Usa la autenticación vinculada con Microsoft Entra ID en Apple Business Manager
En Apple Business Manager, puedes vincularte con Microsoft Entra ID mediante la autenticación vinculada para permitir que los usuarios inicien sesión en dispositivos Apple con su nombre de usuario (por lo general, su dirección de correo electrónico) y contraseña de Microsoft Entra ID.
Como resultado, los usuarios pueden usar sus credenciales de Microsoft Entra ID como cuentas administradas de Apple. Pueden usar esas credenciales para iniciar sesión en su iPhone, iPad, Mac o Apple Vision Pro asignados, e incluso en iCloud en línea.
Microsoft Entra ID es el proveedor de identidad (PI) que autentica al usuario para Apple Business Manager y emite identificadores de autenticación. Para esta autenticación, se admite la autenticación mediante certificado y la autenticación de dos factores (2FA).
Antes de empezar
Antes de efectuar la vinculación con Microsoft Entra ID, ten en cuenta en lo siguiente:
Debes usar un usuario con la función de Administrador global de Entra ID para completar la tarea de aprobación de la autenticación vinculada que se indica a continuación. Si la conexión se establece correctamente, puedes cambiar la función del usuario de Administrador global a otra que tenga los privilegios necesarios para mantener la conexión. Para obtener más información, consulta Funciones y privilegios admitidos.
Debes bloquear y activar la captura de dominios antes de poder vincularse. Consulta Bloquea un dominio.
La autenticación vinculada requiere que el userPrincipalName (UPN) de un usuario coincida con su dirección de correo electrónico. No se admiten alias de userPrincipalName ni ID alternativos.
En el caso de los usuarios existentes con una dirección de correo electrónico en el dominio vinculado, su cuenta administrada de Apple se cambia automáticamente para que coincida con esa dirección de correo electrónico.
Las cuentas de usuario con la función de administrador o gestor de personas no pueden iniciar sesión con la autenticación vinculada; sólo pueden administrar el proceso de vinculación.
Cuando la conexión con Microsoft Entra ID caduca, se detiene la vinculación y la sincronización de las cuentas de usuario con Microsoft Entra ID. Debes volver a conectarte con Microsoft Entra ID para continuar usando la vinculación y la sincronización.
Funciones y privilegios admitidos
Una vez que la tarea de aprobación de la autenticación vinculada se realiza correctamente, si quieres cambiar de función, tienes dos opciones para editar la cuenta con la función actual de Administrador global de Microsoft Entra ID.
Cambia la cuenta a una de las siguientes funciones:
Lector global
Administrador de la aplicación
Administrador de la aplicación en la nube
Cambia la cuenta de modo que tenga las siguientes dos funciones: Lector de directorio y Lector de informes.
Ambas opciones permiten el siguiente acceso que requiere Apple Business Manager:
Lee la lista de todos los dominios: microsoft.directory/domains/standard/read
Lee el directorio de todos los usuarios: microsoft.directory/users/standard/read
Lee los registros de auditoría de eventos de seguridad: microsoft.directory/auditLogs/allProperties/read
Proceso de autenticación vinculada
Este proceso incluye tres pasos principales:
Aprobar la autenticación vinculada.
Probar la autenticación vinculada con una sola cuenta de usuario de Microsoft Entra ID.
Activar la autenticación vinculada.
Paso 1: Aprobar la autenticación vinculada
El primer paso es establecer una relación de confianza entre Microsoft Entra ID y Apple Business Manager. Esta tarea la debe realizar un usuario con la función de Administrador global en Microsoft Entra ID.
Nota: Una vez que completes este paso, los usuarios no pueden crear nuevas cuentas administradas de Apple personales en el dominio que configuraste. Esto podría afectar a otros servicios de Apple a los que acceden tus usuarios. Consulta Transfiere servicios de Apple a una cuenta administrada de Apple.
En Apple Business Manager
, inicia sesión con un usuario que tenga la función de administrador o gestor de personas.Selecciona tu nombre en la parte inferior de la barra lateral, selecciona Preferencias
, selecciona cuentas administradas de Apple 
y luego selecciona Comenzar debajo de Inicio de sesión de usuario y sincronización del directorio.Selecciona Microsoft Entra ID y, luego, Continuar.
Selecciona Iniciar sesión con Microsoft, ingresa el nombre de usuario de un administrador global de Microsoft Entra ID y luego selecciona Siguiente.
Ingresa la contraseña de la cuenta y, luego, selecciona Iniciar sesión.
Lee atentamente el acuerdo de solicitud, selecciona Consentimiento en nombre de tu organización y, luego, selecciona Aceptar.
Estás aceptando que Microsoft le otorgue a Apple acceso a la información que se encuentra en Microsoft Entra ID.
Si es necesario, revisa los dominios verificados y con conflictos.
Selecciona Listo.
Si es necesario, puedes cambiar la función del usuario en Microsoft Entra ID de Administrador global a una función admitida con los privilegios necesarios. Para obtener más información, consulta Funciones y privilegios admitidos.
En algunos casos, es posible que no puedas iniciar sesión en tu dominio. A continuación, algunas de las razones más comunes:
El nombre de usuario o la contraseña de la cuenta en el paso 4 no son correctos.
Paso 2: Prueba la autenticación con una sola cuenta de usuario de Microsoft Entra ID
Importante: La prueba de la autenticación vinculada también cambia el formato predeterminado de tu cuenta administrada de Apple.
Puedes probar la conexión de la autenticación vinculada después de realizar las siguientes acciones:
Completar la comprobación de conflictos de nombre de usuario.
Actualizar el formato predeterminado de la cuenta administrada de Apple.
Después de vincular Apple Business Manager con Microsoft Entra ID correctamente, puedes cambiar la función de una cuenta de usuario. Por ejemplo, es posible que quieras cambiar la función de una cuenta de usuario a la función de personal.
Nota: Las cuentas de usuario con la función de administrador o gestor de personas no pueden iniciar sesión con la autenticación vinculada; sólo pueden administrar el proceso de vinculación.
Selecciona Vincular junto al dominio que deseas vincular.
Selecciona Iniciar sesión en el portal de Microsoft Entra ID, ingresa un nombre de usuario de Microsoft Entra ID de una cuenta que exista en el dominio y luego selecciona Siguiente.
Ingresa la contraseña de la cuenta, selecciona Iniciar sesión, selecciona Aceptar y, luego, selecciona Aceptar.
En algunos casos, es posible que no puedas iniciar sesión en tu dominio. A continuación, algunas de las razones más comunes:
El nombre de usuario o la contraseña del dominio que elegiste vincular es incorrecto.
La cuenta no existe en el dominio que elegiste vincular.
Paso 3: Activa la autenticación vinculada
En Apple Business Manager
, inicia sesión con un usuario que tenga la función de administrador, gestor de sede o gestor de personas.Selecciona tu nombre en la parte inferior de la barra lateral, selecciona Preferencias
y luego selecciona cuentas administradas de Apple .En la sección Dominios, selecciona Administrar junto al dominio que quieres vincular y, luego, selecciona Activar Iniciar sesión con Microsoft Entra ID.
Activa Iniciar sesión con Microsoft Entra ID.
Si es necesario, ahora puedes importar las cuentas de usuario con Apple Business Manager. Consulta Sincroniza cuentas de usuario de Microsoft Entra ID.