在 Microsoft Entra ID 中配置 SCIM

在本文中，您将了解如何使用 Microsoft Entra ID（原 Azure Active Directory）来配置 SCIM。在 Microsoft Entra ID 中配置 SCIM 后，您就能通过 Microsoft Entra ID 在 KSAT 控制台中添加并管理用户和群组。

本文中的说明适用于第三方软件。如果您在 Microsoft Entra ID 中遇到用户配置问题，建议联系 Microsoft Entra 并获取具体说明。您也可以联系我们的支持团队支持团队（链接会在新窗口中打开），我们将很乐意为您提供帮助。

注意：您必须订阅 Microsoft Entra，才能通过 SCIM 同步用户和群组。有关通过 Microsoft Entra 同步用户和组的更多信息，请参阅 Microsoft 文章管理应用程序的用户和组分配。

配置 SCIM

在本部分中，您将了解如何使用 Microsoft Entra 来配置 SCIM 设置。请注意，在 KSAT 控制台中完成配置后，您应该配置这些步骤。如需详细了解如何在 KSAT 控制台中配置 SCIM，请参阅 SCIM 配置指南。

要使用 Microsoft Entra 配置 SCIM，请按照以下步骤操作：

登录到您的 Azure 门户，网址为 https://portal.azure.com/https://portal.azure.com/（链接会在新窗口中打开）。
从 Azure 门户的主页中选择管理 Microsoft Entra ID 图块的视图。
在 + 添加下拉菜单中，选择企业应用程序。
在 Microsoft Entra 图库的搜索栏中输入“KnowBe4”，即可筛选搜索结果。
选择 KnowBe4 安全意识培训图块。
从屏幕右侧出现的弹出窗口中选择创建。
单击创建后，您将跳转至新建应用程序的概览页面。
1. 如未跳转至概览页面，则须在企业应用程序列表中打开此应用。要查找企业应用程序，您可单击左侧面板中的所有服务，然后从弹出的折叠菜单中选择最近使用项，最后再选择企业应用程序。
在开始标头下方的预配用户帐户图块中，选择开始链接。
选择 + 新配置。
接着，您需要打开帐户设置页面并输入具体信息。请参阅我们的 SCIM 配置指南，详细了解如何查找此信息。在租户 URL 字段中输入租户 URL。在密钥令牌字段中输入 SCIM 令牌。

重要提示：当前此功能不适用于按需配置。
输入信息后，选择测试连接按钮。点击此按钮，可确保已输入正确信息。如果连接成功，屏幕右上角将出现成功提示。
选择屏幕顶部的保存按钮。

确定要从 Microsoft Entra 同步的用户和群组

注意：本部分中的说明确定了应同步的特定用户和群组。若想从 Microsoft Entra ID 同步全部用户和群组，请参阅本文的常见问题解答 (FAQ) 部分。

完成上述“配置 SCIM”部分中的步骤后，即可确定要同步的用户和群组。您必须完成此配置，才能从您的身份识别供应商 (IdP) 中同步用户和群组。

重要提示：当前 SCIM 和 Microsoft Entra ID 配置不支持巢状群组。如需了解更多信息，请参阅 Microsoft 文章应用程序预配在 Microsoft Entra ID 中是如何工作的中的“范围”部分。

如需确定要从 Microsoft Entra ID 同步哪些用户和群组，请按以下步骤操作：

从您的 Microsoft Entra ID 导航至企业应用程序。
选择已创建的应用程序，进行 KnowBe4 连接。
从分配用户与群组图块中选择分配用户与群组。
点击 + 添加用户/群组，选择要同步的用户或群组。
选择未选定任何项，搜索要添加至同步的用户或群组。要添加用户或群组，请单击用户或群组的名称。它们将立即显示在已选定侧边栏中。

注意：我们建议您在首次配置时仅添加少量用户。首先添加少量用户，确保同步连接正常，然后再添加要同步的全部用户和群组。
将要同步的用户和群组添加至已选定类别之后，单击选择。
选择分配。

您所选择的用户和群组将立即显示在表格中。

开始同步

配置了 SCIM 并添加了要同步的用户和群组后，即可开始进行同步。开始同步后，系统将自动检查 Microsoft Entra ID 中的用户和群组更改（每 40 分钟一次）；如果出现更改，系统将启动同步。

注意：如果您的 SCIM 配置应用程序中有数千名用户，初始同步不一定会覆盖到全部用户。相反，系统会分阶段将用户同步到您的帐户。建议先将用户配置保持为测试模式，直至观察到同步报告之间仅有极小差异。这样可以避免在 KSAT 控制台中将用户存档。此外，同步群组成员所需时间可能比同步用户更长。假如您的帐户内用户较多，KSAT 控制台可能会定期同步。

