- 主页
- /
- 文章
在Control Hub中设置Entra ID (Azure AD)向导应用程序
在此文章中如果您在Microsoft Entra ID中管理您的用户和组,请使用Control Hub中的Entra ID (Azure AD)向导应用程序将用户和组与Webex同步。
在Control Hub中启用Entra ID
在Webex for Government中,Entra ID (Azure AD)向导应用程序适用于GCC Moderate Entra ID和GCC High Entra ID客户。
本文中介绍的一些功能尚未提供给所有客户。
开始之前
| 1 |
使用完整的管理员帐户登录Control Hub 。 | ||||||||||
| 2 |
转至组织设置 ,然后向下滚动至Microsoft Azure Active Directory向导应用程序。 | ||||||||||
| 3 |
单击 设置 开始配置。 | ||||||||||
| 4 |
(可选)对于Webex for Government Administrators,选择 Entra Worldwide 或 Entra GCC High ,然后单击Proceed。 Entra Worldwide 向GCC中级和商业级的Entra AD发送向导。Entra GCC High 将向导发送到GCC High的Entra AD。
| ||||||||||
| 5 |
验证您的Entra ID管理帐户。 如果您不是Entra ID中的全局或特权角色管理员,则可以请求访问以授予对Entra ID (Azure AD)向导应用程序的权限。 如果您在Entra ID中拥有完整的管理员权限,则可以通过转到身份 > 应用程序 > 企业应用程序来查看和授予对请求的访问权限。在活动下,选择管理员同意请求 并单击Cisco Webex Identity Integration 并选择审查权限并接受。此过程授予对Webex应用程序的通用身份验证。 最后,单击全部(预览) 选项卡,选择Cisco Webex Identity Integration ,然后单击审查应用程序。在安全 > 权限下,单击为Cisco授予管理员同意以在Control Hub中启用Entra ID的所有必要权限。 有关此流程的详细信息,请参阅 Microsoft支持 。 | ||||||||||
| 6 |
查看权限并单击接受 授予帐户授权以访问您的Entra ID租户。 Cisco Webex身份 是Entra ID中的Entra ID企业应用程序。向导应用程序连接到此应用程序以访问Entra ID图形API。访问它所需的权限是支持和使用它所需的最小权限。 
| ||||||||||
| 7 |
对于 SMB 客户,选中同步缺省值复选框 并单击继续以接受缺省 设置。对于企业客户,请转至下一步,然后继续配置。 如果您接受缺省设置,则意味着您希望:
 | ||||||||||
| 8 |
对于企业客户(超过1000名用户)或要手动配置设置的客户,单击属性 选项卡并映射属性。单击保存。 您可以将Entra ID中的其他用户属性映射到Webex,或者使用 属性 页更改现有用户属性映射。您可以通过确保正确配置来自定义映射。映射为用户名的值非常重要。Webex 使用用户的电子邮件地址作为其用户名。默认情况下,Entra ID中的USERPrincipalName (UPN)映射到Control Hub中的电子邮件地址(用户名)。 第一次设置期间不能编辑映射。此时,相应的实例构建不完全,并且没有自定义映射属性的实例。但是,您可以在设置 完成后单击编辑对其进行更改。 | ||||||||||
| 9 |
单击用户标签页将用户添加到同步 范围。 您可以输入用户名以搜索并在同步范围中添加用户。 单击保存。 如果要从Entra ID中选择所有用户,请选择选择所有用户。如果选中该组,则无需选择范围中的组,因为该选项将同时同步组。  对于拥有成 千上万用户的重要企业客户,我们建议您不要为所有用户进行选择,因为初始化过程需要很长时间。如果您不小心在 Control Hub 中同步了许多用户,删除这些用户还会花费更长时间。 单击保存。 | ||||||||||
| 10 |
在群组 选项卡上,您可以搜索单个群组并将其添加到Webex。
 | ||||||||||
| 11 |
(可选)在更多 标签页上,您可以选择配置一些高级同步选项:
