在 Control Hub 中啟用 Entra ID

在 Webex for Government 中,Entra ID (Azure AD) 精靈應用程式適用於 GCC Moderate Entra ID 和 GCC High Entra ID 客戶。

本文中描述的部分功能尚未對所有客戶提供。

準備工作

確保您有權存取 Entra ID 帳戶,該帳戶具有以下權限:授予租戶範圍的管理員對應用程式的同意。
1

登入 Control Hub使用完全管理員帳戶。

2

轉至組織設定然後向下捲動至Microsoft Azure Active Directory 精靈應用程式。

3

按一下設定以開始設定。

4

(可選)對於 Webex for Government 管理員,請選取Entra 全球或進入 GCC 高並按一下繼續。

Entra 全球將精靈傳送至 GCC Moderate 和 Commercial 的 Entra AD。 進入 GCC 高將精靈傳送至 GCC 高的 Entra AD。
5

驗證您的 Entra ID 管理員帳戶。

如果您不是 Entra ID 中的全局管理員或特權角色管理員,則可以請求存取權以授予 Entra ID (Azure AD) 精靈應用程式的權限。

如果您在 Entra ID 中具有完全管理員特權,則可以檢閱並授予對請求的存取權,方法是轉至身分>應用程式>企業應用程式。 低於活動,選取管理員同意請求並按一下Cisco Webex 身分整合並選取複查權限並接受。 此程序將一般驗證授予 Webex 應用程式。

最後,按一下全部(預覽)標籤,選取Cisco Webex 身分整合並按一下檢閱應用程式。 低於安全性>權限,按一下為 Cisco 授予管理員同意以授予在 Control Hub 中啟用 Entra ID 所需的所有權限。

請參閱Microsoft 支援有關此程序的更多資訊。

6

複查權限並按一下接受以授予帳戶存取 Entra ID 租用戶的權限。

Cisco Webex 身分識別是 Entra ID 中的 Entra ID 企業應用程式。 精靈應用程式連線至此應用程式以存取 Entra ID 圖 API。 存取它所需的權限是支援和使用它所需的最低權限。

Image showing the available permissions.
權限 使用情況
管理此應用程式建立或擁有的應用程式

需要在 Entra ID Enterprise 中管理 Cisco Webex Identity 應用程式,包括:

  • 在 Entra ID 中建立/刪除此應用程式

  • 屬性對映組態

  • 在 Entra ID 中重新命名應用程式

  • 啟用/停用自動佈建

讀取所有稽核日誌資料 用於存取 Cisco Webex 身分佈建稽核日誌以讀取佈建歷史記錄。 此資訊用於精靈應用程式中的同步摘要和同步報告功能。
讀取所有群組/讀取所有群組成員資格 從 Entra ID 讀取群組清單以允許成功設定群組同步範圍。

群組成員資格的更新可能需要長達 12 小時才能同步。 如果發生群組同步時新使用者尚未自動同步,則您將需要再等待 12 小時,新使用者才能同步至其群組。

查看所有使用者的完整設定檔 在同步範圍中新增使用者時使用。 例如,此權限允許透過搜尋使用者並在使用者頁面上的表格中顯示使用者來讀取使用者資訊。
7

對於 SMB 客戶,請透過勾選同步預設值勾選方塊,然後按一下繼續。 對於企業客戶,請轉至下一步並繼續設定。

如果您接受預設設定,則表示您想要:
  • 將所有使用者同步至 Webex。
  • 接受預設屬性對映。
  • 啟用切換開關以同步所有使用者的設定檔圖片以顯示在 Webex 服務上。
  • 設定完成後啟用自動同步。
Image showing the Azure AD sync default setting option
8

對於企業客戶(超過 1000 個使用者)或想要手動設定設定的客戶,請按一下屬性標籤,並對應屬性。 按一下儲存

您可以將 Entra ID 中的其他使用者屬性對映至 Webex,或使用屬性頁。 您可以透過確保正確設定對映來自訂對映。 您對映為使用者名稱的值很重要。 Webex 會使用使用者的電子郵件地址做為使用者名稱。 依預設,Entra ID 中的 userPrincipalName (UPN) 對應至 Control Hub 中的電子郵件地址(使用者名稱)。

