Benutzeraccounts aus Microsoft Entra ID mit Apple School Manager synchronisieren
Du kannst mithilfe von OpenID Connect (OIDC) Benutzeraccounts mit Apple School Manager synchronisieren. Mithilfe dieses Systems kannst du Eigenschaften von Apple School Manager (z. B. Klassenstufe und Funktionen) mit importierten Benutzer-Account-Daten aus Microsoft Entra ID hinzufügen. Wenn du Benutzeraccounts per OIDC synchronisierst, werden die Accountinformationen schreibgeschützt hinzugefügt, bis du die Verbindung zu Microsoft Entra ID trennst. Die Benutzeraccounts werden dann zu manuellen Accounts und Attribute darin können bearbeitet werden.
Erste Schritte
Führe folgende Schritte aus, bevor du eine Synchronisierung mit Microsoft Entra ID über eine OIDC-Verbindung durchführst:
Konfiguriere und verifiziere falls nötig die gewünschte Domain. Siehe Eine Domain hinzufügen und bestätigen. Wenn du die Domain, die du mit Google Workspace verbinden möchtest, bereits verifiziert hast, kannst du diesen Vorgang überspringen.
Trenne die Verbindung mit dem Studierendeninformationssystem (SIS) oder höre auf, SFTP für Uploads zu verwenden.
Konfigurieren, Verknüpfen und Aktivieren einer Domain. Siehe Verknüpfte Authentifizierung mit Microsoft Entra ID verwenden.
Bei der Konfiguration der Verbindung solltest du die E-Mail-Adresse eines:einer Benutzer:in mit der Funktion „Administrator:in“, „Standortmanager:in“ oder „Personenmanager:in“ verwenden, damit diese:r Benachrichtigungen von Microsoft Entra D erhalten kann.
Wende dich telefonisch an eine:n globale:n Microsoft Entra ID-Administrator:in mit der Befugnis, Microsoft Entra ID-Einstellungen zu bearbeiten.
Microsoft Entra ID-Benutzeraccounts in Apple School Manager
Wenn ein Benutzeraccount aus Microsoft Entra ID mithilfe von OIDC mit Apple School Manager synchronisiert wird, hat er:sie standardmäßig die Funktion „Schüler:in/Studierende:r“. Nach der Synchronisierung können die folgenden Benutzeraccountattribute bearbeitet werden:
Funktionen
Klassenstufe
Benutzername im Studierendeninformationssystem (SIS)
Diese Attribute werden im Benutzeraccount in Apple School Manager gespeichert und nicht auf Microsoft Entra ID zurückübertragen.
Wichtig: Verwende einen Benutzernamen innerhalb von 120 Tagen nicht erneut in der Entra ID-App von Apple School Manager.
Anmeldeattribut
Apple School Manager erfordert, dass das Attribut für den verwalteten Apple Account eindeutig ist. Hierbei handelt es sich in der Regel um die E-Mail-Adresse des:der Benutzer:in. Wenn ein:e Benutzer:in ein Attribut hat, das exakt mit dem eines:einer bestehenden Benutzer:in von Apple School Manager übereinstimmt, der:die die Funktion „Administrator:in“ hat, wird keine Synchronisierung vorgenommen und das Quellenfeld bleibt unverändert.
Benutzerprinzipalname
Wenn ein Benutzeraccount einen Benutzerprinzipalnamen (UPN) hat, der exakt mit dem eines bestehenden Benutzeraccounts übereinstimmt, der:die die Funktion „Administrator:in“, „Standortmanager:in“ oder „Personenmanager:in“ inne hat, wird keine Synchronisierung vorgenommen und das Quellenfeld bleibt unverändert. Dies geschieht ungeachtet der ursprünglich verwendeten Synchronisierungsmethode (SIS oder SFTP).
Personen-ID
Wenn ein Microsoft Entra ID-Benutzeraccount mit Apple School Manager synchronisiert wird, wird eine Personen-ID für den Apple School Manager-Benutzeraccount erstellt. Die Personen-ID wird zur Ermittlung von in Konflikt stehenden Benutzeraccounts verwendet. Die Personen-ID wird außerdem automatisch für Benutzer:innen erstellt, die über OIDC oder mittels SIS-Integration synchronisiert wurden. Sie wird nicht automatisch für Benutzer:innen erstellt, die mittels SFTP importiert wurden.
