Utiliser l’authentification fédérée avec Microsoft Azure AD dans Apple Business Manager
Dans Apple Business Manager, vous pouvez associer Microsoft Azure AD pour permettre aux utilisateurs de se connecter avec leur nom d’utilisateur et leur mot de passe Azure AD.
Azure AD est le fournisseur d’identités qui authentifie l’utilisateur pour Apple Business Manager et émet des jetons d’authentification. Cette authentification prend en charge l’authentification par certificat et l’authentification à deux facteurs (A2F). Comme Apple Business Manager prend en charge Azure AD, d’autres fournisseurs d’identités qui se connectent à Azure AD, comme les services de fédération Active Directory (AD FS), fonctionnent également avec Apple Business Manager.
Important : L’authentification fédérée exige que le nom d’utilisateur principal d’un utilisateur corresponde à son adresse courriel. Les alias de noms d’utilisateur principaux et les identifiants alternatifs ne sont pas pris en charge.
Authentification fédérée et synchronisation de répertoires avec des locataires Microsoft
Pour ajouter l’app Apple Business Manager Azure AD avec des locataires Microsoft, l’administrateur des locataires doit suivre le processus de configuration de l’authentification fédérée, y compris le test de l’authentification. Une fois l’authentification réussie, les données sur le locataire seront intégrées automatiquement dans l’app Apple Business Manager Azure AD, et l’administrateur pourra fédérer les domaines et configurer Apple School Manager pour l’utilisation du SCIM (système de gestion d’identité multiplateforme) dans la synchronisation des répertoires. Consultez la rubrique Passer en revue les exigences du SCIM.
Avant de commencer
Il y a trois étapes à suivre pour lier Apple Business Manager à Azure AD et pour utiliser l’authentification fédérée :
Ajouter et valider un domaine. Consultez la rubrique Associer de nouveaux domaines.
Il est possible de fédérer plusieurs domaines, mais ils doivent provenir d’un même locataire public. Si vous tentez de fédérer un domaine que vous avez déjà validé, mais qu’une autre organisation a déjà fédéré, vous devrez communiquer avec cette organisation pour déterminer qui a l’autorité de fédérer ce domaine. Consultez la rubrique À propos des conflits de domaine.
Configurer le processus d’authentification fédérée.
Tester l’authentification à l’aide d’un compte de domaine Azure AD.
Configurer le processus d’authentification fédérée
Cette étape permet d’établir le lien de confiance entre Azure AD et Apple Business Manager.
Dans Apple Business Manager , connectez-vous avec un compte ayant un rôle d’administrateur ou de gestionnaire de comptes.
Sélectionnez votre nom au bas de la barre latérale, sélectionnez Préférences , puis sélectionnez Comptes .
Cliquez sur Modifier à côté d’Authentification fédérée, puis sélectionnez Connexion.
Sélectionnez « Se connecter avec Microsoft », entrez un identifiant d’administrateur global, d’administrateur d’apps ou d’administrateur d’apps infonuagiques Microsoft Azure AD, puis sélectionnez Suivant.
Entrez le mot de passe du compte, puis sélectionnez Connexion.
Lisez soigneusement le contrat concernant l’application, puis sélectionnez Accepter.
Vous autorisez ainsi Microsoft à transmettre à Apple les informations stockées dans Azure AD.
Sélectionnez Terminé
Remarque : Une fois cette étape terminée, les utilisateurs ne peuvent plus créer de nouveaux identifiants Apple personnels sur le domaine que vous avez configuré. Cela pourrait avoir une incidence sur d’autres services Apple que vous utilisez. Consultez la rubrique Transférer les services Apple lors de la fédération.
Dans certains cas, vous ne pourrez peut-être pas ajouter votre domaine. Voici certaines des raisons courantes :
Le compte d’administrateur global, d’administrateur d’applications ou d’administrateur d’applications infonuagiques Azure AD utilisé ne dispose pas des droits nécessaires pour ajouter des domaines dans Microsoft Azure AD.