您無法在第一次設定期間編輯對應。 此時,對應的實例尚未完全建立,並且沒有自訂對映屬性的實例。 但是,您可以按一下編輯以在設定完成時進行變更。

9

若要將使用者新增至同步範圍,請按一下使用者標籤。

您可以輸入使用者名稱以在同步範圍中搜尋及新增使用者。 ​​​​​​您還可以按一下右側的資源回收筒圖示,將使用者從同步範圍中移除。 按一下儲存

如果您要從 Entra ID 中選取所有使用者,請選取選取所有使用者。 如果您選取它,則無需在範圍中選取群組,因為此選項會同時同步群組。

Image showing all users synchronized

我們不建議使用選取所有使用者對於擁有數十萬使用者的重要企業客戶,因為初始化程序需要很長時間。 如果您不小心在 Control Hub 中同步了很多使用者,則刪除這些使用者也需要更長時間。

按一下儲存

10

在群組標籤中,您可以搜尋個別群組並將其新增至 Webex。

  • 按一下同步群組成員標籤以搜尋並選取特定群組中的所有使用者。
  • 按一下同步子群組標籤以選取要同步其子項的父群組。

    • 選取父群組只會同步其子群組中的使用者。 使用同步群組成員標籤以同步較大的父群組。

    • 預設情況下,只有所選群組中的使用者會同步至 Webex。 轉至更多標籤並選取同步群組物件如果您還想要同步群組本身。

Image showing the screen to add or remove groups
11

更多標籤,您可以設定一些進階同步選項:

  • 同步使用者頭像— 開啟此選項以允許 Webex 應用程式將所有範圍內使用者的頭像同步至 Webex。 更新使用者頭像時,會在 Webex 中自動更新該使用者的頭像。 它可能不會立即更新,因為它依賴更新通知來觸發更新。

  • 同步群組物件— 開啟此選項,以便選取的群組物件群組標籤已同步至 Webex。

  • 啟用單一登入— 開啟此選項以為您的組織設定 OpenID Connect (OIDC) SSO。

    如果您的組織已使用其中一個 SAML 選項啟用 SSO ,則必須先停用 SAML 選項,然後才能在 Entra ID (Azure AD) 精靈應用程式中啟用 OIDC SSO。

  • 識別並同步會議室物件— 開啟此選項以將協作室物件同步至 Webex。

12

您可以決定是要允許立即進行同步還是在稍後階段進行同步。 如果您選取現在允許選項,它將所有設定套用至即將進行的同步。 如果您選取儲存並允許稍後選項,則在您允許自動同步之前,同步不會開始。

Image showing the option to save the configuration
13

應用程式與 Entra ID 通訊以設定組態並排定同步。

Image showing that the setup is successful
同步完成後,下列其中一個結果會出現在工作狀態欄位:
  • 有效: 同步成功。
  • 隔離: 同步工作在多次失敗後被隔離在 Entra ID 中。 請參閱Entra ID 文件以獲取更多資訊。
  • 未執行: 此狀態僅在首次設定後出現。 首次設定後,該服務尚未執行。

您也可以按一下檢視摘要以查看其他資訊,例如上次同步的時間和日期,以及同步、跳過或失敗的使用者數:

使用者

  • 已同步: 顯示成功同步至 Webex 的使用者數。
  • 已跳過: 顯示上次同步中跳過的使用者數。 例如,Entra ID 中未新增至 Entra ID (Azure AD) 精靈應用程式同步範圍的新使用者。 這些使用者未同步至 Webex;將其新增至同步範圍以將其同步至 Webex。
  • 失敗: 顯示同步失敗的使用者數。 有關這些使用者無法同步的原因的更多資訊,請檢查 Entra ID 應用程式佈建稽核日誌。 如果您需要立即同步這些使用者,您可以隨選佈建使用者。

群組

  • 已同步: 顯示已成功同步至 Webex 並在 Control Hub 中建立的群組數。
  • 待同步: 此狀態表示尚未新增群組中的所有使用者。 使用者必須先成功同步至 Webex。

