استخدام مصادقة الاتحاد مع Microsoft Entra ID في Apple Business Manager
في Apple Business Manager، يمكنك الارتباط بخدمة Microsoft Entra ID Open ID Connect (OIDC) العالمية (login.microsoftonline.com) باستخدام تمكين الاتحاد للسماح للمستخدمين بتسجيل الدخول إلى أجهزة Apple باستخدام اسم مستخدم Microsoft Entra ID (عنوان بريدهم الإلكتروني عمومًا) وكلمة السر.
ملاحظة: لا يتم دعم التكامل مع السحابات الوطنية حاليًا.
ونتيجة لذلك، يمكن للمستخدمين الاستفادة من بيانات اعتماد Microsoft Entra ID لتسجيل الدخول باستخدام حساب Apple مُدار. ويمكنهم بعد ذلك استخدام بيانات الاعتماد هذه لتسجيل الدخول إلى iPhone وiPad وMac وApple Vision Pro الخاص بهم وجهاز iPad المشترك. بعد تسجيلهم للدخول على أحد هذه الأجهزة، يمكنهم أيضًا تسجيل الدخول إلى iCloud عبر الويب على Mac (iCloud لـ Windows لا يدعم حسابات Apple المُدارة).
Microsoft Entra ID هو مزوّد الهوية (IdP) الذي يقوم بمصادقة المستخدم في Apple Business Manager ويصدر رموز المصادقة. تدعم هذه المصادقة مصادقة الشهادة والمصادقة بخطوتين (2FA).
ملاحظة: لا يتم حفظ البيانات في أي وقت من الأوقات إلى Microsoft Entra ID.
بيانات الاتحاد المقروءة من Microsoft Entra ID
تُقرأ المعلومات التالية عند ربط حسابك مع Microsoft Entra ID باستخدام Open ID Connect (OIDC):
طلب موافقة مسؤول Microsoft Entra ID | السمات التي تستخدمها Apple والغرض منها | استعلام أو نطاق واجهة برمجة التطبيقات |
|---|---|---|
السمات: id_token claims:
السبب: لربط Apple Business Manager مع Microsoft Entra ID باستخدام OIDC. | استعلام واجهة برمجة التطبيقات: غير متوفر النطاق:
| |
السمات:
السبب: لاسترجاع أحداث الأمان التي طرأت على حسابات المستخدمين في Microsoft Entra ID، ثم اتخاذ التدابير الأمنية المناسبة للحسابات المعنية التي تم تسجيل الدخول إليها على أجهزة Apple. في حال تغيير كلمة المرور أو إبطالها من قِبل Google، يتم إنهاء جلسة حساب Apple المُدار ويُطلب من المستخدم إعادة المصادقة. | استعلام واجهة برمجة التطبيقات (API):
النطاق: AuditLog.Read.All | |
السمات:
السبب: لمزامنة النطاقات التي تم التحقق منها من Microsoft Entra ID إلى Apple Business Manager. | استعلام واجهة برمجة التطبيقات: غير متوفر النطاق: Domain.Read.All | |
السمات:
السبب: لمزامنة بيانات الدليل من Microsoft Entra ID إلى Apple Business Manager. ملاحظة: يُستخدم هذا النطاق أيضًا لسمات مزامنة الدليل في الجدول أدناه. | استعلام واجهة برمجة التطبيقات: غير متوفر النطاق: Directory.Read.All | |
السمات: غير متوفر السبب: لطلب تحديث الرمز أثناء تدفق رمز التفويض. ثم يُستخدم تحديث الرمز لطلب رمز الوصول. يُستخدم رمز الوصول لقراءة:
| استعلام واجهة برمجة التطبيقات: غير متوفر النطاق: offline_access |
كيفية استخدام بيانات الاتحاد من Microsoft Entra ID لمزامنة الدليل
تتم قراءة المعلومات التالية من قِبل Apple Business Manager عند الارتباط بـ Microsoft Entra ID لمزامنة الدليل:
سمة مستخدم Microsoft Entra ID | سمة مستخدم Apple Business Manager | مطلوب |
|---|---|---|
givenName | الاسم الأول |  |
surname | اسم العائلة | |
userPrincipalName | حساب Apple المُدار وعنوان البريد الإلكتروني | |
displayName | اسم المستخدم |  |
القسم | القسم | |
costCenter | مركز التكلفة | |
تمت الإزالة | لإزالة المستخدم | |
لمزيد من المعلومات، راجع مقالة الدعم من Microsoft الحصول على مستخدم.
أدوار Microsoft الافتراضية التي تدعم النطاقات ومزامنة الدليل وقراءة النطاق
يجب استخدام حساب Microsoft له دور المسؤول العام لمعرف Entra ID لإكمال مهمة الموافقة على مصادقة الاتحاد. بعد نجاح الاتصال، إذا أردت تغيير الأدوار، فلديك خياران لتحرير حساب Microsoft هذا:
تغيير حساب Microsoft إلى أحد الأدوار التالية:
القارئ العام
مسؤول التطبيق
مسؤول تطبيق السحابة
تغيير حساب Microsoft بحيث يكون له الدوران التاليان: "قارئ الدليل" و"قارئ التقارير".
يسمح كلا الخيارين بالوصول التالي، وهو أمر مطلوب من Apple Business Manager:
قراءة قائمة جميع النطاقات: microsoft.directory/domains/standard/read
قراءة دليل جميع المستخدمين: microsoft.directory/users/standard/read
قراءة سجلات تدقيق أحداث الأمان: microsoft.directory/auditLogs/allProperties/read
عملية مصادقة الاتحاد
تتضمن هذه العملية ثلاث خطوات رئيسية:
الموافقة على مصادقة الاتحاد.
