在 Control Hub 中设置 Azure AD 向导应用程序

在Control Hub中启用Entra AD

当前无法将 Azure AD 向导应用程序与 Webex for Government 配合使用。将来，我们将增加对 Webex for Government 的支持。

本文中介绍的某些功能尚无法供所有客户使用。

准备工作

确保您有权访问Entra ID帐户，该帐户有权租户范围内的管理员同意应用程序。

使用完全权限管理员帐户登录Control Hub 。

转至组织设置然后向下滚动至目录同步部分。

单击设置以开始配置。

验证您的Entra ID管理员帐户。

如果您不是Entra ID中的全局或老角色管理员，可以请求访问权限以授予Azure AD向导的权限。

如果您在Entra ID中拥有完全管理员权限，则可以转至查看并授予对请求的访问权限 > 程序 > 应用程序。在活动下，选择管理员同意请求，然后单击Cisco Webex身份集成并选择审核权限并接受。此过程将向Webex应用程序授予常规身份验证。

最后，单击全部（预览）标签页，选择Cisco Webex身份集成，然后单击查看应用程序。在下 > ，单击 Cisco 管理员同意以授予所有必要的权限以在Control Hub中启用Entra ID。

有关此过程的更多信息，请参阅Microsoft支持。

查看权限，然后单击接受授予帐户授权，以访问您的Entra ID租户。

Cisco Webex Identity 是Entra ID中的Entra ID企业应用程序。向导应用程序连接到此应用程序以访问Entra ID图形API。访问所需的权限是支持和使用所需的最低权限。

Image showing the available permissions.

许可

使用情况

管理此应用创建或拥有的应用

需要在Entra ID Enterprise中管理Cisco Webex 应用程序，包括：

在Entra ID中创建/删除此应用程序
属性映射配置
在Entra ID中重命名应用程序
启用/禁用自动预配置

读取所有审核日志数据

用于访问Cisco Webex身份设置审核日志以读取设置历史记录。此信息用于向导应用程序中的同步摘要和同步报告功能。

读取所有组/读取所有组成员资格

从Entra ID读取组列表，以成功配置组同步范围。

组成员身份更新可能需要长达12小时才能同步。如果新用户在组同步发生时未自动同步，您将需要再等待12小时，以便新用户同步到其组。

读取所有用户的完整档案

在同步范围中添加用户时使用。例如，此权限允许通过搜索用户并在用户页面上的表格中显示用户来读取用户信息。

对于 SMB 客户，接受默认设置，方法是选中同步默认值复选框并单击继续。对于企业客户，请转至下一步并继续配置。

如果您接受缺省设置，即表示您希望：

将所有用户同步到 Webex。
接受缺省属性映射。
启用切换以同步所有用户的档案照片，以显示在 Webex 服务上。
配置完成后启用自动同步。

Image showing the Azure AD sync default setting option

对于企业客户（超过 1000 个用户）或想要手动配置设置的客户，单击属性选项卡，然后映射属性。单击保存。

您可以将其他用户属性从Entra ID映射到Webex，或使用属性页面更改现有用户属性映射。您可以通过确保正确配置映射来自定义映射。映射为用户名的值很重要。 Webex 使用用户的电子邮件地址作为其用户名。默认情况下，Entra ID中的userPrincipalName (UPN)会映射到Control Hub中的电子邮件地址（用户名）。

您无法在首次设置期间编辑映射。此时，对应的实例尚未完全构建，并且没有自定义映射属性的实例。但是，您可以单击编辑以在设置完成后进行更改。

将用户添加到同步范围，方法是单击用户标签页。

您可以输入用户名以在同步范围中搜索和添加用户。您还可以通过单击右侧的回收站图标将用户从同步范围中删除。单击保存。

如果要从Entra ID中选择所有用户，请选择选择所有用户。如果选中它，则无需在范围中选择组，因为此选项会同时同步这些组。

我们不建议使用选择所有用户对于拥有数十万用户的重要企业客户，因为初始化过程需要很长时间。如果您不小心在 Control Hub 中同步了很多用户，删除这些用户也需要更长的时间。

