- 主页
- /
- 文章
在 Control Hub 中设置 Entra ID (Azure AD) 向导应用程序
在此文章中如果您在 Microsoft Entra ID 中管理您的用户和组,请使用 Control Hub 中的 Entra ID (Azure AD) 向导应用程序将用户和组与 Webex 同步。
在 Control Hub 中启用 Entra ID
在 Webex for Government 中,Entra ID(Azure AD)向导应用程序可供 GCC Moderate Entra ID 和 GCC High Entra ID 客户使用。
本文中描述的某些功能尚未向所有客户开放。
准备工作
| 1 | |||||||||||
| 2 |
转到 组织设置 ,然后向下滚动到 Microsoft Azure Active Directory 向导应用程序。 | ||||||||||
| 3 |
单击 设置 开始配置。 | ||||||||||
| 4 |
(可选)对于 Webex for Government 管理员,选择 Entra Worldwide 或 Entra GCC High 并单击 继续。 Entra Worldwide 将巫师派往 Entra AD 进行 GCC 中级和商业活动。Entra GCC High 将巫师发送到 Entra AD 以获取 GCC High。
| ||||||||||
| 5 |
验证您的 Entra ID 管理员帐户。 如果您不是 Entra ID 中的全局或特权角色管理员,您可以请求访问权限以授予 Entra ID(Azure AD)向导应用程序的权限。 如果您在 Entra ID 中拥有完全管理员权限,您可以通过前往 。在 活动下,选择 管理员同意请求 并点击 Cisco Webex 身份集成 并选择 审核权限并接受。此过程授予 Webex 应用程序通用身份验证。 最后,点击 全部 (预览) 选项卡,选择 Cisco Webex Identity Integration 并点击 审核应用程序。在 ,点击 授予 Cisco 管理员同意 以授予在 Control Hub 中启用 Entra ID 所需的所有权限。 有关此过程的更多信息,请参阅 Microsoft 支持 。 | ||||||||||
| 6 |
查看权限并单击 接受 以授予帐户访问您的 Entra ID 租户的授权。 Cisco Webex Identity 是 Entra ID 中的一款 Entra ID 企业应用程序。向导应用程序连接到此应用程序以访问 Entra ID 图形 API。访问它所需的权限是支持和使用它所需的最低权限。 
| ||||||||||
| 7 |
对于 SMB 客户,选中同步缺省值复选框 并单击继续以接受缺省 设置。对于企业客户,请转至下一步,然后继续配置。 如果您接受缺省设置,则意味着您希望:
 | ||||||||||
| 8 |
对于企业客户(超过 1000 个用户),或者想要手动配置设置的客户,请单击 属性 选项卡,然后映射属性。单击保存。 您可以将其他用户属性从 Entra ID 映射到 Webex,或者使用 属性 页面更改现有的用户属性映射。您可以通过确保正确配置来自定义映射。映射为用户名的值非常重要。Webex 使用用户的电子邮件地址作为其用户名。默认情况下,Entra ID 中的 userPrincipalName (UPN) 映射到 Control Hub 中的电子邮件地址(用户名)。 第一次设置期间不能编辑映射。此时,相应的实例构建不完全,并且没有自定义映射属性的实例。但是,您可以在设置 完成后单击编辑对其进行更改。 | ||||||||||
| 9 |
单击用户标签页将用户添加到同步 范围。 您可以输入用户名来搜索并添加同步范围内的用户。您也可以点击右侧的回收站图标,将用户从同步范围内移除。单击保存。 如果要从 Entra ID 中选择所有用户,请选择 选择所有用户。如果选中该组,则无需选择范围中的组,因为该选项将同时同步组。  对于拥有成 千上万用户的重要企业客户,我们建议您不要为所有用户进行选择,因为初始化过程需要很长时间。如果您不小心在 Control Hub 中同步了许多用户,删除这些用户还会花费更长时间。 单击保存。 | ||||||||||
| 10 |
在 组 选项卡上,您可以搜索单个组并将其添加到 Webex。
| ||||||||||
| 11 |
(可选)在 更多 选项卡上,您可以选择配置一些高级同步选项:
