שימוש באימות מאוחד עם Microsoft Entra ID ב‑Apple Business Manager
כתוצאה מכך, המשתמשים יכולים להשתמש בפרטי ההתחברות שלהם מ‑Google Workspace בתור חשבון Apple מנוהל. כך, משתמשים יכולים להשתמש באותם פרטי התחברות לצורך התחברות למכשיר ה‑iPhone, ה‑iPad, ה‑Mac או ה‑Apple Vision Pro ששויך אליהם, או ל‑iPad משותף. אחרי שהתחברו לאחד ממכשירים אלה, הם יכולים גם להתחבר אל iCloud באינטרנט.
ב‑Apple Business Manager, ניתן ליצור קישור אל Microsoft Entra ID באמצעות אימות מאוחד כדי לאפשר למשמשים להתחבר למכשירי Apple באמצעות שם המשתמש ב‑Microsoft Entra ID (בדרך כלל כתובת הדוא"ל) והסיסמה.
כתוצאה מכך, המשתמשים יכולים להשתמש בפרטי ההתחברות שלהם מ‑Microsoft Entra ID בתור חשבון Apple מנוהל. כך, משתמשים יכולים להשתמש באותם פרטי התחברות לצורך התחברות למכשיר ה‑iPhone, ה‑iPad, ה‑Mac או ה‑Apple Vision Pro ששויך אליהם, או ל‑iPad משותף. לאחר שהם התחברו לאחד מהמכשירים האלה, הם יכולים להתחבר גם ל-iCloud באינטרנט ב-Mac (iCoud ל-Windows לא תומך בחשבונות Apple מנוהלים).
Microsoft Entra ID הוא ספק הזהות (IdP) שמאמת את המשתמש עבור Apple Business Manager ומנפיק אסימוני אימות. אימות זה תומך באימות אישורים וכן באימות בשני גורמים (2FA).
תפקידי ברירת המחדל של Microsoft שתומכים בדומיינים, בסנכרון ספריות ובקריאת דומיינים
לאחר שמשימת Approve federated authentication (אישור אימות מאוחד) הראשונית תסתיים בהצלחה, אם ברצונך לשנות תפקידים, יהיו לך שתי אפשרויות לעריכת החשבון עם התפקיד הנוכחי של Microsoft Entra ID Global Administrator.
יש לשנות את החשבון לאחד מהתפקידים הבאים:
Global Reader
מנהל יישומים
מנהל יישומים בענן
יש לשנות את החשבון כך שיהיו בו שני התפקידים הבאים: Directory Reader ו‑Reports Reader.
שתי האפשרויות מאפשרות את הגישה הבאה, שנדרשת על ידי Apple Business Manager:
ניתן לקרוא את הרשימה של כל הדומיינים: microsoft.directory/domains/standard/read
ניתן לקרוא את הספרייה של כל המשתמשים: microsoft.directory/users/standard/read
ניתן לקרוא את יומני הביקורת של Security Events (אירועי אבטחה): microsoft.directory/auditLogs/allProperties/read
תהליך האימות המאוחד
התהליך כולל שלושה שלבים עיקריים:
אישור האימות המאוחד.
בדיקת האימות המאוחד באמצעות חשבון משתמש יחיד של Microsoft Entra ID.
הפעלת אימות מאוחד.
חשוב: יש לבדוק את האפשרויות הבאות לפני הגדרת התצורה של אימות מאוחד.
שלב 1: אישור האימות המאוחד
השלב הראשון הוא יצירת קשר אמון בין Microsoft Entra ID לבין Apple Business Manager. משימה זו חייבת להתבצע על ידי משתמש בתפקיד של Global Administrator ב‑Microsoft Entra ID.
הערה: לאחר השלמת שלב זה, משתמשים לא יוכלו ליצור חשבונות Apple אישיים חדשים בדומיין שהגדרת. פעולה זו עשויה להשפיע על שירותי Apple אחרים אליהם למשתמשים יש גישה. ניתן לעיין בעמוד העברת שירותים של Apple לחשבון Apple מנוהל.
