Verknüpfte Authentifizierung mit Microsoft Entra ID in Apple Business verwenden
Übersicht
In Apple Business kannst du mittels verknüpfter Authentifizierung eine Verbindung zu Microsoft Entra ID OpenID Connect (OIDC) Global Service (login.microsoftonline.com) herstellen, damit sich die Benutzer:innen mit ihrem Microsoft Entra ID-Benutzernamen (in der Regel ihre E‑Mail-Adresse) und ‑Passwort auf Apple-Geräten anmelden können.
Hinweis: Die Integration mit nationalen Clouds wird derzeit nicht unterstützt.
Anschließend können deine Benutzer:innen ihre Microsoft Entra ID-Anmeldedaten als verwalteten Apple Account verwenden. Mit diesen Anmeldedaten können sie sich dann auf dem ihnen zugewiesenen iPhone, iPad, Mac, Apple Vision Pro und auf einem geteilten iPad anmelden. Nachdem sie sich auf einem dieser Geräte angemeldet haben, können sie sich auch bei iCloud im Internet auf einem Mac anmelden (iCloud für Windows unterstützt keine verwalteten Apple Accounts).
Microsoft Entra ID ist der Identitätsprovider (IdP), der Benutzer:innen für Apple Business authentifiziert und Authentifizierungs-Token ausgibt. Diese Authentifizierung unterstützt die Zertifikatsauthentifizierung und die Zwei-Faktor-Authentifizierung (2FA).
Hinweis: Daten werden zu keinem Zeitpunkt in Microsoft Entra ID zurückgeschrieben.
Welche Verknüpfungsdaten werden aus Microsoft Entra ID gelesen?
Die folgenden Informationen werden gelesen, wenn du Microsoft Entra ID via OpenID Connect (OIDC) verbindest:
Einwilligungsanfrage für Microsoft Entra ID-Administrator:innen | Von Apple verwendete Attribute und Begründung | API-Abfrage oder -Bereich |
|---|---|---|
Attribute: ID-Token-Ansprüche:
Begründung: Um Apple Business mittels OIDC mit Microsoft Entra ID zu verbinden. | API-Abfrage: Nicht zutreffend Bereich:
| |
Attribute:
Begründung: Um Sicherheitsereignisse abzurufen, die in Benutzeraccounts in Microsoft Entra ID aufgetreten sind, und dann geeignete Sicherheitsmaßnahmen für die jeweiligen Accounts zu treffen, die bei Apple-Geräten angemeldet sind. Wenn Microsoft Entra ID ein Passwort ändert oder ungültig macht, wird die Sitzung des verwalteten Apple Accounts beendet und die Benutzer:innen werden zur erneuten Authentifizierung aufgefordert. | API-Abfrage:
Bereich: AuditLog.Read.All | |
Attribute:
Begründung: Um bestätigte Domains aus Microsoft Entra ID mit Apple Business zu synchronisieren. | API-Abfrage: Nicht zutreffend Bereich: Domain.Read.All | |
Attribute:
Begründung: Um Verzeichnisdaten aus Microsoft Entra ID mit Apple Business zu synchronisieren. Hinweis: Dieser Bereich wird auch für die Attribute der Verzeichnissynchronisierung verwendet. Siehe Wie werden Verknüpfungsdaten aus Microsoft Entra ID für die Verzeichnissynchronisierung verwendet?. | API-Abfrage: Nicht zutreffend Bereich: Directory.Read.All | |
Attribute: nicht zutreffend Begründung: Um einen Aktualisierungstoken während des Ablaufs des Autorisierungscodes anzufordern. Der Aktualisierungstoken wird dann verwendet, um einen Zugriffstoken anzufordern. Mit dem Zugriffstoken wird Folgendes gelesen:
| API-Abfrage: Nicht zutreffend Bereich: offline_access |
Welche Microsoft-Standardrollen unterstützen Domains, Verzeichnissynchronisierung und Domain-Lesevorgänge?
Du musst einen Microsoft-Account mit der Entra ID-Rolle „globale:r Administrator:in“ verwenden, um die Aufgabe Verknüpfte Authentifizierung genehmigen abzuschließen. Wenn du die Rolle ändern möchtest, nachdem die Verbindung erfolgreich hergestellt wurde, hast du zwei Möglichkeiten, den Microsoft-Account zu bearbeiten:
Ändere den Microsoft-Account in eine der folgenden Rollen:
Globale:r Leser:in
Anwendungsadministrator:in
Cloudanwendungsadministrator:in
Ändere den Microsoft-Account so, dass er die folgenden zwei Rollen hat: Verzeichnisleser:in und Berichtsleser:in.
Beide Optionen erlauben den folgenden Zugriff, der von Apple Business benötigt wird:
Liste aller Domains lesen: microsoft.directory/domains/standard/read
Verzeichnis aller Benutzer:innen lesen: microsoft.directory/users/standard/read
Audit-Protokolle für Sicherheitsereignisse lesen: microsoft.directory/auditLogs/allProperties/read
Vorgang der verknüpften Authentifizierung
Dieser Vorgang umfasst drei Hauptschritte:
Verknüpfte Authentifizierung genehmigen.
Die verknüpfte Authentifizierung mit einem einzigen Microsoft Entra ID-Benutzeraccount testen.
Verknüpfte Authentifizierung aktivieren.
Wichtig: Beachte Folgendes, bevor du die verknüpfte Authentifizierung konfigurierst.
