Microsoft Entra ID (原稱「Azure AD」) 使用者佈建與單一登入

準備 Cloud Identity 或 Google Workspace 帳戶

為 Microsoft Entra ID 建立使用者

如要讓 Microsoft Entra ID 存取 Cloud Identity 或 Google Workspace 帳戶，您必須在 Cloud Identity 或 Google Workspace 帳戶中為 Microsoft Entra ID 建立使用者。

Microsoft Entra ID 使用者僅供自動佈建使用。因此，建議您將這個帳戶放在不同的機構單位 (OU) 中，與其他使用者帳戶分開。使用獨立的 OU 也能確保您日後可以為 Microsoft Entra ID 使用者停用單一登入。

如要建立新的 OU，請按照下列步驟操作：

1. 開啟管理控制台，並使用您申請 Cloud Identity 或 Google Workspace 時建立的超級管理員使用者登入。
2. 在選單中依序前往「目錄」>「機構單位」。
3. 按一下「建立機構單位」，然後提供機構單位的名稱和說明：
   • Name (名稱)：Automation
   • 說明：Automation users
4. 按一下 [建立]。

建立 Microsoft Entra ID 使用者帳戶，並將其放在 Automation OU 中：

1. 在選單中，依序按一下「目錄」>「使用者」，然後點選「新增使用者」，建立使用者。

2. 提供適當的名稱與電子郵件地址，例如：

   • 名字：Microsoft Entra ID
   • 姓氏：Provisioning

   • 「Primary email」(主要電子郵件)：azuread-provisioning

     保留電子郵件地址的主網域

3. 按一下「管理使用者的密碼、機構單位和個人資料相片」，然後設定下列項目：

   • 機構單位：選取先前建立的 Automation 機構單位。
   • 密碼：選取「建立密碼」並輸入密碼。
   • 「Ask for a password change at the next sign-in」(要求在下次登入變更密碼)：「Disabled」(已停用)。

4. 按一下 [新增使用者]。

5. 按一下 [完成]。

將權限指派給 Microsoft Entra ID

如要讓 Microsoft Entra ID 在 Cloud Identity 或 Google Workspace 帳戶中建立、列出及暫停使用者和群組，您必須授予 azuread-provisioning 使用者其他權限，如下所示：

• 如要讓 Microsoft Entra ID 管理所有使用者，包括委派的管理員和超級管理員使用者，您必須將 azuread-provisioning 使用者設為超級管理員。

• 如要讓 Microsoft Entra ID 僅管理非管理員使用者，只要將 azuread-provisioning 使用者設為委派管理員即可。做為委派管理員，Microsoft Entra ID 無法管理其他委派管理員或超級管理員使用者。

註冊網域

在 Cloud Identity 和 Google Workspace 中，使用者和群組可由電子郵件地址識別。您必須先註冊及驗證這些電子郵件地址使用的網域。

備妥您要註冊的 DNS 網域清單：

• 如果您要透過 UPN 來對應使用者，請納入 UPN 使用的所有網域。如有疑慮，請納入 Microsoft Entra ID 用戶群的所有自訂網域。
• 如果您要透過電子郵件地址來對應使用者，請納入電子郵件地址使用的所有網域。網域清單可能會與 Microsoft Entra ID 用戶群的自訂網域清單不同。

如果您要佈建群組，請修改 DNS 網域清單：

• 如果您要透過電子郵件地址來對應群組，請納入群組電子郵件地址使用的所有網域。如有疑慮，請納入 Microsoft Entra ID 用戶群的所有自訂網域。
• 如果您要透過名稱來對應群組，請納入專屬子網域，例如 groups.PRIMARY_DOMAIN，其中 PRIMARY_DOMAIN 是 Cloud Identity 或 Google Workspace 帳戶的主網域名稱。

您現在已經列出了 DNS 網域清單，可以在 Cloud Identity 中註冊任何遺漏的網域。請針對清單中尚未註冊的每個網域，執行下列步驟：

1. 在管理控制台中，依序點選「帳戶」>「網域」>「管理網域」。
2. 按一下「新增網域」。
3. 輸入網域名稱，然後選取「次要網域」。
4. 按一下「新增網域並開始驗證」，然後按照操作說明驗證網域擁有權。

