Samouczek: konfigurowanie urządzenia Box na potrzeby automatycznej aprowizacji użytkowników

Celem tego samouczka jest pokazanie kroków, które należy wykonać w usłudze Box i Microsoft Entra ID w celu automatycznego aprowizowania i anulowania aprowizacji kont użytkowników z identyfikatora Entra firmy Microsoft do urządzenia Box.

Uwaga

W tym samouczku opisano łącznik oparty na usłudze Microsoft Entra user Provisioning Service. Aby uzyskać ważne szczegółowe informacje na temat działania tej usługi, sposobu jej działania i często zadawanych pytań, zobacz Automatyzowanie aprowizacji użytkowników i anulowania aprowizacji aplikacji SaaS przy użyciu identyfikatora Entra firmy Microsoft.

Wymagania wstępne

Aby skonfigurować integrację firmy Microsoft Entra z usługą Box, potrzebne są następujące elementy:

• Dzierżawa Microsoft Entra
• Plan box business lub lepszy

Uwaga

Podczas testowania kroków w tym samouczku zalecamy, aby nie używać środowiska produkcyjnego.

Uwaga

Aplikacje muszą być najpierw włączone w aplikacji Box.

Uwaga

Ta integracja jest również dostępna do użycia w środowisku microsoft Entra US Government Cloud. Tę aplikację można znaleźć w galerii aplikacji microsoft Entra US Government Cloud Application Gallery i skonfigurować ją w taki sam sposób, jak w przypadku chmury publicznej.

Aby przetestować kroki w tym samouczku, musisz mieć dostęp do następujących elementów:

• Nie używaj środowiska produkcyjnego, chyba że jest to konieczne.
• Jeśli nie masz środowiska wersji próbnej firmy Microsoft Entra, możesz skorzystać z miesięcznej wersji próbnej.

Przypisywanie użytkowników do usługi Box

Microsoft Entra ID używa koncepcji o nazwie "przypisania", aby określić, którzy użytkownicy powinni otrzymać dostęp do wybranych aplikacji. W kontekście automatycznej aprowizacji kont użytkowników synchronizowane są tylko użytkownicy i grupy, które zostały "przypisane" do aplikacji w usłudze Microsoft Entra ID.

Przed skonfigurowaniem i włączeniem usługi aprowizacji należy zdecydować, którzy użytkownicy i/lub grupy w identyfikatorze Entra firmy Microsoft reprezentują użytkowników, którzy potrzebują dostępu do aplikacji Box. Po podjęciu decyzji możesz przypisać tych użytkowników do aplikacji Box, postępując zgodnie z instrukcjami podanymi tutaj:

Przypisywanie użytkownika lub grupy do aplikacji dla przedsiębiorstw

Przypisywanie użytkowników i grup

Karta Użytkownicy i grupy usługi Box > w witrynie Azure Portal umożliwia określenie użytkowników i grup, którym należy udzielić dostępu do usługi Box. Przypisanie użytkownika lub grupy powoduje wystąpienie następujących czynności:

• Microsoft Entra ID zezwala przypisanemu użytkownikowi (przez bezpośrednie przypisanie lub członkostwo w grupie) na uwierzytelnianie w usłudze Box. Jeśli użytkownik nie jest przypisany, identyfikator Entra firmy Microsoft nie zezwala im na logowanie się do urządzenia Box i zwraca błąd na stronie logowania w usłudze Microsoft Entra.

• Kafelek aplikacji dla usługi Box jest dodawany do uruchamiania aplikacji użytkownika.

• Jeśli włączono automatyczną aprowizację, przypisani użytkownicy i/lub grupy są dodawane do kolejki aprowizacji, aby zostały automatycznie aprowizowane.

  • Jeśli tylko obiekty użytkownika zostały skonfigurowane do aprowizacji, wszyscy bezpośrednio przypisani użytkownicy są umieszczani w kolejce aprowizacji, a wszyscy użytkownicy, którzy są członkami wszystkich przypisanych grup, są umieszczane w kolejce aprowizacji.
  • Jeśli obiekty grupy zostały skonfigurowane do aprowizacji, wszystkie przypisane obiekty grupy są aprowidowane w usłudze Box i wszystkich użytkowników, którzy są członkami tych grup. Grupy i członkostwa użytkowników są zachowywane po zapisaniu w usłudze Box.

Możesz użyć karty Atrybuty > logowania jednokrotnego, aby skonfigurować, które atrybuty użytkownika (lub oświadczenia) są prezentowane w usłudze Box podczas uwierzytelniania opartego na protokole SAML, oraz kartę Aprowizacja atrybutów atrybutów > użytkownika i grupy, aby skonfigurować przepływ atrybutów użytkownika i grupy z identyfikatora Entra firmy Microsoft do usługi Box podczas operacji aprowizacji.

Ważne porady dotyczące przypisywania użytkowników do usługi Box

• Zaleca się, aby jeden użytkownik firmy Microsoft Entra przypisany do usługi Box przetestował konfigurację aprowizacji. Dodatkowi użytkownicy i/lub grupy mogą być przypisywani później.

• Podczas przypisywania użytkownika do pola należy wybrać prawidłową rolę użytkownika. Rola "Dostęp domyślny" nie działa na potrzeby aprowizacji.

