用户指南 取消(C)

将 Microsoft Azure Sync 添加到您的目录

  1. Adobe 企业版和团队版:管理指南
  2. 规划您的部署
    1. 基本概念
      1. 许可
      2. 身份
      3. 用户管理
      4. 应用程序部署
      5. Admin Console 概述
      6. 管理角色
    2. 部署指南
      1. 指定用户部署指南
      2. SDL 部署指南
      3. 部署 Adobe Acrobat 
    3. 部署 Creative Cloud 教育版
      1. 部署主页
      2. K-12 加入向导
      3. 简单设置
      4. 同步用户
      5. 名册同步 K-12(美国)
      6. 关键授予许可概念
      7. 部署选项
      8. 快速提示
      9. 在 Google Admin Console 中审批 Adobe 应用程序
      10. 在 Google 课堂中启用 Adobe Express
      11. 与 Canvas LMS 集成
      12. 与 Blackboard Learn 集成
      13. 为学区门户网站和 LMS 配置 SSO
      14. 通过名册同步功能添加用户
      15. Kivuto 常见问题解答
      16. 主要和次要机构资格准则
  3. 设置您的组织
    1. 身份类型 | 概述
    2. 设置身份 | 概述
    3. 使用 Enterprise ID 设置组织
    4. 设置 Azure AD 联合和同步
      1. 通过 Azure OIDC 用 Microsoft 设置 SSO
      2. 将 Azure Sync 添加到您的目录
      3. 用于教育机构的角色同步
      4. Azure 连接器常见问题解答
    5. 设置 Google 联合身份验证和同步
      1. 用 Google 联合身份验证设置 SSO
      2. 将 Google Sync 添加到您的目录
      3. Google 联合身份验证常见问题解答
    6. 通过 Microsoft ADFS 设置组织
    7. 为区域门户网站和 LMS 建立组织
    8. 通过其他身份提供商设置组织
      1. 创建目录
      2. 验证域的所有权
      3. 将域添加到目录
    9. SSO 常见问题和故障排除
      1. SSO 常见问题
      2. SSO 故障排除
      3. 教育常见问题
  4. 管理您的组织设置
    1. 管理现有域和目录
    2. 启用自动创建帐户
    3. 通过目录信任设置组织
    4. 迁移到新的身份验证提供商 
    5. 资源设置
    6. 身份验证设置
    7. 隐私和安全联系人
    8. 控制台设置
    9. 管理加密  
  5. 管理用户
    1. 概述
    2. 管理角色
    3. 用户管理策略
      1. 逐个管理用户   
      2. 管理多个用户(批量 CSV)
      3. 用户同步工具 (UST)
      4. Microsoft Azure Sync
      5. Google 联合身份验证同步
    4. 向团队版用户分配许可证
    5. 适用于团队的应用程序内用户管理
      1. 在 Adobe Express 中管理您的团队
      2. 在 Adobe Acrobat 中管理您的团队
    6. 添加具有匹配电子邮件域的用户
    7. 更改用户的身份类型
    8. 管理用户组
    9. 管理目录用户
    10. 管理开发人员
    11. 将现有用户迁移至 Adobe Admin Console
    12. 将用户管理迁移至 Adobe Admin Console
  6. 管理产品和权利
    1. 管理产品和产品配置文件
      1. 管理产品
      2. 购买产品和许可证
      3. 管理企业用户的产品配置文件
      4. 管理自动分配规则
      5. 授权用户训练 Firefly 自定义模型
      6. 审查产品请求
      7. 管理自助服务策略
      8. 管理应用程序集成
      9. 在 Admin Console 中管理产品权限  
      10. 为产品配置文件启用/禁用服务
      11. 单个应用程序 | Creative Cloud 企业版
      12. 可选服务
    2. 管理共享设备许可证
      1. 新增功能
      2. 部署指南
      3. 创建包
      4. 恢复许可证
      5. 管理配置文件
      6. 许可工具包
      7. 共享设备许可常见问题解答
  7. 开始使用 Global Admin Console
    1. 采用全局管理
    2. 选择您的组织
    3. 管理组织层次结构