Le nom d’utilisateur ou le mot de passe du compte à l’étape 4 est incorrect.
Tester l’authentification à l’aide d’un compte Azure AD
Cette étape permet d’établir le lien de confiance entre Apple Business Manager et Azure AD. Après avoir validé votre droit de propriété sur le domaine et avoir testé avec succès le processus d’authentification à l’aide d’un compte Azure AD, vous pouvez ensuite créer des comptes supplémentaires et poursuivre la fédération de votre domaine.
Sélectionnez Fédérer à côté du domaine que vous voulez fédérer.
Sélectionnez « Se connecter au portail Microsoft Azure », puis entrez votre nom d’utilisateur et votre mot de passe.
Entrez l’identifiant d’un compte d’administrateur global, d’administrateur d’applications ou d’administrateur d’applications infonuagiques Microsoft Azure AD inclus dans le domaine, puis sélectionnez Suivant.
Entrez le mot de passe du compte, sélectionnez Connexion, puis Terminé, et encore Terminé.
Dans certains cas, vous ne pourrez peut-être pas vous connecter à votre domaine. Voici certaines des raisons courantes :
Le nom d’utilisateur ou le mot de passe du domaine que vous voulez fédérer est erroné.
Le compte ne fait pas partie du domaine que vous voulez fédérer.
Une fois la connexion établie, Apple Business Manager vérifie les noms d’utilisateur et recherche d’éventuels conflits avec ce domaine. La vérification des conflits de noms d’utilisateur doit être terminée avant que vous puissiez activer l’authentification fédérée pour le domaine.
Remarque : Une fois que vous avez correctement lié Apple Business Manager à Azure AD, vous pouvez changer les rôles des comptes. Par exemple, vous pourriez vouloir attribuer le rôle de membre du personnel à un compte.
Activer l’authentification fédérée
Avant d’activer l’authentification fédérée, assurez-vous d’avoir créé un lien vers un nouveau domaine et de l’avoir vérifié.
Remarque : Si vous prévoyez vous connecter à Azure AD à l’aide du SCIM, vous devriez attendre que la connexion au SCIM ait réussi avant d’activer l’authentification fédérée.
Dans Apple Business Manager , connectez-vous avec un compte ayant un rôle d’administrateur ou de gestionnaire de comptes.
Sélectionnez votre nom au bas de la barre latérale, sélectionnez Préférences , puis sélectionnez Comptes .
Sélectionnez Modifier dans la section Domaines, puis activez l’authentification fédérée pour les domaines correctement ajoutés dans Apple Business Manager.
La mise à jour de tous les comptes peut prendre un certain temps.
Tester l’authentification fédérée
Vous pouvez tester la connexion à l’authentification fédérée une fois que vous avez réalisé les tâches suivantes :
La connexion à votre domaine et la vérification de celui-ci ont été effectuées avec succès.
La vérification des conflits de noms d’utilisateur est terminée.
Le format par défaut des identifiants Apple gérés est mis à jour.
Remarque : La connexion par authentification fédérée n’est pas possible pour les utilisateurs ayant un rôle d’administrateur ou de gestionnaire de comptes; ces utilisateurs peuvent uniquement gérer le processus de fédération.
Dans Apple Business Manager , connectez-vous avec le compte d’un utilisateur n’ayant pas un rôle d’administrateur.
Si le nom d’utilisateur avec lequel vous vous êtes connecté est reconnu, un nouvel écran vous indiquera que vous vous connectez avec un compte de votre domaine.
Sélectionnez Continuer, entrez le mot de passe de l’utilisateur, puis sélectionnez Connexion.
Déconnectez-vous d’Apple Business Manager.
Remarque : Les utilisateurs peuvent uniquement se connecter à iCloud.com s’ils se sont préalablement connectés avec leur identifiant Apple géré sur un autre appareil Apple.