設定 Microsoft Entra ID 佈建

建立企業應用程式

您可以從 Microsoft Azure 市集設定 Google Cloud/G Suite Connector by Microsoft 相片庫應用程式，將 Microsoft Entra ID 連結至 Cloud Identity 或 Google Workspace 帳戶。

您可以設定 Gallery 應用程式，同時處理使用者佈建作業和單一登入。在本文件中，您會使用兩個 Gallery 應用程式執行個體，一個用於使用者佈建，另一個用於單一登入。

首先，請建立相片庫應用程式的例項，以便處理使用者佈建作業：

1. 開啟 Azure 入口網站，然後以具有「全域管理員」權限的使用者身分登入。
2. 依序選取「Microsoft Entra ID」>「企業應用程式」。
3. 按一下 [New application] (新增應用程式)。
4. 搜尋「Google Cloud」，然後點選結果清單中的「Google Cloud/G Suite Connector by Microsoft」項目。
5. 將應用程式名稱設為 Google Cloud (Provisioning)。
6. 按一下 [建立]。
7. 新增應用程式可能需要幾秒鐘的時間，接著系統應該會將您重新導向至標題為「Google Cloud (Provisioning) - Overview」(Google Cloud (佈建) - 總覽) 的頁面。
8. 在左側選單中，依序點選「管理」>「屬性」
   ：
   1. 將「Enabled for users to sign-in」(啟用以讓使用者登入) 設定為 [No] (否)。
   2. 將「Assignment required」(需要指派) 設為「No」(否)。
   3. 將「Visible to users」(使用者是否可見) 設定為 [No] (否)。
   4. 按一下 [儲存]。

9. 在左側選單中，依序點選「管理」>「佈建」：

   1. 按一下「開始使用」。
   2. 將「Provisioning Mode」(佈建模式) 變更為 [Automatic] (自動)。
   3. 依序按一下「管理員認證」>「授權」。

   4. 使用您先前建立的 azuread-provisioning@DOMAIN 使用者登入，其中 DOMAIN 是 Cloud Identity 或 Google Workspace 帳戶的主要網域。

   5. 由於這是您第一次透過該使用者的身分登入，系統會要求您接受《Google 服務條款》和《隱私權政策》。

   6. 如果您同意條款，請點按「我瞭解」。

   7. 按一下 [Allow] (允許)，確認存取 Cloud Identity API。

   8. 按一下「Test Connection」，確認 Microsoft Entra ID 是否能成功透過 Cloud Identity 或 Google Workspace 進行驗證。

   9. 按一下 [儲存]。

設定使用者佈建

正確設定使用者佈建的方式，取決於您要使用電子郵件地址或 UPN 對應使用者而定。

您必須為 primaryEmail、name.familyName、name.givenName 和 suspended 設定對應項目。其他所有屬性對應皆為選用項目。

設定其他屬性對應時，請注意下列事項：

• Google Cloud/G Suite Connector by Microsoft 相簿目前無法讓您指派電子郵件別名。
• Google Cloud/G Suite Connector by Microsoft 相片庫目前不允許您為使用者指派授權。建議您為機構單位設定自動授權。
• 如要將使用者指派給機構單位，請新增 OrgUnitPath 的對應項目。路徑必須以 / 字元開頭，且必須參照現有的組織單位，例如 /employees/engineering。

設定群組佈建

正確設定群組佈建的方式，取決於群組是否已啟用郵件功能。如果群組未啟用郵件功能，或是群組使用的電子郵件地址結尾為「onmicrosoft.com」，您可以從群組名稱衍生電子郵件地址。

設定使用者指派

如果您確定只有特定一部分使用者需要存取 Google Cloud，可以選擇指派企業應用程式給特定使用者或使用者群組，來限制要佈建的一組使用者。

如果您要佈建所有使用者，可略過下列步驟。

1. 在左側選單中，依序點選「管理」>「使用者與群組」。
2. 新增要佈建的使用者或群組。如果您選取群組，系統會自動佈建該群組中的所有成員。
3. 按一下「指派」。