將現有的 Cisco Webex Enterprise 應用程式設定移轉至 Entra ID (Azure AD) 精靈應用程式

如果您已在 Entra ID 中設定 Cisco Webex Enterprise 應用程式,則可以自動將所有設定移轉至 Entra ID (Azure AD) 精靈應用程式。 您可以在 Control Hub 中管理所有 Entra ID,而不會丟失任何先前的設定。

1

登入 Control Hub使用完全管理員帳戶。

2

轉至組織設定然後向下捲動至目錄同步區段。

3

按一下設定以開始設定。

4

使用 Entra ID 組態驗證 Entra ID 管理員帳戶。 確保您使用的帳戶具有下一步中所述的權限。

5

複查權限並按一下接受以授予帳戶存取 Entra ID 租用戶的權限。

Cisco Webex 身分同步是 Entra ID 中的 Entra ID 企業應用程式。 精靈應用程式連線至此應用程式以存取 Entra ID 圖 API。 存取它所需的權限是支援和使用它所需的最低權限。

Image showing the available permissions.
權限 使用情況
管理此應用程式建立或擁有的應用程式

需要在 Entra ID Enterprise 中管理 Cisco Webex Identity 應用程式,包括:

  • 在 Entra ID 中建立/刪除此應用程式

  • 屬性對映組態

  • 在 Entra ID 中重新命名應用程式

  • 啟用/停用自動佈建

讀取所有稽核日誌資料 用於存取 Cisco Webex 身分佈建稽核日誌以讀取佈建歷史記錄。 此資訊用於精靈應用程式中的同步摘要和同步報告功能。
讀取所有群組/讀取所有群組成員資格 從 Entra ID 讀取群組清單以允許成功設定群組同步範圍。
查看所有使用者的完整設定檔 在同步範圍中新增使用者時使用。 例如,此權限允許透過搜尋使用者並在使用者頁面上的表格中顯示使用者來讀取使用者資訊。
6

選取移轉現有應用程式。

7

接受其他唯讀權限請求後,選取要移轉至精靈應用程式的現有應用程式,然後選取繼續。

如果所選的現有應用程式未將使用者佈建至相同的 Control Hub,則移轉將失敗。

8

移轉完成後,我們建議您執行演練在啟用自動同步之前,請確保沒有任何錯誤。

執行演練

在啟用自動同步之前,我們建議您先執行演練以確保沒有任何錯誤。 演練完成後,您可以下載演練報告以查看詳細資訊。 報告中可用的欄為:

表 1. 演練報告欄說明
欄名稱說明
物件類型Entra ID 中的物件類型,例如使用者或群組。
動作類型在同步期間將對物件執行的動作類型。 可能的動作類型包括:
  • 相符— Entra ID 和 Control Hub 中的物件相符。
  • 新增— 物件將新增至 Control Hub。
  • 停用— 物件位於 Control Hub 中,但物件已在 Entra ID 中移除或未新增至同步範圍。 同步後,物件將被停用。
Azure IDEntra ID 中物件的 ID。
Azure 名稱Entra ID 中的物件名稱。
Webex 名稱Webex 中物件的名稱。
原因動作類型將在同步期間發生的原因。
1

登入 Control Hub使用完全管理員帳戶。

2

轉至組織設定然後向下捲動至目錄同步區段。

3

按一下要同步的實例旁邊的三個垂直點,然後選取演練。

4

演練完成後,按一下下載摘要以將報告下載為 CSV 檔案。

啟用或停用自動同步

Entra ID (Azure AD) 精靈應用程式及其對應的後端服務會檢查是否啟用了自動同步,以確定何時將使用者或群組從 Entra ID 同步至 Webex。 啟用自動同步以允許自動佈建使用者和群組同步。 當您停用自動同步精靈應用程式不會將任何內容同步至 Webex,但會保留現有設定。

通常,使用者每 40 分鐘同步一次根據 Microsoft 策略。

1

以完整組織管理員身分登入 Control Hub。

2

轉至組織設定然後向下捲動至目錄同步區段。

3

將開關切換至右側以啟用自動同步

透過切換自動同步切換至左側。

編輯 Entra ID (Azure AD) 精靈應用程式設定

1

登入 Control Hub使用完全管理員帳戶。

2

轉至組織設定然後向下捲動至目錄同步區段。

3

按一下編輯設定。

Image showing the option to delete an Azure AD instance
4

透過從左側欄中選取源自 Entra ID 的屬性自訂屬性對映。 Webex Cloud 中的目的地屬性位於右欄中。 請參閱Entra ID (Azure AD) 精靈應用程式屬性對映有關對映屬性的更多資訊。