开启同步的步骤如下：

从您的 Microsoft Entra ID 导航至企业应用程序。
选择已创建的应用程序，进行 KnowBe4 连接。
在页面左侧的菜单中选择配置。
点击开始配置。

同步将立即启动。初始同步完成后，系统将检查 Microsoft Entra ID 的更改（每 40 分钟一次）；如果出现更改，系统将启动同步。

重要提示：顺利完成用户同步后，您需要前往 KSAT 控制台的帐户设置，关闭测试模式 。关闭测试模式后，可在下一次同步期间添加并归档用户。如需了解测试模式的更多信息，请参阅《SCIM 配置指南》。

如需查看同步状态及错误并了解有关同步的其他信息，请登录 KSAT 控制台并选择用户配置。

高级配置选项

启用与 Entra ID 的 SCIM 同步后，KnowBe4 控制台中的现有用户数据将被 SCIM 身份提供商覆盖。继续操作之前，请在测试模式下预览活动以验证相关信息，确保组和用户状态已在 Entra ID 中正确配置。此步骤可防止数据意外丢失。未纳入同步范围的用户将被自动存档，其数据和历史记录将得到完整保留。

重要提示：SCIM 配置功能当前不支持电子邮件别名。

如需详细了解 Microsoft Entra 的高级配置选项，请参阅以下子部分：

默认映射

默认字段映射如下所示：

Azure Active Directory 默认属性	KSAT 属性	KSAT 字段
userPrincipalName	userName	电子邮件
givenName	name.givenName	名字
surname	name.familyName	姓氏
employeeId	urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:employeeNumber	员工编号
jobTitle	title	职位头衔
department	urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:department	部门
manager	urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:manager.value 注意：要同步经理信息，相应经理必须包含在同步中。要将这些经理添加到同步，请参阅上文确定要从 Microsoft Entra 同步的用户和群组部分。	经理电子邮件
经理 Entra ID 个人资料中的 displayName	displayName 注意：用户的 displayName 来自经理的 Entra ID 个人资料。因此，用户的 displayName 不会显示在 KSAT 的用户个人档案中，因为他们的名称已使用其他属性进行了同步。但会显示在其直接上级用户的个人档案中。	经理姓名

注意：部门和组织字段默认未进行映射。如果打算使用这些字段，您需要添加映射。您可按照以下将属性映射添加至自定义用户字段部分中的说明，添加此类属性。

Azure Active Directory 默认属性	KSAT 属性	KSAT 字段
不适用	不适用	时区
不适用	不适用	电话分机
不适用	不适用	备注
不适用	不适用	员工开始日期

更改默认映射

您可以更改默认映射，从而自定义在 Microsoft Entra 与 KSAT 控制台之间同步的用户信息。

默认映射的更改步骤如下：

从您的 Microsoft Entra ID 导航至企业应用程序。
选择已创建的应用程序，进行 KnowBe4 连接。
在页面左侧的菜单中选择配置。
打开配置窗口，单击管理配置下的编辑属性映射。
单击映射下拉箭头，展开映射选项卡。
单击配置 Azure Active Directory 用户。
向下滚动至属性映射部分。在本部分中，您将看到所有已映射属性的列表。Azure Active Directory 属性一列显示了 Microsoft Entra 中的属性名称。KnowBe4 属性一列显示了该属性的 SCIM 标准名称。
选择要编辑的属性。
打开编辑属性侧窗格，自定义属性。如需详细了解自定义选项，请参见下表：
1. 映射类型：在下拉菜单中选择直接映射。
2. 源属性：选择您想映射到该自定义字段的 Azure 字段。
  
  注意：如果您对 Microsoft Entra ID 使用 SSO，则此属性应该与 SSO Source attribute 相同。SSO 源属性默认为 user.userprincipalname。更多信息请参阅如何用 Azure Active Directory (AD) 配置 SSO/SAML？一文中的将 KnowBe4 应用添加到 Azure AD 部分。
3. 无效字段的默认值：该字段为可填字段，我们建议将其留空。
4. 目标属性：选择相应自定义字段，映射到所选 Azure 字段。
5. 通过此属性匹配对象：我们建议选择“否”。
6. 应用此映射：我们建议选择始终应用。
  
  注意：假如不想同步某个属性，可点击该属性旁边的删除按钮以禁用同步。这样只会移除该属性与 KSAT 控制台对应字段之间的同步连接。此操作不会删除 Azure 中的任何数据。
完成所需更改后，单击确认。

