Utiliser l’authentification fédérée avec Microsoft Azure AD dans Apple Business Manager
Dans Apple Business Manager, vous pouvez créer un lien avec Microsoft Azure Active Directory (Azure AD) pour permettre aux utilisateurs de se connecter à l’aide de leur nom d’utilisateur et de leur mot de passe Azure AD.
Azure AD est le fournisseur d’identité qui authentifie l’utilisateur pour Apple Business Manager et délivre les jetons d’authentification. Cette authentification prend en charge l’authentification par certificat et l’authentification à deux facteurs (2FA). Compte tenu de la compatibilité d’Azure AD avec Apple Business Manager, les autres fournisseurs d’identité qui se connectent à Azure AD, tels que les services de fédération Active Directory (ADFS), fonctionnent eux aussi avec Apple Business Manager.
Important : L’authentification fédérée nécessite que le nom principal de l’utilisateur corresponde à son adresse e‑mail. Les alias de nom principal d’utilisateur et les identifiants alternatifs ne sont pas acceptés.
Authentification fédérée et synchronisation des répertoires avec les locataires Microsoft
Pour ajouter l’app Apple Business Manager Azure AD avec des locataires Microsoft, l’administrateur de ces locataires doit finaliser la configuration de l’authentification fédérée, y compris l’authentification des tests. Une fois que l’authentification a réussi, l’app Apple Business Manager d’Azure AD est automatiquement renseignée dans le locataire et l’administrateur peut alors fédérer les domaines et configurer Apple Business Manager pour utiliser le système SCIM en vue de synchroniser les répertoires. Consultez la rubrique Examiner les exigences SCIM.
Avant de commencer
Un processus en trois étapes doit être suivi pour associer Apple Business Manager à Azure AD et utiliser l’authentification fédérée :
Ajoutez et vérifiez un domaine. Consultez la rubrique Connexion à de nouveaux domaines.
Plusieurs domaines peuvent être fédérés, mais ils doivent provenir d’un seul et même locataire public. Si vous tentez de fédérer un domaine que vous avez déjà validé, mais qu’une autre organisation a déjà fédéré un domaine identique, vous devez contacter cette organisation afin de déterminer qui a l’autorité pour fédérer ce domaine. Consultez la section À propos des conflits de domaines.
Configurez la procédure d’authentification fédérée.
Testez l’authentification sur un seul compte de domaine Azure AD.
Configurer la procédure d’authentification fédérée
Cette tâche permet à Azure AD de faire confiance à Apple Business Manager.
Dans Apple Business Manager , connectez‑vous avec un compte disposant du rôle Administrateur ou Gestionnaire de personnes.
Sélectionnez votre nom au bas de la barre latérale, sélectionnez Préférences , puis sélectionnez Comptes .
À côté d’Authentification fédérée, sélectionnez Modifier, puis Se connecter.
Sélectionnez « Se connecter avec Microsoft », saisissez un compte Microsoft Azure AD de type Administrateur général, Administrateur d’application ou Administrateur d’application Cloud, puis sélectionnez Suivant.
Saisissez le mot de passe de ce compte, puis sélectionnez Se connecter.
Lisez attentivement l’accord concernant l’application, puis sélectionnez Accepter.
Vous autorisez Microsoft à donner accès à Apple aux informations se trouvant dans Azure AD.
Sélectionnez Terminé.
Remarque : Une fois cette étape effectuée, les utilisateurs ne peuvent pas créer d’identifiant Apple personnel dans le domaine que vous configurez. Cela pourrait avoir une incidence sur les autres services Apple que vous utilisez. Consultez la rubrique Transférer des services Apple pendant la fédération.
Dans certains cas, il se peut que vous ne puissiez pas ajouter votre domaine. Les raisons les plus courantes sont les suivantes :
Le compte Azure AD Administrateur général, Administrateur d’application ou Administrateur d’application Cloud utilisé n’est pas autorisé à ajouter des domaines dans Microsoft Azure AD.
Le nom d’utilisateur ou le mot de passe du compte de l’étape 4 est incorrect.
Tester l’authentification sur un seul compte Azure AD
Cette tâche établit un lien de confiance entre Apple Business Manager et Azure AD. Après avoir vérifié que vous êtes propriétaire de votre domaine et testé l’authentification sur un seul compte Azure AD, vous pouvez créer des comptes supplémentaires et continuer à fédérer votre domaine.
Sélectionnez Fédérer à côté du domaine que vous voulez fédérer.
Sélectionnez « Se connecter au Portail Microsoft Azure », puis saisissez votre nom d’utilisateur et votre mot de passe.
Saisissez un compte Microsoft Azure AD administrateur général, administrateur d’application ou administrateur d’application Cloud qui existe dans le domaine, puis sélectionnez Suivant.
Saisissez le mot de passe du compte, sélectionnez Connexion, puis Terminé à deux reprises.
Dans certains cas, il se peut que vous ne puissiez pas être en mesure de vous connecter à votre domaine. Voici quelques‑unes des explications possibles :
Le nom d’utilisateur ou le mot de passe du domaine que vous avez choisi de fédérer est incorrect.
Le compte ne figure pas dans le domaine que vous avez choisi de fédérer.
Quand votre connexion aboutit, Apple Business Manager recherche les éventuels conflits de noms d’utilisateur avec ce domaine. Cette vérification doit être terminée avant de pouvoir utiliser l’authentification fédérée avec ce domaine.
Remarque : Une fois le lien entre Apple Business Manager et Azure AD établi, vous pouvez modifier le rôle d’un compte. Par exemple, vous pouvez modifier le rôle d’un compte pour lui donner celui de Personnel.
Activer l’authentification fédérée
Avant d’activer l’authentification fédérée, assurez‑vous d’avoir lié et validé un nouveau domaine.
Remarque : Si vous prévoyez de vous connecter à Azure AD via SCIM, vous devez attendre que la connexion SCIM soit établie avant d’activer l’authentification fédérée.
Dans Apple Business Manager , connectez‑vous avec un compte disposant du rôle Administrateur ou Gestionnaire de personnes.
Sélectionnez votre nom au bas de la barre latérale, sélectionnez Préférences , puis sélectionnez Comptes .
Sélectionnez Modifier dans la section Domaines, puis activez l’authentification fédérée pour les domaines correctement ajoutés à Apple Business Manager.
La mise à jour de tous les comptes peut prendre un certain temps.
Tester l’authentification fédérée
Vous pouvez tester la connexion d’authentification fédérée après avoir réalisé les tâches suivantes :
Vous vous êtes connecté à votre domaine et l’avez validé.
La vérification des conflits de noms d’utilisateur est terminée.
Le format d’identifiant Apple géré par défaut est mis à jour.
Remarque : Les utilisateurs disposant du rôle d’administrateur ou de gestionnaire de personnes ne peuvent pas se connecter à l’aide de l’authentification fédérée ; ils peuvent uniquement gérer le processus de fédération.
Dans Apple Business Manager , connectez-vous avec un compte utilisateur ne disposant pas du rôle d’administrateur.
Si le nom d’utilisateur avec lequel vous vous êtes connecté existe, un nouvel écran indique que vous vous connectez avec un compte utilisateur dans votre domaine.
Sélectionnez Continuer, saisissez le mot de passe de cet utilisateur, puis sélectionnez Se connecter.
Déconnectez‑vous d’Apple Business Manager.
Remarque : Les utilisateurs ne peuvent se connecter à iCloud.com que s’ils se connectent d’abord avec un identifiant Apple géré sur un autre appareil Apple.