单击保存。

在组标签页上，您可以搜索单个组并将其添加到Webex。

单击同步组成员选项卡，选择所选组中的所有用户。
单击同步子组选项卡，选择特定子组中的用户。

Image showing the screen to add or remove groups

单击保存。

默认情况下，只有所选组中的用户会同步。如果您还想同步组本身，请转至更多选项卡并选择同步组对象。

在更多信息标签页上，您可以配置一些高级同步选项：

同步用户头像—开启此功能以允许Webex应用程序将范围内用户的所有头像同步到Webex。更新用户头像后，Webex 中将自动更新用户的头像。可能不会立即更新，因为它依赖更新通知来触发更新。
同步组对象—打开该选项，以便组选项卡上的组对象同步到Webex。
激活单点登录—开启此功能可为您的组织配置OpenID Connect (OIDC) SSO。

如果您的组织已经有使用其中一个 SAML 选项启用 SSO ，则必须先禁用 SAML 选项，然后才能在 Azure AD 向导应用程序中激活 OIDC SSO。
识别并同步协作室对象—开启此功能可将协作室对象同步到Webex。

您可以决定是允许立即进行同步还是在稍后阶段进行同步。如果您选择立即允许选项，它将所有设置应用于即将进行的同步。如果您选择保存并允许稍后选项，则在您允许自动同步之前，同步不会开始。

Image showing the option to save the configuration

应用程序与Entra ID通信，以设置配置并安排同步。

Image showing that the setup is successful

同步完成后，以下结果之一会出现在作业状态字段：

活动：同步成功。
隔离：同步作业在多次失败后已在Entra ID中隔离。详细信息请参阅Entra ID文档。
未运行：此状态仅在首次设置后出现。首次设置后服务尚未运行。

您还可以单击查看摘要要查看上次同步的时间和日期以及同步、跳过或失败的用户数量等其他信息：

用户

已同步：显示成功同步到 Webex 的用户数量。
已跳过：显示在上次同步中跳过的用户数。例如，未添加到Azure AD向导应用程序同步范围的Entra ID中的新用户。这些用户未同步到 Webex；将它们添加到同步范围中以将其同步到 Webex。
失败：显示同步失败的用户数。查看Entra ID应用程序预配置审核日志，了解有关这些用户同步失败的更多信息。如果您需要立即同步这些用户，可以按需部署用户。

组

已同步：显示成功同步到 Webex 并在 Control Hub 中创建的组数。
要同步：此状态表示尚未添加组中的所有用户。用户必须先成功同步到 Webex。

将现有Cisco Webex企业应用程序配置迁移到 Azure AD 向导应用程序

如果您已经在Entra ID中设置了Cisco Webex企业版应用程序，您可以自动将所有配置迁移到Azure AD向导应用程序。您可以在Control Hub中管理所有Entra ID，而不会丢失之前的任何配置。

使用完整管理员帐户登录 Control Hub。

转至组织设置然后向下滚动至目录同步部分。

单击设置以开始配置。

使用Entra ID配置验证Entra ID管理员帐户。确保您使用的帐户具有下一步中所述的权限。

查看权限，然后单击接受授予帐户授权，以访问您的Entra ID租户。

Cisco Webex身份同步 是Entra ID中的Entra ID企业应用程序。向导应用程序连接到此应用程序以访问Entra ID图形API。访问所需的权限是支持和使用所需的最低权限。

许可	使用情况
管理此应用创建或拥有的应用	需要在Entra ID Enterprise中管理Cisco Webex 应用程序，包括：在Entra ID中创建/删除此应用程序属性映射配置在Entra ID中重命名应用程序启用/禁用自动预配置
读取所有审核日志数据	用于访问Cisco Webex身份设置审核日志以读取设置历史记录。此信息用于向导应用程序中的同步摘要和同步报告功能。
读取所有组/读取所有组成员资格	从Entra ID读取组列表，以成功配置组同步范围。
读取所有用户的完整档案	在同步范围中添加用户时使用。例如，此权限允许通过搜索用户并在用户页面上的表格中显示用户来读取用户信息。

