Yhdistetyn todennuksen käyttö Microsoft Entra ID:n kanssa: Apple Business Manager
Apple Business Managerissa voit linkittää globaaliin Microsoft Entra ID Open ID Connect (OIDC) -palveluun (login.microsoftonline.com) yhdistetyllä todennuksella, jotta käyttäjät voivat kirjautua sisään Apple-laitteisiinsa Microsoft Entra ID:n käyttäjätunnuksella (yleensä käyttäjän sähköpostiosoite) ja salasanalla.
Huomaa: Integraatiota kansallisiin pilvipalveluihin ei tällä hetkellä tueta.
Tämän ansiosta käyttäjät voivat käyttää Microsoft Entra ID ‑käyttäjätunnuksiaan ja ‑salasanojaan hallittuna Apple‑tilinä. Sen jälkeen he voivat kirjautua sisään näillä kirjautumistiedoilla heille määritettyyn iPhoneen, iPadiin, Maciin, Apple Vision Prohon ja jaettuun iPadiin. Kun he ovat kirjautuneet sisään yhdelle näistä laitteista, he voivat myös kirjautua sisään iCloudiin verkossa Macilla (iCloud Windowsille ei tue hallittuja Apple-tilejä).
Microsoft Entra ID on henkilöllisyyden tarjoaja (IdP), joka todentaa käyttäjän Apple Business Manageriin ja myöntää todennustunnukset. Tämä todennus tukee todennussertifikaattia ja kaksiosaista todennusta (2FA).
Microsoftin oletusroolit, jotka tukevat domaineja, hakemistosynkronointia ja domainin lukua
Sinun täytyy suorittaa yhdistetyn todennuksen hyväksymisen tehtävä Microsoft-tilillä, jolla on Entra ID:n yleisen ylläpitäjän käyttöoikeudet. Jos haluat vaihtaa rooleja yhteyden muodostuksen jälkeen, sinulla on kaksi vaihtoehtoa muokata kyseistä Microsoft-tiliä:
Voit vaihtaa Microsoft-tilin rooliksi jonkin seuraavista:
Global Reader
Application Administrator
Cloud Application Administrator
Muokkaa Microsoft-tiliä siten, että sillä on seuraavat kaksi roolia: Directory Reader and Reports Reader.
Molemmat niistä tarjoavat seuraavat Apple Business Managerin edellyttämät käyttöoikeudet:
oikeus kaikkien domainien luettelon lukemiseen: microsoft.directory/domains/standard/read
oikeus kaikkien käyttäjien hakemiston lukemiseen: microsoft.directory/users/standard/read
oikeus suojaustapahtumien auditointilokien lukemiseen: microsoft.directory/auditLogs/allProperties/read.
Yhdistetyn todennuksen prosessi
Tässä prosessissa on kolme päävaihetta:
Hyväksy yhdistetty todennus.
Testaa yhdistetty todennus yksittäisellä Microsoft Entra ID ‑käyttäjätilillä.
Yhdistetyn todennuksen ottaminen käyttöön.
Tärkeää: Tarkista seuraavat ennen yhdistetyn todennuksen määrittämistä.
Vaihe 1: hyväksy yhdistetty todennus
Ensimmäinen vaihe on muodostaa luottamussuhde Microsoft Entra ID:n ja Apple Business Managerin välille. Tämä tehtävä täytyy suorittaa Microsoft-tilillä, jolla on Microsoft Entra ID:n yleisen ylläpitäjän rooli.
Huomaa: Kun suoritat tämän vaiheen, käyttäjät eivät voi enää luoda uusia hallitsemattomia (henkilökohtaisia) Apple‑tilejä määrittämässäsi domainissa. Tämä voi vaikuttaa muihin käyttäjiesi käyttämiin Applen palveluihin. Katso Applen palvelujen siirtäminen.
