当Viva Engage成为组织的核心服务时,用户需要像任何其他Microsoft 365 服务一样无缝登录。
若要简化用户管理,请在 Viva Engage 中强制实施 Microsoft 365 标识,以便为所有用户维护单个标识。 可以轻松实现 Microsoft 365 的单一登录 (SSO) 功能,包括Viva Engage。 这样做还可以简化用户登录到Viva Engage及其所有其他应用的体验。
SSO 要求Viva Engage管理员配置以下功能:
- 密码哈希同步 - 直通身份验证或Microsoft Entra ID。
运作方式
以程图显示了当用户登录到Viva Engage时会发生什么情况。
下面是用户的登录体验的帐户:
用户尝试登录到Viva Engage,并获取登录对话框。
用户输入其电子邮件地址。
强制实施 Microsoft 365 标识时,用户只需使用其 Microsoft 365 标识登录。 如果 Microsoft 365 租户实现了 联合标识模型,则用户像对所有其他 Microsoft 365 应用一样使用 SSO。
如果未强制实施 Microsoft 365 标识,则用户登录会更加复杂,因为它们不使用 SSO:
- 如果他们的电子邮件地址对应于 Microsoft 365 帐户,则可以使用其 Microsoft 365 标识登录;
- 如果电子邮件地址与 Microsoft 365 帐户不对应,则使用其Viva Engage标识登录。
下表比较了强制实施 Microsoft 365 标识或未强制实施的用户登录行为。 默认情况下,不强制Microsoft 365 标识。
| 是否强制执行 Microsoft 365 标识? | 用户的电子邮件地址是否绑定到 Microsoft 365 帐户? | 用户登录时会发生什么情况 |
|---|---|---|
| 是 | 是 | 系统会提示用户使用其Microsoft 365 标识登录。 |
| 否 | 是 | 系统会提示用户使用其Microsoft 365 标识登录。 |
| 否 | 否 | 系统会提示用户使用其Viva Engage标识 (电子邮件和密码) 登录。 |
Viva Engage Microsoft 365 标识强制实施
可以轻松地开始在 Viva Engage 中强制实施Microsoft 365 标识。 启用强制将在 Viva Engage 中注销所有当前用户的会话。 在采取行动之前,请确保Engage用户可以继续顺利工作:
- 所有当前Viva Engage用户都必须具有相应的Microsoft 365 标识。 为Viva Engage强制实施Microsoft 365 个标识时,任何没有该标识的用户都将被锁定Viva Engage。 确保所有当前Viva Engage用户都具有其Microsoft 365 个标识。 为此,请转到Viva Engage管理中心中的数据导出页,然后导出所有用户。 将该列表与 Microsoft 365 中的用户列表进行比较,并进行任何所需的更改。
- 告知用户有关此更改的信息。 通知所有用户你要切换到Microsoft 365 个标识,因为这可能会中断他们日常使用Viva Engage。 有关建议的文本,请参阅以下示例电子邮件。
Viva Engage中Microsoft 365 标识强制实施的影响
对符合条件的Viva Engage许可证强制实施用户要求是不可逆的。
若要确保访问,请将以下服务计划之一分配给每个Viva Engage用户:
- 建议) Viva Engage Core (
- Yammer Enterprise
有关完整详细信息,请参阅在 Microsoft 365 中管理Viva Engage核心用户许可证。
要求
使用以下软件工具和环境来处理 Microsoft 365 标识强制实施:
- 全局管理员角色,需要登录到Viva Engage。 此角色可以执行本指南中所述的所有任务。 请参阅在 Viva Engage 中管理管理员角色。
注意
具有 O365 租户管理员角色 (O365_Tenant_Admin(也称为 全局管理员) )的用户可以使用此脚本强制实施许可证。 尝试在没有此角色的情况下强制实施会导致错误。
建议) 使用 PowerShell (版本 5.1 或更高版本。 如有必要,请参阅 在 Windows、Linux 和 macOS 上安装 PowerShell。 确保用户帐户具有运行脚本的权限。
要在其中运行脚本的计算机必须具有对Viva Engage的完全网络访问权限。 (如果出站网络访问受到限制,也是必需的。) 请参阅 Microsoft 365 URL 和 IP 地址范围。
如前所述,所有Viva Engage用户都需要Viva Engage Core (建议) 或Yammer Enterprise服务计划。
使用 PowerShell 脚本强制实施
许可证强制 PowerShell 脚本 查询所有用户的当前许可证状态,并在网络上强制实施用户许可证。 可以在 GitHub 存储库中找到Microsoft FastTrack脚本。 存储库还提供其他信息。
重要
许可证强制 PowerShell 脚本对Viva Engage网络进行不可逆的更改。 在执行此脚本之前,请确保所有网络用户获得正确的许可。
为了确保只有授权用户才能执行强制,REST API 终结点应用了严格的控制措施。
PowerShell 许可证强制脚本接受两个参数:
| 参数 | 详细信息 |
|---|---|
action |
使用值 enforce_user_license 或 fetch_current_license_state |
token |
必须是具有执行作权限的用户的有效Entra ID令牌。 |
注意
在网络上启用强制后,无法将其禁用。
获取Entra ID令牌的替代方法
