Conditions requises pour la synchronisation avec Azure AD dans Apple Business Manager
Vous pouvez importer des utilisateurs dans Apple Business Manager à l’aide du système de gestion des identités interdomaines (SCIM). Il vous permet de fusionner des propriétés d’Apple Business Manager (telles que des rôles) avec des données de compte utilisateur importées depuis Microsoft Azure Active Directory (Azure AD). Lorsque vous importez des utilisateurs à l’aide de SCIM, les informations de leurs comptes sont ajoutées en lecture seule jusqu’à ce que vous vous déconnectiez de SCIM. Les comptes deviennent alors des comptes manuels et leurs attributs peuvent être modifiés. La synchronisation initiale prend plus de temps que les cycles ultérieurs, qui ont lieu approximativement toutes les 40 minutes tant que le service d’approvisionnement d’Azure AD fonctionne. Voir Conseils d’approvisionnement sur le site web de documentation de Microsoft Azure.
Privilèges Azure AD
Dans Azure AD, les rôles suivants peuvent synchroniser des comptes avec Apple Business Manager à l’aide de SCIM :
Administrateur d’application
Administrateur d’application Cloud
Propriétaire d’application
Administrateur général
Voir Rôles intégrés Azure AD sur le site web de Microsoft Azure AD.
Locataires Azure AD
Pour utiliser SCIM avec Apple Business Manager, votre organisation ne doit pas disposer du même locataire Azure AD qu’une autre organisation Apple Business Manager. Si vous souhaitez utiliser SCIM pour votre organisation, contactez votre administrateur Azure AD pour vous assurer qu’aucune autre organisation n’utilise votre locataire Azure AD pour SCIM.
Groupes Azure AD
Dans Azure AD, les méthodes de synchronisation comprennent toutes deux le mot Groupes, mais seuls les comptes utilisateur peuvent être synchronisés. Vous pouvez ajouter des groupes Azure AD à l’app Apple Business Manager d’Azure AD. Par exemple, si vous possédez des groupes intitulés Ingénierie, Marketing et Ventes dans Azure AD, vous pouvez ajouter les trois à l’app Apple Business Manager d’Azure AD. Lorsque vous vous connectez avec SCIM, seuls les comptes de ces groupes sont synchronisés avec Apple Business Manager.
Remarque : Les sous-groupes ne sont pas pris en charge dans l’app Apple Business Manager d’Azure AD.
Portée de l’approvisionnement
Vous pouvez synchroniser des comptes Azure AD avec Apple Business Manager de deux façons.
Synchroniser uniquement les utilisateurs et les groupes attribués : cette option synchronise uniquement les comptes qui apparaissent dans l’app Apple Business Manager d’Azure AD avec Apple Business Manager. Lorsque vous utilisez cette méthode de synchronisation, les comptes Azure AD doivent disposer du rôle Utilisateur pour être synchronisés dans Apple Business Manager.
Synchroniser tous les utilisateurs et tous les groupes : cette option synchronise tous les comptes (la synchronisation de groupes n’est pas prise en charge) figurant dans l’onglet Utilisateurs d’Azure AD avec Apple Business Manager et crée des identifiants Apple gérés pour l’ensemble des comptes Azure AD, même si vous n’avez l’intention de n’en utiliser qu’un nombre précis.
Consultez les articles de l’assistance Microsoft Qu’est ce que le provisionnement automatique des utilisateurs dans les applications SaaS dans Azure AD ? et Approvisionnement d’applications basé sur les attributs avec filtres d’étendue.
Notifications d’approvisionnement
Lorsque vous configurez l’approvisionnement, vous devez utiliser l’adresse e-mail d’un compte utilisateur disposant du rôle d’administrateur ou de Gestionnaire de personnes afin qu’il puisse recevoir des notifications de la part d’Azure AD.
SCIM et authentification fédérée
Si la fédération est déjà activée quand les comptes Azure AD sont envoyés à Apple Business Manager, vous ne verrez pas d’activité, mais les comptes se synchroniseront quand même depuis le domaine fédéré.
Azure AD est le fournisseur d’identité qui authentifie l’utilisateur pour Apple Business Manager et délivre les jetons d’authentification. Étant donné qu’Apple Business Manager prend en charge Azure AD, d’autres fournisseurs d’identité qui se connectent à Azure AD, tels que les services de fédération Active Directory (ADFS), fonctionnent également. L’authentification fédérée utilise le standard SAML (Security Assertion Markup Language) pour connecter Apple Business Manager à Azure AD.
