- 主页
- /
- 文章
如果您在Microsoft Entra ID中管理用户和组,请使用Control Hub中的Azure AD向导应用程序将用户和组与Webex同步。
在Control Hub中启用Entra AD
当前无法将 Azure AD 向导应用程序与 Webex for Government 配合使用。 将来,我们将增加对 Webex for Government 的支持。 本文中介绍的某些功能尚无法供所有客户使用。 |
准备工作
1 | |||||||||||||
2 | 转至组织设置然后向下滚动至目录同步部分。 | ||||||||||||
3 | 单击设置以开始配置。 | ||||||||||||
4 | 验证您的Entra ID管理员帐户。
| ||||||||||||
5 | 查看权限,然后单击接受授予帐户授权,以访问您的Entra ID租户。 Cisco Webex Identity 是Entra ID中的Entra ID企业应用程序。 向导应用程序连接到此应用程序以访问Entra ID图形API。 访问所需的权限是支持和使用所需的最低权限。
| ||||||||||||
6 | 对于 SMB 客户,接受默认设置,方法是选中同步默认值复选框并单击继续。 对于企业客户,请转至下一步并继续配置。 如果您接受缺省设置,即表示您希望:
| ||||||||||||
7 | 对于企业客户(超过 1000 个用户)或想要手动配置设置的客户,单击属性选项卡,然后映射属性。 单击保存。 您可以将其他用户属性从Entra ID映射到Webex,或使用属性页面更改现有用户属性映射。 您可以通过确保正确配置映射来自定义映射。 映射为用户名的值很重要。 Webex 使用用户的电子邮件地址作为其用户名。 默认情况下,Entra ID中的userPrincipalName (UPN)会映射到Control Hub中的电子邮件地址(用户名)。
| ||||||||||||
8 | 将用户添加到同步范围,方法是单击用户标签页。 您可以输入用户名以在同步范围中搜索和添加用户。 您还可以通过单击右侧的回收站图标将用户从同步范围中删除。 单击保存。 如果要从Entra ID中选择所有用户,请选择选择所有用户。 如果选中它,则无需在范围中选择组,因为此选项会同时同步这些组。
单击保存。 | ||||||||||||
9 | 在组标签页上,您可以搜索单个组并将其添加到Webex。
单击保存。
| ||||||||||||
10 | 在更多信息标签页上,您可以配置一些高级同步选项:
| ||||||||||||
11 | 您可以决定是允许立即进行同步还是在稍后阶段进行同步。 如果您选择立即允许选项,它将所有设置应用于即将进行的同步。 如果您选择保存并允许稍后选项,则在您允许自动同步之前,同步不会开始。 | ||||||||||||
12 | 应用程序与Entra ID通信,以设置配置并安排同步。 |
- 活动: 同步成功。
- 隔离: 同步作业在多次失败后已在Entra ID中隔离。 详细信息请参阅Entra ID文档。
- 未运行: 此状态仅在首次设置后出现。 首次设置后服务尚未运行。
您还可以单击查看摘要要查看上次同步的时间和日期以及同步、跳过或失败的用户数量等其他信息:
用户
- 已同步: 显示成功同步到 Webex 的用户数量。
- 已跳过: 显示在上次同步中跳过的用户数。 例如,未添加到Azure AD向导应用程序同步范围的Entra ID中的新用户。 这些用户未同步到 Webex;将它们添加到同步范围中以将其同步到 Webex。
- 失败: 显示同步失败的用户数。 查看Entra ID应用程序预配置审核日志,了解有关这些用户同步失败的更多信息。 如果您需要立即同步这些用户,可以按需部署用户。
组
- 已同步: 显示成功同步到 Webex 并在 Control Hub 中创建的组数。
- 要同步: 此状态表示尚未添加组中的所有用户。 用户必须先成功同步到 Webex。
将现有Cisco Webex企业应用程序配置迁移到 Azure AD 向导应用程序
如果您已经在Entra ID中设置了Cisco Webex企业版应用程序,您可以自动将所有配置迁移到Azure AD向导应用程序。 您可以在Control Hub中管理所有Entra ID,而不会丢失之前的任何配置。
1 | 使用完整管理员帐户登录 Control Hub。 | ||||||||||
2 | 转至组织设置然后向下滚动至目录同步部分。 | ||||||||||
3 | 单击设置以开始配置。 | ||||||||||
4 | 使用Entra ID配置验证Entra ID管理员帐户。 确保您使用的帐户具有下一步中所述的权限。 | ||||||||||
