Azure AD-synkroniseringskrav i Apple Business Manager
Du kan bruge SCIM (System til identitetsadministration på tværs af domæner) til at importere brugere i Apple Business Manager. Ved hjælp af dette system kan du flette Apple Business Manager-egenskaber (f.eks. roller) med brugerkontodata, der er importeret fra Microsoft Azure Active Directory (Azure AD). Når du bruger SCIM til import af brugere, tilføjes kontooplysningerne som skrivebeskyttet, indtil du afbryder forbindelsen til SCIM. På dette tidspunkt ændres kontiene til manuelle konti, og attributter i disse konti kan derefter redigeres. Den indledende synkronisering tager længere tid at udføre end efterfølgende cyklusser, der indtræffer ca. hvert 40. minut, så længe Azure AD-klargøringstjenesten kører. Se Tip til klargøring på websitet med dokumentation til Microsoft Azure.
Azure AD-privilegier
De følgende roller i Azure AD kan bruge SCIM til at synkronisere konti med Apple Business Manager:
Application Administrator
Cloud Application Administrator
Application Owner
Global Administrator
Se Indbyggede Azure AD-roller på websitet Microsoft Azure AD.
Azure AD-lejere
Hvis du vil bruge SCIM sammen med Apple Business Manager, må din organisation ikke have den samme Azure AD-lejer som andre Apple Business Manager-organisationer. Hvis du vil bruge SCIM til din organisation, skal du kontakte din Azure AD-administrator for at sikre, at ingen anden organisation bruger din Azure AD-lejer til SCIM.
Azure AD-grupper
I Azure AD bruger begge synkroniseringsmetoder ordet Grupper, men det er kun brugerkonti, der synkroniseres. Du kan føje Azure AD-grupper til appen Apple Business Manager Azure AD. Hvis du f.eks. har grupper i Azure AD, der hedder Teknikere, Markering og Salg, kan du føje disse tre grupper til appen Apple Business Manager Azure AD. Når du opretter forbindelse via SCIM, er det kun konti i disse grupper, der synkroniseres med Apple Business Manager.
Bemærk: Undergrupper understøttes ikke i appen Apple Business Manager Azure AD.
Klargøringsområde
Du kan synkronisere konti fra Azure AD til Apple Business Manager på to måder.
Synkroniser kun tildelte brugere og grupper: Denne indstilling synkroniserer kun de konti, der vises i appen Apple Business Manager Azure AD, med Apple Business Manager. Når du bruger denne metode til at synkronisere, skal Azure AD-konti have rollen Bruger for at blive synkroniseret med Apple Business Manager.
Synkroniser alle brugere og grupper: Denne indstilling synkroniserer alle konti (synkronisering af grupper understøttes ikke), der vises under fanen Bruger i Azure AD for Apple Business Manager, og opretter administrerede Apple-id'er for alle Azure AD-konti i organisationsnetværket, også hvis du kun ønsker at bruge et bestemt antal konti.
Se Microsoft Support-artiklerne What is automated SaaS app user provisioning in Azure AD? (Hvad er automatisk klargøring af SaaS-appbrugere i Azure AD?) og Attribute-based application provisioning with scoping filters (Attributbaseret klargøring af programmer med områdefiltre).
Meddelelser om klargøring
Når du konfigurerer klargøring, skal du bruge e-mailadressen for en bruger, der har rollen som administrator eller personansvarlig, så vedkommende kan modtage meddelelser fra Azure AD.
SCIM og godkendelse via organisationsnetværket
Hvis organisationsnetværket allerede er slået til, når Azure AD-kontiene sendes til Apple Business Manager, kan du ikke se en aktivitet, men konti synkroniseres stadig fra organisationsdomænet.
Azure AD er den identitetsudbyder, som godkender brugeren til Apple Business Manager og udsteder godkendelsestokens. Da Apple Business Manager understøtter Azure AD, kan du også bruge andre identitetsudbydere, der opretter forbindelse til Azure AD, f.eks. ADFS (Active Directory Federated Services). Godkendelse via organisationsnetværket bruger SAML (Security Assertion Markup Language) til at forbinde Apple Business Manager til Azure AD.
