Utiliser l’authentification fédérée avec Microsoft Entra ID dans Apple Business
Aperçu
Dans Apple Business, vous pouvez établir un lien avec le service global Microsoft Entra ID OpenID Connect (OIDC) (login.microsoftonline.com) au moyen de l’authentification fédérée pour permettre aux utilisateurs et utilisatrices de se connecter aux appareils Apple avec leur nom d’utilisateur (généralement leur adresse courriel) et leur mot de passe Microsoft Entra ID.
Remarque : L’intégration avec les nuages nationaux n’est pas prise en charge actuellement.
Par conséquent, vos utilisateurs peuvent utiliser leurs identifiants Microsoft Entra ID comme des comptes Apple gérés. Ils peuvent ensuite utiliser ces données d’identification pour se connecter à l’iPhone, à l’iPad, au Mac, à l’Apple Vision Pro et à l’iPad partagé qui leur sont attribués. Après s’être connectés à l’un de ces appareils, ils peuvent également se connecter à iCloud sur le web sur un Mac (iCloud pour Windows ne prend pas en charge les comptes Apple gérés).
Microsoft Entra ID est le fournisseur d’identité (IdP) qui authentifie l’utilisateur ou l’utilisatrice pour Apple Business et émet des jetons d’authentification. Cette authentification prend en charge l’authentification par certificat et l’authentification à deux facteurs (2FA).
Remarque : À aucun moment les données ne sont retranscrites dans Microsoft Entra ID.
Quelles données de fédération sont lues à partir de Microsoft Entra ID?
Les informations suivantes sont lues lorsque vous vous connectez à Microsoft Entra ID à l’aide d’OpenID Connect (OIDC) :
Demande de consentement de l’administrateur Microsoft Entra ID | Attributs utilisés par Apple et raison | Requête API ou portée |
|---|---|---|
Attributs : revendications id_token :
Raison : Pour connecter Apple Business avec Microsoft Entra ID en utilisant OIDC. | Demande API : non disponible Portée :
| |
Attributs :
Raison : Pour récupérer les événements de sécurité survenus sur les comptes utilisateur dans Microsoft Entra ID et prendre les mesures de sécurité appropriées pour les comptes respectifs qui sont connectés aux appareils Apple. Lorsqu’un mot de passe est modifié ou invalidé par Microsoft Entra ID, la session du compte Apple géré est interrompue et l’utilisateur ou l’utilisatrice est invité·e à se réauthentifier. | Requête de l’API :
Portée : AuditLog.Read.All | |
Attributs :
Raison : Pour synchroniser les domaines vérifiés de Microsoft Entra ID avec Apple Business. | Demande API : non disponible Portée : Domain.Read.All | |
Attributs :
Raison : Pour synchroniser les données du répertoire de Microsoft Entra ID avec Apple Business. Remarque : Cette portée est également utilisée pour les attributs de synchronisation de répertoire. Voir Comment les données de fédération de Microsoft Entra ID sont-elles utilisées pour la synchronisation de répertoire? | Demande API : non disponible Portée : Directory.Read.All | |
Attributs : non disponible Raison : Pour demander un jeton d’actualisation pendant le flux du code d’autorisation. Le jeton d’actualisation est ensuite utilisé pour demander un jeton d’accès. Le jeton d’accès est utilisé pour lire :
| Demande API : non disponible Portée : offline_access |
Quels rôles par défaut de Microsoft prennent en charge les domaines, la synchronisation des répertoires et la lecture des domaines?
Utilisez un compte Microsoft ayant le rôle d’administrateur global Microsoft Entra ID pour effectuer la tâche Approuver l’authentification fédérée. Une fois la connexion établie, deux options s’offrent à vous pour modifier ce compte Microsoft si vous souhaitez changer de rôle :
Attribuez l’un des rôles suivants au compte Microsoft :
Lecteur global
Administrateur d’applications
Administrateur d’applications infonuagiques
Attribuez les deux rôles suivants au compte Microsoft : Lecteur de répertoire et Lecteur de rapports.
Les deux options permettent l’accès suivant, qui est requis par Apple Business :
Lire la liste de tous les domaines : microsoft.directory/domains/standard/read
Lire le répertoire de tous les utilisateurs : microsoft.directory/users/standard/read
Lire les journaux d’audit des événements de sécurité : microsoft.directory/auditLogs/allProperties/read
Processus d’authentification fédérée
Ce processus comporte trois étapes principales :
Approuver l’authentification fédérée.
Tester l’authentification fédérée avec un seul compte utilisateur de Microsoft Entra ID.
Activer l’authentification fédérée.
Important : Avant de configurer l’authentification fédérée, lisez ce qui suit.
Étape 1 : Approuver l’authentification fédérée
La première étape consiste à établir une relation de confiance entre Microsoft Entra ID et Apple Business. Un compte Microsoft ayant le rôle d’administrateur global dans Microsoft Entra ID doit effectuer cette tâche.
