Brug godkendelse via organisationsnetværket med Microsoft Entra ID i Apple Business Manager
Du kan knytte Apple Business Manager til den globale tjeneste Microsoft Entra ID Open ID Connect (OIDC) (login.microsoftonline.com) ved hjælp af godkendelse via organisationsnetværket, hvis du vil give brugere tilladelse til at logge ind på deres Apple-enheder med deres Microsoft Entra ID-brugernavn (som regel deres e-mailadresse) og -adgangskode.
Bemærk: Integration med nationale skyer understøttes ikke på nuværende tidspunkt.
Som resultat kan dine brugere bruge deres Microsoft Entra ID-loginoplysninger til en administreret Apple-konto. De kan derefter bruge deres loginoplysninger til at logge ind på deres tildelte iPhone, iPad, Mac, Apple Vision Pro og på Delt iPad. Når de er logget ind på én af disse enheder, kan de efterfølgende også logge ind på iCloud fra en browser på en Mac (iCloud til Windows understøtter ikke administrerede Apple-konti).
Microsoft Entra ID er den id-leverandør, som godkender brugeren i Apple Business Manager og udsteder godkendelsestokens. Denne godkendelse understøtter certifikatgodkendelse og tofaktorgodkendelse (2FA).
Bemærk: Der skrives på intet tidspunkt data tilbage til Microsoft Entra ID.
Organisationsnetværksdata læst fra Microsoft Entra ID
Følgende oplysninger læses, når du opretter et link til Microsoft Entra ID ved hjælp af Open ID Connect (OIDC):
Anmodning om samtykke fra administrator for Microsoft Entra ID | Attributter, der bruges af Apple, og årsag | API-forespørgsel eller omfang |
|---|---|---|
Attributter: Krav om id_token:
Årsag: For at oprette forbindelse mellem Apple Business Manager og Microsoft Entra ID med OIDC. | API-forespørgsel: Ikke relevant Omfang:
| |
Attributter:
Årsag: For at hente sikkerhedshændelser tilknyttet brugerkonti i Microsoft Entra ID og derefter træffe de nødvendige sikkerhedsforanstaltninger for de pågældende konti, der er logget ind på Apple-enheder. Når en adgangskode ændres eller ugyldiggøres af Microsoft Entra ID, afsluttes sessionen for den administrerede Apple-konto, som derefter skal bekræftes på ny. | API-forespørgsel:
Omfang: AuditLog.Read.All | |
Attributter:
Årsag: For at synkronisere bekræftede domæner fra Microsoft Entra ID til Apple Business Manager. | API-forespørgsel: Ikke relevant Omfang: Domain.Read.All | |
Attributter:
Årsag: For at synkronisere biblioteksdata fra Microsoft Entra ID til Apple Business Manager. Bemærk: Dette omfang bruges også til attributterne for bibliotekssynkronisering i tabellen nedenfor. | API-forespørgsel: Ikke relevant Omfang: Directory.Read.All | |
Attributter: Ikke relevant Årsag: For at anmode om et fornyelsestoken under godkendelseskodeflowet. Fornyelsestokenet bruges efterfølgende til at anmode om et adgangstoken. Adgangstokenet bruges til at læse:
| API-forespørgsel: Ikke relevant Omfang: offline_access |
Sådan bruges organisationsnetværksdata fra Microsoft Entra ID til bibliotekssynkronisering
Følgende oplysninger læses af Apple Business Manager, når du opretter forbindelse til Microsoft Entra ID med henblik på bibliotekssynkronisering:
Microsoft Entra ID-brugerattribut | Brugerattribut i Apple Business Manager | Påkrævet |
|---|---|---|
givenName | Fornavn |  |
surname | Efternavn | |
userPrincipalName | Administreret Apple-konto og e-mailadresse | |
displayName | Brugernavn |  |
afdeling | Afdeling | |
costCenter | Omkostningscenter | |
removed | Til fjernelse af bruger | |
Du kan finde flere oplysninger i Microsoft-supportartiklen Get a user (Hent en bruger).
Microsoft-standardroller, der understøtter domæner, bibliotekssynkronisering og domænelæsning
Du skal anvende en Microsoft-konto med rollen som global Entra ID-administrator for at udføre handlingen Godkend godkendelse via organisationsnetværket. Hvis du ønsker at skifte roller, efter forbindelsen er oprettet, har du to muligheder for at redigere Microsoft-kontoen:
Skift Microsoft-kontoen til en af følgende roller:
Global læser
Programadministrator
Cloud-programadministrator
Skift Microsoft-kontoen, så den har følgende to roller: Bibliotekslæser og Rapportlæser.
