Die verknüpfte Authentifizierung mit Microsoft Azure AD in Apple School Manager verwenden
In Apple School Manager kannst du eine Verbindung zu Microsoft Azure Active Directory (Azure AD) herstellen, damit sich die Benutzer:innen mit ihrem Azure AD-Benutzernamen und -Passwort anmelden können.
Azure AD ist der Identitätsprovider (IdP), der den:die Benutzer:in für Apple School Manager authentifiziert und Authentifizierungs-Token ausgibt. Diese Authentifizierung unterstützt die Zertifikatsauthentifizierung und Zwei-Faktor-Authentifizierung (2FA). Da Apple School Manager Azure AD unterstützt, funktionieren mit Apple School Manager auch andere IdPs, die sich mit Azure AD verbinden lassen, z. B. Active Directory Federation Services (AD FS).
Wichtig: Für die verknüpfte Authentifizierung muss der Benutzerprinzipalname mit der E‑Mail-Adresse übereinstimmen. Aliasse für Benutzerprinzipalnamen und alternative IDs werden nicht unterstützt.
Verknüpfte Authentifizierung und Verzeichnissynchronisierung mit Microsoft-Mandanten
Um die Apple School Manager Azure AD-App mit Microsoft-Mandanten hinzuzufügen, muss der:die Administrator:in der Mandanten den Einrichtungsprozess für die verknüpfte Authentifizierung durchlaufen, einschließlich des Testens der Authentifizierung. Wenn die Authentifizierung erfolgreich war, wird die Apple School Manager Azure AD-App in den Mandanten eingefügt und der:die Administrator:in kann Domains verknüpfen und Apple School Manager für die Verwendung von SCIM (System for Cross-domain Identity Management) zur Verzeichnissynchronisierung konfigurieren. Siehe SCIM-Voraussetzungen überprüfen.
Erste Schritte
Es gibt einen Vorgang mit drei Schritten, um Apple School Manager mit Azure AD zu verbinden und die verknüpfte Authentifizierung zu verwenden:
Eine Domain hinzufügen und bestätigen. Siehe Neue Domains verknüpfen.
Es können mehrere Domains verknüpft werden, aber sie müssen zu demselben einzelnen öffentlichen Mandanten gehören. Wenn du versuchst, eine Domain zu verknüpfen, die du bereits bestätigt hast, aber eine andere Organisation dieselbe Domain bereits verknüpft hat, musst du dich an diese Organisation wenden, um zu klären, wer zur Verknüpfung der Domain berechtigt ist. Weitere Informationen findest du unter Informationen zu Domainkonflikten.
Wichtig: Beim Testen der verknüpften Authentifizierung wird auch das standardmäßige verwaltete Apple-ID-Format geändert. Neue Accounts, die in deinem Studierendeninformationssystem (SIS) erstellt oder mittels SFTP (Secure File Transfer Protocol) hochgeladen werden, verwenden das neue verwaltete Apple-ID-Format.
Den verknüpften Authentifizierungsvorgang konfigurieren.
Die Authentifizierung mit einem einzelnen Azure AD-Domain-Account testen.
Den verknüpften Authentifizierungsvorgang konfigurieren
Dieser Vorgang ermöglicht Azure AD, Apple School Manager zu vertrauen.
Melde dich bei Apple School Manager mit einem Benutzeraccount an, der die Funktion „Administrator:in“, „Standortmanager:in“ oder „Personenmanager:in“ hat.
Wähle deinen Namen am unteren Rand der Seitenleiste aus und wähle „Einstellungen“ und dann „Konten“ aus.
Wähle neben „Verknüpfte Authentifizierung“ die Option „Bearbeiten“ und anschließend „Verbinden“ aus.
Wähle „Mit Microsoft anmelden“ aus, gib einen Microsoft Azure AD‑Account „Globale:r Administrator:in“, „Anwendungsadministrator:in“ oder „Cloud‑Anwendungsadministrator:in“ ein und wähle anschließend „Weiter“ aus.
Gib das Passwort für den Account ein und wähle „Anmelden“ aus.
Lies den App-Vertrag sorgfältig durch und wähle dann „Akzeptieren“ aus.
Du erklärst dich damit einverstanden, dass Microsoft Apple Zugriff auf Informationen in Azure AD gewährt.
Wähle „Fertig“ aus.
Hinweis: Nachdem du diesen Schritt abgeschlossen hast, können Benutzer:innen keine neuen persönlichen Apple‑IDs in der von dir konfigurierten Domain erstellen. Dies könnte sich auf andere Apple-Dienste auswirken, die du verwendest. Siehe Apple-Dienste bei Verknüpfung übertragen.
