Konfiguracja usługi Box do automatycznego przydzielania użytkowników

Celem tego artykułu jest pokazanie kroków, które należy wykonać w usłudze Box i Microsoft Entra ID w celu automatycznego tworzenia i usuwania kont użytkowników z Microsoft Entra ID do usługi Box.

Uwaga

W tym artykule opisano łącznik oparty na usłudze Microsoft Entra user Provisioning Service. Aby uzyskać ważne szczegółowe informacje na temat działania tej usługi, sposobu jej działania i często zadawanych pytań, zobacz Automatyzowanie aprowizacji użytkowników i anulowania aprowizacji aplikacji SaaS przy użyciu identyfikatora Entra firmy Microsoft.

Wymagania wstępne

Aby skonfigurować integrację firmy Microsoft Entra z usługą Box, potrzebne są następujące elementy:

• Tenant Microsoft Entra
• Plan box business lub lepszy

Uwaga

Podczas testowania kroków opisanych w tym artykule zalecamy, aby nie używać środowiska produkcyjnego.

Uwaga

Aplikacje muszą być najpierw włączone w aplikacji Box.

Uwaga

Ta integracja jest również dostępna do użycia w środowisku microsoft Entra US Government Cloud. Tę aplikację można znaleźć w galerii aplikacji microsoft Entra US Government Cloud Application Gallery i skonfigurować ją w taki sam sposób, jak w przypadku chmury publicznej.

Aby przetestować kroki opisane w tym artykule, wykonaj następujące zalecenia:

• nie używaj środowiska produkcyjnego, chyba że jest to konieczne.
• Jeśli nie masz środowiska wersji próbnej firmy Microsoft Entra, możesz skorzystać z miesięcznej wersji próbnej.

Przypisywanie użytkowników do usługi Box

Microsoft Entra ID używa koncepcji o nazwie "przypisania", aby określić, którzy użytkownicy powinni otrzymać dostęp do wybranych aplikacji. W kontekście automatycznej aprowizacji kont użytkowników synchronizowane są tylko użytkownicy i grupy, które zostały "przypisane" do aplikacji w usłudze Microsoft Entra ID.

Przed skonfigurowaniem i włączeniem usługi aprowizacji należy zdecydować, którzy użytkownicy i/lub grupy w identyfikatorze Entra firmy Microsoft reprezentują użytkowników, którzy potrzebują dostępu do aplikacji Box. Po podjęciu decyzji możesz przypisać tych użytkowników do aplikacji Box, postępując zgodnie z instrukcjami podanymi tutaj:

Przypisywanie użytkownika lub grupy do aplikacji dla przedsiębiorstw

Przypisywanie użytkowników i grup

Karta > usługi Box w witrynie Azure Portal umożliwia określenie użytkowników i grup, którym należy udzielić dostępu do usługi Box. Przypisanie użytkownika lub grupy powoduje wystąpienie następujących czynności:

• Microsoft Entra ID zezwala przypisanemu użytkownikowi (przez bezpośrednie przypisanie lub członkostwo w grupie) na uwierzytelnianie w usłudze Box. Jeśli użytkownik nie jest przypisany, identyfikator Entra firmy Microsoft nie zezwala im na logowanie się do usługi Box i zwraca błąd na stronie logowania w usłudze Microsoft Entra.

• Kafelek aplikacji dla usługi Box jest dodawany do uruchamiania aplikacji użytkownika.

• Jeśli włączono automatyczną aprowizację, przypisani użytkownicy i/lub grupy są dodawane do kolejki aprowizacji, aby zostały automatycznie aprowizowane.

  • Jeśli tylko obiekty użytkowników zostały skonfigurowane do aprowizacji, wszyscy bezpośrednio przypisani użytkownicy są umieszczani w kolejce aprowizacji, a wszyscy użytkownicy, którzy są członkami dowolnych przypisanych grup, są umieszczani w kolejce aprowizacji.
  • Jeśli obiekty grupy zostały skonfigurowane do aprowizacji, wszystkie przypisane obiekty grupy są wdrażane w usłudze Box, oraz wszyscy użytkownicy, którzy są członkami tych grup. Grupy i członkostwa użytkowników są zachowywane po zapisaniu w usłudze Box.

Możesz użyć karty Atrybuty > logowanie jednokrotne, aby skonfigurować, które atrybuty użytkownika (lub oświadczenia) są prezentowane w usłudze Box podczas uwierzytelniania opartego na protokole SAML, oraz karty Atrybuty > Aprowizacji, aby skonfigurować, jak atrybuty użytkowników i grupy przepływają z Microsoft Entra ID do usługi Box podczas operacji aprowizacji.

Ważne porady dotyczące przypisywania użytkowników do usługi Box

• Zaleca się, aby jeden użytkownik firmy Microsoft Entra przypisany do usługi Box przetestował konfigurację aprowizacji. Dodatkowi użytkownicy i/lub grupy mogą być przypisywani później.

• Podczas przypisywania użytkownika do pola należy wybrać prawidłową rolę użytkownika. Rola "Dostęp domyślny" nie działa w kontekście udostępniania zasobów.

Włącz automatyczne nadawanie uprawnień użytkownikom.