啟用自動佈建

下一個步驟是設定 Microsoft Entra ID，自動將使用者佈建至 Cloud Identity 或 Google Workspace：

1. 在左側選單中，依序點選「管理」>「佈建」。
2. 選取「編輯帳戶佈建」。
3. 將「Provisioning Status」(佈建狀態) 設定為 [On] (開啟)。

4. 在「Settings」下方，將「Scope」設為下列其中一項：

   1. 如果已設定使用者指派，請選擇 [Sync only assigned users and groups] (只同步已指派的使用者與群組)。
   2. 否則請選擇 [Sync all users and groups] (同步所有使用者與群組)。

   如果未顯示這個設定範圍的方塊，請點選 [Save] (儲存) 並重新整理頁面。

5. 按一下 [儲存]。

Microsoft Entra ID 就會啟動初始同步處理作業。視目錄中的使用者和群組數量而定，這項同步處理作業可能需要幾分鐘或幾小時的時間。您可以重新整理瀏覽器頁面，查看位於頁面底部的同步處理狀態，或選取選單中的 [Audit Logs] (稽核記錄) 查看詳細資訊。

初始同步作業完成後，Microsoft Entra ID 會定期將更新內容從 Microsoft Entra ID 傳播至您的 Cloud Identity 或 Google Workspace 帳戶。如要進一步瞭解 Microsoft Entra ID 如何處理使用者和群組修改作業，請參閱「對應使用者生命週期」和「對應群組生命週期」。

疑難排解

如果系統未在五分鐘內啟動同步處理作業，您可以執行下列步驟強制啟動：

1. 按一下「編輯帳戶佈建」。
2. 將「Provisioning Status」(佈建狀態) 設定為 [Off] (關閉)。
3. 按一下 [Save] (儲存)。
4. 將「Provisioning Status」(佈建狀態) 設定為 [On] (開啟)。
5. 按一下 [儲存]。
6. 關閉佈建對話方塊。
7. 按一下「重新啟用帳戶管理」。

如果仍未啟動同步處理作業，請按一下 [Test Connection] (測試連線)，驗證是否已成功儲存您的憑證。

設定 Microsoft Entra ID 處理單一登入

雖然現在所有相關 Microsoft Entra ID 使用者都會自動佈建至 Cloud Identity 或 Google Workspace，但您無法使用這些使用者登入。如要允許使用者登入，您仍然必須設定單一登入功能。

建立 SAML 設定檔

如要設定 Microsoft Entra ID 單一登入功能，請先在 Cloud Identity 或 Google Workspace 帳戶中建立 SAML 設定檔。SAML 設定檔包含與 Microsoft Entra ID 租用戶相關的設定，包括網址和簽署憑證。

之後再將 SAML 設定檔指派給特定群組或機構單位。

如要在 Cloud Identity 或 Google Workspace 帳戶中建立新的 SAML 設定檔，請按照下列步驟操作：

1. 在管理控制台中，前往「透過第三方 IdP 設定單一登入 (SSO) 服務」。

   前往「使用第三方 IdP 的單一登入 (SSO) 服務」

2. 依序按一下「第三方單一登入 (SSO) 設定檔」>「新增 SAML 設定檔」。

3. 在「SAML 單一登入設定檔」頁面中輸入下列設定：

   • Name (名稱)：Entra ID
   • IDP 實體 ID：請留空
   • 登入網頁網址：保留空白
   • 登出網頁網址：保留空白
   • 變更密碼網址：留空

   請勿上傳驗證憑證。

4. 按一下 [儲存]。

   隨即顯示的「SAML 單一登入 (SSO) 設定檔」頁面包含兩個網址：

   • 實體 ID
   • ACS 網址

   您在下一個部分設定 Microsoft Entra ID 時，需要使用這些網址。

建立 Microsoft Entra ID 應用程式

請建立第二個企業應用程式來處理單一登入作業：

1. 在 Azure 入口網站中，依序前往「Microsoft Entra ID」>「Enterprise applications」(企業應用程式)。
2. 按一下 [New application] (新增應用程式)。
3. 搜尋「Google Cloud」，然後點選結果清單中的「Google Cloud/G Suite Connector by Microsoft」。
4. 將應用程式名稱設為 Google Cloud。

