管理 Azure AD 中的一切設定。
控制將什麼資料發送到 Adobe
無需其他服務或 API 設定
自訂 Azure AD 使用者屬性對應
上次更新時間
2024年7月1日
|
亦適用於 Creative Cloud for enterprise, Document Cloud for enterprise
- Adobe 企業和團隊:管理指南
- 規劃部署
- 基本概念
- 部署指南
- 部署適用於教育的 Creative Cloud
- 設定您的組織
- 身分類型 | 總覽
- 設定身分 | 總覽
- 使用 Enterprise ID 設定組織
- 設定 Azure AD 聯盟和同步
- 設定 Google Federation 與同步
- 使用 Microsoft ADFS 設定組織
- 為學區入口網站和 LMS 設定組織
- 使用其他身分提供者設定組織
- SSO 常見問題和疑難排解
- 管理您的組織設定
- 管理使用者
- 管理產品和權利
- 開始使用 Global Admin Console
- 管理儲存空間和資產
- 儲存
- 資產移轉
- 向使用者收回資產
- 學生資產移轉 | 僅限 EDU
- 管理服務
- Adobe Stock
- 自訂字型
- Adobe Asset Link
- Adobe Acrobat Sign
- 適用於企業的 Creative Cloud – 免費會籍
- 部署應用程式和更新
- 總覽
- 建立套件
- 自訂套件
- 部署套件
- 管理更新
- Adobe Update Server Setup Tool (AUSST)
- Adobe Remote Update Manager (RUM)
- 疑難排解
- 管理您的團隊帳戶
- 續約
- 管理合約
- 報告和記錄
- 取得協助
Azure Sync 會自動執行 Admin Console 目錄的使用者管理。您可以輕易將 Azure Sync 新增到 Admin Console 中的任何聯合目錄,而無需考慮其身份提供者 (IdP)。若要使用 Azure Sync,您必須將組織的使用者和群組資料儲存在 Microsoft Azure Active Directory (Azure AD)。
註解:
- 如果您的身分提供者是 Microsoft Azure Active Directory (Azure AD),而且在 Adobe Admin Console 中沒有聯合目錄,您可以使用以下方式設定聯盟:
- OpenID Connect (OIDC): 在數秒內透過 OIDC 建立聯合目錄。設定流程大部分都在 Adobe Admin Console 內部進行。
- 透過 SAML 使用 Azure AD 的 SSO: 透過 SAML 設定使用 Azure AD 建立聯合目錄。設定流程大部分都在 Microsoft Azure 入口網站內部進行。
- 如果您有運作中的 SAML 型目錄,你可以新增同步能力到現有的設定。
- 如果已為目錄設定 Azure 同步,則無法手動或使用其他使用者同步方法管理使用者。請參閱同步前的注意事項和常見問題以深入了解。
總覽
你可以新增 Azure Sync 到 Adobe Admin Console 中的任何目錄,以便將其使用者管理流程自動化。Azure Sync 使用 SCIM 協議進行使用者管理,並提供您對發送到 Adobe 的使用者和群組的控制能力。與 Adobe Admin Console 同步的 Azure AD 使用者具獨特性,可被指派給一個或多個產品描述檔。
設定 Azure Sync 後,Azure AD 將根據 Azure AD 目錄的使用者和群組佈建開始發送資料到 Adobe Admin Console。與目錄相關聯的所有詳細資料都顯示在 Adobe Admin Console 的「設定」區段。
Azure Sync 的好處
對 Adobe Admin Console 中的目錄使用 Azure Sync 的主要優點為:
將同步新增到以前設定的目錄
將 Azure Sync 新增到為任何 IdP 設定的目錄中
使用 Azure AD 可易於將使用者加入和取消
先決條件
若要將 Adobe Admin Console 使用者管理與 Azure AD 整合,您需要具備以下條件:
- 有用戶和群組資料的 Microsoft Azure AD 帳戶
- 屬於以下任一類別的 Adobe 產品:適用於企業的 Creative Cloud、適用於企業的 Document Cloud 或 Experience Cloud