ב‑Apple Business Manager
, יש להתחבר עם משתמש בתפקיד מנהל מערכת או מנהל כח אדם.יש לבחור בשמך בתחתית סרגל הצד, לבחור ״העדפות״
, לבחור ״חשבונות Apple מנוהלים״ 
ואז לבחור ״להתחלה״ תחת ״התחברות משתמשים וסנכרון ספריה״.יש לבחור Microsoft Entra ID ואז לבחור ״המשך״.
יש לבחור באפשרות ״התחברות עם Microsoft״, להזין שם משתמש של Microsoft Entra ID Global Administrator ולאחר מכן לבחור ב״הבא״.
יש להזין את הסיסמה עבור החשבון ולבחור ב״התחברות״.
יש לקרוא בקפידה את הסכם היישום, לבחור ב״להסכים בשם הארגון״, ולאחר מכן לבחור ב״אישור״.
מתן האישור מהווה הסכמה כי Microsoft תיתן ל‑Apple גישה למידע ב‑Microsoft Entra ID.
במידת הצורך, יש לבדוק את הדומיינים המאומתים והדומיינים המתנגשים.
יש לבחור ב״סיום״.
במקרה הצורך, יהיה ניתן לשנות את תפקיד המשתמשים ב‑Microsoft Entra ID מ‑Global Administrator לתפקיד נתמך עם ההרשאות הנדרשות. למידע נוסף, ניתן לעיין בתפקידי ברירת המחדל של Microsoft שתומכים בדומיינים, בסנכרון ספריות ובקריאת דומיינים.
ייתכן שבחלק מהמקרים לא ניתן יהיה להתחבר לדומיין. להלן כמה מהסיבות הנפוצות לכך:
שם המשתמש או הסיסמה מהחשבון בשלב ד׳ הינו שגוי
שלב 2: בדיקת האימות באמצעות חשבון משתמש יחיד של Microsoft Entra ID
חשוב: במסגרת בדיקת האימות המאוחד, מתבצע גם שינוי בפורמט ברירת המחדל של חשבון ה‑Apple המנוהל.
ניתן לבדוק את חיבור האימות המאוחד לאחר ביצוע המשימות הבאות:
בדיקת ההתנגשויות בין שמות משתמשים הושלמה
פורמט ברירת המחדל עבור חשבון Apple מנוהל עודכן.
לאחר שקישרת בהצלחה את Apple Business Manager ל‑Microsof Entra ID, ניתן לשנות את תפקיד חשבון המשתמש לתפקיד אחר. למשל, באפשרותך לשנות את התפקיד של חשבון המשתמש לתפקיד ״צוות״.
הערה: חשבונות משתמשים עם תפקידי מנהל מערכת או מנהל כוח אדם אינם יכולים להתחבר באמצעות אימות מאוחד, אלא לנהל את תהליך האיחוד בלבד.
יש לבחור ב״איחוד״ ליד הדומיין שברצונך לאחד.
יש לבחור ב״התחברות לפורטל Microsoft Entra ID״, להזין שם משתמש של חשבון Microsoft Entra ID שקיים בדומיין ולאחר מכן לבחור ״הבא״.
יש להזין את הסיסמה של החשבון, לבחור ב״התחברות״, לבחור ב״סיום״ ולאחר מכן לבחור ב״סיום״.
ייתכן שבחלק מהמקרים לא ניתן יהיה להתחבר לדומיין. להלן כמה מהסיבות הנפוצות לכך:
שם המשתמש או הסיסמה עבור הדומיין שבחרת לאחד שגויים
החשבון אינו נמצא בדומיין שבחרת לאחד
שלב 3: הפעלת אימות מאוחד
ב‑Apple Business Manager
, יש להתחבר עם משתמש בתפקיד מנהל מערכת או מנהל כח אדם.יש לבחור בשמך בתחתית סרגל הצד, לבחור ב״העדפות״
, ולאחר מכן לבחור באפשרות ״חשבונות Apple מנוהלים״ .תחת ״דומיינים״, יש לבחור ״ניהול״ לצד הדומיין שברצונך לאחד, ואז לבחור ״הפעלת התחברות בעזרת Microsoft Entra ID״.
יש להפעיל את האפשרות ״התחברות בעזרת Microsoft Entra ID״.
במידת הצורך, אפשר בשלב זה לסנכרן חשבונות משתמשים אל Apple Business Manager. ניתן לעיין בעמוד סנכרון חשבונות משתמשים מ‑Microsoft Entra ID.