Usar la autenticación vinculada con Microsoft Entra ID en Apple Business
Información general
En Apple Business, puedes enlazar con el servicio global de OpenID Connect (OIDC) de Microsoft Entra ID (login.microsoftonline.com) mediante la autenticación vinculada para que los usuarios puedan iniciar sesión en dispositivos Apple con su nombre de usuario de Microsoft Entra ID (normalmente su dirección de correo electrónico) y su contraseña.
Nota: Actualmente no se admite la integración con nubes nacionales.
De esta forma, los usuarios pueden usar sus credenciales de Microsoft Entra ID a modo de Cuenta de Apple gestionada. A continuación, pueden usar esas credenciales para iniciar sesión en su iPhone, iPad, Mac, Apple Vision Pro asignado y en iPad compartido. Después de iniciar sesión en alguno de estos dispositivos, podrán iniciar sesión también en iCloud en la web desde un Mac (iCloud para Windows no admite el uso de Cuentas de Apple gestionadas).
Microsoft Entra ID es el proveedor de identidad (IdP) que autentica al usuario en Apple Business y emite los identificadores de autenticación. Este proceso de autenticación admite la autenticación mediante certificado y la autenticación de doble factor (2FA).
Nota: En ningún momento se copian datos en Microsoft Entra ID.
¿Qué datos de vinculación se obtienen de Microsoft Entra ID?
Al enlazar Microsoft Entra ID mediante OpenID Connect (OIDC), se obtiene la siguiente información:
Solicitud de consentimiento del administrador de Microsoft Entra ID | Atributos utilizados por Apple y motivo | Solicitud de API o ámbito |
|---|---|---|
Atributos: id_token claims:
Motivo: Conectar Apple Business con Microsoft Entra ID mediante OIDC. | Solicitud de API: NA Ámbito:
| |
Atributos:
Motivo: Recuperar los eventos de seguridad que se han producido en las cuentas de usuario de Microsoft Entra ID para tomar las medidas de seguridad apropiadas en las cuentas que tienen la sesión iniciada en dispositivos Apple. Cuando se cambia una contraseña o Microsoft Entra ID la invalida, la sesión de la Cuenta de Apple gestionada se cierra y se solicita al usuario que vuelva a autenticarse. | Consulta de API:
Ámbito: AuditLog.Read.All | |
Atributos:
Motivo: Sincronizar dominios verificados de Microsoft Entra ID con Apple Business. | Solicitud de API: NA Ámbito: Domain.Read.All | |
Atributos:
Motivo: Sincronizar datos de directorios de Microsoft Entra ID con Apple Business. Nota: Este ámbito también se utiliza para los atributos de sincronización de directorio. Consulta Cómo se usan los datos de vinculación de Microsoft Entra ID para la sincronización de directorios | Solicitud de API: NA Ámbito: Directory.Read.All | |
Atributos: NA Motivo: Solicitar un identificador de actualización durante el flujo de código de autorización. Luego, se usa el token de actualización para solicitar un token de acceso. El token de acceso se usa para leer lo siguiente:
| Solicitud de API: NA Ámbito: offline_access |
¿Qué funciones predeterminadas de Microsoft son compatibles con los dominios, la sincronización del directorio y la lectura de dominios?
Debes utilizar una cuenta de Microsoft con la función de administrador global de Entra ID para completar la tarea Aprobar autenticación vinculada. Después de que la conexión se realice correctamente, si quieres cambiar las funciones, tienes dos opciones para editar la cuenta de Microsoft:
Cambiar la cuenta de Microsoft para que tenga una de las funciones siguientes:
Lector global
Administrador de aplicaciones
Administrador de aplicaciones en la nube
Cambiar la cuenta de Microsoft para que tenga las dos funciones siguientes: lector de directorios y lector de informes.
Ambas opciones permiten el siguiente acceso, que es el que requiere Apple Business:
Leer la lista de todos los dominios: microsoft.directory/domains/standard/read
Leer el directorio de todos los usuarios: microsoft.directory/users/standard/read
Leer los registros de auditoría de los eventos de seguridad: microsoft.directory/auditLogs/allProperties/read
Proceso de autenticación vinculada
Este proceso se compone de tres pasos principales:
Aprobar la autenticación vinculada.
Probar la autenticación vinculada con una única cuenta de usuario de Microsoft Entra ID.
Activar la autenticación vinculada.
Importante: Revisa esta información antes de configurar la autenticación vinculada.