    4. 管理产品配置文件
    5. 管理管理员
    6. 管理用户组
    7. 更新组织策略
    8. 管理策略模板
    9. 将产品分配给子组织
    10. 执行待处理的作业
    11. 探索见解
    12. 导出或导入组织结构
  8. 管理存储和资源
    1. 存储
      1. 管理企业存储
      2. Adobe Creative Cloud:有关存储的更新
      3. 管理 Adobe 存储空间
    2. 资源迁移
      1. 自动化资源迁移
      2. 自动化资源迁移常见问题解答  
      3. 管理转移的资源
    3. 从用户回收资源
    4. 学生资源迁移 | 仅限教育界
      1. 自动学生资源迁移
      2. 迁移您的资源
  9. 托管服务
    1. Adobe Stock
      1. 适用于团队的 Adobe Stock 积分包
      2. Adobe Stock 企业版
      3. 使用 Adobe Stock 企业版
      4. Adobe Stock 许可证批准
    2. 自定义字体
    3. Adobe Asset Link
      1. 概述
      2. 创建用户组
      3. 配置 Adobe Experience Manager Assets
      4. 配置和安装 Adobe Asset Link
      5. 管理资源
      6. Adobe Asset Link for XD
    4. Adobe Acrobat Sign
      1. 设置 Adobe Acrobat Sign 企业版或团队版
      2. Adobe Acrobat Sign - 团队版功能管理员
      3. 在 Admin Console 上管理 Adobe Acrobat Sign
    5. Creative Cloud 企业版 - 免费会员资格
      1. 概述
  10. 部署应用程序和更新
    1. 概述
      1. 部署并交付应用程序和更新
      2. 计划部署
      3. 准备部署
    2. 创建包
      1. 通过 Admin Console 打包应用程序
      2. 创建指定用户许可包
      3. 管理预生成包
        1. 管理 Adobe 模板
        2. 管理单个应用程序包
      4. 管理包
      5. 管理设备许可证
      6. 序列号许可
    3. 自定义程序包
      1. 自定义 Creative Cloud 桌面应用程序
      2. 在您的程序包中包含扩展
    4. 部署包 
      1. 部署包
      2. 使用 Microsoft Intune 部署 Adobe 包
      3. 使用 SCCM 部署 Adobe 包
      4. 使用 ARD 部署 Adobe 包
      5. 在 Exceptions 文件夹中安装产品
      6. 卸载 Creative Cloud 产品
      7. 使用 Adobe Provisioning Toolkit Enterprise Edition
    5. 管理更新
      1. 改变 Adobe 企业和团队客户的管理工作
      2. 部署更新
    6. Adobe Update Server Setup Tool (AUSST)
      1. AUSST 概述
      2. 设置内部更新服务器
      3. 维护内部更新服务器
      4. AUSST 的常见用例   
      5. 内部更新服务器故障排除
    7. Adobe Remote Update Manager (RUM)
      1. 发行说明
      2. 使用 Adobe Remote Update Manager
    8. 疑难解答
      1. 纠正 Creative Cloud 应用程序安装和卸载错误
      2. 查询客户端计算机,检查是否已部署某一程序包
  11. 管理您的团队帐户
    1. 概述
    2. 更新付款详细信息
    3. 管理账单
    4. 更改合同负责人
    5. 更改您的计划
    6. 更改经销商
    7. 取消您的计划
    8. 购买请求合规性
  12. 续订
    1. 团队会员资格:续订
    2. VIP 企业:续订和合规性
  13. 管理合同
    1. ETLA 合约的自动到期阶段
    2. 在现有 Adobe Admin Console 中切换合同类型
    3. 中国版 Value Incentive Plan (VIP)
    4. VIP Select 帮助
  14. 报告和日志
    1. 审核日志
    2. 分配报告
    3. 内容日志
  15. 获取帮助
    1. 联系 Adobe 客户关怀部门
    2. 团队帐户的支持选项
    3. 企业帐户的支持选项
    4. Experience Cloud 的支持选项