Azure AD-brugerkonti og Apple Business Manager
Når en bruger kopieres fra Azure AD til Apple Business Manager ved hjælp af SCIM, er standardrollen Personale. Efter synkroniseringen er gennemført, er det kun følgende roller, der kan redigeres. Denne attribut lagres sammen med brugerkontoen i Apple Business Manager og skrives ikke til Azure AD igen.
Tilknytning af SCIM-brugerattributter
Når en konto kopieres fra Azure AD ved hjælp af SCIM til Apple Business Manager, kan følgende brugerattributter gemmes som skrivebeskyttede. Tabellen viser også, om brugerattributten er påkrævet.
Vigtigt: Hvis der tilføjes attributter, der ikke er anført i tabellen, afbrydes SCIM-forbindelsen.
Azure AD-brugerattribut | Brugerattribut i Apple Business Manager | Påkrævet |
---|---|---|
Fornavn | Fornavn | |
Efternavn | Efternavn | |
Brugerens hovednavn | Administreret Apple-id og e-mailadresse | |
Objekt-id | (Vises ikke i Apple Business Manager. Denne attribut bruges til at identificere konti med konflikter). | |
Afdeling | Afdeling | |
Medarbejder-id | Personnummer | |
Tilpasset attribut (skal oprettes i appen Apple Business Manager Azure AD) | Omkostningscenter | |
Tilpasset attribut (skal oprettes i appen Apple Business Manager Azure AD) | Division |
Brugerens hovednavn
Hvis en bruger har et hovednavn (UPN), der er præcist det samme som en eksisterende bruger, der har rollen som administrator, sker der ingen synkronisering, og kildefeltet forbliver uændret.
Person-id
Når en Azure AD-bruger synkroniseres med Apple Business Manager, oprettes der et person-id for Apple Business Manager-brugerkontoen. Person-id'et og objekt-id'et bruges til at identificere konti med konflikter.
Hvis du ændrer person-id'et for en konto, der tidligere er importeret fra SCIM, er den pågældende konto ikke længere parret med Azure AD. Hvis du har ændret person-id'et for en konto, der tidligere er importeret fra SCIM, og du ønsker at knytte kontoen til SCIM igen, kan du gå til Løs konflikter med SCIM-brugerkonti.
Anbefalinger
Du skal kun bruge appen Apple Business Manager Azure AD, når du opretter forbindelse til SCIM.
Hvis du har et bekræftet domæne, men ikke har slået godkendelse via organisationsnetværk til, skal du vente med at slå organisationsnetværket til, indtil du har bekræftet, at Azure AD-brugerne er sendt til Apple Business Manager. Det kan du gøre ved at se Azure AD-klargøringsloggene. Når du har bekræftet, at Azure AD-brugerne er sendt, og du slår organisationsnetværket til, får du besked via en aktivitet, når Azure AD-brugere er klargjort. Hvis organisationsnetværket allerede er slået til, får du ikke vist en aktivitet, når Azure AD-brugerne er sendt, men kontiene synkroniseres stadig.
Hvis du har en gruppe, der er konfigureret i Azure AD, kan du tilføje den pågældende gruppe i appen Apple Business Manager Azure AD i stedet for at tilføje de enkelte brugere.
Vigtigt: Du skal ikke genbruge et brugernavn i 30 dage i Apple Business Manager Azure AD-appen.
Sådan forbereder du dig
Før du starter, skal du gøre følgende:
Konfigurer og bekræft det domæne, du gerne vil bruge. Se Tilknyt nye domæner.
Konfigurer godkendelse via organisationsnetværk (men slå det ikke til). Se Slå godkendelse fra organisationsnetværket til, og test det.
Bemærk: Hvis godkendelse via organisationsnetværk allerede er slået til, kan du stadig fortsætte. Se anbefalingerne i forrige afsnit.
Bestem typen af synkronisering i Azure AD, og opret eventuelt grupper for kun at synkronisere tildelte konti med appen Apple Business Manager Azure AD:
Synkroniser kun tildelte brugere.
Synkroniser alle brugere.
Ring til en Azure AD-administrator, der har tilladelse til at redigere virksomhedsprogrammer. Når I begge er klar, kan du gå til Brug SCIM til at importere brugere.