Paso 1: Aprobar la autenticación vinculada
El primer paso es establecer una relación de confianza entre Microsoft Entra ID y Apple Business. Esta tarea la debe realizar una cuenta de Microsoft con la función de Administrador global en Microsoft Entra ID.
Nota: Una vez completado este paso, los usuarios no pueden crear nuevas Cuentas de Apple no gestionadas (personales) en el dominio que configuras. Esto puede afectar a otros servicios de Apple a los que acceden los usuarios. Consulta Transferir servicios de Apple.
En Apple Business, inicia sesión con un usuario cuya función tenga permisos para configurar la vinculación y conectarse a un proveedor de identidad (IdP).
Para ver las funciones y permisos, consulta Introducción a las funciones y los permisos.
Selecciona Empezar junto a Inicio de sesión del usuario y sincronización de directorio.
Selecciona Microsoft Entra ID y, luego, Continuar.
Selecciona “Iniciar sesión con Microsoft”, introduce un nombre de usuario de administrador global de Microsoft Entra ID y selecciona Siguiente.
Introduce la contraseña de la cuenta y, a continuación, selecciona “Iniciar sesión”.
Lee detenidamente el acuerdo de la aplicación y confirma que das tu consentimiento en nombre de la organización. Luego selecciona Aceptar.
Estás dando tu consentimiento para que Microsoft dé acceso a Apple a la información que se encuentre en Microsoft Entra ID.
Si es necesario, revisa los dominios verificados y con conflictos.
Selecciona Aceptar.
Si es necesario, puedes cambiar la función de la cuenta de Microsoft en Microsoft Entra ID de Administrador global a otra función compatible que tenga los privilegios necesarios. Consulta ¿Qué funciones predeterminadas de Microsoft son compatibles con los dominios, la sincronización del directorio y la lectura de dominios?.
En algunos casos, es posible que no puedas iniciar sesión en tu dominio. Estos son algunos de los motivos más habituales:
El nombre de usuario o la contraseña de administrador de Microsoft Entra ID son incorrectos.
Paso 2: Probar la autenticación vinculada con una única cuenta de usuario de Microsoft Entra ID
Importante: La prueba de la autenticación vinculada también cambia el formato predeterminado de tu Cuenta de Apple gestionada.
Puedes probar la conexión de la autenticación vinculada tras haber realizado las siguientes acciones:
La comprobación de conflictos de nombre de usuario se ha completado.
El formato predeterminado de la Cuenta de Apple gestionada se ha actualizado.
Una vez que Apple Business se haya enlazado con Microsoft Entra ID, podrás cambiar la función de una cuenta de usuario. Por ejemplo, posible que quieras cambiar la función de una cuenta de usuario a Miembro del personal.
Nota: Los usuarios cuya función tenga permisos para configurar la vinculación y conectarse a Microsoft Entra ID no pueden iniciar sesión mediante autenticación vinculada; solo pueden gestionar el proceso de vinculación.
Selecciona Vincular al lado del dominio que quieras vincular.
Selecciona “Iniciar sesión en el portal de Microsoft Entra ID”, introduce el nombre de usuario de Microsoft Entra ID de una cuenta que exista en el dominio y, a continuación, selecciona Siguiente.
Introduce la contraseña para la cuenta, selecciona “Iniciar sesión” y, después, selecciona Aceptar dos veces.
Cierra sesión en Apple Business.
Nota: Los usuarios no pueden iniciar sesión en iCloud.com desde un Mac sin antes haber iniciado sesión en otro dispositivo Apple con su Cuenta de Apple gestionada.
En algunos casos, es posible que no puedas iniciar sesión en tu dominio. Estos son algunos de los motivos más habituales:
El nombre de usuario o la contraseña del dominio que elegiste vincular es incorrecto.
La cuenta no está en el dominio que elegiste vincular.
Paso 3: Activar la autenticación vinculada
En Apple Business, inicia sesión con un usuario cuya función tenga permisos para configurar la vinculación y conectarse a un proveedor de identidad (IdP).
Para ver las funciones y permisos, consulta Introducción a las funciones y los permisos.
En la sección Dominios, selecciona la opción Gestionar situada junto al dominio que quieras vincular y, a continuación, selecciona “Activar ‘Iniciar sesión con Microsoft Entra ID”.
Activa “Iniciar sesión con Microsoft Entra ID”.
Si es necesario, ya puedes sincronizar las cuentas de usuario con Apple Business. Consulta Sincronizar cuentas de usuario de Microsoft Entra ID.