|
|
Manager |
Manager |
将用户的经理信息同步到 Webex,以便用户始终可以在其联系人卡片上看到正确的经理信息。 创建用户时,Entra ID 会检查用户的经理对象是否在 Webex Identity 中。如果否,则忽略用户的管理器属性。如果存在经理属性,则必须满足两个条件,该属性才能显示在用户的联系人卡片上:
这些条件检查当用户的身份验证令牌过期时,用户的管理器属性是否更新。 管理员属性的更改只有在用户更改后首次登录后才会反映在用户的联系人卡片上。 |
常见问题解答
如何从 Cisco Directory Connector 配置迁移到 Entra ID Wizard 应用程序?
在设置过程中,向导应用程序会检测您的组织是否使用目录连接器。如果启用,则会弹出一个对话框,您可以在其中选择使用 Entra ID 并阻止目录连接器。单击 阻止 以确认您要继续进行 Entra ID Wizard 应用程序配置。
您也可以在配置向导应用程序之前选择禁用目录连接器。配置完成后,向导应用程序将管理用户配置文件。但是,向导应用程序只能管理已添加到同步范围的用户;您不能使用向导应用程序来管理目录连接器同步的、不属于同步范围的用户。
我可以配置 Microsoft Entra 的单点登录吗?
您可以 配置Control Hub 客户组织与使用 Microsoft Entra ID 作为身份提供程序的部署之间的单点登录 (SSO) 集成。
Webex 中的用户头像何时更新?
当用户在 Webex Identity 中创建时,用户头像会同步到 Webex。本次更新依赖于用户在 Entra ID 中更新头像。然后 Wizard App 从 Entra ID 获取新的头像。用户在更改后首次登录时,用户联系卡会更新。
为什么用户同步后不会立即出现在 Control Hub 的组中?如何解决这个问题?
用户同步和组同步是独立的过程。用户同步可以单独进行,而群组同步则每 12 小时自动进行一次。如果用户通过群组同步,但未立即出现在 Control Hub 的群组中,这仍然是预期行为。如果用户仅出现在主用户列表中,但不出现在组中,则无需采取进一步措施。只需等待下一个群组同步周期完成即可。
当用户在 Entra ID 中被标记为不活跃时,该用户在我的 Webex 组织中会发生什么情况?
在 Entra ID 中标记为 非活跃 的用户在 Control Hub 中也会被赋予该标记。同步过程中会跳过不活跃用户,并且在控制中心未来的任何更改中都不会对其进行修改。但是,不活跃用户将继续出现在您的 Control Hub 组织中,直到 您直接将其删除为止。