W tej sekcji opisano łączenie identyfikatora entra firmy Microsoft z interfejsem API aprowizacji kont użytkowników usługi Box oraz konfigurowanie usługi aprowizacji w celu tworzenia, aktualizowania i wyłączania przypisanych kont użytkowników w usłudze Box na podstawie przypisywania użytkowników i grup w identyfikatorze Entra firmy Microsoft.

Jeśli włączono automatyczną aprowizację, przypisani użytkownicy i/lub grupy są dodawane do kolejki aprowizacji, aby zostały automatycznie aprowizowane.

• Jeśli tylko obiekty użytkownika są skonfigurowane do aprowizacji, bezpośrednio przypisani użytkownicy są umieszczani w kolejce aprowizacji, a wszyscy użytkownicy, którzy są członkami którejkolwiek z przypisanych grup, są umieszczani w kolejce aprowizacji.

• Jeśli obiekty grupy zostały skonfigurowane do aprowizacji, to wszystkie przypisane obiekty grupy oraz wszyscy użytkownicy będący członkami tych grup są przetwarzane w usłudze Box. Grupy i członkostwa użytkowników są zachowywane po zapisaniu w usłudze Box.

Napiwek

Możesz również włączyć logowanie jednokrotne oparte na protokole SAML dla usługi Box, postępując zgodnie z instrukcjami podanymi w witrynie Azure Portal. Logowanie jednokrotne można skonfigurować niezależnie od automatycznej aprowizacji, chociaż te dwie funkcje uzupełniają się wzajemnie.

Aby skonfigurować automatyczną aprowizację konta użytkownika:

Celem tej sekcji jest przedstawienie sposobu umożliwienia aprowizacji kont użytkowników Active Directory do usługi Box.

1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator aplikacji w chmurze.

2. Przejdź do Identity>Applications>aplikacje dla przedsiębiorstw.

3. Jeśli usługa Box została już skonfigurowana do logowania jednokrotnego, wyszukaj wystąpienie usługi Box przy użyciu pola wyszukiwania. W przeciwnym razie wybierz pozycję Dodaj i wyszukaj pozycję Box w galerii aplikacji. Wybierz pozycję Box z wyników wyszukiwania i dodaj ją do swojej listy aplikacji.

4. Wybierz swoje wystąpienie usługi Box, a następnie wybierz kartę Provisioning.

5. Ustaw tryb aprowizacji na automatyczny.

   

6. W sekcji Poświadczenia administratora wybierz Autoryzuj, aby otworzyć okno dialogowe logowania w nowym oknie przeglądarki.

7. Na stronie Logowanie w celu udzielenia dostępu do urządzenia Box podaj wymagane poświadczenia, a następnie wybierz pozycję Autoryzuj.

   

8. Wybierz pozycję Udziel dostępu do urządzenia Box, aby autoryzować tę operację i wrócić do witryny Azure Portal.

   

9. Wybierz pozycję Testuj połączenie , aby upewnić się, że identyfikator Entra firmy Microsoft może nawiązać połączenie z aplikacją Box. Jeśli połączenie nie powiedzie się, upewnij się, że twoje konto usługi Box ma uprawnienia administratora zespołu i spróbuj ponownie wykonać krok "Autoryzuj".

10. Wprowadź adres e-mail osoby lub grupy, która powinna otrzymywać powiadomienia o błędach aprowizacji w polu Wiadomość e-mail z powiadomieniem, i zaznacz pole wyboru.

11. Wybierz pozycję Zapisz.

12. W sekcji Mapowania wybierz pozycję Synchronizuj użytkowników usługi Microsoft Entra z usługą Box.

13. W sekcji Mapowania atrybutów przejrzyj atrybuty użytkownika synchronizowane z identyfikatora Entra firmy Microsoft do usługi Box. Atrybuty wybrane jako pasujące właściwości są używane do dopasowywania kont użytkowników w usłudze Box na potrzeby operacji aktualizacji. Wybierz przycisk Zapisz, aby zatwierdzić zmiany.

14. Aby włączyć usługę aprowizacji firmy Microsoft dla usługi Box, zmień Status aprowizacji na Wł w sekcji Ustawienia.

15. Wybierz pozycję Zapisz.

Spowoduje to rozpoczęcie początkowej synchronizacji wszystkich użytkowników i/lub grup przypisanych do usługi Box w sekcji Użytkownicy i grupy. Synchronizacja początkowa trwa dłużej niż kolejne synchronizacje, które są wykonywane co około 40 minut, o ile usługa jest uruchomiona. Możesz użyć sekcji Szczegóły synchronizacji, aby monitorować postęp i śledzić linki do dzienników aktywności udostępniania, które opisują wszystkie akcje wykonywane przez usługę udostępniania w aplikacji Box.

Aby uzyskać więcej informacji na temat sposobu odczytywania logów udostępniania kont użytkowników w Entra firmy Microsoft, zobacz Raportowanie automatycznego udostępniania kont użytkowników.

W dzierżawie usługi Box zsynchronizowani użytkownicy są wyświetlani w obszarze Użytkownicy zarządzani w konsoli administracyjnej.

Dodatkowe zasoby

• Zarządzanie aprowizacją kont użytkowników w aplikacjach dla przedsiębiorstw
• Co to jest dostęp do aplikacji i logowanie jednokrotne przy użyciu identyfikatora Microsoft Entra ID?
• Konfigurowanie logowania jednokrotnego