| ||||||||||
| 12 |
您可以决定是否允许立即或稍后进行同步。如果选择“现在 允许” 选项,所有设置将应用于即将进行的同步。如果您选择保存 并稍后允许 选项,同步不会开始,直到您允许自动同步。  | ||||||||||
| 13 |
该应用程序与 Entra ID 通信以设置配置并安排同步。  |
- 积极的: 同步成功。
- 隔离: 同步作业在多次失败后被隔离在 Entra ID 中。有关更多信息,请参阅 Entra ID 文档 。
- 未运行: 此状态仅在首次设置后出现。首次设置后该服务尚未运行。
您还可以点击 查看摘要 来查看其他信息,例如上次同步的时间和日期,以及同步、跳过或失败的用户数量:
用户
- 已同步: 显示成功同步到 Webex 的用户数量。
- 已跳过: 显示上次同步中跳过的用户数。例如,Entra ID 中未添加到 Entra ID(Azure AD)向导应用程序同步范围的新用户。这些用户未同步到 Webex;将他们添加到同步范围以将他们同步到 Webex。
- 失败的: 显示同步失败的用户数量。检查 Entra ID 应用程序提供审计日志,以获取有关这些用户同步失败的原因的更多信息。如果您需要立即同步这些用户,您可以 按需配置用户。
群
- 已同步: 显示成功同步到 Webex 并在 Control Hub 中创建的组的数量。
- 待同步: 此状态表示尚未添加组内的所有用户。用户必须首先成功同步到 Webex。
将现有的 Cisco Webex Enterprise App 配置迁移到 Entra ID (Azure AD) Wizard App
如果您已经在 Entra ID 中设置了 Cisco Webex Enterprise App,则可以将所有配置自动迁移到 Entra ID(Azure AD)向导应用程序。您可以在 Control Hub 中管理 Entra ID,而不会丢失任何以前的配置。
| 1 | |||||||||||
| 2 |
转至组织设置 ,然后向下滚动至 目录同步 部分。 | ||||||||||
| 3 |
单击 设置 开始配置。 | ||||||||||
| 4 |
使用 Entra ID 配置验证 Entra ID 管理员帐户。确保您使用的帐户具有下一步中描述的权限。 | ||||||||||
| 5 |
查看权限并单击 接受 以授予帐户访问您的 Entra ID 租户的授权。 Cisco Webex Identity Synchronization 是 Entra ID 中的一款 Entra ID 企业应用程序。向导应用程序连接到此应用程序以访问 Entra ID 图形 API。访问所需的权限是支持和使用它所需的最低权限。
| ||||||||||
| 6 |
选择 迁移现有应用程序。 | ||||||||||
| 7 |
接受额外的只读权限请求后,选择要迁移到向导应用程序的现有应用程序,然后选择 继续。 如果选定的现有应用程序未将用户配置到同一个控制中心,则迁移将失败。 | ||||||||||
| 8 |
迁移完成后,我们建议 您在启用自动同步之前执行一次试 运行,以确保没有任何错误。 |
执行试运行
在启用自动同步之前,我们建议您先进行试运行以确保没有任何错误。试运行完成后,您可以下载试运行报告以查看详细信息。报告中可用的列有:
| 列名 | 描述 |
|---|---|
| 对象类型 | Entra ID 中的对象类型,例如用户或组。 |
| 动作类型 | 同步期间对对象执行的操作类型。可能的操作类型有:
|
| Azure ID | Entra ID 中对象的 ID。 |
| Azure 名称 | Entra ID 中对象的名称。 |
| Webex 名称 | Webex 中对象的名称。 |
| 原因 | 同步期间发生动作类型的原因。 |
| 1 | |
| 2 |
转至组织设置 ,然后向下滚动至 目录同步 部分。 |
| 3 |
点击要同步的实例旁边的三个垂直点,然后选择 Dry-run。 |
| 4 |
试运行完成后,点击 下载摘要 将报告下载为 CSV 文件。 |
启用或禁用自动同步
Entra ID(Azure AD)向导应用程序及其相应的后端服务检查是否启用了自动同步,以确定何时将用户或组从 Entra ID 同步到 Webex。启用 自动同步以允许自动配置用户和组同步。当您禁用 自动同步 时,向导应用程序不会将任何内容同步到 Webex,但现有配置会被保留。
