Zelfstudie: Workplace from Meta configureren voor automatische inrichting van gebruikers

In deze zelfstudie worden de stappen beschreven die u moet uitvoeren in zowel Workplace from Meta als Microsoft Entra ID om automatische inrichting van gebruikers te configureren. Wanneer de configuratie is geconfigureerd, wordt met Microsoft Entra ID gebruikers automatisch ingericht en de inrichting ongedaan gemaakt van Workplace vanuit Meta met behulp van de Microsoft Entra-inrichtingsservice. Voor belangrijke informatie over wat deze service doet, hoe deze werkt en veelgestelde vragen, raadpleegt u Automate user provisioning and deprovisioning to SaaS applications with Microsoft Entra ID.

Ondersteunde mogelijkheden

• Gebruikers maken in Workplace van Meta
• Gebruikers in Workplace verwijderen uit Meta wanneer ze geen toegang meer nodig hebben
• Gebruikerskenmerken gesynchroniseerd houden tussen Microsoft Entra ID en Workplace vanuit Meta
• Eenmalige aanmelding bij Workplace vanuit Meta (aanbevolen)

Vereisten

In het scenario dat in deze zelfstudie wordt beschreven, wordt ervan uitgegaan dat u al beschikt over de volgende vereisten:

• Een Microsoft Entra-tenant
• Een van de volgende rollen: Application Beheer istrator, Cloud Application Beheer istrator of Toepassingseigenaar.
• Een abonnement op Workplace from Meta waarvoor eenmalige aanmelding is ingeschakeld

Notitie

Als u de stappen in deze zelfstudie wilt testen, is het raadzaam om niet de productieomgeving te gebruiken.

Notitie

Deze integratie is ook beschikbaar voor gebruik vanuit de Microsoft Entra US Government Cloud-omgeving. U vindt deze toepassing in de Microsoft Entra US Government Cloud Application Gallery en configureert deze op dezelfde manier als vanuit de openbare cloud.

Volg deze aanbevelingen als u de stappen in deze zelfstudie wilt testen:

• Gebruik uw productieomgeving niet, tenzij dit nodig is.
• Als u geen proefversie van Microsoft Entra hebt, kunt u hier een proefabonnement van één maand krijgen.

Stap 1: De implementatie van uw inrichting plannen

1. Lees hoe de inrichtingsservice werkt.
2. Bepaal wie u wilt opnemen in het bereik voor inrichting.
3. Bepaal welke gegevens moeten worden toegewezen tussen Microsoft Entra ID en Workplace van Meta.

Stap 2: Workplace from Meta configureren ter ondersteuning van inrichting met Microsoft Entra-id

Voordat u de inrichtingsservice configureert en inschakelt, moet u beslissen welke gebruikers in Microsoft Entra ID de gebruikers vertegenwoordigen die toegang nodig hebben tot uw werkplek vanuit de meta-app. Als u dit eenmaal hebt besloten, kunt u deze gebruikers vanuit de meta-app aan uw werkplek toewijzen door de instructies hier te volgen:

• Het wordt aanbevolen om één Microsoft Entra-gebruiker toe te wijzen aan Workplace van Meta om de inrichtingsconfiguratie te testen. Er kunnen later meer gebruikers worden toegewezen.

• Wanneer u een gebruiker toewijst aan Workplace vanuit Meta, moet u een geldige gebruikersrol selecteren. De rol Standaardtoegang werkt niet voor inrichting.

Stap 3: Workplace from Meta toevoegen vanuit de Microsoft Entra-toepassingsgalerie

Voeg Workplace from Meta toe vanuit de galerie met Microsoft Entra-toepassingen om te beginnen met het inrichten voor Workplace vanuit Meta. Als u Workplace eerder hebt ingesteld vanuit Meta voor eenmalige aanmelding, kunt u dezelfde toepassing gebruiken. Het is echter raadzaam een afzonderlijke app te maken wanneer u de integratie voor het eerst test. Klik hier voor meer informatie over het toevoegen van een toepassing uit de galerie.

