使用 Microsoft Entra ID 設定 Workplace from Meta，以實現自動化的使用者布建

2025-05-20

本文說明您需要在 Workplace from Meta 和 Microsoft Entra ID 中執行的步驟，以設定自動使用者布建。設定時，Microsoft Entra ID 會自動使用 Microsoft Entra 布建服務，將使用者布建和解除布建至 Meta 旗下的 Workplace。如需此服務的用途、運作方式和常見問題等重要詳細資訊，請參閱使用 Microsoft Entra ID 自動對 SaaS 應用程式進行使用者佈建和取消佈建。

支援的功能

從 Meta 在 Workplace 中建立使用者
當使用者不再需要存取權時，請從 Meta 中移除 Workplace 中的使用者
保持使用者屬性在 Microsoft Entra ID 與 Meta 的 Workplace 之間同步
Meta 所提供的 Workplace 單一登錄（建議）

先決條件

本文中所述的案例假設您已經具備下列必要條件：

Microsoft Entra 租戶
下列角色其中之一：應用程式管理員、雲端應用程式管理員或應用程式擁有者。
已啟用 Meta 單一登錄的 Workplace 訂用帳戶

備註

若要測試本文中的步驟，不建議使用生產環境。

備註

此整合也可從 Microsoft Entra US Government Cloud 環境使用。您可以在 Microsoft Entra US Government 雲端應用連結庫中找到此應用程式，並以您從公用雲端所做的相同方式進行設定。

若要測試本文中的步驟，您應該遵循下列建議：

如果不是必要，請勿使用生產環境。
如果您沒有Microsoft Entra 試用環境，您可以在這裡取得一個月的試用版。

步驟 1：規劃您的配置部署

了解佈建服務的工作原理。
判斷在範圍內應配置的人員。
決定要在 Microsoft Entra ID 與 Meta 的 Workplace 之間對應的數據。

步驟 2：將 Workplace from Meta 設定為支援使用 Microsoft Entra 標識符進行布建

在設定並啟用布建服務之前，您必須決定哪些 Microsoft Entra ID 中的使用者需要從您的 Meta 應用程式存取 Workplace。一旦決定后，您可以遵循這裡的指示，將這些使用者指派給您的 Workplace from Meta 應用程式：

我們建議將單一Microsoft Entra 使用者指派給 Workplace from Meta，以測試布建組態。稍後可能會指派更多使用者。
從 Meta 將使用者指派給 Workplace 時，您必須選取有效的使用者角色。「預設存取」角色無法用於資源佈建。

步驟 3：從 Microsoft Entra 應用程式庫新增 Meta 的 Workplace

將 Workplace from Meta 從 Microsoft Entra 應用程式集新增，以開始管理至 Workplace from Meta 的布建。如果您先前已設定 Workplace from Meta 進行單一登錄（SSO，您可以使用相同的應用程式。不過，建議您在一開始測試整合時建立個別的應用程式。在此瞭解更多有關從圖庫新增應用程式的資訊。

步驟 4：定義布建範圍中的人員

Microsoft Entra 布建服務可讓您根據指派給應用程式，或根據使用者或群組的屬性來設定布建的人員範圍。如果您選擇根據指派來設定布建至應用程式的人員範圍，您可以使用步驟將使用者和群組指派給應用程式。如果您選擇僅依據使用者或群組的屬性來設定布建範圍，則可以使用範圍篩選。

從小規模開始。在向所有人推出之前，先使用一組小型的使用者和群組進行測試。當佈建範圍設為已指派的使用者和群組時，您可將一或兩個使用者或群組指派給應用程式來控制這點。當範圍設為所有使用者和群組時，您可指定以屬性為基礎的範圍篩選條件。
如果您需要額外的角色，您可以更新應用程式指令清單以新增角色。

步驟 5：從 Meta 自動配置使用者至 Workplace

本節將指導您設定 Microsoft Entra 布建服務的步驟，以根據在 Microsoft Entra ID 的使用者指派，於 Meta 的 Workplace 應用程式中建立、更新和停用使用者。