| ||||||||||
| 12 |
您可以决定是否允许立即或稍后进行同步。如果选择“现在 允许” 选项,所有设置将应用于即将进行的同步。如果您选择保存 并稍后允许 选项,同步不会开始,直到您允许自动同步。  | ||||||||||
| 13 |
应用程序与Entra ID通信,以设置配置并安排同步。  |
- 活动状态:同步成功。
- 隔离:同步工作在多次失败后在Entra ID中隔离。有关更多信息,请参阅 Entra ID文档 。
- 未运行:此状态仅在首次设置后出现。首次设置后,该服务尚未运行。
您还可以单击查看摘要 以查看其他信息,例如上次同步的时间和日期,以及已同步、跳过或失败的用户数:
用户
- 已同步:显示已成功同步到Webex的用户数。
- 跳过:显示上次同步中跳过的用户数。例如,未添加到Entra ID (Azure AD)向导应用程序同步范围的Entra ID中的新用户。这些用户未同步到Webex;在同步范围中添加它们,以将其同步到Webex。
- 失败:显示无法同步的用户数。检查Entra ID应用程序设置审核日志,了解这些用户为何无法同步的更多信息。如果您需要立即同步这些用户,您可以按需提供用户。
群
- 已同步:显示已成功同步到Webex并在控制中心中创建的组数。
- 要同步:此状态表示组中的所有用户尚未添加。用户必须首先成功同步到Webex。
将现有Cisco Webex企业应用程序配置迁移到Entra ID (Azure AD)向导应用程序
如果您已在Entra ID中设置Cisco Webex企业应用程序,则可以自动将所有配置迁移到Entra ID (Azure AD)向导应用程序。您可以在Control Hub中管理所有Entra ID,而不会丢失任何以前的配置。
| 1 |
使用完整的管理员帐户登录Control Hub 。 | ||||||||||
| 2 |
转至组织设置 ,然后向下滚动至 目录同步 部分。 | ||||||||||
| 3 |
单击 设置 开始配置。 | ||||||||||
| 4 |
使用Entra ID配置验证Entra ID管理帐户。确保您使用的帐户具有下一步中描述的权限。 | ||||||||||
| 5 |
查看权限并单击接受 授予帐户授权以访问您的Entra ID租户。 Cisco Webex身份同步 是Entra ID中的Entra ID企业应用程序。向导应用程序连接到此应用程序以访问Entra ID图形API。访问所需的权限是支持和使用它所需的最低权限。
| ||||||||||
| 6 |
选择迁移现有应用程序。 | ||||||||||
| 7 |
接受其他只读权限请求后,选择要迁移到向导应用程序的现有应用程序,然后选择继续。 如果所选的现有应用程序未向相同的Control Hub提供用户,迁移将失败。 | ||||||||||
| 8 |
迁移完成后,我们建议您在启用自动同步之前进行干运行 ,以确保没有错误。 |
执行干运行
在启用自动同步之前,我们建议您先执行干运行,以确保没有错误。干运行完成后,您可以下载干运行报告以查看详细信息。报告中的可用列为:
| 列名称 | 描述 |
|---|---|
| 对象类型 | Entra ID中的对象类型,例如用户或组。 |
| 操作类型 | 同步期间将对对象执行的操作类型。可能的操作类型包括:
|
| Azure ID | Entra ID中的对象的ID。 |
| Azure名称 | 在Entra ID中对象的名称。 |
| Webex名称 | 在Webex中对象的名称。 |
| 原因 | 在同步过程中发生操作类型的原因。 |
| 1 |
使用完整的管理员帐户登录Control Hub 。 |
| 2 |
转至组织设置 ,然后向下滚动至 目录同步 部分。 |
| 3 |
单击要同步的实例旁边的三个垂直点,然后选择干运行。 |
| 4 |
干运行完成后,单击下载摘要 将报告下载为CSV文件。 |
启用或禁用自动同步
Entra ID (Azure AD)向导应用程序及其相应的后端服务检查是否启用自动同步,以确定何时将用户或组从Entra ID同步到Webex。启用自动同步以允许自动提供用户和组同步。当您禁用自动同步 时,向导应用程序不会将任何内容同步到Webex,但保留现有的配置。
通常,用户会按照Microsoft政策每40分钟 同步一次。
| 1 |
以完全权限组织管理员登录 Control Hub。 |