Comptes utilisateur Azure AD et Apple Business Manager
Lorsqu’un compte utilisateur est copié d’Azure AD vers Apple Business Manager à l’aide de SCIM, le rôle Personnel administratif est attribué par défaut. Une fois la synchronisation terminée, seul l’attribut utilisateur Rôles peut être modifié. Cet attribut est conservé avec le compte utilisateur dans Apple Business Manager et n’est pas enregistré dans Azure AD.
Mappage des attributs utilisateur SCIM
Lorsqu’un compte est copié depuis Azure AD vers Apple Business Manager à l’aide de SCIM, les attributs utilisateur suivants sont enregistrés en lecture seule. Le tableau indique également si l’attribut utilisateur est requis ou non.
Important : L’ajout d’attributs ne figurant pas dans le tableau rompt la connexion SCIM.
Attribut utilisateur Azure AD | Attribut utilisateur dans Apple Business Manager | Requis |
|---|---|---|
Prénom | Prénom |
|
Nom | Nom |
|
Nom d’utilisateur principal | Identifiant Apple géré et adresse e-mail |
|
Identifiant d’objet | (N’apparaît pas dans Apple Business Manager. Cet attribut permet d’identifier les comptes en conflit.) |
|
Département | Département |
|
Identifiant d’employé | Numéro de personne |
|
Attribut personnalisé (il doit être créé dans l’app Apple Business Manager d’Azure AD) | Centre de coût |
|
Attribut personnalisé (il doit être créé dans l’app Apple Business Manager d’Azure AD) | Division |
|
Nom d’utilisateur principal
Si un utilisateur possède un nom d’utilisateur principal identique à celui d’un utilisateur doté du rôle d’administrateur, aucune synchronisation ne sera effectuée et le champ source ne sera pas modifié.
Identifiant de la personne
Lorsqu’un compte utilisateur Azure AD est synchronisé avec Apple Business Manager, un identifiant de personne est créé pour le compte utilisateur Apple Business Manager. L’identifiant de personne et l’identifiant d’objet permettent d’identifier les comptes en conflit.
Si vous modifiez l’identifiant de personne d’un compte précédemment importé de SCIM, ce dernier ne sera plus associé à Azure AD. Si vous avez modifié l’identifiant de personne d’un compte précédemment importé de SCIM et que vous souhaitez reconnecter ce dernier à SCIM, consultez la rubrique Résoudre les conflits de comptes utilisateur SCIM.
Recommandations
Vous devez uniquement utiliser l’app Apple Business Manager Azure AD lors de la connexion à SCIM.
Si vous possédez un domaine validé, mais que vous n’avez pas activé l’authentification fédérée, attendez d’avoir vérifié que les comptes utilisateur Azure AD ont été envoyés à Apple Business Manager pour activer la fédération. Pour ce faire, consultez les journaux d’approvisionnement d’Azure AD. Après avoir vérifié que les comptes utilisateur Azure AD ont été envoyés, au moment d’activer la fédération, vous serez informé d’une activité lorsque les comptes utilisateur Azure AD auront été approvisionnés. Si la fédération est déjà activée lorsque les comptes utilisateur Azure AD sont envoyés, vous ne voyez aucune activité, mais les comptes utilisateur se synchronisent quand même.
Si vous possédez un groupe configuré dans Azure AD, vous pouvez l’ajouter à l’app Apple Business Manager d’Azure AD plutôt que d’ajouter chaque utilisateur.
Important : Ne gardez pas le même nom d’utilisateur pendant plus de 30 jours dans l’app Apple Business Manager d’Azure AD.
Avant de commencer
Avant de commencer, vous devez effectuer les actions suivantes :
Configurez et validez le domaine que vous souhaitez utiliser. Consultez la rubrique Connexion à de nouveaux domaines.
Configurez (mais n’activez pas) l’authentification fédérée. Consultez Activer et tester l’authentification fédérée.
Remarque : Si l’authentification fédérée est déjà activée, cela ne pose pas de problème. Consultez les recommandations de la section précédente.
Déterminez le type de synchronisation dans Azure AD et, si nécessaire, créez des groupes permettant de synchroniser uniquement les comptes attribués à l’app Apple Business Manager d’Azure AD :
Synchroniser uniquement les utilisateurs attribués.
Synchroniser tous les utilisateurs.
Demandez à un administrateur Azure AD disposant des autorisations nécessaires de modifier les applications d’entreprise. Lorsque vous êtes tous deux prêts, consultez la rubrique Importer des utilisateurs avec SCIM.