Wenn die Verbindung zu Microsoft Entra ID getrennt wird und über SFTP erneut Benutzer:innen hochgeladen werden, werden neue Benutzer:innen erstellt, es sei denn, die Personen-ID in der SFTP-Upload-Datei entspricht der Personen-ID, die von der OIDC-Synchronisation zugewiesen wurde. Siehe Daten des Studierendeninformationssystems in Apple School Manager hochladen.
Wichtige Aspekte, die bei Änderung der Personen-ID berücksichtigt werden müssen:
Wenn du die Personen-ID eines Benutzeraccounts änderst, der zuvor aus Microsoft Entra ID importiert wurde, ist dieser Benutzeraccount nicht mehr mit Microsoft Entra ID gekoppelt.
Wenn du die Personen-ID eines Benutzeraccounts änderst, der zuvor aus Microsoft Entra ID importiert wurde, und diesen Benutzeraccount wieder verbinden möchtest, siehe Microsoft Entra ID-OIDC-Benutzerkontenkonflikte beheben.
Microsoft Entra ID-Mandanten
Um OIDC mit Apple School Manager nutzen zu können, muss deine Organisation einen anderen Microsoft Entra ID-Mandanten haben als andere Apple School Manager-Organisationen. Wenn du OIDC in deiner Organisation verwenden möchtest, wende dich an deine:n globale:n Microsoft Entra ID-Administrator:in, um sicherzustellen, dass keine andere Organisation deinen Entra ID-Mandanten für OIDC nutzt.
Microsoft Entra ID-Gruppen
In Microsoft Entra ID kannst du über die Benutzeroberfläche Gruppenaccounts synchronisieren, aber nur Benutzeraccounts innerhalb dieser Gruppen werden für die Synchronisierung unterstützt.
Wenn du einen Gruppenaccount in Microsoft Entra ID konfiguriert hast, kannst du diese Gruppe zur Entra ID-App von Apple School Manager hinzufügen, anstatt einzelne Benutzer:innen hinzuzufügen.
Hinweis: Untergruppen werden von der Entra ID-App von Apple School Manager nicht unterstützt.
OIDC-Benutzerattributzuordnung
Wenn ein Benutzeraccount mithilfe von OIDC von Microsoft Entra ID mit Apple School Manager synchronisiert wird, werden folgende Benutzerattribute schreibgeschützt gespeichert. In der Tabelle ist auch gekennzeichnet, ob ein Benutzerattribut erforderlich ist.
Wichtig: Das Hinzufügen von Attributen, die nicht in der Tabelle stehen, könnte die OIDC-Verbindung unterbrechen.
Microsoft Entra ID-Benutzerattribut | Benutzerattribut in Apple School Manager | Erforderlich |
---|---|---|
givenName | Vorname | |
Nachname | Nachname | |
userPrincipalName | Verwalteter Apple Account und E-Mail Adresse | |
objectId | (Wird nicht in Apple School Manager angezeigt. Dieses Attribut wird zur Ermittlung von in Konflikt stehenden Accounts verwendet.) | |
Abteilung | Abteilung | |
Mitarbeiter-ID | Personennummer | |
employeeOrgData.costCenter | Kostenstelle | |
employeeOrgData.division | Unternehmensbereich |
Microsoft Entra Connect Sync aktivieren
Melde dich bei Apple School Manager mit einem Benutzeraccount an, der die Funktion „Administrator:in“, „Standortmanager:in“ oder „Personenmanager:in“ hat.
Wähle deinen Namen am unteren Rand der Seitenleiste aus und wähle „Einstellungen“ und dann Verwaltete Apple Accounts aus.
Aktiviere Microsoft Entra Connect Sync und wähle „Jetzt synchronisieren“.
Manuelle Synchronisation
Du kannst Apple School Manager manuell mit Microsoft Entra ID synchronisieren, um etwaige Änderungen in Microsoft Entra ID zu importieren.
Melde dich bei Apple School Manager mit einem Benutzeraccount an, der die Funktion „Administrator:in“, „Standortmanager:in“ oder „Personenmanager:in“ hat.
Wähle deinen Namen am unteren Rand der Seitenleiste aus und wähle „Einstellungen“ und dann Verwaltete Apple Accounts aus.
Wähle unter Microsoft Entra ID „Jetzt synchronisieren“.