| 2 |
转至组织设置 ,然后向下滚动至 目录同步 部分。 |
| 3 |
将切换开关切换到右侧以启用自动 同步。 通过切换左侧的自动 同步 开关来禁用它。 |
编辑Entra ID (Azure AD)向导应用程序配置
| 1 |
使用完整的管理员帐户登录Control Hub 。 |
| 2 |
转至组织设置 ,然后向下滚动至 目录同步 部分。 |
| 3 |
单击编辑配置。  |
| 4 |
通过从源自Entra ID的左侧列中选择一个属性来自定义属性映射。“Webex 云”中的目标属性位于右列。有关映射属性的更多信息,请参阅Entra ID (Azure AD)向导应用程序属性映射 。  |
| 5 |
在用户 和 组标签 页中,从同步范围中添加或删除用户和组。 嵌套组不会自动同步到云。请确保选择要同步的组中嵌套的任何组。 |
| 6 |
如果需要, 在 更多标签页中更改首选项。 |
| 7 |
单击 Save (保存)保存修改后的配置。 您的更新将应用于下一次同步。Entra ID自动同步机制处理用户和用户组的同步工作。 |
编辑Webex实例名称
更改Cisco Webex Identity实例名称在Entra ID企业应用程序列表中显示的方式。
| 1 |
使用完整的管理员帐户登录Control Hub 。 |
| 2 |
转至组织设置 ,然后向下滚动至 目录同步 部分。 |
| 3 |
单击编辑实例名称。 |
| 4 |
输入新实例名称,然后单击保存。 |
删除Entra ID (Azure AD)向导应用程序配置
当您删除Entra ID (Azure AD)向导应用程序时,它将删除Entra ID同步的配置。Webex或Entra ID不会保留此配置。如果将来要使用Entra ID同步,则需要进行完整的重新配置。
请勿从Entra ID中删除Cisco Webex应用程序。
| 1 |
使用完整的管理员帐户登录Control Hub 。 |
| 2 |
转至组织设置 ,然后向下滚动至 目录同步 部分。 |
| 3 |
单击删除实例。 |
| 4 |
如果要从 “删除 Azure AD 实例”中删除同意协议,请选择撤销 Azure AD 管理员Webex。如果选择该选项,必须输入凭证并再次授予权限。  |
| 5 |
单击删除。 |
按需向用户提供Webex
您可以立即向Webex提供用户,独立于Entra ID同步,并立即检查结果。这有助于对设置期间的问题进行疑难解答。
| 1 |
使用完整的管理员帐户登录Control Hub 。 |
| 2 |
转至组织设置 ,向下滚动至目录同步 部分。 |
| 3 |
单击按需提供用户。 |
| 4 |
搜索并选择要提供的用户,然后单击Provision。 |
| 5 |
完成后会出现以下结果之一:
|
| 6 |
如果跳过或失败,请单击重试 以再次提供同一用户。 |
| 7 |
单击提供其他用户 返回配置页面。 |
| 8 |
完成后,单击完成 。 |
将Entra ID验证的域导入到Control Hub
客户可能在Entra ID中验证了数百个域。在与Control hub集成时,如果希望从Entra ID导入验证的域到Control Hub。这样可节省维护或设置过程的许多工作。
| 1 |
转至 Control Hub 中的“组织设置 ”标签页中的 域安全。 |
| 2 |
单击使用Entra ID添加。  |
| 3 |
在添加 已验证域 页面中,搜索并选择要添加的域。 |
| 4 |
单击添加。 已验证的域将显示在已验证的域列表中。
|
进入ID (Azure AD)向导应用程序属性映射
Entra ID (Azure AD)向导应用程序可以支持和同步对属性表达式所做的任何更改。例如,在Entra ID中,您可以映射displayName ,以便同时显示surname 和givenName 属性。这些更改会出现在向导应用程序中。
您可以在 Microsoft帮助网站上找到有关Entra ID中映射属性的更多信息。
使用下表了解特定的Entra ID属性的信息。
Entra ID不会同步空值。如果您在Entra ID中将属性值设置为null,则在Webex中不会删除或补丁null值。有关更多信息,请参阅 Microsoft帮助网站 上的限制。
|
输入ID属性(源) |
Webex 用户属性(目标) | 描述 |
|---|---|---|
