Összevont hitelesítés az Apple Business Managerben
Az Összevont hitelesítés segítségével összekapcsolhatja az Apple Business Managert a következőkkel:
Google Workspace
Microsoft Entra ID
Identitásszolgáltató (IdP)
Megjegyzés: Kapcsolódhat a Google Workspace-hez, a Microsoft Entra ID-hoz vagy az IdP-hez, de egyszerre csak az egyikhez.
Ennek következtében a felhasználók bejelentkezhetnek a hozzájuk rendelt iPhone, iPad, Mac, Apple Vision Pro és Megosztott iPad készülékre a meglévő felhasználónevükkel (ami általában az e-mail-címük) és jelszavukkal. Miután bejelentkeztek az egyik ilyen készülékre, bejelentkezhetnek az iCloudba is a weben egy Mac gépen (Az iCloud Windows-verziója nem támogatja a felügyelt Apple-fiókokat).
Fontos: Amikor a kapcsolat lejár, leáll a felhasználói fiókok összevonása és szinkronizálása. Újra kapcsolódnia kell az összevont hitelesítés és a szinkronizálás folytatásához.
Az összevont hitelesítést bizonyos helyzetekben használhatja:
Csak összevont hitelesítés
Ha az Apple Business Manager és a Google Workspace, Microsoft Entra ID vagy IdP össze van kapcsolva, akkor automatikusan létrejönnek a felügyelt-fiókok a felhasználók számára. Ezután bejelentkezhetnek meglévő felhasználónevükkel (ami általában az e-mail-címük) és jelszavukkal.
Lásd a következőt:
Összevont hitelesít könyvtár-szinkronizálással
A Google Workspace, a Microsoft Entra ID vagy az IdP szolgáltatásból is szinkronizálhat felhasználói fiókokat az Apple Business Managerbe. Ha beállít egy könyvtár-szinkronizálási kapcsolatot, hozzáadhat Apple Business Manager-tulajdonságokat (például szerepkörök) a Google Workspace-ből importált felhasználói fiókadatokhoz. A szolgáltatások fiókadatai írásvédettek lesznek addig, amíg ki nem kapcsolja a szinkronizálást. Ekkor a fiókok manuális fiókokká válnak, és a fiókokban lévő attribútumok szerkeszthetővé válnak. Ha eltávolítanak egy felhasználói fiókot az egyik ilyen szolgáltatásból, akkor az adott felhasználói fiók eltávolítható az Apple Business Managerből is. Lásd a következőt:
Összevont hitelesítés Megosztott iPaddel
Ha megosztott iPaddel használja az összevont hitelesítést, a bejelentkezési folyamat eltérő lehet attól függően, hogy a felhasználói fiók már létezik-e az Apple Business Managerben. Teintse meg a bejelentkezési forgatókönyveket a Bejelentkezés a megosztott iPadbe című részben.
Ha egy felhasználó elfelejti a jelkódját, Önnek vissza kell állítania a megosztott iPadje jelkódját.
Kezdés előtt
Mielőtt összevont hitelesítést használna a Google Workspace-hez, a Microsoft Entra ID-hez vagy az IdP-hez, fontolja meg a következőket:
Követelmények
Az Apple-készülékek operációs rendszerének az alábbi minimális követelményeknek kell megfelelniük:
iOS 15.5
iPadOS 15.5
macOS 12.4
visionOS 1.1
Zárolnia kell és be kell kapcsolnia a tartományrögzítési folyamatot. Lásd: Tartomány zárolása.
Nincsenek ütközések a felügyelt Apple-fiókokkal. Lásd: Ütközések a felügyelt Apple-fiókok között.
A Rendszergazda vagy Személykezelő szerepkörrel rendelkező felhasználói fiókok nem jelentkezhetnek be összevont hitelesítés használatával; csak kezelni tudják az összevonási folyamatot.
Összevont hitelesítés használatakor az Alapértelmezett felügyelt Apple-fiók formátum beállítás nem érvényesül.
IdP-re vonatkozó követelmények
A Google Workspace-hez való kapcsolódáskor:
Összevont hitelesítés esetén a felhasználó e-mail-címét kell használni felhasználónévként. Az aliasok nem támogatottak.
Microsoft Entra ID-hez való kapcsolódáskor:
Entra ID Globális rendszergazda szerepkörű felhasználónak kell lennie a lenti Összevont hitelesítés jóváhagyása feladat végrehajtásához. A sikeres kapcsolódás után módosíthatja a felhasználói szerepkörét Globális rendszergazdáról egy olyan szerepkörre, amely rendelkezik a kapcsolat fenntartásához szükséges jogosultságokkal. További információkért olvassa el a következőt: Microsoftos alapértelmezett szerepkörök, amelyek támogatják a tartományokat, a könyvtár-szinkronizálást és a tartománybeolvasást.
A Microsoft Entra ID-vel való összevont hitelesítéshez a felhasználó userPrincipalName (UPN) adatának egyeznie kell az e-mail-címével. Nem használhatók userPrincipalName aliasok és alternatív azonosítók.
IdP-hez való kapcsolódáskor a következő adatokkal kell rendelkeznie:
Igazolt tartományt kell használnia. Lásd: Tartomány hozzáadása és igazolása.
Bejelentkezési módszer: Használja az Open ID Connect (OIDC) lehetőséget.
Hatókör-hozzáférés: Hozzáférést kell adni a következőhöz:
ssf.manageésssf.read.Shared Signals Framework (SSF) konfigurációs URL: Nézze meg az IdP dokumentációjában.
OpenID konfigurációs URL: Nézze meg az IdP dokumentációjában.
Automatikus módosítások
Az összevont tartományban e-mail-címmel rendelkező meglévő Apple Business Manager-felhasználók felügyelt Apple-fiókja automatikusan úgy módosul, hogy megegyezzen az adott e-mail-címmel.