选择迁移现有应用程序。

在接受其他只读权限请求后，选择要迁移到向导应用程序的现有应用程序，然后选择继续。

如果所选的现有应用程序没有将部署用户预配置到同一个 Control Hub，迁移将会失败。

迁移完成后，我们建议您进行演习在启用自动同步之前，请确保没有任何错误。

执行演习

在启用自动同步之前，我们建议您先进行预演，以确保没有任何错误。预演完成后，您可以下载预演报告以查看详细信息。报告中可用的列如下：

表 1. 模拟报告列说明
列名称	描述
对象类型	Entra ID中对象的类型，例如用户或组。
操作类型	同步期间将对对象执行的操作类型。可能的操作类型包括：匹配—输入ID和Control Hub中的对象匹配。添加- 将向 Control Hub 添加对象。停用—对象在Control Hub中，但对象已在Entra ID中删除或未添加到同步范围。同步后，对象将被停用。
Azure 标识	Entra ID中对象的ID。
Azure 名称	Entra ID中对象的名称。
Webex 名称	Webex 中对象的名称。
原因	同步期间将发生某种操作类型的原因。

1	使用完整管理员帐户登录 Control Hub。
2	转至组织设置然后向下滚动至目录同步部分。
3	单击要同步的实例旁的三个垂直点，然后选择空运行。
4	演习完成后，单击下载摘要以将报告下载为CSV 文件。

启用或禁用自动同步

Azure AD向导及其相应的后端服务会检查是否启用自动同步，以确定何时将用户或组从Entra ID同步到Webex。启用自动同步以允许自动预配置用户和组同步。禁用同步，向导应用程序不会将任何内容同步到Webex，但保留现有配置。

通常，根据Microsoft策略每40分钟同步一次用户。

1	以具有完全权限的组织管理员身份登录 Control Hub。
2	转至组织设置然后向下滚动至目录同步部分。
3	将开关拨至右侧以启用自动同步。通过切换自动同步向左切换。

编辑 Azure AD 向导应用程序配置

以完整组织管理员身份登录Control Hub。

转至组织设置然后向下滚动至目录同步部分。

单击编辑配置。

Image showing the option to delete an Azure AD instance

从源自Entra ID的左列中选择一个属性，自定义属性映射。 Webex Cloud中的目标属性位于右列中。请参阅Azure AD 向导应用程序属性映射有关映射属性的更多信息。

在用户和群组标签页，在同步范围中添加或删除用户和组。

嵌套组不会自动同步到云端。确保选择要同步的组中嵌套的任何组。

在更多信息必要时更改首选项。

单击保存以保存修改的配置。

更新将在下次同步中应用。 Entra ID自动同步机制处理用户和用户组的同步。

编辑 Webex 实例名称

更改Cisco Webex身份实例名称在Entra ID企业应用程序列表中的显示方式。

1	以完整组织管理员身份登录Control Hub。
2	转至组织设置然后向下滚动至目录同步部分。
3	单击编辑实例名称。
4	输入新实例名称，然后单击保存。

删除 Azure AD 向导应用程序配置

当您删除Azure AD 应用程序时，它会删除Entra ID同步的配置。 Webex或Entra ID不保留该配置。如果您想将来使用Entra ID同步，则需要进行完整的重新配置。

准备工作

1	以完整组织管理员身份登录Control Hub。
2	转至组织设置然后向下滚动至目录同步部分。
3	单击删除实例。
4	在删除 Azure AD 实例？页面，选择撤销 Azure AD 管理员同意如果您想从 Webex 删除同意协议。如果选择此选项，则必须输入凭证并再次授予权限。
5	单击删除。

按需将用户预配置到 Webex

您可以立即将用户预配置到Webex，而不受Entra ID同步的影响，并立即检查结果。这有助于对设置期间的问题进行疑难解答。

1	以完整组织管理员身份登录Control Hub。
2	转至组织设置并向下滚动至目录同步部分。
3	单击按需预配置用户。
4	搜索并选择要设置的用户，然后单击预配置。
5	完成后会显示以下结果之一：预配置成功：新用户已在 Webex 中成功创建。已跳过预配置：由于某种原因，设置被跳过，通常是因为用户已存在。详细信息显示在结果摘要页面。预配置失败：预配置失败。详细信息显示在结果摘要页面。
6	单击请重新尝试以在同一用户跳过或失败后重新设置相同的用户。
7	单击预配置其他用户以返回设置页面。
8	单击完成完成后。

将入口ID已验证域导入到Control Hub

客户可能在Entra ID中验证了数百个域。当他们与Control Hub集成时，如果他们想要将已验证域从Entra ID导入到Control Hub。这可以节省维护或设置过程中的许多工作量。