Image showing the custom attributes
5

使用者群組標籤,在同步作用域中新增或移除使用者和群組。

嵌套群組不會自動同步至雲端。 確保選取嵌套在您要同步的群組中的任何群組。

6

更多標籤可根據需要變更您的喜好設定。

7

按一下儲存以儲存修改的組態。

您的更新將在下一次同步中套用。 Entra ID 自動同步機制會處理使用者與使用者群組的同步。

編輯 Webex 實例名稱

變更 Cisco Webex Identity 實例名稱在 Entra ID 企業應用程式清單中的顯示方式。

1

登入 Control Hub使用完全管理員帳戶。

2

轉至組織設定然後向下捲動至目錄同步區段。

3

按一下編輯實例名稱。

Image showing the option to delete an Azure AD instance
4

輸入新的實例名稱,然後按一下儲存。

刪除 Entra ID (Azure AD) 精靈應用程式設定

當您刪除 Entra ID (Azure AD) 精靈應用程式時,它會移除 Entra ID 同步的組態。 Webex 或 Entra ID 不會保留設定。 如果您想要在將來使用 Entra ID 同步,您將需要執行完整的重新設定。

請勿從 Entra ID 中刪除 Cisco Webex 應用程式。

1

登入 Control Hub使用完全管理員帳戶。

2

轉至組織設定然後向下捲動至目錄同步區段。

3

按一下刪除實例。

Image showing the option to delete an Azure AD instance
4

刪除 Azure AD 執行個體?頁,選取撤銷 Azure AD 管理員同意(如果您要從 Webex 移除同意協議)。 如果您選取此選項,則必須輸入您的認證並再次授予權限。

Image showing the Delete window to delete an Azure AD instance
5

按一下刪除

將使用者佈建至 Webex 隨選

您可以立即將使用者佈建至 Webex,與 Entra ID 同步無關,並立即檢查結果。 這有助於在安裝期間對問題進行疑難排解。

1

登入 Control Hub使用完全管理員帳戶。

2

轉至組織設定並向下捲動至目錄同步區段。

3

按一下隨選佈建使用者。

Image showing the option to delete an Azure AD instance
4

搜尋並選取您要佈建的使用者,然後按一下佈建。

5

完成時會出現以下結果之一:

  • 佈建成功: 已在 Webex 中成功建立新使用者。
  • 已跳過佈建: 由於某種原因,佈建被跳過,通常是因為使用者已存在。 詳細資訊出現在結果摘要頁。
  • 佈建失敗: 佈建失敗。 詳細資訊出現在結果摘要頁。
6

按一下重試以再次佈建相同的使用者(如果已跳過或失敗)。

7

按一下佈建其他使用者以返回佈建頁面。

8

按一下完成完成後。

將 Entra ID 驗證的網域匯入 Control Hub

客戶可能在 Entra ID 中驗證了數百個網域。 當他們與 Control Hub 整合時,如果他們想要將已驗證的網域從 Entra ID 匯入 Control Hub。 這可以節省維護或設定過程中的許多工作。

1

轉至網域區段中的組織設定Control Hub 中的標籤。

2

按一下使用 Entra ID 新增。

The Domains section of the Organization Settings in Control Hub. You can add, verify, or claim domains for added security within your organization.
3

新增已驗證的網域頁面上,搜尋並選取要新增的網域。

4

按一下新增

已驗證的網域將顯示在已驗證的網域清單中。

Entra ID (Azure AD) 精靈應用程式屬性對映

Entra ID (Azure AD) 精靈應用程式可以支援和同步您對屬性運算式所做的任何變更。 例如,在 Entra ID 中,您可以將顯示名稱以便同時顯示姓和給定名稱屬性。 這些變更會出現在精靈應用程式中。

