Yhdistetyn todennuksen käyttäminen Microsoft Entra ID:n kanssa Apple Business Managerissa
Tämän ansiosta käyttäjät voivat käyttää Google Workspace ‑käyttäjätunnuksia ja ‑salasanoja hallittuina Apple‑tileinä. Sen jälkeen he voivat kirjautua sisään näillä kirjautumistiedoilla heille määritettyyn iPhoneen, iPadiin, Maciin, Apple Vision Prohon ja jaettuun iPadiin. Kun he ovat kirjautuneet sisään johonkin näistä laitteista, he voivat kirjautua myös iCloudiin verkossa.
Voit yhdistää Apple Business Managerin ja Microsoft Entra ID:n yhdistetyllä todennuksella, jotta käyttäjät voivat kirjautua sisään Apple-laitteisiinsa Microsoft Entra ID:n käyttäjätunnuksella (yleensä käyttäjän sähköpostiosoite) ja salasanalla.
Tämän ansiosta käyttäjät voivat käyttää Microsoft Entra ID ‑käyttäjätunnuksiaan ja ‑salasanojaan hallittuna Apple‑tilinä. Sen jälkeen he voivat kirjautua sisään näillä kirjautumistiedoilla heille määritettyyn iPhoneen, iPadiin, Maciin, Apple Vision Prohon ja jaettuun iPadiin. Kun he ovat kirjautuneet sisään yhdelle näistä laitteista, he voivat myös kirjautua sisään iCloudiin verkossa Macilla (iCloud Windowsille ei tue hallittuja Apple-tilejä).
Microsoft Entra ID on henkilöllisyyden tarjoaja (IdP), joka todentaa käyttäjän Apple Business Manageriin ja myöntää todennustunnukset. Tämä todennus tukee todennussertifikaattia ja kaksiosaista todennusta (2FA).
Microsoftin oletusroolit, jotka tukevat domaineja, hakemistosynkronointia ja domainin lukua
Jos haluat vaihtaa rooleja sen jälkeen, kun yhdistetty todennus on hyväksytty, sinulla on kaksi vaihtoehtoa muokata tiliä, jonka nykyinen rooli on Microsoft Entra ID:n yleinen ylläpitäjä.
Voit vaihtaa tilin rooliksi jonkin seuraavista:
Global Reader
Application Administrator
Cloud Application Administrator
Muokkaa tiliä siten, että sillä on kaksi seuraavaa roolia: Directory Reader and Reports Reader.
Molemmat niistä tarjoavat seuraavat Apple Business Managerin edellyttämät käyttöoikeudet:
oikeus kaikkien domainien luettelon lukemiseen: microsoft.directory/domains/standard/read
oikeus kaikkien käyttäjien hakemiston lukemiseen: microsoft.directory/users/standard/read
oikeus suojaustapahtumien auditointilokien lukemiseen: microsoft.directory/auditLogs/allProperties/read.
Yhdistetyn todennuksen prosessi
Tässä prosessissa on kolme päävaihetta:
Hyväksy yhdistetty todennus.
Testaa yhdistetty todennus yksittäisellä Microsoft Entra ID ‑käyttäjätilillä.
Yhdistetyn todennuksen ottaminen käyttöön.
Tärkeää: Tarkista seuraavat ennen yhdistetyn todennuksen määrittämistä.
Vaihe 1: hyväksy yhdistetty todennus
Ensimmäinen vaihe on muodostaa luottamussuhde Microsoft Entra ID:n ja Apple Business Managerin välille. Tämä tehtävä täytyy suorittaa käyttäjätilillä, jolla on Microsoft Entra ID:n yleisen ylläpitäjän oikeudet.
Huomaa: Kun suoritat tämän vaiheen, käyttäjät eivät voi enää luoda uusia henkilökohtaisia Apple‑tilejä määrittämässäsi domainissa. Tämä voi vaikuttaa muihin käyttäjiesi käyttämiin Applen palveluihin. Lue lisätietoja aiheesta Kalentereiden ja tapahtumien palauttaminen iCloud.comissa.