5 | 查看权限,然后单击接受授予帐户授权,以访问您的Entra ID租户。 Cisco Webex身份同步 是Entra ID中的Entra ID企业应用程序。 向导应用程序连接到此应用程序以访问Entra ID图形API。 访问所需的权限是支持和使用所需的最低权限。
| ||||||||||
6 | 选择迁移现有应用程序。 | ||||||||||
7 | 在接受其他只读权限请求后,选择要迁移到向导应用程序的现有应用程序,然后选择继续。
| ||||||||||
8 | 迁移完成后,我们建议您进行演习在启用自动同步之前,请确保没有任何错误。 |
执行演习
在启用自动同步之前,我们建议您先进行预演,以确保没有任何错误。 预演完成后,您可以下载预演报告以查看详细信息。 报告中可用的列如下:
列名称 | 描述 |
---|---|
对象类型 | Entra ID中对象的类型,例如用户或组。 |
操作类型 | 同步期间将对对象执行的操作类型。 可能的操作类型包括:
|
Azure 标识 | Entra ID中对象的ID。 |
Azure 名称 | Entra ID中对象的名称。 |
Webex 名称 | Webex 中对象的名称。 |
原因 | 同步期间将发生某种操作类型的原因。 |
1 | 使用完整管理员帐户登录 Control Hub。 |
2 | 转至组织设置然后向下滚动至目录同步部分。 |
3 | 单击要同步的实例旁的三个垂直点,然后选择空运行。 |
4 | 演习完成后,单击下载摘要以将报告下载为CSV 文件。 |
启用或禁用自动同步
Azure AD向导及其相应的后端服务会检查是否启用自动同步,以确定何时将用户或组从Entra ID同步到Webex。 启用自动同步以允许自动预配置用户和组同步。 禁用 同步 ,向导应用程序不会将任何内容同步到Webex,但保留现有配置。
通常,根据Microsoft策略每40分钟同步一次用户。 |
1 | 以具有完全权限的组织管理员身份登录 Control Hub。 |
2 | 转至组织设置然后向下滚动至目录同步部分。 |
3 | 将开关拨至右侧以启用自动同步。 通过切换自动同步向左切换。 |
编辑 Azure AD 向导应用程序配置
1 | 以完整组织管理员身份登录Control Hub。 | ||
2 | 转至组织设置然后向下滚动至目录同步部分。 | ||
3 | 单击编辑配置。 | ||
4 | 从源自Entra ID的左列中选择一个属性,自定义属性映射。 Webex Cloud中的目标属性位于右列中。 请参阅Azure AD 向导应用程序属性映射有关映射属性的更多信息。 | ||
5 | 在用户和群组标签页,在同步范围中添加或删除用户和组。
| ||
6 | 在更多信息必要时更改首选项。 | ||
7 | 单击保存以保存修改的配置。
|
编辑 Webex 实例名称
更改Cisco Webex身份实例名称在Entra ID企业应用程序列表中的显示方式。
1 | 以完整组织管理员身份登录Control Hub。 |
2 | 转至组织设置然后向下滚动至目录同步部分。 |
3 | 单击编辑实例名称。 |
4 | 输入新实例名称,然后单击保存。 |
删除 Azure AD 向导应用程序配置
当您删除Azure AD 应用程序时,它会删除Entra ID同步的配置。 Webex或Entra ID不保留该配置。 如果您想将来使用Entra ID同步,则需要进行完整的重新配置。
准备工作
1 | 以完整组织管理员身份登录Control Hub。 |
2 | 转至组织设置然后向下滚动至目录同步部分。 |
3 | 单击删除实例。 |
4 | 在删除 Azure AD 实例?页面,选择撤销 Azure AD 管理员同意如果您想从 Webex 删除同意协议。 如果选择此选项,则必须输入凭证并再次授予权限。 |
5 | 单击删除。 |
按需将用户预配置到 Webex
您可以立即将用户预配置到Webex,而不受Entra ID同步的影响,并立即检查结果。 这有助于对设置期间的问题进行疑难解答。
1 | 以完整组织管理员身份登录Control Hub。 |
2 | 转至组织设置并向下滚动至目录同步部分。 |
3 | 单击按需预配置用户。 |
4 | 搜索并选择要设置的用户,然后单击预配置。 |
5 | 完成后会显示以下结果之一:
|
6 | 单击请重新尝试以在同一用户跳过或失败后重新设置相同的用户。 |
7 | 单击预配置其他用户以返回设置页面。 |
8 | 单击完成完成后。 |
将入口ID已验证域导入到Control Hub
客户可能在Entra ID中验证了数百个域。 当他们与Control Hub集成时,如果他们想要将已验证域从Entra ID导入到Control Hub。 这可以节省维护或设置过程中的许多工作量。
