如果您在 Microsoft Azure Active Directory中管理用户和组,请使用 Control Hub 中的 Azure AD 向导应用程序将用户和组与 Webex 同步。
 | 当前无法将 Azure AD 向导应用程序与 Webex for Government 配合使用。 将来,我们将增加对 Webex for Government 的支持。 本文中介绍的某些功能尚无法供所有客户使用。 即将推出。 |
| 1 | 使用完整管理员帐户登录 Control Hub。 | ||||||||||
| 2 | 转至组织设置然后向下滚动至目录同步部分。 | ||||||||||
| 3 | 单击设置以开始配置。  | ||||||||||
| 4 | 使用 Azure AD 配置对 Azure AD 管理员帐户进行身份验证。 确保您使用的帐户具有下一步中所述的权限。 | ||||||||||
| 5 | 查看权限,然后单击接受以授予帐户访问 Azure AD 租户的权限。 Cisco Webex Identity 是Azure AD中的Azure AD企业应用程序。 向导应用程序连接到此应用程序以访问 Azure AD 图形 API。 访问所需的权限是支持和使用所需的最低权限。 
| ||||||||||
| 6 | 对于 SMB 客户,接受默认设置,方法是选中同步默认值复选框并单击继续。 对于企业客户,请转至下一步并继续配置。 如果您接受缺省设置,即表示您希望:
 | ||||||||||
| 7 | 对于企业客户(超过 1000 个用户)或想要手动配置设置的客户,单击属性选项卡,然后映射属性。 单击保存。 您可以将其他用户属性从 Azure 映射到 Webex,或者使用属性页面。 您可以通过确保正确配置映射来自定义映射。 映射为用户名的值很重要。 Webex 使用用户的电子邮件地址作为其用户名。 默认情况下,Azure AD 中的 userPrincipalName (UPN) 映射到 Control Hub 中的电子邮件地址(用户名)。
| ||||||||||
| 8 | 将用户添加到同步范围,方法是单击用户标签页。 您可以输入用户名以在同步范围中搜索和添加用户。 您还可以通过单击右侧的回收站图标将用户从同步范围中删除。 单击保存。 如果要全选用户,请选择选择所有用户。 如果选中它,则无需在范围中选择组,因为此选项会同时同步这些组。 
单击保存。 | ||||||||||
| 9 | 在组标签页上,您可以搜索单个组并将其添加到Webex。
 单击保存。
| ||||||||||
| 10 | 在更多信息标签页上,您可以配置一些高级同步选项:
| ||||||||||
| 11 | 您可以决定是允许立即进行同步还是在稍后阶段进行同步。 如果您选择立即允许选项,它将所有设置应用于即将进行的同步。 如果您选择保存并允许稍后选项,则在您允许自动同步之前,同步不会开始。  | ||||||||||
| 12 | 应用程序与 Azure AD 通信以设置配置并安排同步。  |
您还可以单击查看摘要要查看上次同步的时间和日期以及同步、跳过或失败的用户数量等其他信息:
用户
- 已同步: 显示成功同步到 Webex 的用户数量。
- 已跳过: 显示在上次同步中跳过的用户数。 例如,Azure AD 中未添加到 Azure AD 向导应用程序同步范围的新用户。 这些用户未同步到 Webex;将它们添加到同步范围中以将其同步到 Webex。
- 失败: 显示同步失败的用户数。 查看 Azure AD 应用程序预配置审核日志,详细了解这些用户同步失败的原因。 如果您需要立即同步这些用户,可以按需部署用户。
组
- 已同步: 显示成功同步到 Webex 并在 Control Hub 中创建的组数。
- 要同步: 此状态表示尚未添加组中的所有用户。 用户必须先成功同步到 Webex。
如果您已在 Azure AD 中设置Cisco Webex企业应用程序,可以将所有配置自动迁移到 Azure AD 向导应用程序。 您可以在 Control Hub 中管理 Azure AD 所有这些,而不会丢失之前的任何配置。
| 1 | 使用完整管理员帐户登录 Control Hub。 | ||||||||||
| 2 | 转至组织设置然后向下滚动至目录同步部分。 | ||||||||||
| 3 | 单击设置以开始配置。 | ||||||||||
| 4 | 使用 Azure AD 配置对 Azure AD 管理员帐户进行身份验证。 确保您使用的帐户具有下一步中所述的权限。 | ||||||||||