注意：我们建议仅更改源属性字段。如果更改了属性中的其他设置，Microsoft Entra 与 KSAT 控制台之间的连接可能会中断。

将属性映射添加至自定义用户字段

您也可选择添加六个自定义字段。这些字段默认未映射，但您可按以下步骤将它们添加至 Microsoft Entra：

从您的 Microsoft Entra ID 导航至企业应用程序。
选择已创建的应用程序，进行 KnowBe4 连接。
在页面左侧的菜单中选择配置。
打开预置窗口，选择管理预置中的编辑属性映射。
单击映射下拉箭头，展开映射选项卡。
单击配置 Azure Active Directory 用户。
单击表格底部的添加新映射。
打开编辑属性窗口，选择要使用的源属性。

然后，选择要使用的目标属性。我们提供以下自定义字段：

注意：一定要遵守所支持语言的格式，同时注意特定的大小写字母。

KSAT 字段	目标属性
自定义字段 1	urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:customField1
自定义字段 2	urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:customField2
自定义字段 3	urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:customField3
自定义字段 4	urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:customField4
自定义日期 1	urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:customDate1 重要提示：此字段中的日期必须采用 ISO 8601 格式。格式如下：YYYY-MM-DD “T” hh:mm:ssZ。例如，2022-04-04T04:23:30Z。
自定义日期 2	urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:customDate2 重要提示：此字段中的日期必须采用 ISO 8601 格式。格式如下：YYYY-MM-DD “T” hh:mm:ssZ。例如，2022-04-04T04:23:30Z。
分部	urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:division
组织	urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:organization
在此时间前不在办公室	urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:outOfOfficeEnd
网络钓鱼语言	urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:phishingLanguage
培训语言	urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:trainingLanguage
用户类型	urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:userRole

默认 Microsoft Entra ID 属性	KSAT 属性	KSAT 字段
physicalDeliveryOfficeName	addresses[type eq "work"].formatted	位置
telephoneNumber	phoneNumbers[type eq "work"].value	电话号码
移动设备	phoneNumbers[type eq "mobile"].value	手机号码

默认显示在架构中的属性：

KSAT 字段	目标属性
公司名称	urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:companyName
国家/地区	urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:country
员工类型	userType
主机名	urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:hostname
邮件昵称	urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:mailNickName
SAM 帐户名称	urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:onPremisesSamAccountName
安全标识符	urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:onPremisesSecurityIdentifier
用户主体名称	urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:userPrincipalName
上次密码更改	urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:lastPasswordChangeDateTime 重要提示：针对上次密码更改字段，目标属性类型必须设置为 DateTime。

此外，我们还提供以下自定义字段，以便在 SecurityCoach 中映射用户：

我们建议将其余设置保留为默认设置。
重复步骤 8，更改您在步骤 7 中添加的所有自定义字段。
单击屏幕顶部的保存，保存更改。

这些自定义字段将立即同步到 KSAT 控制台。

常见问题解答 (FAQ)

参见以下常见问题解答列表，了解 Microsoft Entra ID 中的 SCIM 使用。

同步多久进行一次？

系统每 40 分钟检查一次 Microsoft Entra ID 中的用户和群组更新。如果发现更改，系统将自动开始同步。不过，您随时可登录 KSAT 控制台，打开帐户设置的 SCIM 设置部分，单击立即强制同步按钮，即可强制同步。

如何恢复默认映射？

执行以下步骤，随时恢复默认映射：

导航到企业应用程序。
选择已创建的应用程序，进行 KnowBe4 连接。
在页面左侧的菜单中选择配置。
单击管理配置下的编辑属性映射。
点击映射下拉箭头，展开映射下拉菜单。
选择恢复默认映射。
单击屏幕顶部的保存。

如何同步我的全部用户和群组？

若想从 Microsoft Entra ID 同步全部用户和群组，请按以下步骤操作：

选择需要进行 SCIM 连接的应用程序。
选择配置。
选择屏幕顶部的编辑配置，或选择管理配置下的添加范围筛选条件。
点击设置下拉菜单。
在范围下拉菜单中选择同步全部用户和群组。
点击屏幕顶部的保存。

我无法将用户按组分配至应用程序。如何将部分用户同步到 KSAT 控制台？

可以设置范围筛选条件，挑选部分用户同步到 KSAT 控制台。有关创建范围筛选条件的更多信息，请参阅 Microsoft 文章使用范围筛选器确定要预配的用户或组的范围使用范围筛选器确定要预配的用户或组的范围（链接会在新窗口中打开）。

SCIM

配置 SCIM

确定要从 Microsoft Entra 同步的用户和群组

开始同步

高级配置选项