Stap 4: Bepalen wie er allemaal in aanmerking komen voor inrichting

Met de Microsoft Entra-inrichtingsservice kunt u bepalen wie wordt ingericht op basis van toewijzing aan de toepassing en of op basis van kenmerken van de gebruiker/groep. Als u ervoor kiest om te bepalen wie wordt ingericht voor uw app op basis van toewijzing, kunt u de volgende stappen gebruiken om gebruikers aan de toepassing toe te wijzen. Als u ervoor kiest om uitsluitend te bepalen wie wordt ingericht op basis van kenmerken van de gebruiker of groep, kunt u een bereikfilter gebruiken zoals hier wordt beschreven.

• Begin klein. Test de toepassing met een kleine set gebruikers en groepen voordat u de toepassing naar iedereen uitrolt. Wanneer het bereik voor inrichting is ingesteld op toegewezen gebruikers en groepen, kunt u dit beheren door een of twee gebruikers of groepen aan de app toe te wijzen. Wanneer het bereik is ingesteld op alle gebruikers en groepen, kunt u een bereikfilter op basis van kenmerken opgeven.

• Als u extra rollen nodig hebt, dan kunt u het toepassingsmanifest bijwerken om nieuwe rollen toe te voegen.

Stap 5: Automatische inrichting van gebruikers configureren voor Workplace vanuit Meta

In deze sectie wordt u begeleid bij de stappen voor het configureren van de Microsoft Entra-inrichtingsservice voor het maken, bijwerken en uitschakelen van gebruikers in Workplace vanuit Meta App op basis van gebruikerstoewijzingen in Microsoft Entra ID.

1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een cloudtoepassing Beheer istrator.

2. Bladeren naar Bedrijfstoepassingen voor identiteitstoepassingen>>

   

3. Selecteer Workplace in Meta in de lijst met toepassingen.

   

4. Selecteer het tabblad Inrichten.

   

5. Stel Inrichtingsmodus in op Automatisch.

   

6. Zorg ervoor dat de sectie Tenant-URL is gevuld met het juiste eindpunt: https://scim.workplace.com/. Klik onder de sectie Referenties voor beheerder op Autoriseren. U wordt omgeleid naar Workplace vanaf de autorisatiepagina van Meta. Voer uw Werkplek in vanuit meta-gebruikersnaam en klik op de knop Doorgaan . Klik op Test Verbinding maken ion om ervoor te zorgen dat Microsoft Entra ID vanuit Meta verbinding kan maken met Workplace. Als de verbinding mislukt, controleert u of uw Workplace from Meta-account Beheer machtigingen heeft en probeer het opnieuw.

   

   

   Notitie

   Als u de URL niet wijzigt in https://scim.workplace.com/, treedt er een fout op bij het opslaan van de configuratie

7. Voer in het veld E-mailadres voor meldingen het e-mailadres in van een persoon of groep die de inrichtingsfoutmeldingen zou moeten ontvangen en schakel het selectievakje Een e-mailmelding verzenden als een fout optreedt in.

   

8. Selecteer Opslaan.

9. Selecteer in de sectie Toewijzingen Microsoft Entra-gebruikers synchroniseren met Workplace vanuit Meta.

10. Controleer in de sectie Kenmerktoewijzing de gebruikerskenmerken die vanuit Microsoft Entra-id met Workplace naar Workplace worden gesynchroniseerd. De kenmerken die als overeenkomende eigenschappen zijn geselecteerd, worden gebruikt om de gebruikersaccounts in Workplace uit Meta te vinden voor updatebewerkingen. Als u ervoor kiest om het overeenkomende doelkenmerk te wijzigen, moet u ervoor zorgen dat workplace van meta-API het filteren van gebruikers op basis van dat kenmerk ondersteunt. Selecteer de knop Opslaan om eventuele wijzigingen door te voeren.