Azure Sync 使 Admin Console 目录的用户管理自动化。您可以轻松地将 Azure Sync 添加至 Admin Console 中的任何联合目录,而无需考虑其身份提供者 (IdP)。要使用 Azure Sync,必须将组织的用户和组数据存储在 Microsoft Azure Active Directory (Azure AD) 中。

注意:
  • 如果您的身份提供方是 Microsoft Azure Active Directory (Azure AD),并且您在 Adobe Admin Console 中没有联合目录,则您可使用以下方式设置联合:
    • OpenID Connect (OIDC)通过 OIDC,只需短短几秒即可创建联合目录。设置过程大部分在 Adobe Admin Console 中进行。
    • 通过 SAML 采用 Azure AD 进行 SSO使用采用 SAML 设置的 Azure AD 创建联合目录。设置过程大部分在 Microsoft Azure 门户中进行。
  • 如果具有正常运行的基于 SAML 的目录,则可在现有设置上添加同步功能
  • 如果已为目录设置 Azure 同步,则无法手动或使用其他用户同步方法管理用户。请参阅同步前的注意事项常见问题以了解详情。

概述

您可以在 Adobe Admin Console 中将 Azure Sync 添加至任何目录,以实现其用户管理过程自动化。Azure Sync 使用 SCIM 协议进行用户管理,并提供对正在发送到 Adobe 的用户和组的控制权。与 Adobe Admin Console 同步的 Azure AD 用户是唯一的,可以分配给一个或多个产品配置文件

设置 Azure Sync 后,Azure AD 开始根据 Azure AD 目录的用户和组配置将数据发送到 Adobe Admin Console。与目录关联的所有详细信息都显示在 Adobe Admin Console设置部分中。

Azure Sync 的好处

对于 Adobe Admin Console 中的目录,Azure Sync 所带来的主要优势包括:

在 Azure AD 中管理一切

控制将什么数据发送到 Adobe

无需另一服务或 API 设置

自定义 Azure AD 用户属性映射

将同步添加到以前配置的目录

将 Azure Sync 添加到为任何 IdP 设置的目录

使用 Azure AD 轻松登记和取消登记用户

先决条件

要将 Adobe Admin Console User management 与 Azure AD 集成,您需要:

  • 具有用户和组数据的 Microsoft Azure AD 帐户
  • 属于以下任意一项的 Adobe 产品:Creative Cloud 企业版、Document Cloud 企业版或 Experience Cloud
  • Adobe Admin Console 中具有经过验证的域的联合目录

支持的集成场景

目录设置可能有所不同,并且 Azure Sync 支持各种方案,这需要执行额外的步骤来设置 Azure Sync。使用该表根据您的目录设置执行以下步骤:

目录设置方案

添加同步功能的方法

同一 Azure AD 租户中具有一个或多个域的单个联合目录。

按照“添加同步”步骤建立 Azure Sync。

属于同一 Azure AD 租户的具有一个或多个域的多个联合目录。

  1. 将多个域合并为单个联合目录。
  2. 执行添加同步步骤以建立 Azure Sync。

 

多个联合目录,其中具有属于不同 Azure AD 租户的一个或多个域。

  1. 执行添加同步步骤为单个目录建立 Azure Sync。
  2. 对需要同步的所有单独目录重复执行 Azure Sync 设置。

 