Begge muligheder giver adgang til følgende, som er påkrævet af Apple Business Manager:
Læs listen over alle domæner: microsoft.directory/domains/standard/read
Læs biblioteket over alle brugere: microsoft.directory/users/standard/read
Læs revisionsloggene for sikkerhedshændelser: microsoft.directory/auditLogs/allProperties/read
Proces for godkendelse via organisationsnetværket
Denne proces omfatter tre overordnede trin:
Godkend godkendelse via organisationsnetværket.
Test godkendelse via organisationsnetværket med en enkelt Microsoft Entra ID-brugerkonto.
Slå godkendelse via organisationsnetværket til.
Vigtigt: Gennemgå det følgende, før du konfigurerer godkendelse via organisationsnetværk.
Trin 1: Godkend godkendelse via organisationsnetværket
Første trin består i at oprette et tillidsforhold mellem Microsoft Entra ID og Apple Business Manager. Denne handling skal udføres af en Microsoft-konto med rollen som global administrator i Microsoft Entra ID.
Bemærk: Når du har fuldført dette trin, kan brugere ikke oprette nye ikke-administrerede (personlige) Apple-konti på det domæne, du konfigurerer. Dette kan påvirke andre Apple-tjenester, som dine brugere har adgang til. Se Overfør Apple-tjenester.
I Apple Business Manager
skal du logge ind med en bruger, der har rollen som administrator eller personansvarlig.Vælg dit navn nederst i indholdsoversigten, vælg Indstillinger
, vælg Administrerede Apple-konti 
, og vælg derefter Kom i gang under "Brugerlogin og bibliotekssynkronisering".Vælg Microsoft Entra ID, og vælg derefter Fortsæt.
Vælg "Sign in with Microsoft", indtast navnet på en global Microsoft Entra ID-administrator, og vælg derefter Næste.
Indtast adgangskoden for kontoen, og vælg derefter Log ind.
Læs omhyggeligt appaftalen, vælg "Consent on behalf of your organization", og vælg derefter Acceptér.
Du giver samtykke til, at Microsoft giver Apple adgang til oplysninger, der findes i Microsoft Entra ID.
Hvis der er behov for det, skal du gennemgå de godkendte domæner og domæner med konflikter.
Vælg OK.
Du kan om nødvendigt ændre Microsoft-kontoens rolle i Microsoft Entra ID fra global administrator til en understøttet rolle med de nødvendige privilegier. Du kan få flere oplysninger under Microsoft-standardroller, der understøtter domæner, bibliotekssynkronisering og domænelæsning.
I nogle tilfælde kan du muligvis ikke logge ind på dit domæne. Her er nogle almindelige årsager:
Brugernavnet eller adgangskoden fra kontoen på trin 4 er forkert.
Trin 2: Test godkendelse med en enkelt Microsoft Entra ID-brugerkonto
Vigtigt: Testen af godkendelse via organisationsnetværket ændrer også dit standardformat for administrerede Apple-konti.
Du kan teste forbindelsen til godkendelse via organisationsnetværket, efter du har udført de følgende opgaver:
Kontrollen af brugernavnskonflikter er gennemført.
Standardformatet for administrerede Apple-konti er opdateret.
Når du har knyttet Apple Business Manager til Microsoft Entra ID, kan du ændre en brugerkontos rolle til en anden rolle. Eksempel: Du vil gerne ændre rollen for en konto til rollen som personale.
Bemærk: Brugerkonti med rollen som administrator eller personansvarlig kan ikke logge ind med godkendelse via organisationsnetværket. De kan kun administrere processen i organisationsnetværket.
Vælg Placer i netværket ud for det domæne, du vil placere i organisationsnetværket.
Vælg "Sign in to Microsoft Entra ID Portal", indtast et Microsoft Entra ID-brugernavn på en konto, der findes på domænet, og vælg derefter Næste.
Angiv adgangskoden for kontoen, vælg Log ind, vælg OK, og vælg derefter OK.
I nogle tilfælde kan du muligvis ikke logge ind på dit domæne. Her er nogle almindelige årsager:
Brugernavnet og adgangskoden fra det domæne, du valgte at placere i organisationsnetværket, er ikke korrekt.
Kontoen er ikke i det domæne, du valgte at placere i organisationsnetværket.
Trin 3: Slå godkendelse via organisationsnetværket til
I Apple Business Manager
skal du logge ind med en bruger, der har rollen som administrator eller personansvarlig.Vælg dit navn nederst i indholdsoversigten, vælg Indstillinger
, og vælg derefter Administrerede Apple-konti .Vælg Administrer i sektionen Domæner ud for det domæne, du vil placere i organisationsnetværket, og vælg derefter "Slå Log ind med Microsoft Entra ID til".
Slå "Log ind med Microsoft Entra ID" til.
Hvis der er behov for det, kan du nu synkronisere brugerkonti til Apple Business Manager. Se Synkroniser brugerkonti fra Microsoft Entra ID.