    Kenmerk	Type
    gebruikersnaam	String
    displayName	String
    actief	Booleaanse waarde
    title	Booleaanse waarde
    emails[type eq "work"].value	String
    name.givenName	String
    name.familyName	String
    name.formatted	String
    addresses[type eq "work"].formatted	String
    addresses[type eq "work"].streetAddress	String
    addresses[type eq "work"].locality	String
    addresses[type eq "work"].region	String
    addresses[type eq "work"].country	String
    addresses[type eq "work"].postalCode	String
    addresses[type eq "other"].formatted	String
    phoneNumbers[type eq "work"].value	String
    phoneNumbers[type eq "mobile"].value	String
    phoneNumbers[type eq "fax"].value	String
    externalId	String
    preferredLanguage	String
    urn:scim:schemas:extension:enterprise:1.0.manager	String
    urn:scim:schemas:extension:enterprise:1.0.department	String
    urn:scim:schemas:extension:enterprise:1.0.division	String
    urn:scim:schemas:extension:enterprise:1.0.organization	String
    urn:scim:schemas:extension:enterprise:1.0.costCenter	String
    urn:scim:schemas:extension:enterprise:1.0.employeeNumber	String
    urn:scim:schemas:extension:facebook:auth_method:1.0:auth_method	String
    urn:scim:schemas:extension:facebook:frontline:1.0.is_frontline	Booleaanse waarde
    urn:scim:schemas:extension:facebook:starttermdates:1.0.startDate	Geheel getal

11. Als u bereikfilters wilt configureren, raadpleegt u de volgende instructies in de zelfstudie Bereikfilter.

12. Als u de Microsoft Entra-inrichtingsservice voor Workplace wilt inschakelen van Meta, wijzigt u de inrichtingsstatus in Aan in de sectie Instellingen.

    

13. Definieer de gebruikers die u wilt inrichten voor Workplace vanuit Meta door de juiste waarden te kiezen in Bereik in de sectie Instellingen.

    

14. Wanneer u klaar bent om in te richten, klikt u op Opslaan.

    

Met deze bewerking wordt de eerste synchronisatiecyclus gestart van alle gebruikers die zijn gedefinieerd in Bereik in de sectie Instellingen. De eerste cyclus duurt langer dan volgende cycli, die ongeveer om de 40 minuten plaatsvinden zolang de Microsoft Entra-inrichtingsservice wordt uitgevoerd.

Stap 6: Uw implementatie controleren

Nadat u het inrichten hebt geconfigureerd, gebruikt u de volgende resources om uw implementatie te bewaken:

1. Gebruik de inrichtingslogboeken om te bepalen welke gebruikers al dan niet met succes zijn ingericht
2. Bekijk op de voortgangsbalk de status van de inrichtingscyclus om te zien of deze al bijna is voltooid
3. Als het configureren van de inrichting een foutieve status lijkt te hebben, wordt de toepassing in quarantaine geplaatst. Klik hier voor meer informatie over quarantainestatussen.

Tips voor probleemoplossing

• Als u ziet dat een gebruiker niet is gemaakt en er een auditlogboekgebeurtenis is met de code '1789003', betekent dit dat de gebruiker afkomstig is van een niet-geverifieerd domein.
• Er zijn gevallen waarin gebruikers deze fout krijgen: 'FOUT: ontbrekend e-mailveld: u moet een e-mail opgeven, Facebook heeft een fout geretourneerd: verwerken van de HTTP-aanvraag heeft geresulteerd in een uitzondering. Bekijk het HTTP-antwoord dat is geretourneerd door de eigenschap 'Antwoord' van deze uitzondering voor meer informatie. Deze bewerking is nul keer opnieuw geprobeerd. Het wordt na deze datum opnieuw geprobeerd.' Deze fout wordt veroorzaakt door klanten die e-mail toewijzen aan Facebook-e-mail, in plaats van userPrincipalName, maar sommige gebruikers hebben geen e-mailkenmerk. Om fouten te voorkomen en de mislukte gebruikers in te richten op Workplace van Facebook, wijzigt u de kenmerktoewijzing aan de Workplace van Facebook-e-mail in Coalesce([mail],[userPrincipalName]), of verwijdert u de gebruiker uit Workplace van Facebook, of richt u een e-mailadres in voor de gebruiker.
• Er is een optie in Workplace, waarmee gebruikers zonder e-mailadressen kunnen bestaan . Als deze instelling aan de zijde van de werkplek wordt ingeschakeld, moet het inrichten aan de Azure-zijde opnieuw worden gestart, zodat gebruikers zonder e-mail kunnen worden gemaakt in Workplace.