进行同步配置前的注意事项

在设置 Azure Sync 之前,请按照以下几点查看最佳实践Adobe Recommendations

  • 在设置时先导出现有用户的列表,然后再添加 Azure Sync 以记录所有用户帐户和配置的许可证。
  • 如果已设置通过 Open ID Connect (OIDC) 进行 Azure AD SSO,则必须在 Microsoft Azure 门户中添加新 Adobe Identity Management 应用程序以设置目录同步。
  • 如果已设置通过 SAML 进行 Azure AD SSO,请使用现有的 Adobe Identity Management 应用程序配置目录同步。按照 Microsoft 文档中所述的步骤使用 Adobe Identity Management 应用程序配置自动用户预配置
  • Azure Sync 使电子邮件与用户名保持相互独立,这样用户用于验证登录以及访问 Adobe 产品/服务、协作、共享文件等的电子邮件和用户名值可以不同。​ 按照 Microsoft 文档中所述的步骤自定义用户预配置属性映射
  • 如果要将 Azure Sync 集成到具有 Federated ID 用户的目录中,请在最初运行同步之前验证其用户名字段格式是否与 Azure AD 中的用户主体名称 (UPN) 匹配
    如果这些值不匹配,则 Admin Console 会将其视为一个全新的用户帐户,并为单个用户创建重复的记录。可更新属性映射,以确保同步传递的值与 Admin Console 中用户配置文件中的值相同,这样将在下次同步时自动更新其用户帐户。
  • 只能在至少设置了一个联合目录和域的 Admin Console 中建立 Azure Sync。如果具有 Azure Sync 的 Admin Console(所有者控制台)与其他 Admin Console(受托人控制台)建立了信任关系,则受托人必须使用另一种形式的用户管理(例如用户同步工具用户管理 API批量 CSV 上传)来创建、管理和许可 Federated ID 用户。
    要将用户添加到受托人控制台进行许可证预配置,首先必须将用户添加到所有者控制台
  • 如果您的组织使用用户同步工具UMAPI 集成,则您必须首先暂停集成。然后,添加 Azure Sync 以自动从 Azure AD 管理用户。配置并运行 Azure Sync 后,可以完全删除用户同步工具或 UMAPI 集成。
  • 您的组织必须具有 Azure AD 的 Premium(P1 或 P2)或 Microsoft 365(E3 或 A3)订阅,才能使用基于组的分配功能。通过它,可选择要同步到 Adobe Admin Console 的特定组和用户。
    没有这些订阅级别的组织只能同时将所有用户和组都同步到 Adobe Admin Console。系统将自动同步所有用户和组,并为被同步的用户生成 Adobe Federated ID。阅读更多关于 Azure AD 订阅计划和更新选项的信息。
  • 为了将域移入用 Azure Sync 建立的目录或从中移出域,必须先暂时为该目录启用编辑。启用后,将所需的域移入 Azure AD 同步的目录或从中移出,然后再为该目录禁用编辑功能。
  • Azure Sync 不从 Azure AD 中具有 HiddenMembership 属性的组同步用户。要同步特定用户,请在 Azure AD 上创建一个组,然后将各个用户复制到这个新组。

将 Azure Sync 添加到联合目录中

您可以将 Azure Sync 添加到链接至所需域的 Adobe Admin Console 联合目录。要将同步功能添加到已建立的联合目录,请执行以下过程:

  1. Adobe Admin Console 的“设置”选项卡上,导航到目录详细信息 > 同步。单击添加同步

  2. 选择从 Microsoft Azure 同步用户卡,然后单击下一步

  3. Microsoft Azure 门户中的步骤

    将 Admin Console 窗口保持打开状态以供参考,并在单独的浏览器窗口中打开 Microsoft Azure 门户。然后,按照 Microsoft 文档中所述的步骤配置自动用户配置。

    注意:
    • 可通过 Azure Sync 集成从 Azure AD 同步嵌套组,但是,将嵌套组的父节点添加到同步范围后,并不自动同步该嵌套组。还应将嵌套组添加到范围内以将其纳入自动同步。

    • 组织必须具有 Azure Active Directory 的 Premium(P1 或 P2)或 Microsoft 365(E3 或 A3)订阅才能使用基于组的分配功能,通过这些功能,管理员可选择特定的组和用户作为仅有的要同步到 Adobe Admin Console 的对象。

      没有这些订阅级别的组织只能将 Azure AD 中的个别用户(而非组)或所有用户和组都同步到 Adobe Admin Console。检查您的 Microsoft Azure 订阅 以确认您组织的级别,如有必要,请与您的 Microsoft 代表联系。

    设置完毕后,Azure 开始处理数据,并发送数据以供在 Adobe 中配置。可通过 Microsoft 应用程序管理教程
    查看其他说明。

  4. 在 Adobe Admin Console 窗口中,选中相应的框,以确认在 Azure AD 中已授予 Adobe 访问权限并完成了设置。然后选择“完成”

  5. 返回目录详细信息 >“同步”。此时会显示“同步源”

    Azure Sync 已与您的目录集成,但尚未启动。要启动同步,您必须单击“转到设置”并编辑同步设置。

编辑同步设置

设置完毕后,系统管理员即可通过从目录设置 > 同步选项卡中选择转到设置而更新同步源的设置。设置选项包括:

  • 允许在 Admin Console 中编辑同步数据:建立 Azure Sync 后,将对目录中的所有用户和同步创建的组自动进行同步管理。启用编辑后,可短暂地在 Admin Console 中编辑所同步的数据。在此期间所做的任何编辑都不会影响 Azure AD 中的用户信息,但将被身份提供方发出的更改请求所覆盖。

    注意:

    默认情况下,您必须编辑从身份提供方同步的数据,并允许通过同步传播更改。除非绝对必要,否则我们建议您不要在 Admin Console 中手动更改数据。

  • 同步状态:指示 Azure Sync 拒绝 Azure AD 发出的更改请求。一旦“用户同步状态”“关”,即不将 Azure AD(用户信息源)中的更改推送到 Adobe Admin Console。

  • 编辑用户同步配置:将您重定向到配置说明以便您编辑用户同步。如果在完成同步设置之前关闭了模式,或者在初始配置后必须在 Azure AD 中更改某些内容,请使用此项。

删除同步

管理员可以选择从 Admin Console 内的联合目录中删除同步。删除同步将目录及其关联的域、用户组和用户保持不变,并从目录及其用户和组中删除只读模式。

要从目录中删除同步,请从目录设置 > 同步选项卡中选择转到设置,然后选择删除同步。此操作将永久地从 Admin Console 中删除同步设置。如果需要,您可以与同一目录或不同目录重新建立同步。

注意:

不能在同一组织内受 Azure Sync 管理的目录之间来回移动域。从源和/或目标目录中删除 Azure Sync 后,即可将该目录中的域至另一目标目录,并可将其他源目录中的域移入不再受 Azure Sync 管理的目录。

禁用用户和用户组

实施 Azure Sync 可创建新的联合用户帐户,并将这些用户同步到 Adobe Admin Console。管理员还可以通过以下三种方法(在 Microsoft Azure 门户中)取消配置通过 Azure Sync 添加的用户和用户组:

  • 从 Azure AD 内所有已同步的组中删除用户

  • 从 Azure AD 中软删除用户

  • 从 Azure AD 的配置范围中删除用户所属的所有用户组

这三项操作会在 Adobe Admin Console 中禁用用户。已禁用的用户无法再登录,并在目录用户列表里显示为已禁用。Azure Sync 将继续管理用这些方法之一取消配置的用户。从组织中既不删除用户的帐户,也不删除存储在云中的资源。

从 Admin Console 中删除用户和关联的数据:从目录设置 > 同步选项卡中选择转到设置,然后单击启用编辑。然后导航到用户 > 目录用户,并从列表中选择该用户以永久删除其帐户。

启用编辑后,可在一小时内编辑所同步的数据,然后才会自动禁用编辑。我们建议您在删除用户后立即单击“禁用编辑”,以确保 Admin Console 反映 Azure AD 更改。

注意:

如果永久删除了用户,则一并删除该用户与所有属于该用户的云存储资源。执行此操作后,即无法恢复该用户和资源。

隔离策略

Adobe 和 Microsoft 制定了一项隔离策略以处理同步操作期间产生的大量错误调用。 

Azure AD 配置服务监视您的配置的运行状况,并将不正常的应用程序置于“隔离”状态。如果针对目标系统的大多数或所有调用始终因某个错误(例如无效的管理员凭据)而失败,则将配置作业标为被隔离。在被隔离时,递增周期的频率逐渐降低到每天一次。在修复所有错误并开始下一个同步周期之后,将从隔离中删除配置作业。如果配置作业保持被隔离超过四周,则禁用(停止运行)配置作业。详细了解 Azure AD 中隔离状态下的应用程序配置。

Adobe 的服务独立地监视同步运行状况,以确认错误率何时在所设置的一段时间内超过特定阈值。只需有少量请求导致发生达到阈值的错误,就会触发临时隔离,导致在一段时间内拒绝 Azure AD 发出的所有调用和更新请求,这段时间过后将再次接受调用以重试同步。如果错误调用持续存在,则将临时考察该同步以确定是否应长期隔离。如果 Adobe 发起隔离,则由于调用被拒绝,因此这还可能导致后续被 Azure 隔离,而这将计入 Azure 的错误率。请注意,Adobe 保留根据正在进行的数据分析更新隔离参数的权利。 