5. 按一下 [建立]。

   新增應用程式可能需要幾秒鐘的時間。接著系統會將您重新導向至標題為「Google Cloud - 總覽」的頁面。

6. 在左側選單中，依序點選「管理」>「屬性」。

7. 將「Enabled for users to sign-in」(為使用者啟用登入) 設定為 [Yes] (是)。

8. 除非您要允許所有使用者使用單一登入，否則請將「Assignment required」(需要指派) 設為「Yes」(是)。

9. 按一下 [儲存]。

設定使用者指派

如果您確定只有特定一部分使用者需要存取 Google Cloud，可以選擇指派企業應用程式給特定使用者或使用者群組，來限制可登入的一組使用者。

如果您先前將「User assignment required」(需要使用者指派) 設定為 [No] (否)，則可略過下列步驟。

1. 在左側選單中，依序點選「管理」>「使用者與群組」。
2. 新增您要允許單一登入的使用者或群組。
3. 按一下「指派」。

啟用單一登入

如要讓 Cloud Identity 可使用 Microsoft Entra ID 進行驗證，您必須調整一些設定：

1. 在左側選單中，依序點選「管理」>「單一登入」。
2. 在候選畫面上，按一下 [SAML] 資訊卡。
3. 在「Basic SAML Configuration」資訊卡上，按一下 edit「編輯」。

4. 在「Basic SAML Configuration」對話方塊中，輸入下列設定：

   1. 識別碼 (實體 ID)：
      • 從 SSO 設定檔新增實體網址，並將「預設」設為「啟用」。
      • 移除所有其他項目。
   2. 回覆網址：新增 SSO 設定檔中的 ACS 網址。

   3. Sign on URL：

      https://www.google.com/a/PRIMARY_DOMAIN/ServiceLogin?continue=https://console.cloud.google.com/
      

      將 PRIMARY_DOMAIN 替換為 Cloud Identity 或 Google Workspace 帳戶使用的主網域名稱。

5. 按一下 [Save] (儲存)，然後點選 [X] 關閉對話方塊。

6. 在「SAML Signing Certificate」(SAML 簽署憑證) 資訊卡上，找到標示為「Certificate (Base 64)」(憑證 (Base 64)) 的項目，然後按一下「Download」(下載)，將憑證下載至您的本機電腦。

7. 在「Set up Google Cloud」資訊卡上，您會看到兩個網址：

   • 登入網址
   • Microsoft Entra ID 識別碼

   完成 SAML 設定檔時，您需要在下一節中使用這些網址。

根據您使用電子郵件地址或 UPN 對應使用者而定，其餘步驟略有不同。

完成 SAML 設定檔

完成 SAML 設定檔設定：

1. 返回管理控制台，依序前往「安全性」>「驗證」>「使用第三方 IdP 的單一登入 (SSO) 服務」。

   前往「使用第三方 IdP 的單一登入 (SSO) 服務」

2. 開啟先前建立的 Entra ID SAML 設定檔。

3. 按一下「IdP 詳細資料」部分，編輯設定。

4. 請輸入下列設定：

   • IDP 實體 ID：輸入 Azure 入口網站「Set up Google Cloud」資訊卡中的「Microsoft Entra Identifier」。
   • 「Sign-in page URL」(登入網頁網址)：輸入 Azure 入口網站上「Set up Google Cloud」(設定 Google Cloud) 資訊卡中的「Login URL」(登入網址)。
   • 登出網頁網址：https://login.microsoftonline.com/common/wsfederation?wa=wsignout1.0
   • 「變更密碼網址」： https://account.activedirectory.windowsazure.com/changepassword.aspx