Een Werkplek van metatoepassing bijwerken om de werkplek te gebruiken vanuit meta-SCIM 2.0-eindpunt

In december 2021 heeft Facebook een SCIM 2.0-connector uitgebracht. Als u de onderstaande stappen uitvoert, worden toepassingen die zijn geconfigureerd voor gebruik van het SCIM1.0-eindpunt, bijgewerkt voor gebruik van het SCIM 2.0-eindpunt. Met deze stappen worden alle aanpassingen die eerder zijn aangebracht in de Werkplek uit de Meta-toepassing verwijderd, waaronder:

• Verificatiedetails
• Bereikfilters
• Aangepaste kenmerktoewijzingen

Notitie

Let op: noteer wijzigingen die zijn aangebracht in de bovenstaande instellingen voordat u de onderstaande stappen uitvoert. Als u dit niet doet, gaan aangepaste instellingen verloren.

1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een cloudtoepassing Beheer istrator.

2. Blader vanuit Meta naar De werkplek voor bedrijfstoepassingen voor identiteitstoepassingen>>>.

3. Kopieer de object-id in de sectie Eigenschappen van uw nieuwe aangepaste app.

   

4. Ga in een nieuw browservenster naar en meld u aan https://developer.microsoft.com/graph/graph-explorer als beheerder voor de Microsoft Entra-tenant waar uw app wordt toegevoegd.

   

5. Controleer of het gebruikte account de juiste machtigingen heeft. De machtiging 'Directory.ReadWrite.All' is vereist om deze wijziging aan te brengen.

   

   

6. Voer de volgende opdracht uit met behulp van de object-id die u eerder hebt geselecteerd in de app:

   GET https://graph.microsoft.com/beta/servicePrincipals/[object-id]/synchronization/jobs/
   

7. Gebruik de id-waarde uit de antwoordtekst van de GET-aanvraag hierboven en voer de onderstaande opdracht uit waarbij u [job-id] vervangt door de id-waarde uit de GET-aanvraag. De waarde moet de notatie 'FacebookAtWorkOutDelta.xxxxxxxxxxx.xxxxxxxxxxxxxxxxx' hebben:

   DELETE https://graph.microsoft.com/beta/servicePrincipals/[object-id]/synchronization/jobs/[job-id]
   

8. Voer de onderstaande opdracht uit in Graph Explorer. Vervang [object-id] door de service-principal-id (object-id) die u uit de derde stap hebt gekopieerd.

   POST https://graph.microsoft.com/beta/servicePrincipals/[object-id]/synchronization/jobs { "templateId": "FacebookWorkplace" }
   

   

9. Ga terug naar het eerste browservenster en selecteer het tabblad Inrichten voor uw toepassing. De configuratie is opnieuw ingesteld. U kunt bevestigen dat de upgrade is uitgevoerd door te bevestigen dat de taak-id begint met 'FacebookWorkplace'.

10. Voer in de sectie Referenties voor beheerder de tenant-URL bij naar het volgende: https://scim.workplace.com/

    

11. Herstel eventuele eerdere wijzigingen die u hebt aangebracht in de toepassing (verificatiedetails, bereikfilters, aangepaste kenmerktoewijzingen) en schakel de inrichting opnieuw in.

    Notitie

    Als u de vorige instellingen niet herstelt, kan dit ertoe leiden dat kenmerken (bijvoorbeeld name.formatted) onverwacht worden bijgewerkt in Workplace. Controleer de configuratie voordat u inrichting inschakelt

Wijzigingenlogboek

• 10-09-2020 Ondersteuning toegevoegd voor de enterprise-kenmerken 'division', 'organization', 'costCenter' en 'employeeNumber'. Ondersteuning toegevoegd voor aangepaste kenmerken 'startDate', 'auth_method' en 'frontline'.
• 22-07-2021 - De tips voor probleemoplossing voor klanten bijgewerkt met een toewijzing van e-mail aan Facebook-e-mail, maar sommige gebruikers hebben geen e-mailkenmerk.

Meer resources

• Gebruikersaccountinrichting voor zakelijke apps beheren
• Wat is toegang tot toepassingen en eenmalige aanmelding met Microsoft Entra ID?

Volgende stappen

• Meer informatie over het controleren van logboeken en het ophalen van rapporten over de inrichtingsactiviteit