Udostępnij za pośrednictwem

Samouczek: konfigurowanie urządzenia Box na potrzeby automatycznej aprowizacji użytkowników

  • Artykuł

Celem tego samouczka jest pokazanie kroków, które należy wykonać w usłudze Box i Microsoft Entra ID w celu automatycznego aprowizowania i anulowania aprowizacji kont użytkowników z identyfikatora Entra firmy Microsoft do urządzenia Box.

Uwaga

W tym samouczku opisano łącznik oparty na usłudze Microsoft Entra user Provisioning Service. Aby uzyskać ważne szczegółowe informacje na temat działania tej usługi, sposobu jej działania i często zadawanych pytań, zobacz Automatyzowanie aprowizacji użytkowników i anulowania aprowizacji aplikacji SaaS przy użyciu identyfikatora Entra firmy Microsoft.

Wymagania wstępne

Aby skonfigurować integrację firmy Microsoft Entra z usługą Box, potrzebne są następujące elementy:

  • Dzierżawa Microsoft Entra
  • Plan box business lub lepszy

Uwaga

Podczas testowania kroków w tym samouczku zalecamy, aby nie używać środowiska produkcyjnego.

Uwaga

Aplikacje muszą być najpierw włączone w aplikacji Box.

Uwaga

Ta integracja jest również dostępna do użycia w środowisku microsoft Entra US Government Cloud. Tę aplikację można znaleźć w galerii aplikacji microsoft Entra US Government Cloud Application Gallery i skonfigurować ją w taki sam sposób, jak w przypadku chmury publicznej.

Aby przetestować kroki w tym samouczku, musisz mieć dostęp do następujących elementów:

Przypisywanie użytkowników do usługi Box

Microsoft Entra ID używa koncepcji o nazwie "przypisania", aby określić, którzy użytkownicy powinni otrzymać dostęp do wybranych aplikacji. W kontekście automatycznej aprowizacji kont użytkowników synchronizowane są tylko użytkownicy i grupy, które zostały "przypisane" do aplikacji w usłudze Microsoft Entra ID.

Przed skonfigurowaniem i włączeniem usługi aprowizacji należy zdecydować, którzy użytkownicy i/lub grupy w identyfikatorze Entra firmy Microsoft reprezentują użytkowników, którzy potrzebują dostępu do aplikacji Box. Po podjęciu decyzji możesz przypisać tych użytkowników do aplikacji Box, postępując zgodnie z instrukcjami podanymi tutaj:

Przypisywanie użytkownika lub grupy do aplikacji dla przedsiębiorstw

Przypisywanie użytkowników i grup

Karta Użytkownicy i grupy usługi Box > w witrynie Azure Portal umożliwia określenie użytkowników i grup, którym należy udzielić dostępu do usługi Box. Przypisanie użytkownika lub grupy powoduje wystąpienie następujących czynności:

  • Microsoft Entra ID zezwala przypisanemu użytkownikowi (przez bezpośrednie przypisanie lub członkostwo w grupie) na uwierzytelnianie w usłudze Box. Jeśli użytkownik nie jest przypisany, identyfikator Entra firmy Microsoft nie zezwala im na logowanie się do urządzenia Box i zwraca błąd na stronie logowania w usłudze Microsoft Entra.

  • Kafelek aplikacji dla usługi Box jest dodawany do uruchamiania aplikacji użytkownika.

  • Jeśli włączono automatyczną aprowizację, przypisani użytkownicy i/lub grupy są dodawane do kolejki aprowizacji, aby zostały automatycznie aprowizowane.

    • Jeśli tylko obiekty użytkownika zostały skonfigurowane do aprowizacji, wszyscy bezpośrednio przypisani użytkownicy są umieszczani w kolejce aprowizacji, a wszyscy użytkownicy, którzy są członkami wszystkich przypisanych grup, są umieszczane w kolejce aprowizacji.
    • Jeśli obiekty grupy zostały skonfigurowane do aprowizacji, wszystkie przypisane obiekty grupy są aprowidowane w usłudze Box i wszystkich użytkowników, którzy są członkami tych grup. Grupy i członkostwa użytkowników są zachowywane po zapisaniu w usłudze Box.

Możesz użyć karty Atrybuty > logowania jednokrotnego, aby skonfigurować, które atrybuty użytkownika (lub oświadczenia) są prezentowane w usłudze Box podczas uwierzytelniania opartego na protokole SAML, oraz kartę Aprowizacja atrybutów atrybutów > użytkownika i grupy, aby skonfigurować przepływ atrybutów użytkownika i grupy z identyfikatora Entra firmy Microsoft do usługi Box podczas operacji aprowizacji.

Ważne porady dotyczące przypisywania użytkowników do usługi Box

  • Zaleca się, aby jeden użytkownik firmy Microsoft Entra przypisany do usługi Box przetestował konfigurację aprowizacji. Dodatkowi użytkownicy i/lub grupy mogą być przypisywani później.

  • Podczas przypisywania użytkownika do pola należy wybrać prawidłową rolę użytkownika. Rola "Dostęp domyślny" nie działa na potrzeby aprowizacji.

Włączanie automatycznej aprowizacji użytkowników

W tej sekcji opisano łączenie identyfikatora entra firmy Microsoft z interfejsem API aprowizacji kont użytkowników usługi Box oraz konfigurowanie usługi aprowizacji w celu tworzenia, aktualizowania i wyłączania przypisanych kont użytkowników w usłudze Box na podstawie przypisywania użytkowników i grup w identyfikatorze Entra firmy Microsoft.