Włączanie automatycznej aprowizacji użytkowników

W tej sekcji opisano łączenie identyfikatora entra firmy Microsoft z interfejsem API aprowizacji kont użytkowników usługi Box oraz konfigurowanie usługi aprowizacji w celu tworzenia, aktualizowania i wyłączania przypisanych kont użytkowników w usłudze Box na podstawie przypisywania użytkowników i grup w identyfikatorze Entra firmy Microsoft.

Jeśli włączono automatyczną aprowizację, przypisani użytkownicy i/lub grupy są dodawane do kolejki aprowizacji, aby zostały automatycznie aprowizowane.

• Jeśli tylko obiekty użytkownika są skonfigurowane do aprowizacji, bezpośrednio przypisani użytkownicy są umieszczani w kolejce aprowizacji, a wszyscy użytkownicy, którzy są członkami wszystkich przypisanych grup, są umieszczane w kolejce aprowizacji.

• Jeśli obiekty grupy zostały skonfigurowane do aprowizacji, wszystkie przypisane obiekty grupy są aprowidowane w usłudze Box i wszystkich użytkowników, którzy są członkami tych grup. Grupy i członkostwa użytkowników są zachowywane po zapisaniu w usłudze Box.

Napiwek

Możesz również włączyć logowanie jednokrotne oparte na protokole SAML dla usługi Box, postępując zgodnie z instrukcjami podanymi w witrynie Azure Portal. Logowanie jednokrotne można skonfigurować niezależnie od automatycznej aprowizacji, chociaż te dwie funkcje uzupełniają się wzajemnie.

Aby skonfigurować automatyczną aprowizację konta użytkownika:

Celem tej sekcji jest przedstawienie sposobu włączania aprowizacji kont użytkowników usługi Active Directory w usłudze Box.

1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator aplikacji w chmurze.

2. Przejdź do aplikacji dla przedsiębiorstw usługi Identity>Applications>.

3. Jeśli usługa Box została już skonfigurowana do logowania jednokrotnego, wyszukaj wystąpienie usługi Box przy użyciu pola wyszukiwania. W przeciwnym razie wybierz pozycję Dodaj i wyszukaj pozycję Box w galerii aplikacji. Wybierz pozycję Box z wyników wyszukiwania i dodaj ją do swojej listy aplikacji.

4. Wybierz swoje wystąpienie usługi Box, a następnie wybierz kartę Aprowizacja .

5. Ustaw Tryb aprowizacji na Automatyczny.

   

6. W sekcji Poświadczenia administratora kliknij pozycję Autoryzuj, aby otworzyć okno dialogowe logowania w nowym oknie przeglądarki.

7. Na stronie Logowanie w celu udzielenia dostępu do urządzenia Box podaj wymagane poświadczenia, a następnie kliknij pozycję Autoryzuj.

   

8. Kliknij pozycję Udziel dostępu do urządzenia Box , aby autoryzować tę operację i wrócić do witryny Azure Portal.

   

9. Wybierz pozycję Testuj połączenie , aby upewnić się, że identyfikator Entra firmy Microsoft może nawiązać połączenie z aplikacją Box. Jeśli połączenie nie powiedzie się, upewnij się, że twoje konto usługi Box ma uprawnienia administratora zespołu i spróbuj ponownie wykonać krok "Autoryzuj".

10. Wprowadź adres e-mail osoby lub grupy, która powinna otrzymywać powiadomienia o błędach aprowizacji w polu Wiadomość e-mail z powiadomieniem, i zaznacz pole wyboru.

11. Kliknij przycisk Zapisz.

12. W sekcji Mapowania wybierz pozycję Synchronizuj użytkowników usługi Microsoft Entra z usługą Box.

13. W sekcji Mapowania atrybutów przejrzyj atrybuty użytkownika synchronizowane z identyfikatora Entra firmy Microsoft do usługi Box. Atrybuty wybrane jako pasujące właściwości są używane do dopasowywania kont użytkowników w usłudze Box na potrzeby operacji aktualizacji. Wybierz przycisk Zapisz, aby zatwierdzić zmiany.

14. Aby włączyć usługę aprowizacji firmy Microsoft dla usługi Box, zmień stan aprowizacji na Wł . w sekcji Ustawienia

15. Kliknij przycisk Zapisz.

Spowoduje to rozpoczęcie początkowej synchronizacji wszystkich użytkowników i/lub grup przypisanych do usługi Box w sekcji Użytkownicy i grupy. Synchronizacja początkowa trwa dłużej niż kolejne synchronizacje, które są wykonywane co około 40 minut, o ile usługa jest uruchomiona. Możesz użyć sekcji Szczegóły synchronizacji, aby monitorować postęp i śledzić linki do dzienników aktywności aprowizacji, które opisują wszystkie akcje wykonywane przez usługę aprowizacji w aplikacji Box.

Aby uzyskać więcej informacji na temat sposobu odczytywania dzienników aprowizacji firmy Microsoft, zobacz Raportowanie automatycznej aprowizacji konta użytkownika.

W dzierżawie usługi Box zsynchronizowani użytkownicy są wyświetlani w obszarze Użytkownicy zarządzani w konsoli administracyjnej.

Dodatkowe zasoby

• Zarządzanie aprowizacją kont użytkowników w aplikacjach dla przedsiębiorstw
• Co to jest dostęp do aplikacji i logowanie jednokrotne przy użyciu identyfikatora Microsoft Entra ID?
• Konfigurowanie logowania jednokrotnego