以至少雲端應用程式系統管理員的身分登入 Microsoft Entra 系統管理中心。
導覽至 Entra ID>企業應用程式
在應用程式清單中，選取 Meta 的 Workplace。
選擇佈建分頁。
將 [佈建模式] 設定為 [自動]。
確定 [租使用者 URL] 區段已填入正確的端點： https://scim.workplace.com/。在 [管理員憑證] 區段底下，選取 [授權]。系統會從 Meta 的授權頁面將您重新導向至 Workplace。從 Meta 使用者名稱輸入您的 Workplace，然後選取 [ 繼續] 按鈕。選取 [測試連線 ]，以確保Microsoft Entra ID 可以從 Meta 連線到 Workplace。如果連線失敗，請確定您的 Workplace from Meta 帳戶具有管理員許可權，然後再試一次。

備註

未能將 URL 更改為 https://scim.workplace.com/ 將導致嘗試儲存配置時失敗。
在 [通知電子郵件] 欄位中，輸入應該收到佈建錯誤通知的個人或群組電子郵件地址，然後選取 [發生失敗時傳送電子郵件通知] 核取方塊。
選取 [儲存]。
在對應區段底下，選取 將 Microsoft Entra 使用者從 Meta 同步至 Workplace。

在 屬性對應 區段中，查看從 Microsoft Entra ID 同步到 Workplace 的使用者屬性。選取為 [比對 ] 屬性的屬性可用來比對 Workplace from Meta 中的使用者帳戶以進行更新作業。如果您選擇變更比對目標屬性，您必須確定 Workplace from Meta API 支援根據該屬性篩選使用者。點擊儲存按鈕以儲存所有變更。

屬性	類型
使用者名稱	繩子
顯示名稱	繩子
活動中	布爾邏輯
標題	布爾邏輯
emails[type eq "work"].value (電子郵件[類型等於"工作"].值)	繩子
名稱.名字	繩子
姓名.姓氏	繩子
名稱.格式化	繩子
地址[類型 eq "工作"].格式化	繩子
地址[類型 eq "工作"].街道地址	繩子
addresses[type eq "work"].locality －用於工作地址的屬性。	繩子
地址[類型相等 “工作”].地區	繩子
地址[類型等於"工作"].國家	繩子
地址[類型等於「工作」].郵遞區號	繩子
地址[類型 eq「其他」].格式化	繩子
電話號碼[類型等於「工作」].值	繩子
電話號碼[類型為 "手機"]的值	繩子
電話號碼[類型等於 "傳真"].值	繩子
externalId（外部識別碼）	繩子
首選語言	繩子
urn：scim：schemas：extension：enterprise：1.0.manager	繩子
urn：scim：schemas：extension：enterprise：1.0.department	繩子
urn：scim：schemas：extension：enterprise：1.0.division	繩子
urn：scim：schemas：extension：enterprise：1.0.organization	繩子
urn:scim:schemas:extension:enterprise:1.0.成本中心	繩子
urn:scim:schemas:extension:enterprise:1.0.員工編號	繩子
urn：scim：schemas：extension：facebook：auth_method：1.0：auth_method	繩子
urn：scim：schemas：extension：facebook：frontline：1.0.is_frontline	布爾邏輯
urn：scim：schemas：extension：facebook：starttermdates：1.0.startDate	整數

若要設定範圍篩選，請參閱範圍篩選一文中提供的下列指示，。
若要從 Meta 啟用 Workplace 的 Microsoft Entra 布建服務，請將 [設定] 區段中的 [布建狀態] 變更為 [開啟]。
在 [設定] 區段中，選擇 [範圍] 中的適當值，以定義您要從 Meta 配置到 Workplace 的使用者。
準備好佈建時，請選擇儲存。

此作業會啟動 [ 設定] 區段中 [範圍] 中定義之所有使用者的初始同步處理週期。初始週期會比後續週期花費更多時間執行，只要 Microsoft Entra 佈建服務正在執行，這大約每 40 分鐘便會發生一次。

步驟 6：監視您的部署

設定佈建後，請使用下列資源來監視部署：

使用佈建記錄可以判斷使用者是否已順利完成佈建
檢查進度列以查看配置週期的狀態，以及該週期接近完成的程度。
如果佈建設定似乎處於狀況不良的狀態，則應用程式將會進入隔離狀態。深入瞭解應用程式的布建隔離狀態，請參閱文章 №。