- 已驗證網域的 Adobe Admin Console 中的聯合目錄
支援的整合案例
請遵循以下要點,在設定 Azure Sync 之前查看最佳做法和Adobe 建議:
- 在新增 Azure Sync 之前匯出現有使用者清單,以保留您在設定時的所有使用者帳戶和佈建授權的記錄。
- 如果您已使用 Open ID Connect (OIDC) 設定 Azure AD SSO,則必須在 Microsoft Azure 入口網站中新增 Adobe Identity Management 應用程式,以設定目錄同步。
- 如果您已使用 SAML 設定 Azure AD SSO,請使用現有的 Adobe Identity Management 應用程式來設定目錄同步。請按照使用 Adobe Identity Management 應用程式設定自動使用者佈建的 Microsoft 文件中所提及的步驟進行。
- Azure Sync 會將電子郵件和使用者名稱分開管理,好讓使用者使用不同的電子郵件和使用者名稱值來驗證登入資料及存取 Adobe 產品和服務、共同處理專案、共用檔案等。請依照自訂使用者佈建屬性對應的 Microsoft 文件中的步驟進行。
- 如果您要將 Azure Sync 整合到擁有 Federated ID 使用者的目錄,請先確認其使用者名稱欄位格式符合 Azure AD 中的使用者主體名稱 (UPN),然後再執行初始同步。
如果這些值不相符,Admin Console 會將此視為全新使用者帳戶,並為單一使用者建立重複的記錄。您可以更新屬性對應,以確保同步作業傳遞的值與 Admin Console 中的使用者基本資料中的值相符,Admin Console 將會在下次同步時自動更新其帳戶。 - 只能在 Admin Console 中建立 Azure Sync,而且至少已設定一個聯合目錄和網域。如果具有 Azure Sync 的 Admin Console (所有者主控台) 與其他 Admin Console (受託人主控台) 建立了信任關係,則受託人必須使用另一種形式的使用者管理,例如使用者同步工具、使用者管理 API 或大量 CSV 上傳來建立、管理及授權 Federated ID 使用者。
若要將使用者新增到受託人主控台以佈建授權,您必須先將使用者新增到所有者主控台。 - 如果您的組織使用使用者同步工具或 UMAPI 整合,您必須先暫停該整合。然後,新增 Azure Sync,以便從 Azure 入口網站自動執行使用者管理。一旦 Azure Sync 完成設定及開始執行,就可以將使用者同步工具或 UMAPI 整合完全移除。
- 您的組織必須擁有含 Azure AD 的 Premium (P1 或 P2) 或 Microsoft 365 (E3 或 A3) 訂閱,才能使用基於群組的指派功能,該功能可讓您選擇要同步至 Adobe Admin Console 的特定群組和使用者。
沒有這些訂閱層級的組織,只能一次將所有使用者和群組同步到 Adobe Admin Console。系統會自動同步所有使用者和群組,並為同步的使用者產生 Adobe Federated ID。了解更多有關 Azure AD 訂閱計畫和更新選項的資訊。 - 若要將網域移入或移出目錄 (該目錄是透過 Azure Sync 所建立),您必須先暫時對該目錄啟用編輯。在啟用後,請將所需的網域移入或移出 Azure AD 同步目錄,然後再為該目錄停用編輯功能。
- Azure 同步不會同步 Azure AD 中有 HiddenMembership 屬性的群組。若要同步特定使用者,請在 Azure AD 上建立群組並將各自使用者複製到此一新群組。
將 Azure Sync 新增到聯合目錄
您可以將 Azure Sync 新增到有所需網域連結的 Adobe Admin Console 聯合目錄。若要將同步新增到已建立的聯合目錄,請執行以下流程:
-
登入 Adobe Admin Console 的設定索引標籤,瀏覽至「目錄詳細資料 > 同步」。按一下「新增同步」。
-
選擇「從 Microsoft Azure 同步使用者」卡,然後按一下「下一個」。
-
Microsoft Azure 入口網站中的步驟:
將 Admin Console 視窗保持開啟狀態以供參考,並在單獨的瀏覽器中開啟 Microsoft Azure 入口網站。然後,按照 Microsoft 文件中提及的步驟設定自動使用者佈建。
