מבוא לאימות מאוחד ב‑Apple Business Manager
אימות מאוחד משמש כדי לקשר את Apple Business Manager לשירותים הבאים:
Google Workspace
Microsoft Entra ID
ספק הזהות שלך (IdP)
הערה: ניתן לבצע קישור ל‑Google Workspace, ל‑Microsoft Entra ID או ל‑IdP, אך ניתן לקשר רק לשירות אחד בכל פעם.
כתוצאה מכך, משתמשים יכולים להתחבר ל-iPhone, ל-iPad, ל-Mac, ל-Apple Vision Pro שהוקצו להם, ול-iPad המשותף באמצעות שם המשתמש הקיים שלהם (בדרך כלל כתובת הדוא"ל שלהם) וסיסמה. לאחר שהם התחברו לאחד מהמכשירים האלה, הם יכולים להתחבר גם ל-iCloud באינטרנט ב-Mac (iCoud ל-Windows לא תומך בחשבונות Apple מנוהלים).
חשוב: כאשר פג תוקפו של החיבור, איחוד וסנכרון חשבונות המשתמשים נפסקים. עליך להתחבר מחדש כדי להמשיך להשתמש באימות מאוחד ובסנכרון.
במקרים מסוימים, כדאי לשקול שימוש באימות מאוחד:
אימות מאוחד בלבד
כאשר Apple Business Manager מקושר ל‑Google Workspace, ל‑Microsoft Entra ID או ל‑IdP שלך, נוצרים למשתמשים חשבונות Apple מנוהלים באופן אוטומטי. כך, משתמשים יכולים להתחבר באמצעות שם המשתמש הקיים (בדרך כלל כתובת הדוא״ל) והסיסמה שלהם.
למידע נוסף:
אימות מאוחד עם סנכרון ספריות
ניתן גם לסנכרן חשבונות משתמשים של Google Workspace, Microsoft Entra ID או ה‑IdP שלך עם Apple Business Manager. כשמגדירים חיבור של סנכרון ספריה, אפשר להוסיף מאפיינים של Apple Business Manager (כמו כיתה ותפקידים) אל נתונים של חשבונות משתמשים שיובאו מאחד משירותים אלה. פרטי חשבון המשתמש שיובאו מהשירותים, מתווספים עם הרשאת קריאה בלבד עד לכיבוי הסנכרון. בשלב זה, החשבונות הופכים לחשבונות ידניים, ואז ניתן לערוך את המאפיינים בחשבונות האלה. אם חשבון המשתמש הוסר מאחד מהשירותים, חשבון המשתמש יוסר מ‑Apple Business Manager. למידע נוסף:
אימות מאוחד עם iPad משותף
כשמשתמשים באימות מאוחד עם iPad משותף, תהליך ההתחברות תלוי בשאלה אם חשבון המשתמש כבר קיים ב‑Apple Business Manager. להצגת תרחישי ההתחברות, יש לקרוא את התחברות ל‑iPad משותף.
אם משתמש שכח את קוד הגישה, יש לבצע איפוס קוד גישה ל‑iPad משותף.
לפני שמתחילים
לפני השימוש באימות מאוחד עם Google Workspace, Microsoft Entra ID או ה-IdP שלך, כדאי לשקול את הדברים הבאים:
הדרישות
מכשירי Apple חייב לעמוד בדרישות המינימליות הבאות של מערכת הפעלה:
iOS 15.5
iPadOS 15.5
macOS 12.4
visionOS 1.1
עליך לנעול ולהפעיל את תהליך לכידת הדומיין. ניתן לעיין בעמוד נעילת דומיין.
אין התנגשויות של חשבונות Apple מנוהלים. ניתן לעיין בעמוד התנגשויות של חשבונות Apple מנוהלים.
חשבונות משתמשים עם תפקידי מנהל מערכת או מנהל כוח אדם אינם יכולים להתחבר באמצעות אימות מאוחד, אלא לנהל את תהליך האיחוד בלבד.
בזמן שימוש באימות מאוחד, הגדרת פורמט ברירת המחדל של חשבון Apple מנוהל אינה חלה.
דרישות ספציפיות ל-IdP
בעת קישור ל-Google Workspace:
על האימות המאוחד להשתמש בכתובת הדוא״ל של המשתמש כשם המשתמש. כינויים אינם נתמכים.
בעת קישור ל-Microsoft Entra ID:
עליך להשתמש במשתמש בתפקיד Entra ID Global Administrator כדי להשלים את המשימה Approve federated authentication (אישור אימות מאוחד) בהמשך. לאחר התחברות מוצלחת, יהיה ניתן לשנות את תפקיד המשתמש מ‑Global Administrator לתפקיד אחר עם ההרשאות הנדרשות כדי לתחזק את החיבור. למידע נוסף, ניתן לעיין בתפקידי ברירת המחדל של Microsoft שתומכים בדומיינים, בסנכרון ספריות ובקריאת דומיינים.
לצורך אימות מאוחד עם Microsoft Entra ID, ה‑userPrincipalName (UPN) של המשתמש חייב להיות זהה לכתובת הדוא"ל. כינויי userPrincipalName ומזהים חלופיים אינם נתמכים.
בעת קישור ל-IdP, המידע הבא צריך להיות בידיך:
דומיין מאומת שבו ברצונך להשתמש. ניתן לעיין בעמוד הוספה ואימות דומיין.
שיטת התחברות: יש להשתמש ב‑Open ID Connect (OIDC).
גישת היקף: חובה להעניק גישה אל
ssf.manageואלssf.read.כתובת URL לתצורת Shared Signals Framework (SSF): יש לעיין במסמכים של ה‑IdP.
כתובת URL לתצורת OpenID: יש לעיין במסמכים של ה‑IdP.
שינויים אוטומטיים
עבור חשבונות Apple Business Manager קיימים עם כתובת דוא"ל בדומיין של האימות המאוחד, חשבון ה‑Apple המנוהל משתנה באופן אוטומטי כך שיתאם את כתובת הדוא"ל.