|
userPrincipalName |
userName |
这是Webex中用户的唯一ID。格式为电子邮件。 |
|
displayName |
displayName |
显示在应用程序上的Webex。 |
|
surname |
name.familyName |
|
|
givenName |
name.givenName |
|
|
objectId |
externalId |
这是Entra ID中的用户UID。一般情况下,该字符串为 16 字节。我们建议您不要更改此映射。 |
|
jobTitle |
title |
|
|
usageLocation |
addresses[type eq "work"].country |
我们建议使用“使用分配”映射来地址 [type eq “work”].country。如果您选择其他属性,应确保属性值与标准一致。例如,美国应该是美国。中国应为 CN,以此类比。 |
|
city |
addresses[type eq "work"].locality |
|
|
streetAddress |
addresses[type eq "work"].streetAddress |
|
|
state |
addresses[type eq "work"].region |
|
|
postalCode |
addresses[type eq "work"].postalCode |
|
|
telephoneNumber |
phoneNumbers[type eq "work"].value |
|
|
mobile |
phoneNumbers[type eq "mobile"].value |
|
|
facsimileTelephoneNumber |
phoneNumbers[type eq "fax"].value |
|
|
Manager |
Manager |
将用户的管理器信息同步到Webex,以便用户始终能够看到用户的联系人卡上的正确管理器信息。 创建用户时,Entra ID检查用户的管理员对象是否在Webex Identity中。如果没有,将忽略用户的管理员属性。如果有管理者属性,必须满足两个条件才能在用户的联系人卡上显示属性:
当用户的身份验证令牌过期时,这些条件会检查向用户经理属性的更新。 除非用户在更改后首次登录后,经理属性更改不会反映在用户的联系人卡上。 |
常见问题解答
如何从Cisco Directory Connector配置迁移到Entra ID (Azure AD)向导应用程序?
在设置过程中,向导应用程序检测您的组织是否使用Directory Connector。如果已启用,则是一个对话框,您可以在其中选择使用Entra ID和阻止目录连接器。单击块 以确认要继续Entra ID (Azure AD)向导应用程序配置。
您还可以选择在配置向导应用程序之前禁用Directory Connector。配置完成后,向导应用程序会管理用户配置文件。但是,向导应用程序仅管理已添加到同步范围的用户;您无法使用向导应用程序管理由不属于同步范围的Directory Connector同步的用户。
我可以使用Microsoft Entra配置单点登录吗?
您可以在Control Hub客户组织和使用Microsoft Entra ID作为身份提供商的部署之间配置单点登录(SSO)集成 。
用户头像何时在Webex中更新?
当用户在Webex Identity中创建时,用户头像会同步到Webex。此更新取决于在Entra ID中更新用户的头像。然后向导应用程序从Entra ID检索新头像。
为什么用户在同步后不会立即出现在Control Hub中的组中,以及如何解决此问题?
用户和组同步是独立的进程。虽然用户同步可以单独进行,但组同步会自动每12小时进行一次。如果用户通过组同步,但未立即出现在Control Hub中的组中,这仍然是预期行为。如果用户仅出现在主用户列表中,但未出现在组中,则无需进一步操作。只需等待下一个组同步周期完成。
当用户在Entra ID中标记为非活动时,我的Webex组织中该用户会发生什么?
在Entra ID中标记为非活动 的用户也在Control Hub中指定该名称。非活动用户在同步中跳过,在Control Hub中未来任何更改都不会修改。但是,非活动用户将继续出现在您的Control Hub组织中,直到您直接删除它们。