1 | 转至域中的部分组织设置Control Hub 中的标签页。 |
2 | 单击使用 Azure AD 添加。 |
3 | 在添加已验证的域页面上,搜索并选择要添加的域。 |
4 | 单击添加。 已验证的域将显示在已验证的域列表中。
|
Azure AD 向导应用程序属性映射
Azure AD 向导应用程序可以支持并同步您对属性表达式所做的任何更改。 例如,在Entra ID中,您可以映射 displayName
以便同时显示 surname
和 givenName
属性。 这些更改会显示在向导应用程序中。
您可以在 Microsoft帮助站点上的Entra ID中找到有关映射属性表达式的更多信息。
下表包含特定Entra ID属性的信息。
Azure AD 不会同步空值。 如果在Entra ID中将属性值设置为null,则不会在Webex中删除该属性值或使用null值修补该属性值。 有关更多信息,请参阅 Microsoft帮助站点上的限制。 |
Azure Active Directory 属性(源) | Webex 用户属性(目标) | 描述 |
---|---|---|
userPrincipalName |
userName |
它是 Webex 中用户的唯一标识。 它是格式化的电子邮件。 |
displayName |
displayName |
显示在 Webex 应用程序上的用户名。 |
surname |
name.familyName |
|
givenName |
name.givenName |
|
objectId |
externalId |
它是Entra ID中用户的UID。 通常为 16 字节的字符串。 我们不建议您更改此映射。 |
jobTitle |
标题 |
|
usageLocation |
addresses[type eq "work"].country |
我们建议使用使用位置映射到地址 [type eq "work"].country。 如果选择其他属性,则应确保属性值符合标准。 例如,USA 应为 US。 中国应为 CN,依此类推。 |
city |
addresses[type eq "work"].locality |
|
streetAddress |
addresses[type eq "work"].streetAddress |
|
state |
addresses[type eq "work"].region |
|
postalCode |
addresses[type eq "work"].postalCode |
|
telephoneNumber |
phoneNumbers[type eq "work"].value |
|
移动设备 |
phoneNumbers[type eq "mobile"].value |
|
facsimileTelephoneNumber |
phoneNumbers[type eq "fax"].value |
|
Manager |
Manager |
将用户的经理信息同步到 Webex,以便用户始终可以看到用户联系人名片上的正确经理信息。 创建用户后,Entra ID将检查用户的经理对象是否在Webex标识中。 如果否,则忽略用户的经理属性。 如果存在经理属性,则必须满足两个条件才能在用户的联系人名片上显示该属性:
当用户的身份验证令牌过期时,这些条件会检查用户的经理属性更新。 |
常见问题解答
如何从Cisco Directory Connector 预配置迁移到 Azure AD 向导应用程序?
在设置期间,向导应用程序会检测您的组织是否使用 Directory Connector。 如果启用,将显示一个对话框,您可以在其中选择使用Entra ID并阻止目录连接器。 单击屏蔽以确认是否要继续 Azure AD 向导应用程序配置。
您还可以选择在配置向导应用程序之前禁用 Directory Connector。 配置完成后,向导应用程序将管理用户配置文件。 但是,向导应用程序仅管理添加到同步范围中的用户。您无法使用向导应用程序来管理通过 Directory Connector 同步的不属于同步范围的用户。
可以使用Microsoft Entra配置单点登录吗?
您可以在Control Hub客户组织与使用Microsoft Entra ID作为身份提供程序的部署之间 单点登录(SSO)集成 。
Webex 中的用户头像何时更新?
在 Webex 标识中创建用户时,用户头像会同步到 Webex。 此更新依赖于在Entra ID中更新用户的头像。 然后,向导应用程序从Entra ID检索新头像。