In einigen Fällen kannst du deine Domain möglicherweise nicht hinzufügen. Häufige Gründe sind:
Der Azure AD-Account „Globale:r Administrator:in“, „Anwendungsadministrator:in“ oder „Cloud‑Anwendungsadministrator:in“ verfügt nicht über die Rechte zum Hinzufügen von Domains in Microsoft Azure AD.
Der Benutzername oder das Passwort des Accounts in Schritt 4 ist falsch.
Die Authentifizierung mit einem einzelnen Azure AD-Account testen
Dieser Vorgang ermöglicht Apple School Manager, Azure AD zu vertrauen. Nachdem du die Eigentümerschaft deiner Domain bestätigt und die Authentifizierung mit einem einzelnen Azure AD‑Account erfolgreich getestet hast, kannst du weitere Accounts erstellen und mit der Verknüpfung deiner Domain fortfahren.
Wähle neben der zu verknüpfenden Domain die Option „Verknüpfen“ aus.
Wähle „Beim Microsoft Azure‑Portal anmelden“ aus und gib dann deinen Benutzernamen und das Passwort ein.
Gib einen Microsoft Azure AD-Account „Globale:r Administrator:in“, „Anwendungsadministrator:in“ oder „Cloud-Anwendungsadministrator:in“ ein, der in der Domain vorhanden ist, und wähle dann die Option „Weiter“ aus.
Gib das Passwort für den Account ein und wähle die Option „Anmelden“, dann „Fertig“ und anschließend erneut „Fertig“ aus.
In einigen Fällen kannst du dich möglicherweise nicht bei deiner Domain anmelden. Hier einige häufige Gründe:
Der Benutzername oder das Passwort der Domain, die du verknüpfen möchtest, ist falsch.
Der Account befindet sich nicht in der Domain, die du verknüpfen möchtest.
Nach einer erfolgreichen Anmeldung prüft Apple School Manager auf Benutzernamenskonflikte mit dieser Domain. Die Prüfung auf Benutzernamenskonflikte muss abgeschlossen sein, bevor du die verknüpfte Authentifizierung mit dieser Domain verwenden kannst.
Hinweis: Nachdem du Apple School Manager erfolgreich mit Azure AD verknüpft hast, kannst du die Funktion eines Accounts in eine andere ändern. Beispielsweise möchtest du möglicherweise die Funktion eines Accounts in die Funktion „Lehrkraft“ ändern.
Verknüpfte Authentifizierung aktivieren
Bevor die verknüpfte Authentifizierung aktiviert werden kann, muss eine Verknüpfung mit einer neuen Domain erstellt und diese verifiziert werden.
Hinweis: Wenn du mithilfe von SCIM eine Verbindung zu Azure AD herstellen möchtest, solltest du mit der Aktivierung der verknüpften Authentifizierung warten, bis die SCIM-Verbindung steht.
Melde dich bei Apple School Manager mit einem Benutzeraccount an, der die Funktion „Administrator:in“, „Standortmanager:in“ oder „Personenmanager:in“ hat.
Wähle deinen Namen am unteren Rand der Seitenleiste aus und wähle „Einstellungen“ und dann „Konten“ aus.
Wähle im Bereich „Domains“ die Option „Bearbeiten“ aus und aktiviere anschließend die verknüpfte Authentifizierung für die Domains, die Apple School Manager erfolgreich hinzugefügt wurden.
Es kann einige Zeit dauern, bis alle Accounts aktualisiert sind.
Verknüpfte Authentifizierung testen
Du kannst die verknüpfte Authentifizierung testen, nachdem du die folgenden Schritte ausgeführt hast:
Du hast eine erfolgreiche Verbindung zu deiner Domain hergestellt und sie bestätigt.
Die Prüfung auf Namenskonflikte ist abgeschlossen.
Das Standardformat für verwaltete Apple-IDs wurde aktualisiert.
Hinweis: Benutzer:innen mit der Funktion „Administrator:in“, „Standortmanager:in“ oder „Personenmanager:in“ können sich nicht mithilfe der verknüpften Authentifizierung anmelden. Sie können lediglich den Verknüpfungsvorgang verwalten.
Melde dich bei Apple School Manager mit einem Benutzeraccount an, der nicht die Funktion „Administrator:in“, „Mitarbeiter:in“ oder „Schüler:in/Studierende:r“ hat.
Wenn der Benutzername, mit dem du dich angemeldet hast, gefunden wird, gibt eine neue Bildschirmanzeige an, dass du dich als Benutzer:in in deiner Domain anmeldest.
Wähle „Weiter“ aus, gib das Passwort für den:die Benutzer:in ein und wähle anschließend „Anmelden“ aus.
Melde dich von Apple School Manager ab.
Hinweis: Benutzer:innen können sich nur dann auf iCloud.com anmelden, wenn sie sich vorher auf einem anderen Apple-Gerät mit ihrer verwalteten Apple-ID angemeldet haben.