5. 在「Verification certificate」(驗證憑證) 底下，按一下「Upload certificate」(上傳憑證)，然後挑選您之前下載的符記簽署憑證。

6. 按一下 [儲存]。

Microsoft Entra ID 符記簽署憑證的有效期限有限，您必須在憑證到期前輪替憑證。詳情請參閱本文件稍後的「輪替單一登入憑證」一節。

SAML 設定檔已完成，但您仍需指派設定檔。

指派 SAML 設定檔

選取要套用新 SAML 設定檔的使用者：

1. 在管理控制台的「使用第三方 IdP 的單一登入 (SSO) 服務」頁面中，依序點選「管理單一登入 (SSO) 設定檔指派作業」>「管理」。

   前往「管理單一登入 (SSO) 設定檔指派作業」

2. 在左側窗格中，選取要套用單一登入 (SSO) 設定檔的群組或機構單位。如要將設定檔套用至所有使用者，請選取根機構單位。

3. 在右側窗格中選取「其他 SSO 設定檔」。

4. 在選單中，選取先前建立的 Entra ID - SAML 單一登入設定檔。

5. 按一下 [儲存]。

如要將 SAML 設定檔指派給其他群組或機構單位，請重複上述步驟。

更新 Automation OU 的 SSO 設定，停用單一登入：

1. 在左側窗格中選取 Automation 組織單位。
2. 在右側窗格中選取「None」。
3. 按一下 [覆寫]。

選用：為網域專屬的服務網址設定重新導向

從內部入口或文件連結至 Google Cloud 控制台時，您可以使用網域專屬服務網址來改善使用者體驗。

與 https://console.cloud.google.com/ 等一般服務網址不同，網域專屬服務網址會包含主要網域的名稱。未經驗證的使用者點選專屬網域服務網址的連結後，系統會立即將他們重新導向至 Entra ID，而不會先顯示 Google 登入頁面。

網域專屬的服務網址範例包括：

Google 服務	網址	標誌
Google Cloud 控制台	https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://console.cloud.google.com
Google 文件	https://docs.google.com/a/DOMAIN
Google 試算表	https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://sheets.google.com
Google 協作平台	https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://slides.google.com
Google 雲端硬碟	https://drive.google.com/a/DOMAIN
Gmail	https://mail.google.com/a/DOMAIN
Google 網路論壇	https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://groups.google.com
Google Keep	https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://keep.google.com
Looker Studio	https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://lookerstudio.google.com
YouTube	https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://www.youtube.com/

如要設定網域專屬服務網址，以便將這些網址重新導向至 Entra ID，請按照下列步驟操作：

1. 在管理控制台的「使用第三方 IdP 的單一登入服務」頁面中，依序點選「網域專屬的服務網址」>「編輯」。

   前往網域專屬的服務網址

2. 將「自動將使用者重新導向至下列單一登入 (SSO) 設定檔的第三方 IdP」設為「啟用」。

3. 將「單一登入 (SSO) 設定檔」設為 Entra ID。

4. 按一下 [儲存]。

選用：設定登入身分確認問題

如果使用者從不明裝置登入，或是登入活動因其他原因看起來可疑，Google 登入可能會要求使用者進行額外驗證。這些登入身分確認問題有助於提升安全性，建議您繼續啟用這項功能。

如果您發現登入身分確認問題造成不便，可以按照下列步驟停用這項功能：

1. 在管理控制台中，依序前往「安全性」>「驗證」>「登入身分確認問題」。
2. 在左側窗格中，選取要停用登入身分確認問題的機構單位。如要為所有使用者停用登入驗證，請選取根機構單位。
3. 在「透過其他單一登入 (SSO) 設定檔登入時，使用者所看到的設定」下方，選取「不要求使用者透過 Google 進行其他驗證」。
4. 按一下 [儲存]。

測試單一登入

您現在已經在 Microsoft Entra ID 和 Cloud Identity 或 Google Workspace 上完成單一登入設定，可透過以下兩種方式存取 Google Cloud ：

