Používání federovaného ověřování přes Microsoft Entra ID v Apple School Manageru
Apple School Manager můžete pomocí federovaného ověřování propojit s Microsoft Entra ID a umožnit tak uživatelům, aby se k zařízením Apple přihlašovali svými uživatelskými jmény (zpravidla e‑mailovou adresou) a hesly z Microsoft Entra ID.
Uživatelé pak můžou používat svoje uživatelská jména a hesla z Microsoft Entra ID jako spravovaná Apple ID. Potom se k přiřazenému iPhonu, iPadu, Macu, a dokonce i k iCloudu na webu přihlásí těmito přihlašovacími údaji.
Microsoft Entra ID je poskytovatel identit (IdP), který ověřuje uživatele Apple School Manageru a vydává jim ověřovací tokeny. Toto ověřování podporuje ověření certifikátem a dvoufaktorové ověření (2FA).
Než začnete
Před připojením Microsoft Entra ID zvažte pár věcí:
Federované ověřování vyžaduje, aby se hlavní jméno uživatele (userPrincipalName, UPN) shodovalo s uživatelovou e‑mailovou adresou. Aliasy k userPrincipalName ani alternativní ID nejsou podporovány.
U existujících uživatelů, kteří mají ve federované doméně e‑mailovou adresu, se jejich spravované Apple ID automaticky změní tak, aby se shodovalo s e‑mailovou adresou.
Pokud je to potřeba, nakonfigurujte a ověřte doménu, kterou chcete používat. Viz Odkazování na nové domény. Pokud už doménu, kterou chcete federovat s Microsoft Entra ID, máte ověřenou, můžete tento krok přeskočit.
Odpojit se od studentského informačního systému (SIS) nebo ukončit nahrávání přes SFTP.
Uživatelské účty s funkcí administrátora, správce instituce nebo správce osob se nemůžou přihlašovat pomocí federovaného ověřování – můžou jenom spravovat proces federování.
Když propojení s Microsoft Entra ID vyprší, federování i synchronizace uživatelských účtů s Microsoft Entra ID se ukončí. Pokud chcete federování a synchronizaci obnovit, musíte se k Microsoft Entra ID znovu připojit.
Proces federovaného ověřování
Tento proces obnáší tři hlavní kroky:
Konfigurace ověření federované totožnosti.
Otestování federovaného ověřování na jednom účtu z Microsoft Entra ID.
Zapnutí federovaného ověřování.
Krok 1: Konfigurace federovaného ověřování
Tento krok umožní Microsoft Entra ID důvěřovat Apple School Manageru.
Poznámka: Po dokončení tohoto kroku už uživatelé nebudou moct v nakonfigurované doméně vytvářet nová osobní Apple ID. Může to mít vliv na ostatní služby Apple, které používáte. Další informace najdete v části Převod služeb Apple při zapnutém federování.
V Apple School Manageru se přihlaste jako uživatel s funkcí administrátora, správce instituce nebo správce osob.
Ve spodní části bočního panelu vyberte svoje jméno, vyberte Předvolby a zvolte Účty .
Vedle volby Federované ověřování vyberte Upravit, vyberte Microsoft Entra ID a zvolte Propojit.
Vyberte Přihlásit se přes Microsoft, zadejte informace o vašem globálním administrátorovi Microsoft Entra ID a zvolte Další.
Zadejte heslo k účtu a vyberte Přihlásit.
Důkladně si přečtěte smlouvu k žádosti, vyberte „Vyjádřit souhlas jménem vaší organizace“ a potom vyberte Přijmout.
Tím společnosti Microsoft dáte souhlas s tím, že Apple může přistupovat k informacím v Microsoft Entra ID.
Pokud to bude potřeba, zkontrolujte ověřené a konfliktní domény.
Vyberte Hotovo.
V některých případech nebudete moci svou doménu přidat. Obvykle bývají důvody následující:
Uživatelské jméno nebo heslo účtu z kroku 4 je nesprávné.
Krok 2: Otestování federovaného ověřování na jednom účtu z Microsoft Entra ID
Důležité: Test ověření federované totožnosti také změní váš výchozí formát spravovaného Apple ID. Nové účty vytvořené ve studijním informačním systému (SIS) nebo nahrané za použití protokolu SFTP (Secure File Transfer Protocol) budou používat tento nový formát spravovaného Apple ID.
Ověření federované totožnosti můžete otestovat po provedení následujících úkonů:
Kontrola konfliktů uživatelských jmen je dokončena.
Výchozí formát spravovaného Apple ID je aktualizovaný.
Po úspěšném propojení Apple School Manageru s Microsoft Entra ID můžete měnit funkce přiřazené k uživatelským účtům. Například můžete změnit funkci některého uživatelského účtu na Lektor.
Poznámka: Uživatelské účty s funkcí administrátora, správce instituce nebo správce osob se nemůžou přihlašovat pomocí federovaného ověřování – můžou jenom spravovat proces federování.
Vedle domény, kterou chcete federovat, vyberte Federovat.
Vyberte Přihlásit se k portálu Microsoft Entra ID, zadejte uživatelské jméno nějakého účtu Microsoft Entra ID, které v dotyčné doméně existuje, a zvolte Další.
Zadejte heslo k účtu, vyberte Přihlásit, vyberte Hotovo a potom ještě jednou Hotovo.
V některých případech se nebudete moci ke své doméně přihlásit. Zde jsou některé běžné důvody:
Uživatelské jméno nebo heslo z domény, kterou jste vybrali k federaci, je nesprávné.
Účet není v doméně, kterou jste vybrali k federaci.
Krok 3: Zapnutí federovaného ověřování
V Apple School Manageru se přihlaste jako uživatel s funkcí administrátora, správce instituce nebo správce osob.
Ve spodní části bočního panelu vyberte svoje jméno, vyberte Předvolby a zvolte Účty .
V sekci Domény vyberte Upravit, vyberte Federovat, počkejte na dokončení procesu federování a potom u domény, kterou jste právě do Apple School Manageru přidali, vyberte Zapnout.
Vyberte Hotovo.
Pokud je to potřeba, můžete teď s Apple School Managerem synchronizovat uživatelské účty. Víc se dočtete v části Synchronizace uživatelských účtů z Microsoft Entra ID.