註解:您可以透過 Azure Sync 整合從 Azure AD 同步巢狀群組,即使在將群組的父節點新增到同步範圍時,巢狀群組不會自動同步。您也應將巢狀群組新增到要包含在自動同步的範圍內。
組織必須具有 Azure Active Directory 的 Premium (P1 或 P2) 或 Microsoft 365 (E3 或 A3) 訂閱,才能利用以群組為基礎的指派功能,該功能允許管理員選擇特定的群組和使用者作為要同步到 Adobe Admin Console 的唯一物件。
沒有這些訂閱層級的組織,只能將 Azure AD 中的個別使用者 (而非群組) 或所有使用者和群組同步到 Adobe Admin Console。請查看您的 Microsoft Azure 訂閱以確認您組織的層級,並視需要與您的 Microsoft 代表聯繫。
設定好之後,Azure 將開始處理及傳送資料,以便在 Adobe 中進行佈建。您可以透過 Microsoft 應用程式管理教學課程檢視更多資訊。
-
在 Adobe Admin Console 視窗中,請勾選該核取方塊,以確認 Adobe 存取權限的授權以及在 Azure AD 中完成設定。接著選擇「完成」。
-
返回目錄詳細資料>同步。同步來源會顯示。
Azure Sync 已經和您的目錄整合,但尚未啟動。若要啟動同步,您必須按一下「前往設定」,並編輯同步設定。
編輯同步設定
設定完成後,系統管理員可以從「目錄設定」>「同步」標籤選擇「前往設定」,以更新「同步來源」的設定。設定選項包括:
-
允許在 Admin Console 中編輯同步資料:一旦建立了 Azure Sync,目錄中的所有使用者和同步建立的群組就會自動進入同步管理。啟用編輯後,您可以在 Admin Console 中短暫編輯同步資料。在此期間的任何編輯都不會影響 Azure AD 中的使用者資訊,但是會被來自身份提供者的變更請求覆寫。
注意:預設情況下,您必須編輯來自身份提供者的同步資料,並允許變更透過同步散播。除非絕對必要,否則我們建議您不要在 Admin Console 中以手動方式變更資料。
-
同步狀態: 指示 Azure Sync 拒絕來自 Azure AD 的變更請求。一旦使用者同步狀態變成關閉,Azure AD (使用者資訊來源) 中的變更就不會推送到 Adobe Admin Console。
-
編輯使用者同步設定:將您重新導向設定說明,以編輯使用者同步。如果在完成同步設定之前該模組已關閉,或者如果在初始設定後您必須在 Azure AD 中進行變更,請使用這個方式。
移除同步
管理員可以選擇從 Admin Console 內的聯合目錄中移除同步。移除同步會保留目錄及其相關聯的網域、使用者群組和使用者的完整性,而從目錄及其使用者和群組移除唯讀模式。
若要從目錄中移除同步,請從「目錄設定」>「同步」標籤選擇「前往設定」,然後「移除同步」。此動作將從 Admin Console 永久移除同步設定。如有需要,您可以重新建立與相同或不同目錄的同步。
註解:
在同一個組織內由 Azure Sync 管理的目錄之間,無法移動網域。從來源和/或目標目錄中移除 Azure Sync 後,來自該目錄的網域可以移動到另一個目標目錄,而來自其他來源目錄的網域可以移到不再由 Azure Sync 管理的目錄。
實作 Azure Sync 將建立新的聯合使用者帳戶,並將使用者同步到 Adobe Admin Console。管理員還可以透過以下三種方法 (在 Microsoft Azure 入口網站中) 取消佈建經由 Azure Sync 新增的使用者和群組:
從 Azure AD 中的所有同步群組中移除使用者
從 Azure AD 虛刪除使用者
從 Azure AD 的佈建範圍中移除該使用者所屬的所有群組
這三個作業會停用 Adobe Admin Console 中的使用者。停用的使用者不再能夠登入並會在 Directory Users 清單中顯示為停用。 Azure Sync 仍將繼續管理由這些方法之一取消佈建的使用者。使用者的帳戶和儲存在雲端的資產均未從組織中移除。
從 Admin Console 移除使用者和相關資料:請從「目錄設定」>「同步」標籤選擇「前往設定」並按一下「啟用編輯」。然後瀏覽至「使用者」>「目錄使用者」,然後從清單中選擇使用者以永久刪除該帳戶。
啟用編輯後,您還可以在自動停用前在同步編輯資料中進行編輯 1 小時。我們建議您在移除使用者後立即按一下「停用編輯」,以確保 Admin Console 反映 Azure AD 變更。