| 5 | 查看权限,然后单击接受以授予帐户访问 Azure AD 租户的权限。 Cisco Webex身份同步是 Azure AD 中的 Azure AD 企业应用程序。 向导应用程序连接到此应用程序以访问 Azure AD 图形 API。 访问所需的权限是支持和使用所需的最低权限。
| ||||||||||
| 6 | 选择迁移现有应用程序。 | ||||||||||
| 7 | 在接受其他只读权限请求后,选择要迁移到向导应用程序的现有应用程序,然后选择继续。
| ||||||||||
| 8 | 迁移完成后,我们建议您进行演习在启用自动同步之前,请确保没有任何错误。 |
在启用自动同步之前,我们建议您先进行预演,以确保没有任何错误。 预演完成后,您可以下载预演报告以查看详细信息。 报告中可用的列如下:
| 列名称 | 描述 |
|---|---|
| 对象类型 | Azure AD 中的对象类型,例如用户或组。 |
| 操作类型 | 同步期间将对对象执行的操作类型。 可能的操作类型包括:
|
| Azure 标识 | Azure AD 中对象的 ID。 |
| Azure 名称 | Azure AD 中对象的名称。 |
| Webex 名称 | Webex 中对象的名称。 |
| 原因 | 同步期间将发生某种操作类型的原因。 |
| 1 | 使用完整管理员帐户登录 Control Hub。 |
| 2 | 转至组织设置然后向下滚动至目录同步部分。 |
| 3 | 单击要同步的实例旁的三个垂直点,然后选择空运行。 |
| 4 | 演习完成后,单击下载摘要以将报告下载为CSV 文件。 |
Azure AD 向导及其对应的后端服务检查是否启用了自动同步,以确定何时将用户或组从 Azure AD 同步到 Webex。 启用自动同步以允许自动预配置用户和组同步。 当您禁用自动同步向导应用程序不会将任何内容同步到 Webex,但会保留现有配置。
| 1 | 以具有完全权限的组织管理员身份登录 Control Hub。 |
| 2 | 转至组织设置然后向下滚动至目录同步部分。 |
| 3 | 将开关拨至右侧以启用自动同步。 通过切换自动同步向左切换。 |
| 1 | 以具有完全权限的组织管理员身份登录 Control Hub。 | ||
| 2 | 转至组织设置然后向下滚动至目录同步部分。 | ||
| 3 | 单击编辑配置。  | ||
| 4 | 通过从左列中选择源自 Azure AD 的属性来自定义属性映射。 Webex Cloud中的目标属性位于右列中。 请参阅Azure AD 向导应用程序属性映射有关映射属性的更多信息。  | ||
| 5 | 在用户和群组标签页,在同步范围中添加或删除用户和组。
| ||
| 6 | 在更多信息必要时更改首选项。 | ||
| 7 | 单击保存以保存修改的配置。
|
更改Cisco Webex标识实例名称在 Azure AD 企业应用程序列表中的显示方式。
| 1 | 以具有完全权限的组织管理员身份登录 Control Hub。 |
| 2 | 转至组织设置然后向下滚动至目录同步部分。 |
| 3 | 单击编辑实例名称。 |
| 4 | 输入新实例名称,然后单击保存。 |
删除 Azure AD 向导应用程序时,它将删除 Azure AD 同步的配置。 Webex 或 Azure AD 不会保留该配置。 如果要在将来使用 Azure AD 同步,则需要进行完全重新配置。
准备工作
| 1 | 以具有完全权限的组织管理员身份登录 Control Hub。 |
| 2 | 转至组织设置然后向下滚动至目录同步部分。 |
| 3 | 单击删除实例。 |
| 4 | 在删除 Azure AD 实例?页面,选择撤销 Azure AD 管理员同意如果您想从 Webex 删除同意协议。 如果选择此选项,则必须输入凭证并再次授予权限。  |
| 5 | 单击删除。 |
您可以独立于 Azure AD 同步,立即将用户预配置到 Webex,并即时检查结果。 这有助于对设置期间的问题进行疑难解答。
| 1 | 以具有完全权限的组织管理员身份登录 Control Hub。 |
| 2 | 转至组织设置然后向下滚动至目录同步部分。 |
| 3 | 单击按需预配置用户。 |
| 4 | 搜索并选择要设置的用户,然后单击预配置。 |
| 5 | 完成后会显示以下结果之一:
 |
| 6 | 单击请重新尝试以在同一用户跳过或失败后重新设置相同的用户。 |
| 7 | 单击预配置其他用户以返回设置页面。 |
| 8 | 单击完成完成后。 |
