Používání federovaného ověřování přes Microsoft Entra ID v Apple School Manageru
Uživatelé pak můžou používat svoje uživatelská jména a hesla z Google Workspace jako spravované účty Apple. Těmito údaji se pak můžou přihlašovat ke svému přiřazenému iPhonu, iPadu, Macu, Apple Vision Pro nebo sdílenému iPadu. Po přihlášení k některému z těchto zařízení se pak můžou přihlásit i k iCloudu na webu.
Apple School Manager můžete pomocí federovaného ověřování propojit s Microsoft Entra ID a umožnit tak uživatelům, aby se k zařízením Apple přihlašovali svými uživatelskými jmény (zpravidla e‑mailovou adresou) a hesly z Microsoft Entra ID.
Uživatelé pak můžou používat svoje uživatelská jména a hesla z Microsoft Entra ID jako spravované účty Apple. Těmito údaji se pak můžou přihlašovat ke svému přiřazenému iPhonu, iPadu, Macu, Apple Vision Pro nebo sdílenému iPadu. Po přihlášení k některému z těchto zařízení se pak na Macu můžou přihlásit i k iCloudu na webu (iCloud pro Windows nepodporuje spravované účty Apple).
Microsoft Entra ID je poskytovatel identit (IdP), který ověřuje uživatele Apple School Manageru a vydává jim ověřovací tokeny. Toto ověřování podporuje ověření certifikátem a dvoufaktorové ověření (2FA).
Výchozí uživatelské funkce Microsoftu, které podporují domény, synchronizaci adresáře a čtení domén
Pokud chcete po dokončení počátečního schválení federovaného ověřování změnit funkce uživatelů, máte dvě možnosti, jak se dá upravit účet s aktuální rolí globálního administrátora Microsoft Entra ID.
Účet můžete změnit na některou z těchto funkcí:
Globální čtenář
Správce aplikace
Správce cloudové aplikace
Změňte účet tak, aby měl následující dvě role: Čtenář adresáře a Čtenář sestav.
Obě možnosti umožňují následující přístup, který Apple School Manager vyžaduje:
Číst seznam všech domén: microsoft.directory/domains/standard/read
Číst adresář všech uživatelů: microsoft.directory/users/standard/read
Číst auditní protokoly o bezpečnostních událostech: microsoft.directory/auditLogs/allProperties/read
Proces federovaného ověřování
Tento proces obnáší tři hlavní kroky:
Schválení federovaného ověřování.
Otestování federovaného ověřování na jednom účtu z Microsoft Entra ID.
Zapnutí federovaného ověřování.
Důležité: Před nakonfigurováním federovaného ověřování si projděte následující.
1. krok: Schválení federovaného ověřování
Prvním krokem je navázání vztahu důvěry mezi Microsoft Entra ID a Apple School Managerem. Tuto akci musí provést uživatel s funkcí globálního administrátora v Microsoft Entra ID.
Poznámka: Po dokončení tohoto kroku už uživatelé nebudou moct v nakonfigurované doméně vytvářet nové osobní účty Apple. To může mít vliv na ostatní služby Apple, které vaši uživatelé používají. Další informace najdete v části Převedení služeb Apple pod spravovaný účet Apple.
V Apple School Manageru
se přihlaste jako uživatel s funkcí administrátora, správce instituce nebo správce osob.Ve spodní části bočního panelu vyberte svoje jméno, vyberte Předvolby
, zvolte Spravované účty Apple 
a pak v části Přihlášení uživatele a synchronizace adresáře vyberte Začít.Vyberte Microsoft Entra ID a poté vyberte Pokračovat.
Vyberte Přihlásit se přes Microsoft, zadejte informace o vašem globálním administrátorovi Microsoft Entra ID a zvolte Další.
Zadejte heslo k účtu a vyberte Přihlásit.
Důkladně si přečtěte smlouvu k žádosti, vyberte Vyjádřit souhlas jménem vaší organizace a potom vyberte Přijmout.
Tím dáte Microsoftu souhlas s tím, že společnost Apple může přistupovat k informacím v Microsoft Entra ID.
Pokud to bude potřeba, zkontrolujte ověřené a konfliktní domény.
Vyberte Hotovo.
Pokud je to nutné, můžete změnit funkci uživatele v Microsoft Entra ID z globálního správce na jinou podporovanou roli s potřebnými oprávněními. Další informace najdete v části Výchozí uživatelské funkce Microsoftu, které podporují domény, synchronizaci adresáře a čtení domén.
V některých případech nebudete moci svou doménu přidat. Obvykle bývají důvody následující:
Uživatelské jméno nebo heslo účtu z kroku 4 je nesprávné.
Krok 2: Otestování federovaného ověřování na jednom účtu z Microsoft Entra ID
Důležité: Test federovaného ověřování zároveň změní váš výchozí formát spravovaných účtů Apple. Nové účty vytvořené ve studijním informačním systému (SIS) nebo nahrané přes SFTP budou používat nový formát spravovaných účtů Apple.
Ověření federované totožnosti můžete otestovat po provedení následujících úkonů:
Kontrola konfliktů uživatelských jmen byla dokončena.
Výchozí formát spravovaných účtů Apple je aktualizovaný.
Po úspěšném propojení Apple School Manageru s Microsoft Entra ID můžete měnit funkce přiřazené k uživatelským účtům. Například můžete změnit funkci některého uživatelského účtu na Lektor.
Poznámka: Uživatelské účty s funkcí administrátora, správce instituce nebo správce osob se nemůžou přihlašovat pomocí federovaného ověřování – můžou jenom spravovat proces federování.
Vedle domény, kterou chcete federovat, vyberte Federovat.
Vyberte Přihlásit se k portálu Microsoft Entra ID, zadejte uživatelské jméno nějakého účtu Microsoft Entra ID, které v dotyčné doméně existuje, a zvolte Další.
Zadejte heslo k účtu, vyberte Přihlásit, vyberte Hotovo a potom ještě jednou Hotovo.
V některých případech se nebudete moci ke své doméně přihlásit. Zde jsou některé běžné důvody:
Uživatelské jméno nebo heslo z domény, kterou jste vybrali k federaci, je nesprávné.
Účet není na doméně, kterou jste vybrali k federaci.
Krok 3: Zapněte federované ověřování
V Apple School Manageru
se přihlaste jako uživatel s funkcí administrátora, správce instituce nebo správce osob.Ve spodní části bočního panelu vyberte svoje jméno, vyberte Předvolby
a zvolte Spravované účty Apple .V části Domény vyberte Spravovat vedle domény, kterou chcete federovat, a poté vyberte Zapnout přihlašování přes Microsoft Entra ID.
Zapněte možnost Přihlásit se přes Microsoft Entra ID.
Pokud je to potřeba, můžete teď s Apple School Managerem synchronizovat uživatelské účty. Víc se dočtete v části Synchronizace uživatelských účtů z Microsoft Entra ID.