Kirjaudu Apple Business Managerissa
sisään tilillä, jonka roolina on ylläpitäjä tai henkilöhallinnoija.Valitse nimesi sivupalkin alaosassa, valitse Asetukset
, valitse Hallitut Apple‑tilit 
ja valitse sitten Käyttäjien kirjautuminen ja hakemistosynkronointi -kohdan alta Aloita.Valitse Microsoft Entra ID ja valitse sitten Jatka.
Valitse Microsoft-tilillä kirjautumisen kohta, anna Microsoft Entra ID:n yleisen ylläpitäjän tiedot ja valitse sitten Seuraava.
Anna tilin salasana ja valitse sitten Kirjadu sisään.
Lue appisopimus huolellisesti, valitse valintaneliö, jolla voit antaa suostumuksen organisaatiosi puolesta, ja valitse sitten Hyväksy.
Suostut siihen, että Microsoft antaa Applen käyttöön Microsoft Entra ID:ssä olevia tietoja.
Tarkista tarvittaessa vahvistetut ja ristiriitaiset domainit.
Valitse Valmis.
Voit tarvittaessa vaihtaa käyttäjän yleisen ylläpitäjän roolin Microsoft Entra ID:ssä tuettuun rooliin, joka tarjoaa tarvittavat käyttöoikeudet. Lisätietoja on kohdassa Microsoftin oletusroolit, jotka tukevat domaineja, hakemistosynkronointia ja domainin lukua.
Joissakin tapauksissa et ehkä voi kirjautua sisään domainillesi. Seuraavassa on joitain yleisiä syitä:
Vaiheen 4 tilin käyttäjätunnus tai salasana on virheellinen.
Vaihe 2: testaa yhdistetty todennus yksittäisellä Microsoft Entra ID ‑käyttäjätilillä
Tärkeää: Yhdistetyn todentamisen testi myös muuttaa hallitun Apple‑tilin oletusmuotoa.
Voit testata yhdistetyn todennuksen yhteyttä, kun olet suorittanut seuraavat toiminnot:
Käyttäjätunnusristiriitojen tarkistus on valmis.
Hallitun Apple‑tilin oletusmuoto päivitetään.
Kun olet yhdistänyt Apple Business Managerin Microsoft Entra ID:hen, voit muuttaa käyttäjätilin roolin toiseksi. Voit esimerkiksi haluta muuttaa käyttäjätilin rooliksi Henkilökunta.
Huomaa: Käyttäjätileillä, joilla on ylläpitäjän tai henkilöhallinnoijan rooli, ei voi kirjautua sisään yhdistetyllä todennuksella. Näillä tileillä voidaan vain hallita yhdistämisprosessia.
Valitse Yhdistä sen domainin vierestä, jonka haluat yhdistää.
Valitse Microsoft Entra ID -portaaliin kirjautumisen kohta, anna domainissa olemassa olevan Microsoft Entra ID -tilin käyttäjätunnus ja valitse sitten Seuraava.
Anna tilin salasana, valitse Kirjaudu sisään, valitse Valmis ja valitse sitten Valmis.
Joissakin tapauksissa et ehkä voi kirjautua sisään domainillesi. Seuraavassa on joitain yleisiä syitä:
Yhdistettävän domainin käyttäjätunnus tai salasana on virheellinen.
Tili ei ole domainissa, jonka haluat yhdistää.
Vaihe 3: ota käyttöön yhdistetty todennus
Kirjaudu Apple Business Managerissa
sisään tilillä, jonka roolina on ylläpitäjä tai henkilöhallinnoija.Valitse nimesi sivupalkin alaosassa, valitse Asetukset
ja valitse sitten Hallitut Apple‑tilit .Valitse Domainit-osiossa Hallitse sen domainin vierestä, jonka haluat yhdistää, ja valitse sitten Ota Microsoft Entra ID - käyttöön.
Ota Microsoft Entra ID -kirjautuminen käyttöön.
Voit nyt tarvittaessa synkronoida käyttäjätilit Apple Business Manageriin. Katso lisätietoja kohdasta Käyttäjätilien synkronointi Microsoft Entra ID:stä.