您可以在 Entra ID 中找到有關對映屬性運算式的更多資訊: Microsoft 說明網站。

使用下表獲取有關特定 Entra ID 屬性的資訊。

Entra ID 不會同步 Null 值。 如果您在 Entra ID 中將屬性值設定為 null,則不會刪除該屬性值,也不會在 Webex 中使用 null 值對其進行修補。 請參閱Microsoft 說明網站以獲取更多資訊。

表格 2. Azure 到 Webex 對映

Entra ID 屬性(來源)

Webex 使用者屬性(目標)

說明

userPrincipalName

userName

 它是 Webex 中使用者的唯一 ID。 它是電子郵件格式。

displayName

displayName

 顯示在 Webex 應用程式上的使用者名稱。

surname

name.familyName

givenName

name.givenName

objectId

externalId

 它是 Entra ID 中的使用者 UID。 一般為 16 位元字串。 我們不建議您變更此對應。

jobTitle

標題

usageLocation

addresses[type eq "work"].country

 我們建議使用 Usagelocation 對映地址 [type eq "work"].country。 如果您選擇其他屬性,則應確保屬性值符合標準。 例如,USA 應該是 US。 中國應為 CN,依此類推。

city

addresses[type eq "work"].locality

streetAddress

addresses[type eq "work"].streetAddress

state

addresses[type eq "work"].region

postalCode

addresses[type eq "work"].postalCode

telephoneNumber

phoneNumbers[type eq "work"].value

行動裝置

phoneNumbers[type eq "mobile"].value

facsimileTelephoneNumber

phoneNumbers[type eq "fax"].value

manager

manager

將使用者的管理員資訊同步至 Webex,以便使用者始終可以在使用者的聯絡卡上看到正確的管理員資訊。

建立使用者時,Entra ID 會檢查使用者的管理員物件是否在 Webex Identity 中。 如果否,則忽略使用者的管理員屬性。 如果有管理員屬性,則必須滿足兩個條件,該屬性才能顯示在使用者的聯絡卡上:

  • 管理員物件已同步至 Webex。
  • 成員使用者在 Webex 應用程式中處於活動狀態。 從技術上講,它可以觸發後端事件以定期查詢使用者的管理員屬性。 因此,當新增或變更使用者的管理員資訊時,可以透過觸發的服務來更新使用者的管理員屬性。

當使用者的驗證權杖過期時,這些條件會檢查對使用者的管理員屬性的更新。

在變更後使用者第一次登入之後,管理員屬性變更才會反映在使用者的聯絡卡上。

常見問題及解答

如何從 Cisco 目錄連接器佈建移轉至 Entra ID (Azure AD) 精靈應用程式?

在設定期間,精靈應用程式會偵測您的組織是否使用 Directory Connector。 如果已啟用,則會出現一個對話方塊,您可以在其中選擇使用 Entra ID 並封鎖 Directory Connector。 按一下封鎖以確認您要繼續 Entra ID (Azure AD) 精靈應用程式設定。

您也可以選擇在設定精靈應用程式之前停用 Directory Connector。 設定完成後,精靈應用程式會管理使用者設定檔。 然而,精靈應用程式僅管理已新增至同步範圍的使用者。您無法使用精靈應用程式來管理由 Directory Connector 同步且不屬於同步範圍的使用者。

可以使用 Microsoft Entra 設定單一登入嗎?

您可以設定單一登入 (SSO) 整合在 Control Hub 客戶組織與使用 Microsoft Entra ID 作為身分識別提供者的部署之間。

Webex 中的使用者頭像何時更新?

在 Webex Identity 中建立使用者時,使用者頭像會同步至 Webex。 此更新依賴於在 Entra ID 中更新的使用者頭像。 然後精靈應用程式會從 Entra ID 擷取新的頭像。

為什麼使用者在同步後沒有立即顯示在 Control Hub 的群組中,如何解決?

使用者與群組同步是獨立的過程。 雖然使用者同步可以單獨進行,但群組同步會每隔 12 小時自動進行一次群組同步。 如果使用者透過群組同步,但未立即顯示在 Control Hub 的群組中,這仍然是預期的行為。 If a user appears only in the main user list but not in the group, no further action is required. 只需等待下一個群組同步週期完成。