Einführung in die verknüpfte Authentifizierung in Apple Business
Übersicht
Du kannst Verknüpfte Authentifizierung verwenden, um Apple Business mit Folgendem zu verknüpfen:
Google Workspace
Microsoft Entra ID OpenID Connect (OIDC) Global Service (login.microsoftonline.com).
Die Integration mit nationalen Clouds wird derzeit nicht unterstützt.
Beliebige Identitätsprovider (IdP) mit OIDC oder SCIM (System for Cross-domain Identity Management)
Hinweis: Du kannst eine Verbindung zu Google Workspace, Microsoft Entra ID oder deinem IdP herstellen, aber immer jeweils nur zu einem davon.
Anschließend können sich Benutzer:innen bei dem ihnen zugewiesenen iPhone, iPad, Mac, der Apple Vision Pro und bei „Geteiltes iPad“ mit ihrem bestehenden Benutzernamen (in der Regel ihre E-Mail-Adresse) und Passwort anmelden. Nachdem sie sich auf einem dieser Geräte angemeldet haben, können sie sich auch bei iCloud im Internet auf einem Mac anmelden (iCloud für Windows unterstützt keine verwalteten Apple Accounts).
Wichtig: Verknüpfung und Synchronisierung von Benutzeraccounts werden angehalten, wenn die Verbindung abläuft. Du musst dich erneut verbinden, um die verknüpfte Authentifizierung und Synchronisierung weiterhin zu nutzen.
Bei diesen typischen Anwendungsfällen kannst du verknüpfte Authentifizierung verwenden:
Nur verknüpfte Authentifizierung
Wenn Apple Business mit Google Workspace, Microsoft Entra ID oder deinem IdP verknüpft wird, werden für die Benutzer:innen automatisch verwaltete Apple Accounts erstellt. Sie können sich dann mit ihrem bestehenden Benutzernamen (in der Regel ihre E‑Mail-Adresse) und ihrem Passwort anmelden.
Weitere Informationen findest du hier:
Verknüpfte Authentifizierung mit Verzeichnissynchronisierung
Du kannst auch Benutzeraccounts von Google Workspace, Microsoft Entra ID oder deinem IdP mit Apple Business synchronisieren. Wenn du eine Verbindung zur Verzeichnissynchronisierung einrichtest, kannst du Eigenschaften von Apple Business (z. B. Rollen) mit den aus einem dieser Dienste importierten Benutzeraccount-Daten zusammenführen. Die Informationen des Benutzeraccounts des jeweiligen Dienstes werden schreibgeschützt hinzugefügt, bis du die Synchronisierung deaktivierst. Die Accounts werden dann zu manuellen Accounts und Attribute darin können bearbeitet werden. Wenn ein Benutzeraccount aus einem dieser Dienste entfernt wird, kann dieser Benutzeraccount aus Apple Business entfernt werden. Weitere Informationen findest du hier:
Verknüpfte Authentifizierung mit „Geteiltes iPad“
Wenn du die verknüpfte Authentifizierung mit Geteiltes iPad verwendest, hängt der Anmeldeprozess davon ab, ob der Benutzeraccount bereits in Apple Business vorhanden ist. Anmeldeszenarien findest du unter Bei „Geteiltes iPad“ anmelden.
Wenn ein:e Benutzer:in seinen:ihren Code vergisst, musst du den Code für „Geteiltes iPad“ zurücksetzen.
Erste Schritte
Bevor du die verknüpfte Authentifizierung mit Google Workspace, Microsoft Entra ID oder deinem IdP verwendest, solltest du Folgendes beachten:
Voraussetzungen
Dieses Feature erfordert iOS 15.5, iPadOS 15.5, macOS 12.4, visionOS 1.1 oder neuer.
Du musst die Domain-Erfassung sperren und aktivieren. Siehe Eine Domain sperren.
Es gibt keine Konflikte mit verwalteten Apple Account. Siehe Übersicht.
Benutzer:innen, deren Rolle über Zugriffsrechte zum Einrichten und Konfigurieren der Verknüpfung und zum Herstellen einer Verbindung mit einem Identitätsprovider (IdP) verfügt, können sich nicht mit der verknüpften Authentifizierung anmelden. Sie können nur den Vorgang der Verknüpfung verwalten.
Wenn die verknüpfte Authentifizierung verwendet wird, gilt das Standardformat für den verwalteten Apple Account nicht.
IdP-spezifische Voraussetzungen
Bei der Verknüpfung mit Google Workspace:
Bei der verknüpften Authentifizierung muss die E‑Mail-Adresse des:der Benutzer:in als Benutzername verwendet werden. Aliasnamen werden nicht unterstützt.
Bei der Verknüpfung mit Microsoft Entra ID:
Du musst einen Microsoft-Account mit der Entra ID-Rolle „globale:r Administrator:in“ verwenden, um die Aufgabe Verknüpfte Authentifizierung genehmigen abzuschließen. Nachdem die Verbindung erfolgreich hergestellt wurde, kannst du die Rolle dieses Microsoft-Accounts von „globale:r Administrator:in“ in eine andere Rolle mit den erforderlichen Berechtigungen ändern, um die Verbindung aufrechtzuerhalten. Siehe Welche Microsoft-Standardrollen unterstützen Domains, Verzeichnissynchronisierung und Domain-Lesevorgänge?.
Für die verknüpfte Authentifizierung mit Microsoft Entra ID muss der userPrincipalName (UPN) mit der E-Mail-Adresse des:der Benutzer:in übereinstimmen. Aliasse für Benutzerprinzipalnamen und alternative IDs werden nicht unterstützt.
Bei der Verknüpfung mit einem IdP musst du über die folgenden Informationen verfügen:
Eine bestätigte Domain, die du verwenden möchtest. Siehe Eine Domain hinzufügen und bestätigen.
Anmeldemethode: Verwende OpenID Connect (OIDC).
Scope-Zugriff: Zugriff benötigt für
ssf.manageundssf.readURL für die Shared Signals Framework (SSF)-Konfiguration: Beziehe dich auf die Dokumentation deines IdP.
URL für die OpenID-Konfiguration: Beziehe dich auf die Dokumentation deines IdP.
Automatische Änderungen
Bei bestehenden Benutzer:innen von Apple Business mit einer E‑Mail-Adresse in der verknüpften Domain wird ihr verwalteter Apple Account automatisch so geändert, dass er dieser E‑Mail-Adresse entspricht.