Utiliser l’authentification fédérée avec Microsoft Entra ID dans Apple School Manager
Dans Apple School Manager, vous pouvez créer un lien avec Microsoft Entra ID à l’aide de l’authentification fédérée pour permettre aux utilisateurs de se connecter aux appareils Apple à l’aide de leur nom d’utilisateur (en général leur adresse e-mail) et de leur mot de passe Microsoft Entra ID.
Par conséquent, vos utilisateurs peuvent se servir de leurs identifiants Microsoft Entra ID en tant qu’identifiant Apple géré, et ainsi utiliser ces informations de connexion pour se connecter à l’iPhone, à l’iPad ou au Mac qui leur est attribué, et même à iCloud sur le Web.
Microsoft Entra ID est le fournisseur d’identité qui authentifie l’utilisateur pour Apple School Manager et délivre les jetons d’authentification. Cette authentification prend en charge l’authentification par certificat et lvauthentification à deux facteurs (2FA).
Avant de commencer
Avant de créer un lien avec Microsoft Entra ID, tenez compte des informations suivantes :
L’authentification fédérée nécessite que le nom d’utilisateur principal de l’utilisateur corresponde à son adresse e‑mail. Les alias de nom d’utilisateur principal et les identifiants alternatifs ne sont pas pris en charge.
L’identifiant Apple géré des utilisateurs existants disposant d’une adresse e-mail dans le domaine fédéré est automatiquement modifié pour correspondre à cette adresse e-mail.
Si nécessaire, configurez et validez le domaine que vous souhaitez utiliser. Consultez la rubrique Connexion à de nouveaux domaines. Si vous avez déjà validé le domaine que vous souhaitez fédérer avec Microsoft Entra ID, vous pouvez ignorer ce processus.
Déconnectez-vous de votre Système d’information pour la gestion de l’éducation (SIGE) ou arrêtez les chargements à l’aide du protocole SFTP.
Les comptes utilisateur disposant du rôle d’administrateur, de gestionnaire de site ou de gestionnaire de personnes ne peuvent pas se connecter à l’aide de l’authentification fédérée ; ils peuvent uniquement gérer le processus de fédération.
Lorsque la connexion à Microsoft Entra ID expire, la fédération et la synchronisation de comptes utilisateur avec Microsoft Entra ID s’arrêtent. Vous devez vous reconnecter à Microsoft Entra ID pour continuer à utiliser la fédération et la synchronisation.
Processus d’authentification fédérée
Ce processus se déroule en trois étapes principales :
Configurer l’authentification fédérée
Tester l’authentification fédérée avec un seul compte utilisateur Microsoft Entra ID
Activer l’authentification fédérée.
Étape 1 : Configurer l’authentification fédérée
Cette tâche établit un lien de confiance entre Microsoft Entra ID et Apple School Manager.
Remarque : Une fois cette étape effectuée, les utilisateurs ne peuvent pas créer d’identifiant Apple personnel dans le domaine que vous configurez. Cela pourrait avoir une incidence sur les autres services Apple que vous utilisez. Consultez la rubrique Transférer des services Apple pendant la fédération.
Dans Apple School Manager , connectez‑vous avec un compte disposant du rôle Administrateur, Gestionnaire de site ou Gestionnaire de personnes.
Sélectionnez votre nom au bas de la barre latérale, sélectionnez Préférences , sélectionnez Identifiants Apple gérés, puis sélectionnez Démarrer sous « Connexion de l’utilisateur et synchronisation du répertoire ».
Sélectionnez Microsoft Entra ID, puis Continuer.
Sélectionnez « Se connecter avec Microsoft », saisissez un nom d’utilisateur Microsoft Entra ID de type Administrateur général, puis sélectionnez Suivant.
Saisissez le mot de passe de ce compte, puis sélectionnez Se connecter.
Lisez attentivement le contrat de l’application, sélectionnez « Accepter au nom de votre organisation », puis Accepter.
Vous autorisez Microsoft à permettre à Apple d’accéder aux informations se trouvant dans Microsoft Entra ID.
Si nécessaire, examinez les domaines validés et en conflit.
Sélectionnez Terminé.
Dans certains cas, il se peut que vous ne puissiez pas ajouter votre domaine. Les raisons les plus courantes sont les suivantes :
Le nom d’utilisateur ou le mot de passe du compte de l’étape 4 est incorrect.
Étape 2 : Tester l’authentification avec un seul compte utilisateur Microsoft Entra ID
Important : Le test sur l’authentification fédérée modifie également le format de votre identifiant Apple géré par défaut. Les nouveaux comptes créés dans votre système SIGE ou téléchargés au moyen du protocole SFTP utilisent le nouveau format d’identifiant Apple géré.
Vous pouvez tester la connexion d’authentification fédérée après avoir réalisé les tâches suivantes :
La vérification des conflits de noms d’utilisateur est terminée.
Le format d’identifiant Apple géré par défaut est mis à jour.
Une fois le lien entre Apple School Manager et Microsoft Entra ID établi, vous pouvez modifier le rôle d’un compte utilisateur. Par exemple, vous souhaitez modifier un compte utilisateur et lui donner le rôle d’enseignant.
Remarque : Les comptes utilisateur disposant du rôle d’administrateur, de gestionnaire de site ou de gestionnaire de personnes ne peuvent pas se connecter à l’aide de l’authentification fédérée ; ils peuvent uniquement gérer le processus de fédération.
Sélectionnez Fédérer à côté du domaine que vous voulez fédérer.
Sélectionnez « Se connecter au portail Microsoft Entra ID », saisissez le nom d’utilisateur Microsoft Entra ID d’un compte qui existe dans le domaine, puis sélectionnez Suivant.
Saisissez le mot de passe du compte, sélectionnez Connexion, puis Terminé à deux reprises.
Dans certains cas, il se peut que vous ne puissiez pas être en mesure de vous connecter à votre domaine. Voici quelques‑unes des explications possibles :
Le nom d’utilisateur ou le mot de passe du domaine que vous avez choisi de fédérer est incorrect.
Le compte ne figure pas dans le domaine que vous avez choisi de fédérer.
Étape 3 : Activer l’authentification fédérée
Dans Apple School Manager , connectez‑vous avec un compte disposant du rôle Administrateur, Gestionnaire de site ou Gestionnaire de personnes.
Sélectionnez votre nom au bas de la barre latérale, sélectionnez Préférences , puis sélectionnez Identifiants Apple gérés .
Dans la section Domaines, sélectionnez Gérer à côté du domaine que vous souhaitez fédérer, puis sélectionnez « Activer la connexion avec Microsoft Entra ID ».
Activez « Se connecter avec Microsoft Entra ID ».
Si nécessaire, vous pouvez désormais synchroniser des comptes utilisateur avec Apple School Manager. Consultez la rubrique Synchroniser des comptes utilisateur à partir de Microsoft Entra ID.