1	转至域中的部分组织设置Control Hub 中的标签页。
2	单击使用 Azure AD 添加。
3	在添加已验证的域页面上，搜索并选择要添加的域。
4	单击添加。已验证的域将显示在已验证的域列表中。

Azure AD 向导应用程序属性映射

Azure AD 向导应用程序可以支持并同步您对属性表达式所做的任何更改。例如，在Entra ID中，您可以映射 displayName 以便同时显示 surname 和 givenName 属性。这些更改会显示在向导应用程序中。

您可以在 Microsoft帮助站点上的Entra ID中找到有关映射属性表达式的更多信息。

下表包含特定Entra ID属性的信息。

Azure AD 不会同步空值。如果在Entra ID中将属性值设置为null，则不会在Webex中删除该属性值或使用null值修补该属性值。有关更多信息，请参阅 Microsoft帮助站点上的限制。

表 2. Azure 到 Webex 的映射
Azure Active Directory 属性（源）	Webex 用户属性（目标）	描述
userPrincipalName	userName	它是 Webex 中用户的唯一标识。它是格式化的电子邮件。
displayName	displayName	显示在 Webex 应用程序上的用户名。
surname	name.familyName
givenName	name.givenName
objectId	externalId	它是Entra ID中用户的UID。通常为 16 字节的字符串。我们不建议您更改此映射。
jobTitle	标题
usageLocation	addresses[type eq "work"].country	我们建议使用使用位置映射到地址 [type eq "work"].country。如果选择其他属性，则应确保属性值符合标准。例如，USA 应为 US。中国应为 CN，依此类推。
city	addresses[type eq "work"].locality
streetAddress	addresses[type eq "work"].streetAddress
state	addresses[type eq "work"].region
postalCode	addresses[type eq "work"].postalCode
telephoneNumber	phoneNumbers[type eq "work"].value
移动设备	phoneNumbers[type eq "mobile"].value
facsimileTelephoneNumber	phoneNumbers[type eq "fax"].value
Manager	Manager	将用户的经理信息同步到 Webex，以便用户始终可以看到用户联系人名片上的正确经理信息。创建用户后，Entra ID将检查用户的经理对象是否在Webex标识中。如果否，则忽略用户的经理属性。如果存在经理属性，则必须满足两个条件才能在用户的联系人名片上显示该属性：经理对象将同步到 Webex。成员用户在 Webex 应用程序中处于活动状态。从技术上讲，它可以触发后端事件以定期查询用户的经理属性。因此，添加或更改用户的经理信息时，用户的经理属性可能通过触发的服务更新。当用户的身份验证令牌过期时，这些条件会检查用户的经理属性更新。

常见问题解答

如何从Cisco Directory Connector 预配置迁移到 Azure AD 向导应用程序？

在设置期间，向导应用程序会检测您的组织是否使用 Directory Connector。如果启用，将显示一个对话框，您可以在其中选择使用Entra ID并阻止目录连接器。单击屏蔽以确认是否要继续 Azure AD 向导应用程序配置。

您还可以选择在配置向导应用程序之前禁用 Directory Connector。配置完成后，向导应用程序将管理用户配置文件。但是，向导应用程序仅管理添加到同步范围中的用户。您无法使用向导应用程序来管理通过 Directory Connector 同步的不属于同步范围的用户。

可以使用Microsoft Entra配置单点登录吗？

您可以在Control Hub客户组织与使用Microsoft Entra ID作为身份提供程序的部署之间单点登录(SSO)集成。

Webex 中的用户头像何时更新？

在 Webex 标识中创建用户时，用户头像会同步到 Webex。此更新依赖于在Entra ID中更新用户的头像。然后，向导应用程序从Entra ID检索新头像。

在Control Hub中启用Entra AD

准备工作

将现有Cisco Webex企业应用程序配置迁移到 Azure AD 向导应用程序

执行演习

启用或禁用自动同步

编辑 Azure AD 向导应用程序配置

编辑 Webex 实例名称

删除 Azure AD 向导应用程序配置

准备工作

按需将用户预配置到 Webex

将入口ID已验证域导入到Control Hub

Azure AD 向导应用程序属性映射

常见问题解答

如何从Cisco Directory Connector 预配置迁移到 Azure AD 向导应用程序？

可以使用Microsoft Entra配置单点登录吗？

Webex 中的用户头像何时更新？

小型企业

大型企业

设备

解决方案

资源

公司