Utilizzare l’autenticazione con account associato con Microsoft Entra ID in Apple School Manager
In Apple School Manager, puoi creare collegamenti al servizio globale Microsoft Entra ID Open ID Connect (OIDC) (login.microsoftonline.com) con l’autenticazione con account associato per consentire agli utenti di accedere ai dispositivi Apple usando il loro nome utente (generalmente l’indirizzo email) e la loro password Microsoft Entra ID.
Nota: L’integrazione con i cloud nazionali non è al momento supportata.
Di conseguenza, gli utenti possono usufruire delle proprie credenziali Microsoft Entra ID come un Apple Account gestito. Potranno usare tali credenziali per accedere all’iPhone, all’iPad o al Mac assegnato, ad Apple Vision Pro e all’iPad condiviso. Dopo l'accesso a uno di questi dispositivi, potranno anche accedere a iCloud sul web su un Mac (iCloud per Windows non supporta gli Apple Account gestiti).
Microsoft Entra ID è l’Identity provider (IdP) che autentica l’utente per Apple School Manager ed emette i token di autenticazione. Questa autenticazione supporta l’autenticazione del certificato e l’autenticazione a due fattori.
Nota: In nessun momento i dati vengono registrati di nuovo in Microsoft Entra ID.
Dati della federazione letti dall'ID Microsoft Entra
Le seguenti informazioni vengono lette quando ti colleghi a Microsoft Entra ID utilizzando OpenID Connect (OIDC):
Richiesta di consenso dell’amministratore di Microsoft Entra ID | Attributi utilizzati da Apple e motivo | Query API o ambito |
|---|---|---|
Attributi: id_token afferma:
Motivo: per collegare Apple School Manager con Microsoft Entra ID utilizzando OIDC. | Query API: NA Ambito:
| |
Attributi:
Motivo: per recuperare gli eventi di sicurezza verificatisi sugli account utente in Microsoft Entra ID e adottare le misure di sicurezza opportune per i rispettivi account con cui è stato effettuato l’accesso ai dispositivi Apple.. In caso di modifica o annullamento della password da parte di Microsoft Entra ID, la sessione dell’Apple Account gestito viene interrotta e viene richiesta una nuova autenticazione. | Query API:
Ambito: AuditLog.Read.All | |
Attributi:
Motivo: per sincronizzare i domini verificati da Microsoft Entra ID ad Apple School Manager. | Query API: NA Ambito: Dominio.Read.All | |
Attributi:
Motivo: per sincronizzare i dati directory da Microsoft Entra ID ad Apple School Manager. Nota: Questo ambito viene utilizzato anche per gli attributi di sincronizzazione delle directory nella tabella seguente. | Query API: NA Ambito: Directory.Read.All | |
Attributi: NA Motivo: per richiedere un token di aggiornamento durante il flusso del codice di autorizzazione. Il token di aggiornamento viene quindi utilizzato per richiederne uno di accesso. Il token di accesso consente di leggere:
| Query API: NA Ambito: offline_access |
Come vengono utilizzati i dati di autenticazione con account associato di Microsoft Entra ID per la sincronizzazione delle directory
Apple School Manager legge le seguenti informazioni quando ti colleghi a Microsoft Entra ID per la sincronizzazione directory:
Attributi dell’utente Microsoft Entra ID | Attributi utente di Apple School Manager | Obbligatorio |
|---|---|---|
givenName | Nome |  |
surname | Cognome | |
userPrincipalName | Apple Account gestito e indirizzo email | |
displayName | Nome utente |  |
dipartimento | Dipartimento | |
costCenter | Centro costi | |
RIMOSSO | Per la rimozione dell'utente | |
Per ulteriori informazioni, consulta l’articolo del supporto Microsoft Get a user.
Ruoli predefiniti di Microsoft che supportano domini, sincronizzazione directory e lettura dei domini.
Per completare l’attività Approvare un’autenticazione con account associato dovrai utilizzare un account Microsoft con ruolo di amministratore globale Entra ID. Dopo aver effettuato la connessione, se vuoi modificare il ruolo, avrai due opzioni per modificare l’account Microsoft:
Assegna all’account Microsoft uno dei seguenti ruoli:
Lettore globale
Amministratore applicazione
Amministratore applicazione Cloud
Assegna all’account Microsoft i due ruoli seguenti: Lettore directory e Lettore report.
Entrambi i ruoli possono eseguire le seguenti attività richieste da Apple School Manager:
Leggere l’elenco di tutti i domini: microsoft.directory/domains/standard/read
Leggere la directory di tutti gli utenti: microsoft.directory/users/standard/read
Leggere i registri di audit relativi agli eventi di sicurezza: microsoft.directory/auditLogs/allProperties/read
Procedura per l’autenticazione con account associato
Questa procedura prevede tre passaggi principali:
Approvare un’autenticazione con account associato.