Remarque : Une fois cette étape terminée, les utilisateurs ne peuvent plus créer de nouveaux comptes Apple (personnels) non gérés sur le domaine que vous configurez. Cela pourrait affecter d’autres services Apple auxquels vos utilisateurs ont accès. Consultez la rubrique Transférer des services Apple.
Dans Apple Business, connectez-vous avec un utilisateur dont le rôle dispose des autorisations nécessaires pour configurer la fédération et se connecter à un fournisseur d’identité (IdP).
Pour consulter les rôles et les autorisations, consultez la section Introduction aux rôles et aux autorisations.
Dans votre navigateur, choisissez Réglages > Domaines.
Sélectionnez « Démarrer » à côté de « Connexion utilisateur et synchronisation de répertoire ».
Sélectionnez Microsoft Entra ID, puis cliquez sur Continuer.
Sélectionnez « Se connecter avec Microsoft », saisissez votre nom d’utilisateur d’administrateur global Microsoft Entra ID, puis sélectionnez Suivant.
Entrez le mot de passe du compte, puis sélectionnez Connexion.
Lisez attentivement l’accord d’application, sélectionnez « Consentement au nom de votre organisation », puis cliquez sur Accepter.
Vous autorisez ainsi Microsoft à transmettre à Apple les informations stockées dans Microsoft Entra ID.
Si nécessaire, passez en revue les domaines vérifiés et conflictuels.
Sélectionnez Terminé.
Au besoin, vous pouvez remplacer le rôle d’administrateur global du compte Microsoft dans Microsoft Entra ID par un rôle pris en charge disposant des privilèges requis. Voir Quels rôles par défaut de Microsoft prennent en charge les domaines, la synchronisation des répertoires et la lecture des domaines?
Dans certains cas, vous ne pourrez peut-être pas vous connecter à votre domaine. Voici certaines des raisons courantes :
Le nom d’utilisateur ou le mot de passe de l’administrateur Microsoft Entra ID sont incorrects.
Étape 2 : Tester l’authentification fédérée avec un seul compte utilisateur de Microsoft Entra ID
Important : Le test de l’authentification fédérée modifie aussi le format par défaut de votre compte Apple géré.
Vous pouvez tester la connexion à l’authentification fédérée une fois que vous avez réalisé les tâches suivantes :
La vérification des conflits de noms d’utilisateur est terminée.
Le format par défaut du compte Apple géré est mis à jour.
Une fois que vous avez correctement associé Apple Business à Microsoft Entra ID, vous pouvez modifier le rôle d'un compte utilisateur. Par exemple, vous pourriez vouloir modifier le rôle d'un compte utilisateur pour lui attribuer le rôle de membre du Personnel.
Remarque : Les utilisateurs et utilisatrices dont le rôle leur confère les autorisations nécessaires pour configurer la fédération et se connecter à Microsoft Entra ID ne peuvent pas se connecter à l’aide de l’authentification fédérée; ils et elles peuvent seulement gérer le processus de fédération.
Sélectionnez Fédérer à côté du domaine que vous voulez fédérer.
Sélectionnez « Se connecter au portail Microsoft Entra ID », entrez un nom d’utilisateur de Microsoft Entra ID d’un compte qui existe dans le domaine, puis sélectionnez Suivant.
Entrez le mot de passe du compte, sélectionnez Connexion, puis Terminé, et encore Terminé.
Déconnectez-vous d’Apple Business.
Remarque : Les utilisateurs peuvent uniquement se connecter à iCloud.com sur un Mac s’ils se sont préalablement connectés avec leur compte Apple géré sur un autre appareil Apple.
Dans certains cas, vous ne pourrez peut-être pas vous connecter à votre domaine. Voici certaines des raisons courantes :
Le nom d’utilisateur ou le mot de passe du domaine que vous voulez fédérer est erroné.
Le compte ne fait pas partie du domaine que vous voulez fédérer.
Étape 3 : Activer l’authentification fédérée
Dans Apple Business, connectez-vous avec un utilisateur dont le rôle dispose des autorisations nécessaires pour configurer la fédération et se connecter à un fournisseur d’identité (IdP).
Pour consulter les rôles et les autorisations, consultez la section Introduction aux rôles et aux autorisations.
Dans votre navigateur, choisissez Réglages > Domaines.
Dans la section Domaines, sélectionnez Gérer à côté du domaine que vous souhaitez fédérer, puis sélectionnez « Activer la connexion avec Microsoft Entra ID ».
Activez « Se connecter avec Microsoft Entra ID ».
Si nécessaire, vous pouvez maintenant synchroniser les comptes utilisateur avec Apple Business. Voir Synchroniser les comptes utilisateur de Microsoft Entra ID.