若要对标识进行身份验证并授权脚本作,需要Entra ID令牌。 可以捕获已登录用户的令牌,也可以在 Entra ID 中注册应用程序,并按照开发人员指南获取令牌。 由于许可证强制实施是一次性活动,因此我们建议使用开发人员工具从浏览器捕获令牌。
执行以下步骤,从浏览器获取可用于此脚本的Entra ID令牌:
作为全局管理员,请转到 https://engage.cloud.microsoft.com 并使用管理员凭据登录。
右键单击页面上的任意位置,然后选择“ 检查 ”按钮。
选择“网络”选项卡,并使用图形关键字 (keyword) 筛选请求。
选择任意调用并转到 “标头” 页。
复制授权请求标头中提供的令牌。 不要包含持有者前缀。 请保留它以供下一个过程使用。
运行 PowerShell 脚本
若要成功运行脚本,请执行以下步骤:
打开终端窗口,转到脚本所在的
BlockUsersWithoutLicense.ps1路径。若要获取当前许可证强制状态,请在 PowerShell 中使用以下语法:
./BlockUsersWithoutLicense.ps1 fetch_current_license_state <Token you previously copied>若要强制实施许可证检查,请在 PowerShell 中使用以下语法:
./BlockUsersWithoutLicense.ps1 enforce_user_license <Token you previously copied>
输出示例
如果没有O365_Tenant_Admin用户角色,则运行脚本时出现以下错误:
{
"method": "GET",
"url": "https://www.yammer.com/api/v1/networks/fetch_current_enforce_license_state",
"status": 403,
"status_description": null,
"www_authenticate": null,
"response_headers": {},
"response_body": "\n{\n \"success\": false,\n \"error\": \"Only O365 Tenant Admins can access this endpoint!\"\n}",
"exception_type": "Microsoft.PowerShell.Commands.HttpResponseException",
"exception_message": "Response status code does not indicate success: 403 (Forbidden).",
"stack": "at System.Management.Automation.MshCommandRuntime.ThrowTerminatingError(ErrorRecord errorRecord)"
}
如果使用有效用户进行提取,则如果许可证检查已强制实施且false尚未强制实施,则会生成true:
{"enforce_user_license":true}
{"enforce_user_license":false}
使用有效用户强制实施许可证,但尚未强制执行许可证检查:
{"enforce_user_license":true}
Enforce a license with a valid user, and the license check is already enforced:
```json
{"success":true,"message":"User license check already enforced"}
常见问题解答
Microsoft 365 标识强制设置为“已提交强制”后,是否可以还原它?
重要
此时,还原 “强制Microsoft 365 标识” 设置会中断用户体验,因为使用用户名和密码登录的用户无法访问其连接的资源。 建议不要还原此设置。
当组织承诺Microsoft 365 标识强制实施(一个Microsoft 365 租户绑定到单个Viva Engage租户时,网络将启用连接的社区。 此配置创建一个Viva Engage社区,该社区与连接的 Microsoft 365 社区相关联。 租户用户可以利用社区软件工具,例如 SharePoint、Planner和 OneNote。
此更改如何影响来宾帐户?
标识强制实施不会影响网络来宾,这些来宾继续遵循其家庭网络的登录设置和要求。
应用此设置需要多长时间?
启用设置后,将立即应用Microsoft 365 标识的强制实施。
我们在 Viva Engage 和 Microsoft 365 中使用相同的 Active Directory 联合服务 (ADFS) 配置。 是否应在转换期间注销用户?
是。 集体注销可确保转换后重新登录的所有用户只需重新连接到其Microsoft 365 标识。 Microsoft 365 标识将用户连接到 Microsoft 365 中的生命周期管理。 用户使用更多工具(如 Microsoft 365 套件导航)获得一致的体验。
强制实施 Microsoft 365 标识时,用户注销体验如何?
用户可以立即注销其 Web 和移动会话。 所有用户只需使用其Microsoft 365 标识凭据重新登录。 他们还恢复了对其所有应用、设备和浏览器会话的访问权限。
与 Microsoft 365 和 Microsoft Entra ID 相比,如何实现审核和清理Viva Engage用户?
可以审核任何Microsoft 365 连接的网络中Viva Engage用户,并采取适当的措施。 有关详细信息和示例,请参阅如何审核连接到 Microsoft 365 的网络中Viva Engage用户。