通常情况下,根据 Microsoft 政策, 用户每 40 分钟同步一次 。
| 1 |
以完全权限组织管理员登录 Control Hub。 |
| 2 |
转至组织设置 ,然后向下滚动至 目录同步 部分。 |
| 3 |
将切换开关切换到右侧以启用自动 同步。 通过切换左侧的自动 同步 开关来禁用它。 |
编辑 Entra ID (Azure AD) 向导应用程序配置
| 1 | |
| 2 |
转至组织设置 ,然后向下滚动至 目录同步 部分。 |
| 3 |
单击 编辑配置。  |
| 4 |
通过从左列中选择源自 Entra ID 的属性来定制属性映射。“Webex 云”中的目标属性位于右列。有关映射属性的更多信息,请参阅 Entra ID (Azure AD) 向导应用程序属性映射 。  |
| 5 |
在用户 和 组标签 页中,从同步范围中添加或删除用户和组。 嵌套组不会自动同步到云端。确保选择嵌套在要同步的组内的所有组。 |
| 6 |
如果需要, 在 更多标签页中更改首选项。 |
| 7 |
单击 Save (保存)保存修改后的配置。 您的更新将应用于下一次同步。Entra ID 自动同步机制处理用户和用户组的同步。 |
编辑 Webex 实例名称
更改 Cisco Webex Identity 实例名称在 Entra ID 企业应用程序列表中的显示方式。
| 1 | |
| 2 |
转至组织设置 ,然后向下滚动至 目录同步 部分。 |
| 3 |
点击 编辑实例名称。 |
| 4 |
输入新的实例名称,然后单击 保存。 |
删除 Entra ID (Azure AD) 向导应用程序配置
当您删除 Entra ID(Azure AD)向导应用程序时,它会删除 Entra ID 同步的配置。Webex 或 Entra ID 不会保留该配置。如果您将来想要使用 Entra ID 同步,则需要进行完全重新配置。
不要从 Entra ID 中删除 Cisco Webex 应用程序。
| 1 | |
| 2 |
转至组织设置 ,然后向下滚动至 目录同步 部分。 |
| 3 |
点击 删除实例。 |
| 4 |
如果要从 “删除 Azure AD 实例”中删除同意协议,请选择撤销 Azure AD 管理员Webex。如果选择该选项,必须输入凭证并再次授予权限。  |
| 5 |
单击删除。 |
将用户配置到 Webex 按需版本
您可以立即将用户配置到 Webex,独立于 Entra ID 同步,并立即检查结果。这有助于对设置期间的问题进行疑难解答。
| 1 | |
| 2 |
转到 组织设置 并向下滚动到 目录同步 部分。 |
| 3 |
单击 按需配置用户。 |
| 4 |
搜索并选择您要配置的用户,然后单击 Provision。 |
| 5 |
完成后会出现以下结果之一:
|
| 6 |
如果跳过或失败,请单击 重试 再次配置同一个用户。 |
| 7 |
单击 配置其他用户 返回配置页面。 |
| 8 |
完成后,单击 完成 。 |
将 Entra ID 验证的域导入 Control Hub
客户可能在 Entra ID 中验证了数百个域名。当它们与控制中心集成时,如果他们想将已验证的域从 Entra ID 导入到控制中心。这样可节省维护或设置过程的许多工作。
| 1 |
转至 Control Hub 中的“组织设置 ”标签页中的 域安全。 |
| 2 |
点击 使用 Entra ID 添加。  |
| 3 |
在添加 已验证域 页面中,搜索并选择要添加的域。 |
| 4 |
单击添加。 已验证的域名将出现在已验证的域名列表中。
|
Entra ID(Azure AD)向导应用程序属性映射
Entra ID(Azure AD)向导应用程序可以支持并同步您对属性表达式所做的任何更改。例如,在 Entra ID 中,您可以映射 displayName 以便它同时显示 surname 和 givenName 属性。这些变化出现在向导应用程序中。
您可以在 Microsoft 帮助站点上找到有关在 Entra ID 中映射属性表达式的更多信息。
使用下表获取有关特定 Entra ID 属性的信息。
Entra ID 不同步空值。如果您在 Entra ID 中将属性值设置为空,则它不会在 Webex 中删除或用空值修补。有关更多信息,请参阅 Microsoft 帮助站点 上的限制。
|
Entra ID 属性(来源) |
Webex 用户属性(目标) | 描述 |
|---|---|---|
|