اختبار مصادقة الاتحاد باستخدام حساب مستخدم Microsoft Entra ID واحد.
تشغيل مصادقة الاتحاد.
هام: راجع التالي قبل تكوين مصادقة الاتحاد.
الخطوة 1: الموافقة على مصادقة الاتحاد
الخطوة الأولى هي إنشاء علاقة ثقة بين Microsoft Entra ID وApple Business Manager. يجب أن يقوم بهذه المهمة حساب Microsoft له دور المسؤول العام في Microsoft Entra ID.
ملاحظة: بعد إكمال هذه الخطوة، لن يتمكن المستخدمون إنشاء حسابات Apple شخصية جديدة على النطاق الذي قمت بتكوينه. وقد يؤثر هذا على خدمات Apple الأخرى التي يمكن للمستخدمين الوصول إليها. راجع Transfer Apple services (خدمات Apple للنقل)
في Apple Business Manager
، سجِّل الدخول من خلال مستخدم يتمتع بدور "المسؤول" أو "مدير الأفراد".اختر اسمك في الجزء السفلي من الشريط الجانبي، واختر "تفضيلات"
، وبعد ذلك اختر حسابات Apple المُدارة 
، ثم اختر "البدء" ضمن "تسجيل دخول المستخدم ومزامنة الدليل".حدد Microsoft Entra ID، ثم حدد "متابعة".
اختر "تسجيل الدخول باستخدام Microsoft"، وأدخِل اسم مستخدم مسؤول عام Microsoft Entra ID، ثم اختر "التالي".
أدخل كلمة سر الحساب، ثم اختر "تسجيل الدخول".
اقرأ اتفاقية التطبيق بعناية، واختر "الموافقة نيابة عن مؤسستك"، ثم اختر "قبول".
يُعد هذا موافقة منك على منح Microsoft Apple إذن الوصول إلى المعلومات الموجودة في Microsoft Entra ID.
راجع النطاقات التي تم التحقق منها والنطاقات المتعارضة، إن لزم الأمر.
حدد "تم".
إذا لزم الأمر، يمكنك تغيير دور حساب Microsoft في Microsoft Entra ID من مسؤول عام إلى دور مدعوم بالامتيازات المطلوبة. للحصول على المزيد من المعلومات، راجع أدوار Microsoft الافتراضية التي تدعم النطاقات ومزامنة الدليل وقراءة النطاق.
قد لا تتمكن في بعض الحالات من تسجيل الدخول إلى نطاقك. فيما يلي بعض الأسباب الشائعة:
اسم المستخدم أو كلمة السر من الحساب في الخطوة ٤ غير صحيحة.
الخطوة 2: اختبار المصادقة باستخدام حساب مستخدم Microsoft Entra ID واحد
هام: يُغيِّر اختبار مصادقة الاتحاد تنسيق حساب Apple المُدار الافتراضي.
يمكنك اختبار اتصال مصادقة الاتحاد بعد تنفيذ المهام التالية:
إكمال عملية التحقق من عدم وجود تعارضات في اسم المستخدم.
تم تحديث التنسيق الافتراضي لحساب Apple المُدار.
بعد نجاح ربط Apple Business Manager بحساب Microsoft Entra ID، يمكنك تغيير دور حساب المستخدم إلى دور آخر. فيمكنك مثلاً تغيير دور حساب المستخدم إلى دور "موظف".
ملاحظة: لا يمكن لحسابات المستخدمين التي تتمتع بدور "المسؤول" أو "مدير الأفراد" تسجيل الدخول باستخدام مصادقة الاتحاد، ولكن يمكنها إدارة عملية تمكين مصادقة الاتحاد فقط.
اختر "توحيد" بجوار النطاق المراد إجراء توحيد له.
اختر "تسجيل الدخول إلى Microsoft Entra ID Portal"، وأدخِل اسم مستخدم Microsoft Entra ID لحساب موجود في النطاق، ثم اختر "التالي".
يرجى إدخال كلمة السر الخاصة بالحساب، ثم اختيار "تسجيل الدخول"، ثم اختيار "تم"، ثم اختيار "تم".
قد لا تتمكن في بعض الحالات من تسجيل الدخول إلى نطاقك. فيما يلي بعض الأسباب الشائعة:
اسم المستخدم أو كلمة السر الواردة من النطاق الذي تم اختيار تمكين الاتحاد الخاص به غير صحيحة.
الحساب غير موجود في النطاق الذي تم اختيار تمكين الاتحاد الخاص به.
الخطوة 3: تشغيل مصادقة الاتحاد
في Apple Business Manager
، سجِّل الدخول من خلال مستخدم يتمتع بدور "المسؤول" أو "مدير الأفراد".اختر اسمك في الجزء السفلي من الشريط الجانبي، واختر "تفضيلات"
، وبعد ذلك اختر "حسابات Apple المُدارة" .في قسم "النطاقات"، حدِّد "إدارة" بجوار النطاق الذي تريد توحيده، ثم حدِّد "تشغيل تسجيل الدخول باستخدام Microsoft Entra ID".
شغّل "تسجيل الدخول باستخدام Microsoft Entra ID".
يمكنك الآن مزامنة حسابات المستخدمين مع Apple Business Manager، إن لزم الأمر. راجع مزامنة حسابات المستخدمين من خلال Microsoft Entra ID.