使用帳戶管理

貴組織的 Workplace 帳戶可以由系統管理員手動管理,或透過雲端身分識別服務供應商自動管理。Workplace 亦支持透過 Active Directory 自動帳戶管理。

本文僅適用於 Workplace 進階版用戶。
雲端身分識別服務供應商可讓您直接在 Workplace 中啟用帳戶自動管理功能。我們的身分識別和存取管理合作夥伴可提供下列優勢:
  • 集中存放用戶資料。將您的主要身分存放區(例如Microsoft Active Directory 或 Oracle Directory Server)與雲端目錄建立連結,即可同步處理 Workplace 等各種應用程式的用戶帳戶。雲端身分識別服務供應商的代理或附加程式,會將變更內容從您主要的身分存放區同步至雲端副本中。
  • 整合記錄系統。在用戶加入和離開貴機構時,維護您的主要身分存放區。
  • 將帳戶變更同步至 Workplace。雲端身分識別服務供應商和 Workplace 中的用戶帳戶資訊和狀態變更會互相同步,因此有用戶加入和離開貴機構時,無須手動進行用戶管理作業。
若要開始進行,系統管理員必須按照這裡的說明步驟,建立自訂的整合應用程式來佈建用戶帳戶。這些步驟會提供完成設定所需的值,如下所示:
  • 存取憑證:允許應用程式管理帳戶的存取憑證。
  • SCIM 網址:雲端應用程式用來管理帳戶的 API 端點。
  • 社群編號:可供雲端應用程式區分 Workplace 執行個體的貴機構編號。
接著,請按照雲端身分識別服務供應商提供的指示進行操作。
請注意,Workplace 以原生方式整合下列合作夥伴:
此資訊是否實用?
本文僅適用於 Workplace 基本版和 Workplace 進階版用戶。
AD 同步元件的安裝需求如下:
  • 只有具備 AD 網域管理員權限的用戶才能安裝軟件。
  • AD 同步的執行平台為 Windows Server 2012 R2 或 Windows Server 2016;雖然可配搭其他配置使用(作業系統語言設為 en_US 時),但 Workplace 不提供支援。
  • 執行 AD 同步的電腦,必須透過網絡連結至您的 Workplace 用戶所屬的同一個 AD 控制器。若您的 Workplace 用戶隸屬於多個 AD 網域,您可能必須在每個網域的伺服器上,按照 AD 同步的安裝和設定程序操作。
  • 伺服器上需備有下列 Microsoft 元件,若沒有這些元件,系統將在安裝 AD 同步時一併安裝:.NET Framework 4.5.2 和 SQL Server 2014 Express LocalDB(SQL Server Express 精簡版),用途是儲存用戶資料。系統必須安裝所有累積更新。
  • 您要同步至 Facebook Workplace 的每組用戶,都必須具備以下項目:用戶所屬 Active Directory 的根項目辨別名稱(DN),以及可識別您想與 Workplace 同步的用戶的 LDAP 篩選器或 Active Directory 群組。
  • 您的網域控制器必須可支援使用連接埠 636 的 LDAPS(SSL)連線。
此資訊是否實用?
Workplace AD 同步元件可讓您將指定的群組和機構單位從 Active Directory 同步至 Workplace,因此當用戶加入和離開貴機構時,無須手動進行用戶管理作業。AD 同步可自動處理下列作業:
  • 在新用戶加入機構時佈建(建立)用戶帳戶。
  • 在用戶設定檔屬性變更時(例如電話號碼不同)隨之更新。
  • 在用戶離開機構或不需再取得使用權限時取消佈建(停用)用戶帳戶。
在您的 IT 基礎架構中,AD 同步是以 Windows 服務的形式運作。您設定 AD 同步來查詢 AD,尋找您要授予 Workplace 使用權限的用戶集後,AD 同步會按照排定時間每 3 小時執行一次,以便協調 AD 和 Workplace 間的帳戶。
注意:若您的 Active Directory 已同步至 Workplace 合作的雲端身分識別服務供應商,建議您直接整合 Workplace 和您的雲端服務供應商
此資訊是否實用?
本文僅適用於 Workplace 基本版和 Workplace 進階版用戶。
AD 同步元件的限制如下:
  • 只會同步處理伺服器所屬的 Active Directory 網域的用戶,或是將用戶同步至位於同一個 AD 樹系且已建立適當信任關係的網域。
  • 僅可設定依據下列項目同步處理用戶:LDAP 篩選器(例如特定的用戶類別或屬性值),或 AD 安全性/通訊群組。
  • 使用預設的非管理式 SQL Server 2014 Express LocalDB 時,最多僅能處理 100,000 名用戶左右。若要同步處理更多用戶,管理員必須自行管理資料庫。
  • 僅能在位於 Windows Server 2012 功能等級的 Active Directory 網域和樹系上進行測試。
  • 僅開放自訂下列用戶設定檔屬性的對應規則:格式化名稱和地點;所有其他屬性都會依據預設邏輯進行對應。
  • 系統不會同步處理未擁有以下三項 Workplace 必填欄位 AD 值的用戶:電郵地址、顯示名稱和姓氏。
此資訊是否實用?
本文僅適用於 Workplace 基本版和 Workplace 進階版用戶。
AD 同步會以單向批量複製指定用戶的設定檔資料。AD 同步元件無法寫回至您的目錄服務中。您設定 AD 同步來查詢 AD,尋找您要授予 Workplace 使用權限的用戶集後,AD 同步會按照排定時間每 3 小時執行一次,以便協調 AD 和 Workplace 間的帳戶。
此資訊是否實用?