Jeśli włączono automatyczną aprowizację, przypisani użytkownicy i/lub grupy są dodawane do kolejki aprowizacji, aby zostały automatycznie aprowizowane.

  • Jeśli tylko obiekty użytkownika są skonfigurowane do aprowizacji, bezpośrednio przypisani użytkownicy są umieszczani w kolejce aprowizacji, a wszyscy użytkownicy, którzy są członkami wszystkich przypisanych grup, są umieszczane w kolejce aprowizacji.

  • Jeśli obiekty grupy zostały skonfigurowane do aprowizacji, wszystkie przypisane obiekty grupy są aprowidowane w usłudze Box i wszystkich użytkowników, którzy są członkami tych grup. Grupy i członkostwa użytkowników są zachowywane po zapisaniu w usłudze Box.

Napiwek

Możesz również włączyć logowanie jednokrotne oparte na protokole SAML dla usługi Box, postępując zgodnie z instrukcjami podanymi w witrynie Azure Portal. Logowanie jednokrotne można skonfigurować niezależnie od automatycznej aprowizacji, chociaż te dwie funkcje się uzupełniają.

Aby skonfigurować automatyczną aprowizację konta użytkownika:

Celem tej sekcji jest przedstawienie sposobu włączania aprowizacji kont użytkowników usługi Active Directory w usłudze Box.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator aplikacji w chmurze.

  2. Przejdź do aplikacji dla przedsiębiorstw usługi Identity>Applications>.

  3. Jeśli usługa Box została już skonfigurowana do logowania jednokrotnego, wyszukaj wystąpienie usługi Box przy użyciu pola wyszukiwania. W przeciwnym razie wybierz pozycję Dodaj i wyszukaj pozycję Box w galerii aplikacji. Wybierz pozycję Box z wyników wyszukiwania i dodaj ją do swojej listy aplikacji.

  4. Wybierz swoje wystąpienie usługi Box, a następnie wybierz kartę Aprowizacja .

  5. Ustaw Tryb aprowizacji na Automatyczny.

    Screenshot of the Provisioning tab for Box in Azure portal. Provisioning Mode is set to Automatic and Authorize is highlighted in Admin Credentials.

  6. W sekcji Administracja Credentials (Poświadczenia) kliknij pozycję Authorize (Autoryzuj), aby otworzyć okno dialogowe logowania w nowym oknie przeglądarki.

  7. Na stronie Logowanie w celu udzielenia dostępu do urządzenia Box podaj wymagane poświadczenia, a następnie kliknij pozycję Autoryzuj.

    Screenshot of the Log in to grant access to box screen, showing entry for Email and Password, and the Authorize button.

  8. Kliknij pozycję Udziel dostępu do urządzenia Box , aby autoryzować tę operację i wrócić do witryny Azure Portal.

    Screenshot of the authorize access screen in Box, showing an explanatory message and the Grant access to Box button.

  9. Wybierz pozycję Test Połączenie ion, aby upewnić się, że identyfikator Entra firmy Microsoft może nawiązać połączenie z aplikacją Box. Jeśli połączenie nie powiedzie się, upewnij się, że twoje konto usługi Box ma uprawnienia team Administracja i spróbuj ponownie wykonać krok "Autoryzuj".

  10. Wprowadź adres e-mail osoby lub grupy, która powinna otrzymywać powiadomienia o błędach aprowizacji w polu Wiadomość e-mail z powiadomieniem, i zaznacz pole wyboru.

  11. Kliknij przycisk Zapisz.

  12. W sekcji Mapowania wybierz pozycję Synchronizuj użytkowników usługi Microsoft Entra z usługą Box.

  13. W sekcji Mapowania atrybutów przejrzyj atrybuty użytkownika synchronizowane z identyfikatora Entra firmy Microsoft do usługi Box. Atrybuty wybrane jako pasujące właściwości są używane do dopasowywania kont użytkowników w usłudze Box na potrzeby operacji aktualizacji. Wybierz przycisk Zapisz, aby zatwierdzić zmiany.

  14. Aby włączyć usługę aprowizacji firmy Microsoft dla usługi Box, zmień stan aprowizacji na . w sekcji Ustawienia

  15. Kliknij przycisk Zapisz.

Spowoduje to rozpoczęcie początkowej synchronizacji wszystkich użytkowników i/lub grup przypisanych do usługi Box w sekcji Użytkownicy i grupy. Synchronizacja początkowa trwa dłużej niż kolejne synchronizacje, które są wykonywane co około 40 minut, o ile usługa jest uruchomiona. Możesz użyć sekcji Szczegóły synchronizacji, aby monitorować postęp i śledzić linki do dzienników aktywności aprowizacji, które opisują wszystkie akcje wykonywane przez usługę aprowizacji w aplikacji Box.

Aby uzyskać więcej informacji na temat sposobu odczytywania dzienników aprowizacji firmy Microsoft, zobacz Raportowanie automatycznej aprowizacji konta użytkownika.

W dzierżawie usługi Box zsynchronizowani użytkownicy są wyświetlani w obszarze Użytkownicy zarządzani w konsoli Administracja.

Integration status

Dodatkowe zasoby