Einführung in die verknüpfte Authentifizierung mit Apple School Manager
Du verwendest die verknüpfte Authentifizierung, um Apple School Manager mit deiner Instanz von Microsoft Azure Active Directory (Azure AD) zu verknüpfen. Damit können deine Benutzer ihre Azure AD-Benutzernamen (Benutzerprinzipalnamen) und -passwörter als verwaltete Apple-IDs verwenden. Anschließend ist die Anmeldung mit den Azure AD-Anmeldedaten beim zugewiesenen iPad oder Mac und sogar bei iCloud im Internet möglich. Schüler/Studenten können sich damit auch bei „Geteiltes iPad“ anmelden.
Wenn du versuchst, eine Domain zu verknüpfen, die du bereits bestätigt hast, aber eine andere Organisation dieselbe Domain bereits verknüpft hat, musst du dich an diese Organisation wenden, um zu klären, wer zur Verknüpfung der Domain berechtigt ist. Weitere Informationen findest du unter Informationen zu Domainkonflikten.
Wichtig: Für die verknüpfte Authentifizierung muss der Benutzerprinzipalname mit der E-Mail-Adresse übereinstimmen. Aliasse für Benutzerprinzipalnamen und alternative IDs werden nicht unterstützt.
Deine Apple-Geräte müssen die folgenden Anforderungen erfüllen, um die verknüpfte Authentifizierung mit Apple School Manager zu verwenden:
iOS 11.3 (oder neuer)
iPadOS 13.1 oder neuer
macOS 10.13.4 (oder neuer)
Azure AD ist der Identitätsprovider (IdP), der den Benutzer für Apple School Manager authentifiziert und Authentifizierungs-Token ausgibt. Da Apple School Manager Azure AD unterstützt, funktionieren mit Apple School Manager auch andere IdPs, die sich mit Azure AD verbinden lassen, z. B. Active Directory Federation Services (AD FS). Die verknüpfte Authentifizierung verwendet SAML (Security Assertion Markup Language), um Apple School Manager mit Azure AD zu verbinden.
Hinweis: Benutzer können sich nur dann auf iCloud.com anmelden, wenn sie sich vorher auf einem anderen Apple-Gerät mit ihrer verwalteten Apple-ID angemeldet haben.
Verknüpfte Authentifizierung und System für Domain-übergreifende Identitätsverwaltung (SCIM)
Um die Apple School Manager Azure AD-App mit Microsoft-Mandanten hinzuzufügen, muss der Administrator der Mandaten den Einrichtungsprozess für die verknüpfte Authentifizierung durchlaufen, einschließlich des Testens der Authentifizierung. Wenn dies erfolgreich war, wird die Apple School Manager Azure AD-App in den Mandanten eingefügt und der Administrator kann Domains verknüpfen und Apple School Manager für die Verwendung von SCIM konfigurieren. Siehe SCIM-Voraussetzungen überprüfen.
Es gibt drei Szenarien, in denen du die verknüpfte Authentifizierung verwenden könntest:
Nur verknüpfte Authentifizierung
Wenn du eine Verbindung zu Azure AD herstellst, werden verwaltete Apple-IDs für Benutzer erstellt, die sich einfach mit demselben Benutzernamen und Passwort anmelden, die sie für Azure AD-Dienste verwenden. Wenn ein Benutzer aus Azure AD entfernt wird, kann dieser Benutzer aus Apple School Manager entfernt werden.
Verknüpfte Authentifizierung und „Geteiltes iPad“
Wenn du die verknüpfte Authentifizierung mit „Geteiltes iPad“ verwendest, ist der Anmeldevorgang unterschiedlich, je nachdem, ob der Benutzer bereits in Apple School Manager vorhanden ist. Die Anmeldungsszenarien mit „Geteiltes iPad“ und Apple School Manager findest du unter Geteiltes iPad – Übersicht.
Die standardmäßige Coderichtlinie ist Standard (mindestens 8 Buchstaben und Zahlen) und kann geändert werden. Siehe Passwortrichtlinienszenarien.
Wenn ein Benutzer seinen Code vergisst, musst du den Code für „Geteiltes iPad“ zurücksetzen.
Verknüpfte Authentifizierung mit Benutzern aus anderen Quellen
Wenn du eine Verknüpfung mit Azure AD herstellst, werden für die Benutzer automatisch verwaltete Apple-IDs erstellt, und die Benutzer melden sich einfach mit ihrer aktuellen E-Mail-Adresse als ihre verwaltete Apple-ID an.
Anschließend stellst du eine Verknüpfung zu deinem SIS her oder lädst Dateien mittels SFTP hoch. Alle Informationen, wie z. B. Klassen und Teilnehmerlisten, werden mit Benutzern aus deinem Azure AD-Dienst abgeglichen. Wenn ein Benutzer aus Azure AD entfernt wird, muss dieser Benutzer in Apple School Manager von einem Account mit Rechten zum Ändern des Benutzerstatus deaktiviert werden.
Wichtig: Wenn du eine Verbindung zu einem Studierendeninformationssystem (SIS) herstellst oder Benutzer über SFTP (Secure File Transfer Protocol) importierst und die verknüpfte Authentifizierung verwendest, muss die E‑Mail-Adresse des Benutzers im SIS mit dem Azure AD-Benutzernamen übereinstimmen, den er bereits zum Anmelden verwendet.