• 透過 Microsoft Office 入口網站的應用程式清單。
• 直接開啟 https://console.cloud.google.com/。

如要檢查第二個選項是否正常運作，請執行下列測試：

1. 選擇已佈建至 Cloud Identity 或 Google Workspace，且未指派超級管理員權限的 Microsoft Entra ID 使用者。具有超級管理員權限的使用者一律必須使用 Google 憑證登入，因此不適合用來測試單一登入功能。
2. 開啟新的瀏覽器視窗，然後前往 https://console.cloud.google.com/。

3. 在顯示的 Google 登入頁面上，輸入使用者的電子郵件地址，然後按一下「下一步」。如果您使用網域替代，則必須將該替代套用至電子郵件地址。

   

4. 系統會將您重新導向至 Microsoft Entra ID，並顯示另一個登入提示。輸入使用者的電子郵件地址 (不含網域替代)，然後點選「Next」(下一步)。

   

5. 輸入密碼後，系統會詢問您是否要保持登入狀態。就目前而言，請選擇 [No] (否)。

   成功驗證之後，Microsoft Entra ID 會將您重新導向至 Google 登入。由於這是您第一次透過該使用者的身分登入，系統會要求您接受《Google 服務條款》和《隱私權政策》。

6. 如果您同意條款，請點按「我瞭解」。

   系統會將您重新導向至 Google Cloud 主控台，並要求您確認偏好設定，並接受《Google Cloud 服務條款》。

7. 如果您同意條款，請按一下 [Yes] (是)，然後點選 [Agree and Continue] (同意並繼續)。

8. 按一下頁面左上方的顯示圖片，然後點選 [Sign out] (登出)。

   系統會將您重新導向至 Microsoft Entra ID 頁面，確認您已成功登出。

請注意，具有超級管理員權限的使用者不必執行單一登入，因此您仍然可以使用管理控制台驗證或變更設定。

輪替單一登入憑證

Microsoft Entra ID 符記簽署憑證的有效期限只有幾個月，您必須在憑證到期前更換。

如要輪替簽署憑證，請在 Microsoft Entra ID 應用程式中新增其他憑證：

1. 在 Azure 入口網站中，前往「Microsoft Entra ID」>「Enterprise applications」(企業應用程式)，然後開啟您為單一登入建立的應用程式。
2. 在左側選單中，依序點選「管理」>「單一登入」。

3. 在「SAML Signing Certificate」資訊卡上，按一下 edit「Edit」。

   您會看到一或多張憑證的清單。系統會將其中一個憑證標示為「有效」。

4. 按一下「新憑證」。

5. 保留預設簽署設定，然後按一下「儲存」。

   系統會將憑證新增至憑證清單，並標示為「Inactive」。

6. 選取新的憑證，然後依序按一下 more_horiz > Base64 憑證下載。

   請保持瀏覽器視窗開啟，且不要關閉對話方塊。

如要使用新的憑證，請按照下列步驟操作：

1. 開啟新的瀏覽器分頁或視窗。

2. 開啟管理控制台，然後前往「透過第三方 IdP 設定單一登入服務 (SSO)」。

   前往「使用第三方 IdP 的單一登入 (SSO) 服務」

3. 開啟 Entra ID SAML 設定檔。

4. 按一下「IDP 詳細資料」。

5. 按一下「Upload another certificate」，然後選取先前下載的新憑證。

6. 按一下 [儲存]。

7. 返回 Microsoft Entra ID 入口網站，並前往「SAML Signing Certificate」對話方塊。

8. 選取新的憑證，然後依序按一下 more_horiz >「啟用憑證」。

9. 按一下「是」即可啟用憑證。

   Microsoft Entra ID 現在使用新的簽署憑證。

10. 測試 SSO 是否仍能正常運作。詳情請參閱「測試單一登入」。

如要移除舊憑證，請按照下列步驟操作：

1. 返回管理控制台，然後前往 Entra ID SAML 設定檔。
2. 按一下「IDP 詳細資料」。
3. 在「驗證憑證」下方，比較憑證的到期日，找出舊憑證，然後按一下 delete。
4. 按一下 [儲存]。