疑難解答秘訣

如果您看到使用者未成功建立，而且有一個稽核日誌事件，代碼為「1789003」，表示使用者來自未驗證的網域。
在某些情況下，使用者會收到錯誤「錯誤：缺少電子郵件欄位」。您必須提供電子郵件。從 Facebook 傳回的錯誤：處理 HTTP 請求時發生例外狀況。如需詳細資訊，請參閱此例外狀況的『Response』屬性所傳回的 HTTP 回應。此作業已重試零次。此日期之後將會再度重試操作。此錯誤是因為客戶將郵件而非 userPrincipalName 對應至 Facebook 電子郵件，但有些使用者沒有郵件屬性。若要避免錯誤並成功將失敗的使用者布建至 Workplace from Facebook，請修改屬性對應至 Workplace from Facebook 的電子郵件屬性為 Coalesce([mail], [userPrincipalName])，或將使用者從 Workplace from Facebook 取消指派，或者為使用者布建電子郵件地址。
zh-TW: Workplace 中有一個選項，允許沒有電子郵件地址的使用者存在。如果在 Workplace 端啟用此設定，則必須重新啟動 Azure 端的佈建，才能在 Workplace 中成功建立這些沒有電子郵件的使用者。

更新 Meta 應用程式，使其使用 Workplace from Meta SCIM 2.0 端點

2021年12月，Facebook發佈了SCIM 2.0連接器。完成指定的步驟會更新設定為使用SCIM 1.0端點的應用程式，以使用SCIM 2.0端點。這些步驟會從 Meta 應用程式移除先前對 Workplace 所做的任何自定義，包括：

驗證詳細資料
範圍篩選器
自定義屬性映射

備註

完成下列步驟之前，請務必記下對上一節所列設定所做的任何變更。無法這麼做會導致自定義設定遺失。

以至少雲端應用程式系統管理員的身分登入 Microsoft Entra 系統管理中心。
在 Entra ID>Enterprise 應用程式>中流覽至來自 Meta 的 Workplace。
在新自定義應用程式的 [屬性] 區段中，複製 [物件標識符]。
在新的網頁瀏覽器視窗中，移至 https://developer.microsoft.com/graph/graph-explorer，並以管理員身分登入您已將應用程式新增至的 Microsoft Entra 租用戶。
檢查以確定所使用的帳戶具有正確的許可權。需要「Directory.ReadWrite.All」許可權，才能進行這項變更。

使用先前從應用程式選取的 ObjectID，執行下列命令：

GET https://graph.microsoft.com/beta/servicePrincipals/[object-id]/synchronization/jobs/

從上一個範例的請求回應主體GET取得「id」值，請執行下列命令，將 “[job-id]” 替換為來自請求的 ID 值GET。此值的格式應該是 “FacebookAtWorkOutDelta.xxxxxxxxxxxx.xxxxxxxxxxxxxxx”：
```
DELETE https://graph.microsoft.com/beta/servicePrincipals/[object-id]/synchronization/jobs/[job-id]
```
在 Microsoft Graph 瀏覽器中，執行下列命令。將「[object-id]」替換為您從第三步驟中複製的服務主體 ID（物件 ID）。
```
POST https://graph.microsoft.com/beta/servicePrincipals/[object-id]/synchronization/jobs { "templateId": "FacebookWorkplace" }
```
返回第一個網頁瀏覽器視窗，然後針對您的應用程式選取 [佈建] 索引標籤。您的設定已重設。您可以藉由確認作業標識符開頭為「FacebookWorkplace」來確認升級是否成功。
將 [管理員認證] 區段中的租使用者 URL 更新為下列 URL： https://scim.workplace.com/
還原先前您對應用程式所進行的任何變更 (驗證詳細資料、範圍篩選條件、自訂屬性對應) 並重新啟用佈建。

備註

無法還原先前的設定，可能會導致 Workplace 中的屬性（例如姓名格式化）不預期地更新。啟用佈建之前，請務必檢查設定

變更紀錄

09/10/2020 - 已新增企業屬性 “division”、“organization”、“costCenter” 和 “employeeNumber” 的支援。已新增自定義屬性「startDate」、「auth_method」和「frontline」的支援。
2021/07/22 - 已更新客戶將郵件對應至 Facebook 郵件的疑難解答秘訣，但有些使用者沒有郵件屬性。