注意:
如果您永久刪除某一使用者,該使用者將連同屬於該使用者儲存在雲端的所有資產都一起刪除。一旦採行此動作,該使用者和資產都無法恢復。
隔離原則
Adobe 和 Microsoft 都具備隔離原則,可在同步作業期間處理大量錯誤呼叫。
Azure AD 佈建服務會監視設定的執行狀況,並使不正常執行的應用程式置於「隔離」狀態。如果針對目標系統的大多數或所有呼叫因為錯誤 (例如,無效的管理員認據) 而一直失敗,則將佈建工作標記為隔離中。在隔離中時,遞增週期的頻率會逐漸減少到每天一次。在修復所有錯誤並開始下一個同步週期之後,將佈建工作從隔離區中移除。如果佈建工作在隔離區中停留了四個星期以上,則佈建工作將被停用 (停止執行)。了解更多關於 Azure AD 內處於隔離狀態的應用程式佈建。
Adobe 的服務會獨立監視同步執行狀況,以驗證錯誤率在設定的時間內超過特定臨界值的時間。導致錯誤達到臨界值的最小數量的請求將實施臨時隔離,致使一個時段內拒絕所有呼叫並更新來自 Azure AD 的請求,此後將再次接受呼叫以進行同步重試。如果錯誤呼叫持續存在,則將在隔離區中使同步置於臨時試用期較長的時段。如果 Adobe 啟動隔離,則由於呼叫被拒絕,它也可能導致 Azure 的後續隔離,而這將計入 Azure 的錯誤率。請注意,Adobe 保留根據正在進行的資料分析更新隔離參數的權利。
從 Azure AD 管理 Azure Sync 時,需要注意一些常見的錯誤訊息。了解各種錯誤訊息的原因將有助於在發生錯誤時進行疑難排解。
了解更多關於監視 Azure AD 中的部署。
由於 Adobe Admin Console 使用 Microsoft 的 Azure 同步服務,因此所有同步問題都會在 Azure AD 中進行疑難排解。您可以參考Microsoft 的設定說明,解決一些常見問題。 如果您找不到解決方法,我們建議您聯絡 Microsoft 支援人員以取得進一步協助。
請依照以下指示診斷同步問題:
-
-
確認使用者詳細資料的對應:Microsoft 文件。
-
監控您的佈建應用程式,以找出可能影響同步的問題:
如果使用者不在佈建記錄檔中,則表示他們可能不在範圍內。如果佈建記錄檔顯示問題,請修正問題,以同步使用者。 Microsoft 文件
需要完成其他步驟才能將所有現有的非 Federated ID 使用者轉換為 Federated ID 類型。
注意:
在編輯身分轉換時,請勿指派任何產品給同步的 Federated 使用者。應在同步之後,指派任何產品之前進行完成此步驟。
-
為已經在 Adobe Admin Console 上擁有非 Federated ID 的使用者設定 Azure Sync。現在,任何擁有現有非 Federated ID 的使用者在 Adobe Admin Console 中都同時擁有非 Federated ID 和 Federated ID。
-
依照「以 CSV 編輯身分類型」中的步驟進行,將非 Federated ID 使用者變更為 Federated ID 類型。確保符合以下詳細資料:
- 確保「使用者名稱」和「電子郵件」欄位符合 Azure AD 中的使用者名稱 (UserPrincipalName) 欄位。
- 確保「名字」和「姓氏」欄位符合 Azure AD 中的對應欄位。
在使用新的 Federated ID 登入時,系統會向使用者顯示一個自動遷移選項,讓他們將雲端儲存的資產自動遷移至新帳戶。
後續步驟
將 Azure Sync 新增到目錄後,所有使用者和使用者群組都將匯入 Adobe Admin Console 中,而且會定期更新。接下來,您必須使這些使用者能夠存取其指定的 Adobe 應用程式:
- 建立和管理產品描述檔:建立適當的產品描述檔,並將其與使用者及使用者群組相關聯,以便針對誰可以使用哪些 Adobe 應用程式和服務進行微調。了解如何管理產品和產品描述檔。
- 當使用者被指派給指定產品時,他們會收到電子郵件通知。使用者可以直接下載及安裝 Creative Cloud 桌面應用程式。
如果您的使用者沒有管理員權限,您必須建立和部署適當的套件。 - 建立和部署套件:若要為使用者提供應用程式的存取權,請在其電腦上建立和部署應用程式套件。使用者必須使用其 SSO 認證登入,才能開始使用這些應用程式和服務。如需詳細資訊,請參閱「建立指名使用者授權套件」。
如果您是機構管理員,在設定 Azure 同步後,我們建議您啟用角色同步。了解「教育版角色同步」。