Kirjaudu Apple Business Managerissa
sisään tilillä, jonka roolina on ylläpitäjä tai henkilöhallinnoija.Valitse nimesi sivupalkin alaosassa, valitse Asetukset
, valitse Hallitut Apple‑tilit 
ja valitse sitten Käyttäjien kirjautuminen ja hakemistosynkronointi -kohdan alta Aloita.Valitse Microsoft Entra ID ja valitse sitten Jatka.
Valitse Microsoft-tilillä kirjautumisen kohta, anna Microsoft Entra ID:n yleisen ylläpitäjän tiedot ja valitse sitten Seuraava.
Anna tilin salasana ja valitse sitten Kirjadu sisään.
Lue appisopimus huolellisesti, valitse valintaneliö, jolla voit antaa suostumuksen organisaatiosi puolesta, ja valitse sitten Hyväksy.
Suostut siihen, että Microsoft antaa Applen käyttöön Microsoft Entra ID:ssä olevia tietoja.
Tarkista tarvittaessa vahvistetut ja ristiriitaiset domainit.
Valitse Valmis.
Voit tarvittaessa vaihtaa Microsoft-tilin yleisen ylläpitäjän roolin Microsoft Entra ID:ssä tuettuun rooliin, joka tarjoaa tarvittavat käyttöoikeudet. Lisätietoja on kohdassa . Katso lisätietoja kohdasta Microsoftin oletusroolit, jotka tukevat domaineja, hakemistosynkronointia ja domainin lukua.
Joissakin tapauksissa et ehkä voi kirjautua sisään domainillesi. Seuraavassa on joitain yleisiä syitä:
Vaiheen 4 tilin käyttäjätunnus tai salasana on virheellinen.
Vaihe 2: testaa yhdistetty todennus yksittäisellä Microsoft Entra ID ‑käyttäjätilillä
Tärkeää: Yhdistetyn todentamisen testi myös muuttaa hallitun Apple‑tilin oletusmuotoa.
Voit testata yhdistetyn todennuksen yhteyttä, kun olet suorittanut seuraavat toiminnot:
Käyttäjätunnusristiriitojen tarkistus on valmis.
Hallitun Apple‑tilin oletusmuoto päivitetään.
Kun olet yhdistänyt Apple Business Managerin Microsoft Entra ID:hen, voit muuttaa käyttäjätilin roolin toiseksi. Voit esimerkiksi haluta muuttaa käyttäjätilin rooliksi Henkilökunta.
Huomaa: Käyttäjätileillä, joilla on ylläpitäjän tai henkilöhallinnoijan rooli, ei voi kirjautua sisään yhdistetyllä todennuksella. Näillä tileillä voidaan vain hallita yhdistämisprosessia.
Valitse Yhdistä sen domainin vierestä, jonka haluat yhdistää.
Valitse Microsoft Entra ID -portaaliin kirjautumisen kohta, anna domainissa olemassa olevan Microsoft Entra ID -tilin käyttäjätunnus ja valitse sitten Seuraava.
Anna tilin salasana, valitse Kirjaudu sisään, valitse Valmis ja valitse sitten Valmis.
Joissakin tapauksissa et ehkä voi kirjautua sisään domainillesi. Seuraavassa on joitain yleisiä syitä:
Yhdistettävän domainin käyttäjätunnus tai salasana on virheellinen.
Tili ei ole domainissa, jonka haluat yhdistää.
Vaihe 3: ota käyttöön yhdistetty todennus
Kirjaudu Apple Business Managerissa
sisään tilillä, jonka roolina on ylläpitäjä tai henkilöhallinnoija.Valitse nimesi sivupalkin alaosassa, valitse Asetukset
ja valitse sitten Hallitut Apple‑tilit .Valitse Domainit-osiossa Hallitse sen domainin vierestä, jonka haluat yhdistää, ja valitse sitten Ota Microsoft Entra ID - käyttöön.
Ota Microsoft Entra ID -kirjautuminen käyttöön.
Voit nyt tarvittaessa synkronoida käyttäjätilit Apple Business Manageriin. Katso lisätietoja kohdasta Käyttäjätilien synkronointi Microsoft Entra ID:stä.