Schritt 1: Verknüpfte Authentifizierung genehmigen
Der erste Schritt dient dazu, eine Vertrauensbeziehung zwischen Microsoft Entra ID und Apple Business herzustellen. Diese Aufgabe muss von einem:einer Benutzer:in mit der Rolle „globale:r Administrator:in“ in Microsoft Entra ID durchgeführt werden.
Hinweis: Nachdem du diesen Schritt abgeschlossen hast, können Benutzer:innen keine neuen nicht verwalteten (persönlichen) Apple Accounts in der von dir konfigurierten Domain erstellen. Dies könnte andere Apple-Dienste beeinträchtigen, auf die Benutzer:innen zugreifen. Siehe Apple-Dienste übertragen.
Melde dich in Apple Business mit einem Benutzeraccount an, dessen Rolle über Zugriffsrechte zum Einrichten und Konfigurieren einer Verknüpfung und zum Herstellen einer Verbindung mit einem Identitätsprovider (IdP) verfügt.
Informationen zu Rollen und Zugriffsrechten findest du unter Einführung in Rollen und Zugriffsrechte.
Wähle „Erste Schritte“ neben „Benutzeranmeldung und Verzeichnissynchronisierung“ aus.
Wähle „Microsoft Entra ID“ und dann „Weiter“ aus.
Wähle „Mit Microsoft anmelden“ aus, gib den Benutzernamen eines:einer globalen Microsoft Entra ID-Administrator:in ein und wähle anschließend „Weiter“ aus.
Gib das Passwort für den Account ein und wähle „Anmelden“ aus.
Lies den App-Vertrag sorgfältig durch, wähle „Im Namen deiner Organisation zustimmen“ und dann „Akzeptieren“ aus.
Du erklärst dich damit einverstanden, dass Apple Zugriff auf Informationen in Microsoft Entra ID durch Microsoft gewährt wird.
Überprüfe gegebenenfalls die bestätigten und konfliktbehafteten Domains.
Wähle „Fertig“ aus.
Falls erforderlich, kannst du die Rolle des Microsoft-Accounts in Microsoft Entra ID von „globale:r Administrator:in“ in eine unterstützte Rolle mit den erforderlichen Berechtigungen ändern. Siehe Welche Microsoft-Standardrollen unterstützen Domains, Verzeichnissynchronisierung und Domain-Lesevorgänge?.
In einigen Fällen kannst du dich möglicherweise nicht bei deiner Domain anmelden. Das kann hieran liegen:
Der Benutzername oder das Passwort des:der Microsoft Entra ID-Administrator:in sind nicht korrekt.
Schritt 2: Die verknüpfte Authentifizierung mit einem einzigen Microsoft Entra ID-Benutzeraccount testen
Wichtig: Beim Testen der verknüpften Authentifizierung wird auch das standardmäßige Format für verwaltete Apple Accounts geändert.
Du kannst die verknüpfte Authentifizierung testen, nachdem du die folgenden Schritte ausgeführt hast:
Die Prüfung auf Namenskonflikte ist abgeschlossen.
Das Standardformat für verwaltete Apple Accounts wurde aktualisiert.
Nachdem du Apple Business erfolgreich mit Microsoft Entra ID verknüpft hast, kannst du die Rolle eines Benutzeraccounts in eine andere Rolle ändern. Du kannst z. B. die Rolle eines Benutzeraccounts in die Rolle „Mitarbeiter:in“ ändern.
Hinweis: Benutzer:innen, deren Rolle über Zugriffsrechte zum Einrichten und Konfigurieren der Verknüpfung und zum Herstellen einer Verbindung mit Microsoft Entra ID verfügt, können sich nicht mit der verknüpften Authentifizierung anmelden. Sie können nur den Vorgang der Verknüpfung verwalten.
Wähle neben der zu verknüpfenden Domain die Option „Verknüpfen“ aus.
Wähle „Beim Microsoft Entra ID-Portal anmelden“ aus, gib einen Microsoft Entra ID-Benutzernamen eines Accounts ein, der in der Domain existiert, und wähle dann „Weiter“ aus.
Gib das Passwort für den Account ein und wähle die Option „Anmelden“, dann „Fertig“ und anschließend erneut „Fertig“ aus.
Melde dich von Apple Business ab.
Hinweis: Benutzer:innen können sich auf einem Mac nur dann auf iCloud.com anmelden, wenn sie sich vorher auf einem anderen Apple-Gerät mit ihrem verwalteten Apple Account angemeldet haben.
In einigen Fällen kannst du dich möglicherweise nicht bei deiner Domain anmelden. Das kann hieran liegen:
Der Benutzername oder das Passwort der Domain, die du verknüpfen möchtest, ist falsch.
Der Account befindet sich nicht in der Domain, die du verknüpfen möchtest.
Schritt 3: Verknüpfte Authentifizierung aktivieren
Melde dich in Apple Business mit einem Benutzeraccount an, dessen Rolle über Zugriffsrechte zum Einrichten und Konfigurieren einer Verknüpfung und zum Herstellen einer Verbindung mit einem Identitätsprovider (IdP) verfügt.
Informationen zu Rollen und Zugriffsrechten findest du unter Einführung in Rollen und Zugriffsrechte.
Wähle im Bereich „Domains“ neben der Domain, die du verknüpfen möchtest, die Option „Verwalten“ aus, und wähle dann die Option „Anmeldung mit Microsoft Entra ID aktivieren“ aus.
Aktiviere die Option „Mit Microsoft Entra ID anmelden“.
Bei Bedarf kannst du jetzt Benutzeraccounts mit Apple Business synchronisieren. Siehe Benutzeraccounts aus Microsoft Entra ID synchronisieren.