為 Microsoft Entra ID 新增 SAML 群組帳戶

步驟

1. 確保在Administration → Identity Providers中配置 Microsoft Entra ID，以在Microsoft Entra ID和Trend Vision One之間設置 SSO 驗證。
   如需詳細資訊，請參閱正在配置Microsoft Entra ID。
2. 確保您已在Workflow and Automation → Third-Party Integration中授予Microsoft Entra ID所需的訪問權限，以便從身份提供者同步群組資料防護。
   如需詳細資訊，請參閱配置 Microsoft Entra ID 整合。

   當您的組織中有多個租戶時，請確保您已授予與您想要新增為 SAML 群組的群組相關聯的租戶的存取權。您必須授予至少一個其相關應用程式包含「使用者帳號」的權限集。
3. 前往Administration → 使用者帳號。
4. 點選Add User Account。
5. 選擇SAML Group。
6. 從「Identity provider」下拉式清單中選取「Microsoft Entra ID」。
7. 選擇「Tenant」。
   如果您找不到目標租戶，請檢查您是否在Third-Party Integration中授予了正確的訪問權限。
8. 輸入租戶中群組的物件 ID 或電子郵件地址。
   物件 ID 可以唯一識別一個群組。對於某些沒有群組電子郵件地址的群組，例如安全群組，請指定其物件 ID 以將其新增為 SAML 群組。

   尋找群組的物件 ID 或電子郵件地址：

   • 以至少群組管理員的身份登入Microsoft Entra 管理中心。
   • 移至「Entra ID」 → 「群組」 → 「所有群組」
   • 選取目標群組。
   • 從側邊選單中選擇屬性。
     物件 ID 可在此畫面上找到。
     只有當群組擁有群組電子郵件地址時，該地址才可用。
9. 請指定群組的名稱。
   如果您將名稱留空，Trend Vision One 將使用從 Microsoft Entra ID 同步的群組名稱。使用原始群組名稱有助於確保 Trend Vision One 中的 SAML 群組與 Microsoft Entra ID 中的相應群組之間的準確映射。
10. 選擇一個Trend Vision One角色指派給群組中的使用者。
    要建立自訂使用者角色，請點擊「Create a custom role in User Roles」。如需詳細資訊，請參閱使用者角色。

    注意 建立自訂角色會離開當前畫面並捨棄在畫面中所做的所有變更。

11. 添加一些關於 SAML 群組的描述。
12. 點選新增。
    群組及其成員顯示在「使用者帳號」列表中。

    Trend Vision One 提供即時同步和定期同步，以同步來自 Microsoft Entra ID 的群組資料，並保持 SAML 群組的最新狀態。您也可以在必要時透過點擊 圖示在主控台上觸發手動同步。

    重要 即時同步使用 Microsoft Graph API 來獲取群組變更通知，Microsoft 對此設有配額。詳情請參閱此 Microsoft 文件 中資源類型「群組」的配額限制。 當您達到獲取群組變更通知的配額限制時，Trend Vision One 將無法執行即時同步。這通常是因為您租戶中的現有應用程式已經用完配額。在這種情況下，您可以點擊手動同步圖示 () 立即同步更新。Trend Vision One 也會定期同步群組資料以保持最新。

13. 確保群組用戶驗證他們的電子郵件地址。
    需要驗證其電子郵件地址的用戶在「狀態」欄中有一個電子郵件已發送圖標()。

    注意 用戶必須驗證他們的電子郵件地址才能登入Trend Vision One。 驗證連結在 24 小時後過期。如果驗證連結過期，具有Configure account settings權限的任何帳戶都可以重新發送驗證電子郵件。 如果您的一個或多個網域已使用網域驗證進行驗證，則在已驗證網域下的所有 SAML 使用者或使用者群組成員可以直接新增，而無需驗證電子郵件地址。

14. （可選）在編輯帳戶時，通過點擊「狀態」列中的切換來啟用或關閉帳戶。