Apple Business Managerでのディレクトリの同期について
ディレクトリ同期は、Apple Business ManagerのデータをIDプロバイダ(IdP)と最新の状態に保つのに役立ちます。ディレクトリ同期を使用すると、Apple Business ManagerはIdPから自動的に通知を受け、次の場合に情報を更新できます。
新しいユーザアカウントが作成された
ユーザアカウント情報が変更された
ユーザアカウントが削除された
Apple Business ManagerでOpenID Connect(OIDC)を使用すると、以下の場所のユーザアカウントを同期できます(ただし、一度に1つのみ)。
Google Workspace
Microsoft Entra ID
IdP
IdPによっては、クロスドメインID管理システム(SCIM)経由でも同期できます。
開始する前に
Google Workspace、Microsoft Entra ID、またはIdPと同期する前に、以下の事項を考慮してください。
ユーザグループの同期はサポートされていません。
初回の同期には、それ以降のサイクルでの同期よりも長い時間がかかります。IdPのマニュアルを参照して、ユーザ同期が実行される頻度を確認してください。
必要条件
必要に応じて、ドメインを手動で確認します。「ドメインを追加し、確認する」を参照してください。
Federated Authenticationをオンにする必要があります。「Federated Authenticationについて」を参照してください。
Google Workspace、Microsoft Entra ID、または別のIdPの設定を編集する権限のある管理者に連絡します。
Apple Business Managerで管理対象Apple Accountに使用する属性は、一意である必要があります。通常は、ユーザのメールアドレスを使用します。ユーザが、Apple Business Managerで管理者の役割を持つ既存のユーザとまったく同じ属性を持っている場合は、同期が実行されず、ソースのフィールドは変更されません。
初期接続を設定する際は、管理者またはユーザマネージャの役割を持つユーザのメールアドレスを使って、それらのユーザが同期対象のGoogle Workspace、Microsoft Entra ID、または別のIdPからの通知を受け取れるようにする必要があります。
IdP固有の要件
Microsoft Entra IDにリンクする場合:
Apple Business ManagerでOIDCを使用するには、組織に他のApple Business Manager組織と同じMicrosoft Entra IDテナントを含めることはできません。組織でOIDCを使用したい場合は、Microsoft Entra IDのグローバル管理者に連絡し、他の組織がOIDCで同じEntra IDテナントを使用していないことを確認してください。
ユーザアカウントが、管理者またはユーザマネージャの役割を持つ既存のユーザアカウントとまったく同じユーザプリンシパル名(UPN)を持っている場合は、同期が実行されず、ソースのフィールドは変更されません。
Google WorkspaceまたはMicrosoft Entra ID以外のIdPにリンクする場合は、以下の情報を用意してください。
ユーザの一意の識別子フィールド:通常、この属性の値はユーザのメールアドレスです。これを使用してユーザの管理対象Apple Accountが作成されます。たとえば「userName」などです。
認証方法:SAML 2.0。
認証モード:OAuth 2。
シングルサインオンURL:IdPのマニュアルを参照してください。
認可コールバックURL:IdPのマニュアルを参照してください。
自動的な変更
アカウント作成
ディレクトリ同期が設定されると、ユーザアカウントはApple Business Managerに同期され、職員の役割が割り当てられます。同期されたアカウント情報は読み取り専用として追加されますが、ユーザアカウントの役割属性は編集できます。これらの属性はApple Business Managerのユーザアカウントに保存されます。Google Workspace、Microsoft Entra ID、IdPに書き戻されることはありません。
Federated Authenticationをオフにすると、アカウントは手動アカウントになり、これらのアカウントの属性(ユーザ名など)を編集できるようになります。
アカウントの変更
ディレクトリ同期は、同期された属性の変更をモニターし、Apple Business Managerで自動的に更新します。これらの変更が同期される間隔はIdPによって異なります。
アカウントの削除
Google Workspace、Microsoft Entra ID、またはIdPでユーザアカウントが削除されると、Apple Business Manager内の対応するアカウントが無効化され、削除対象としてフラグが付けられます。無効化されたアカウントはデバイスからログアウトされ、再度サインインすることはできません。アカウントが30日以内に再度同期されない限り、そのアカウントは自動的に削除されます。
ユーザIDについて
OIDCを使用してユーザアカウントが最初にApple Business Managerに同期されたときは、アカウントの競合を識別するため、そのユーザアカウントのユーザIDが自動的に生成されます。
以前に同期されたユーザアカウントのユーザIDをApple Business Managerで変更すると、そのユーザアカウントはGoogle Workspace、Microsoft Entra ID、IdPと同期されなくなります。ユーザアカウントを再接続する場合は、ユーザIDの競合を解決する必要があります。