Testare l’autenticazione con account associato con un singolo account utente Microsoft Entra ID.
Attivare l’autenticazione con account associato.
Importante: Prima di configurare l'autenticazione con account associato, rivedi quanto segue.
Passaggio 1: approvare un’autenticazione con account associato
Il primo passaggio è stabilire un rapporto attendibile tra Microsoft Entra ID e Apple School Manager. Questa attività deve essere svolta da un account Microsoft con ruolo di amministratore globale in Microsoft Entra ID.
Nota: Una volta completato questo passaggio, gli utenti non potranno creare nuovi Apple Account non gestiti (personali) sul dominio configurato. Ciò potrebbe influire su altri servizi Apple a cui gli utenti accedono. Consulta Trasferisci i servizi Apple.
In Apple School Manager
, con un utente che dispone dei privilegi per gestire l’autenticazione con account associato.Seleziona il tuo nome nella parte inferiore della barra degli strumenti, seleziona Preferenze
, seleziona Apple Account gestiti 
, quindi seleziona Inizia in “Accesso utente e sincronizzazione directory”.Seleziona Microsoft Entra ID, poi Continua.
Seleziona “Accedi con Microsoft”, inserisci il nome utente dell'amministratore o amministratrice globale Microsoft Entra ID, quindi seleziona Avanti.
Inserisci la password dell’account, poi seleziona Accedi.
Leggi attentamente il contratto sull’applicazione, seleziona “Consenti per conto dell’organizzazione di appartenenza”, quindi seleziona Accetta.
In questo modo acconsenti che Microsoft conceda a Apple l’accesso alle informazioni presenti in Microsoft Entra ID.
Rivedi i domini verificati e conflittuali, se necessario.
Seleziona Fine.
Se necessario, puoi modificare il ruolo dell’account Microsoft in Microsoft Entra ID da amministratore o amministratrice globale a un ruolo supportato avente i privilegi richiesti. Per ulteriori informazioni, consulta Ruoli predefiniti di Microsoft che supportano domini, sincronizzazione directory e lettura dei domini..
In alcuni casi potresti non riuscire ad aggiungere il tuo dominio. Le ragioni più frequenti sono:
Il nome utente o la password nel passaggio 4 non sono corretti.
Passaggio 2: testa l’autenticazione con un singolo account utente Microsoft Entra ID
Importante: il test dell’autenticazione con account associato modifica anche il formato predefinito dell’Apple Account gestito. I nuovi account creati nel Sistema Informativo Studenti (SIS) o tramite Secure File Transfer Protocol (SFTP) usano il nuovo formato dell'Apple Account gestito.
Puoi testare la connessione dell’autenticazione con account associato dopo che:
La verifica di eventuali conflitti del nome utente è stata completata.
Il formato predefinito dell’Apple Account gestito viene aggiornato.
Dopo aver collegato correttamente Apple School Manager a Microsoft Entra ID, puoi cambiare il ruolo di un account utente a un altro ruolo. Per esempio, puoi assegnare a un account utente il ruolo di docente.
Nota: Gli account con ruolo di amministrazione, responsabile sede o responsabile persone non possono accedere tramite autenticazione con account associato, ma possono unicamente gestire la procedura di associazione.
Seleziona Associa accanto al dominio che vuoi associare.
Seleziona “Accedi al portale Microsoft Entra ID”, inserisci il nome utente Microsoft Entra ID di un account esistente nel dominio, quindi seleziona Avanti.
Inserisci la password dell’account, seleziona Accedi, seleziona Fine, poi Fine.
In alcuni casi potresti non riuscire ad accedere al tuo dominio. Ecco alcuni motivi frequenti:
Il nome utente o la password del dominio che hai scelto di associare non sono corretti.
L’account non si trova nel dominio che hai scelto di associare.
Passaggio 3: attiva l’autenticazione con account associato
In Apple School Manager
, con un utente che dispone dei privilegi per gestire l’autenticazione con account associato.Seleziona il tuo nome nella parte inferiore della barra laterale, seleziona Preferenze
, quindi Apple Account gestiti .Nella sezione Domini, seleziona Gestisci accanto al dominio che vuoi associare, poi seleziona “Attiva Accedi con Microsoft Entra ID”.
Attiva “Accedi con Microsoft Entra ID”.
Se necessario, ora puoi sincronizzare gli account utente a Apple School Manager. Consulta Sincronizzare account utente da Microsoft Entra ID.