通讯录集成-Azure AD
概述
集成价值
| 价值 | 说明 |
|---|---|
| 数据一致性 | 确保 Azure AD 中身份数据与平台保持一致 |
| 自动化同步 | 通过 Microsoft Graph API 实现用户数据自动同步 |
| 云端集成 | 无需本地 AD 部署,云端直接对接 Azure AD |
前提条件
Azure AD 要求
| 要求 | 说明 |
|---|---|
| Azure 订阅 | 拥有有效的 Azure 订阅 |
| Azure AD 租户 | 具备 Azure AD 租户的管理员权限 |
| 应用注册 | 在 Azure AD 中注册应用,获取 Tenant ID、Client ID、Client Secret |
| API 权限 | 授予应用 User.Read.All、Directory.Read.All 等 Microsoft Graph API 权限 |
| 管理员同意 | 对上述权限完成管理员同意授权 |
专属集成平台要求
| 要求 | 说明 |
|---|---|
| 管理员权限 | 拥有专属集成平台的管理员权限 |
| 通讯录集成权限 | 具备创建和管理通讯录集成连接器的权限 |
操作步骤
步骤 1:创建 Azure AD 集成连接器
1.
2.
3.
4.
步骤 2:配置连接信息
| 参数名称 | 说明 | 填写指南 |
|---|---|---|
| 名称 | 连接器显示名称 | 自定义名称,如“Azure AD-全球” |
| Tenant ID | Azure AD 租户 ID | 从 Azure 门户“应用注册”页面获取 |
| Client ID | 应用程序(客户端)ID | 从 Azure 门户“应用注册”页面获取 |
| Client Secret | 客户端密码 | 在“证书和密码”中创建并记录 |
| Authority | 认证终结点 | 默认 https://login.microsoftonline.com/ |
提示:Client Secret 创建后仅显示一次,请务必在创建时立即保存。
步骤 3:配置同步策略
| 参数名称 | 说明 | 建议配置 |
|---|---|---|
| 上游根组织 ID | Azure AD 中同步的起始组/部门 ID | 全部同步可留空 |
| 同步范围 | 同步的数据类型 | 用户和部门 |
| 数据在本地挂载节点 | 同步数据在平台的挂载位置 | Azure AD 认证 |
| 挂载方式 | 组织架构挂载方式 | 视情况选择 |
| 同步方式 | 数据同步策略 | 初次配置“手动全量同步”,验证后改为“自动增量同步” |
| 同步周期 | 自动同步的频率 | 建议 6 小时 |
| 账号关联 | 用户映射关系 | 常用“Azure AD userPrincipalName 与平台用户名” |
重要:首次配置建议选择「手动全量同步」,验证数据准确性后再改为「自动增量同步」。
步骤 4:配置属性映射
| Azure AD 属性 | 平台属性 | 映射方式 | 说明 |
|---|---|---|---|
| userPrincipalName | username | 创建且更新 | 用户主体名称 |
| displayName | display_name | 创建且更新 | 用户显示名称 |
| 创建且更新 | 电子邮箱 | ||
| mobilePhone | phone_number | 创建且更新 | 手机号码 |
| department | department | 创建且更新 | 部门 |
| jobTitle | title | 创建且更新 | 职位 |
| id | connector_user_id | 创建且更新 | Azure AD 用户唯一标识 |
重要:确保 userPrincipalName或id等唯一标识字段正确映射。
步骤 5:执行同步并验证
1.
2.
3.
4.
验证与测试
| 验证项 | 操作方法 |
|---|---|
| 连接测试 | 输入 Azure AD 中已存在的用户 userPrincipalName,验证连通性 |
| 用户数据验证 | 在「用户管理」页面筛选 Azure AD 连接器,抽查用户信息完整性 |
| 组织架构验证 | 在「组织管理」页面检查组结构是否正确 |
| 增量同步验证 | 在 Azure AD 中变更用户后触发同步,验证变更是否同步 |
修改于 2026-05-06 09:50:15