常见的错误消息

从 Azure AD 管理 Azure Sync 时,需要了解可能会显示的一组常见的错误消息。了解各种错误消息的原因将有助于在发生错误时进行故障排除。

详细了解如何在 Azure AD 中监视您的部署。

解决同步问题

由于 Adobe Admin Console 使用 Microsoft 的 Azure Sync 服务,因此在 Azure AD 中解决所有同步问题。可参考 Microsoft 的配置说明以解决某些常见问题。如果您找不到解决方案,我们建议您联系 Microsoft 支持以获得进一步的帮助。

按照以下说明诊断同步问题:

  1. 确认您的用户和组设置

    确保您已按照设置说明配置用户和组:

  2. 确认用户详细信息的映射Microsoft 文档。

  3. 监视您的配置应用程序以发现可能影响同步的问题

    如果用户没有出现在配置日志中,则他们可能超出范围。如果配置日志显示问题,请修复它以允许用户同步。Microsoft 文档

  4. Powershell 扩展

    使用 Azure Powershell 扩展发现用户的 Azure AD 记录存在的任何问题。

    用以下 Powershell 命令确认用户数据。如果需要一段时间才能完成这些步骤,请在 Admin Console 中启用编辑模式以作出临时更改:

    1. Install-Module AzureAD
    2. Connect-AzureAD -Credential (Get-Credential)
    3. Get-AzureADUser -ObjectId <用户的电子邮件地址> | FL
  5. 允许在 Admin Console 中编辑所同步的数据

    启用编辑后,可短暂地在 Admin Console 中编辑所同步的数据。在此期间作出的任何编辑都不影响 Azure AD 中的用户信息。此后,您的身份提供方的更改请求将自动覆盖这些短暂的更改。

管理现有用户帐户

必须执行其他步骤才能将所有现有的非 Federated ID 用户转换为 Federated ID 类型。

注意:

进行编辑身份切换时,请勿将任何产品分配给所同步的联合用户。这应该在同步之后,但在任何产品分配之前完成。

在建立 Azure Sync 后,可将已在 Admin Console 中拥有非 Federated ID 帐户的用户迁移到 Federated ID 帐户。转换后,Azure AD 即可成功地将这些帐户推送到 Adobe Admin Console。

要确保将任何云存储的资源迁移到用户的新身份类型,请执行以下过程:

  1. 为已在 Adobe Admin Console 上拥有非 Federated ID 的用户设置 Azure Sync。任何拥有现有非 Federated ID 的用户现在都在 Adobe Admin Console 中有一个非 Federated ID 和 Federated ID。

  2. 按照按 CSV 编辑身份类型中的步骤进行操作,将非 Federated ID 用户更改为 Federated ID 类型。确保以下详细信息相匹配:

    • “用户名”“电子邮件”字段与 Azure AD 中的用户名 (UserPrincipalName) 字段相配。
    • “名字”“姓氏”与 Azure AD 中的相应字段相配。

    在使用新的 Federated ID 登录后,将向用户显示一个选项以自动将云存储资源迁移到新帐户。

后续步骤

将 Azure Sync 添加到目录后,所有用户和用户组都会导入到 Adobe Admin Console 中并定期更新。接下来,您必须使这些用户能够访问其指定的 Adobe 应用程序:

  1. 创建和管理产品配置文件:创建适当的产品配置文件并将其与用户和用户组相关联,以微调谁可使用哪些 Adobe 应用程序和服务。了解如何管理产品产品配置文件
  2. 为用户分配指定产品后,他们会收到电子邮件通知。用户可以直接下载并安装 Creative Cloud 桌面应用程序
    如果您的用户没有管理员权限,则您必须创建并部署适当的包。
  3. 创建并部署包:要使您的用户有权访问应用程序,请在其计算机上创建并部署应用程序包。用户必须使用其 SSO 凭据登录,才能开始使用应用程序和服务。有关详细信息,请参阅创建指定用户许可包

如果您是机构的管理员,在设置 Azure 同步后,我们建议您启用角色同步。了解有关适用于教育行业的角色同步的更多信息。

 Adobe

更快、更轻松地获得帮助

新用户?