userPrincipalName |
userName |
这是 Webex 中用户的唯一 ID。格式为电子邮件。 |
|
displayName |
displayName |
显示在应用程序上的Webex。 |
|
surname |
name.familyName |
|
|
givenName |
name.givenName |
|
|
objectId |
externalId |
这是 Entra ID 中用户的 UID。一般情况下,该字符串为 16 字节。我们建议您不要更改此映射。 |
|
jobTitle |
title |
|
|
usageLocation |
addresses[type eq "work"].country |
我们建议使用“使用分配”映射来地址 [type eq “work”].country。如果您选择其他属性,应确保属性值与标准一致。例如,美国应该是美国。中国应为 CN,以此类比。 |
|
city |
addresses[type eq "work"].locality |
|
|
streetAddress |
addresses[type eq "work"].streetAddress |
|
|
state |
addresses[type eq "work"].region |
|
|
postalCode |
addresses[type eq "work"].postalCode |
|
|
telephoneNumber |
phoneNumbers[type eq "work"].value |
|
|
mobile |
phoneNumbers[type eq "mobile"].value |
|
|
facsimileTelephoneNumber |
phoneNumbers[type eq "fax"].value |
|
|
Manager |
Manager |
将用户的经理信息同步到 Webex,以便用户始终可以在用户的联系人卡片上看到正确的经理信息。 创建用户时,Entra ID 会检查用户的管理员对象是否在 Webex Identity 中。如果不是,则忽略用户的经理属性。如果有经理属性,则必须满足两个条件,该属性才会显示在用户的联系人卡片上:
当用户的身份验证令牌过期时,这些条件会检查用户管理器属性的更新。 经理属性更改要等到用户在更改后首次登录后才会反映在用户的联系人卡片上。 |
常见问题解答
如何从 Cisco Directory Connector 配置迁移到 Entra ID(Azure AD)向导应用程序?
在安装过程中,向导应用程序会检测您的组织是否使用目录连接器。如果启用,则会出现一个对话框,您可以在其中选择使用 Entra ID 并阻止目录连接器。单击 阻止 确认您要继续 Entra ID (Azure AD) 向导应用程序配置。
您还可以选择在配置向导应用程序之前禁用目录连接器。配置后,向导应用程序管理用户配置文件。但是,向导应用程序仅管理添加到同步范围的用户;您不能使用向导应用程序来管理目录连接器同步的不属于同步范围的用户。
我可以使用 Microsoft Entra 配置单点登录吗?
您可以在 Control Hub 客户组织和使用 Microsoft Entra ID 作为身份提供者的部署之间配置单点登录 (SSO) 集成。
Webex 中的用户头像何时更新?
在 Webex Identity 中创建用户时,用户头像将同步到 Webex。此更新依赖于 Entra ID 中用户头像的更新。然后,Wizard App 从 Entra ID 中检索新的头像。
为什么同步后用户没有立即出现在 Control Hub 中的组中,如何解决这个问题?
用户和组同步是独立的过程。虽然用户同步可以单独进行,但组同步每 12 小时自动进行一次。如果用户通过组同步但未立即出现在 Control Hub 中的组中,这仍然是预期的行为。如果用户仅出现在主用户列表中,而不出现在组中,则无需采取进一步措施。只需等待下一个组同步周期完成。
当用户在 Entra ID 中被标记为不活动时,我的 Webex 组织中的该用户会发生什么情况?
Entra ID 中标记为 非活动 的用户在 Control Hub 中也会被赋予该标记。同步时会跳过非活动用户,并且不会在 Control Hub 中的任何未来更改中对其进行修改。但是,非活动用户将继续出现在您的 Control Hub 组织中,直到 您直接将其删除。
