一、功能简介
内测信息:功能内测中
谁能操作:超级管理员或拥有组织架构数据同步权限的管理员
管理员可以通过组织架构数据同步功能,将 Microsoft Entra ID 中的用户数据同步到 Lark 对应的企业组织架构中。
Lark & Entra ID 同步应用支持以下功能:
- 创建账号:Entra ID 中指定的用户将被自动同步到 Lark。Lark 中具有相同邮箱地址的现有用户将与 Entra ID 中的用户进行关联。
- 注:建议从 Entra ID 中同步组织架构数据之前,在 Lark 中删除已离职的用户,避免匹配失败。
- 更新用户字段:Entra ID 中用户字段信息的更新将自动同步到 Lark。
- 同步已停用的账号:已停用的 Entra ID 用户将被同步到 Lark,状态为“未激活”。
注:文中提供的第三方产品信息仅供参考,实际情况可能随产品更新而有所不同,请以实际产品情况为准。
二、操作流程
配置 Lark & Entra ID 同步应用
Lark & Entra ID 同步应用是 Lark 管理后台的一个应用服务,为企业提供从 Entra ID 向 Lark 同步数据配置选项。
步骤 1:启用同步 Entra ID 用户到 Lark 的配置
- 进入 Lark 管理后台,点击 企业设置 > 组织架构数据同步 > 创建同步数据源。
- 在选择数据源页面,点击 Entra ID。
- 250px|700px|reset
- 在配置访问安全页面,点击 复制令牌 和 复制 URL,并妥善保存令牌和 Base URL,用于后续配置 Entra ID。点击 下一步。
- 250px|700px|reset
- 在属性设置页面,配置成员类型同步规则。点击 下一步。
- Entra ID 中的人员类型字段:为企业在 Entra ID 中定义的人员类型,比如“Regular”,“Consultant”等。
- Lark 中的人员类型字段:为企业在 Lark 中定义的人员类型,比如“正式”,“咨询顾问”等。
- 配置完成后,如果用户在 Entra ID 中配置的人员类型为“Regular”,则会在 Lark 中映射为“正式”。
- 注:最多支持配置 15 条同步规则。
- 250px|700px|reset
- 在通用设置页面,完成通用配置。点击 下一步。
- 是否向新成员发送消息提示:管理员可以选择是否向成员发送同步完成提醒。
- 成员删除规则:当接收到 SCIM(跨域身份管理系统)删除成员的 API 请求时,管理员可选择暂停或直接删除该成员。
- 是否提示管理员:管理员可以配置哪些管理员能收到同步失败的提醒。
- 注:如果是令牌过期导致同步失败,不受该设置的限制。提醒会发送到具有配置 Entra ID 同步权限的管理员。
- 选择属性,以在创建新用户过程中识别已有用户:SCIM 创建用户的时候会通过用户名来查询用户是否存在。该配置为Lark & Entra ID 同步应用额外提供了一个选项:当应用无法通过用户名查询到已经存在的用户时,还会使用管理员选择的其他属性来确定用户是否存在。
- 250px|700px|reset
- 在预览页面确认配置无误后,点击 保存 或 保存并使用。
- 保存:仅保存配置,不启用该服务。
- 保存并使用:保存配置的同时启用该服务。
- 注:如果不启用服务,则不会接收来自 Entra ID 的链接和同步请求。
步骤 2:在 Entra ID 中创建应用
- 以管理员身份登录 Entra ID,在导航栏中点击 Microsoft Entra ID。
- 选择 Enterprise applications 后,点击 + New application。
- 250px|700px|reset
- 点击 + Create your own application。输入用户同步的应用名称,点击 Create。
- 250px|700px|reset
- 创建应用后,点击 Provision User Accounts 选项中的 Get started。在 Overview 页面中再次点击 Get started,开始配置。
- 250px|700px|reset
- 在 Provisioning 页面完成配置,点击 Save。
- Provisioning Mode:选择 Automatic。
- Admin Credentials:填入从 Lark 配置中获得的 Base URL 和令牌,点击 Test Connection。请参考本文“步骤 1:启用同步 Entra ID 用户到的配置”,获取 Base URL 和令牌。
- 注: 需要在 URL 补充 Microsoft 的一个修复配置,例如 https://www.xyz.com/admin/sicm/v2?aadOptscim062020。
- 250px|700px|reset
- 在 Provisioning 页面的 Mappings 中点击 Provision Microsoft Entra ID Groups。删除 externalId 到 objectId 的映射关系,点击 Save。
- 250px|700px|reset
- 在 Mappings 中点击 Provision Microsoft Entra ID Users,完成配置后点击 Save。
- 250px|700px|reset
- 删除不需要的属性映射,仅保留下表中属性映射关系。
-
- 点击 Add New Mapping 添加用户类型的属性映射,点击 Ok。
- 选择 Mapping type 为 Direct。
- 选择 Source attribute 为 employeeType。
- 选择 Target attribute 为 userType。
- 返回 Provisioning 页面,在 Settings 中确认选择的同步 Scope 为 Sync only assigned users and groups。管理员也可以设置删除的保护阈值,避免误操作造成大量数据的错误。修改后点击 Save。
- 在该应用的 Overview 页面点击 Assign users and groups。
- 250px|700px|reset
- 点击 + Add user/group,在 Add Assignment 页面点击 Users and groups,勾选需要同步的用户或用户组后,点击 Select。 完成后点击 Assign。
- 250px|700px|reset
250px|700px|reset
- 返回 Provisioning 页面,点击 Start provisioning,开启同步。
- 250px|700px|reset
步骤 3:验证结果
完成上述步骤后,Entra ID 用户会自动同步到 Lark 组织架构中。管理员也可以在 Microsoft Azure 中该应用的 Overview 页面看到同步结果。
管理 Lark & Entra ID 同步应用
管理员可以点击 Entra ID 应用卡片进入同步配置详情页,停用、启用、编辑或删除 Lark & Entra ID 同步应用。
- 开启/关闭:在同步配置详情中点击 开启/关闭,或直接点击应用卡片上的 开启/关闭,可以启用或停用该应用。一旦停用,Lark 将不再接收来自 EntraI D 发起的同步请求;开启后即可恢复服务。
- 编辑:点击 编辑,修改的选项将在下次同步时生效。
- 删除:如果你不再需要该应用,你可以点击 图标 > 删除,删除应用。
注:应用删除后无法恢复,所有的配置都会丢失。已经完成同步的用户不受影响。
250px|700px|reset
管理同步日志
查看同步日志
点击 Entra ID 应用卡片上的 同步日志,管理员可以查看用户创建、修改和删除同步日志记录,也可以查看到用户关联对象(例如职务,部门等)的同步日志。点击日志右侧的 详情,可查看更多详细信息。
250px|700px|reset
250px|700px|reset
查看管理员操作日志
谁能操作:超级管理员或拥有管理员日志权限的管理员
管理员可以在管理员日志中查看Lark & Entra ID 应用的创建、配置和修改的操作详情。
- 点击 合规 > 日志审计 > 管理员日志。
- 在 事件类型 中,按需选择 企业设置 > 组织架构数据同步 > 创建同步数据源/删除同步数据源/修改同步配置/启用或者停止同步设置,并选择管理员、开始时间和结束时间进行筛选。
- 点击 查询 获取日志。
- 点击日志右侧的 详情,可查看操作的详细信息。
- 250px|700px|reset
三、常见问题