客户可能在 Azure AD 中验证了数百个域。 在与 Control Hub 集成时,如果他们希望将已验证的域从 Azure AD 导入到 Control Hub。 这可以节省维护或设置过程中的许多工作量。
| 1 | 转至域中的部分组织设置Control Hub 中的标签页。 |
| 2 | 单击使用 Azure AD 添加。  |
| 3 | 在添加已验证的域页面上,搜索并选择要添加的域。  |
| 4 | 单击添加。已验证的域是已验证的域列表的一部分。  |
Azure AD 向导应用程序可以支持并同步您对属性表达式所做的任何更改。 例如,在 Azure AD 中,可以将 displayName 以便同时显示 surname 和 givenName 属性。 这些更改会显示在向导应用程序中。
有关在 Azure AD 中映射属性表达式的详细信息,请访问: Microsoft 帮助站点。
使用下表获取有关特定 Azure AD 属性的信息。
Azure Active Directory 属性(源) | Webex 用户属性(目标) | 描述 |
|---|---|---|
userPrincipalName |
userName |
它是 Webex 中用户的唯一标识。 它是格式化的电子邮件。 |
displayName |
displayName |
显示在 Webex 应用程序上的用户名。 |
surname |
name.familyName |
|
givenName |
name.givenName |
|
objectId |
externalId |
它是用户在 Azure ID 中的 UID。 通常为 16 字节的字符串。 我们不建议您更改此映射。 |
jobTitle |
标题 |
|
usageLocation |
addresses[type eq "work"].country |
我们建议使用使用位置映射到地址 [type eq "work"].country。 如果选择其他属性,则应确保属性值符合标准。 例如,USA 应为 US。 中国应为 CN,依此类推。 |
city |
addresses[type eq "work"].locality |
|
streetAddress |
addresses[type eq "work"].streetAddress |
|
state |
addresses[type eq "work"].region |
|
postalCode |
addresses[type eq "work"].postalCode |
|
telephoneNumber |
phoneNumbers[type eq "work"].value |
|
移动设备 |
phoneNumbers[type eq "mobile"].value |
|
facsimileTelephoneNumber |
phoneNumbers[type eq "fax"].value |
|
Manager |
Manager |
将用户的经理信息同步到 Webex,以便用户始终可以看到用户联系人名片上的正确经理信息。 创建用户后,Azure AD 会检查用户的经理对象是否位于 Webex 标识中。 如果否,则忽略用户的经理属性。 如果存在经理属性,则必须满足两个条件才能在用户的联系人名片上显示该属性:
当用户的身份验证令牌过期时,这些条件会检查用户的经理属性更新。 |
如何从Cisco Directory Connector 预配置迁移到 Azure AD 向导应用程序?
在设置期间,向导应用程序会检测您的组织是否使用 Directory Connector。 如果已启用,将显示一个对话框,您可以在其中选择使用 Azure AD 并阻止 Directory Connector。 单击屏蔽以确认是否要继续 Azure AD 向导应用程序配置。
您还可以选择在配置向导应用程序之前禁用 Directory Connector。 配置完成后,向导应用程序将管理用户配置文件。 但是,向导应用程序仅管理添加到同步范围中的用户。您无法使用向导应用程序来管理通过 Directory Connector 同步的不属于同步范围的用户。
可以使用Microsoft Azure配置单点登录吗?
您可以 Control Hub客户组织与使用Microsoft Azure作为身份提供程序的部署之间的单点登录(SSO)集成 。
Webex 中的用户头像何时更新?
在 Webex 标识中创建用户时,用户头像会同步到 Webex。 此更新依赖于在 Azure AD 中更新用户的头像。 然后,向导应用程序从 Azure AD 检索新头像。
