
Apple BusinessでMicrosoft Entra IDとのFederated Authenticationを使用する
概要
Apple Businessでは、Federated Authenticationを使用してMicrosoft Entra ID OpenID Connect (OIDC)グローバルサービス(login.microsoftonline.com)にリンクすることで、ユーザーに、Microsoft Entra IDユーザー名(通常はメールアドレス)とパスワードを使用してAppleデバイスにサインインすることを許可できます。
注記: 国内クラウドとの統合は現在サポートされていません。
これによりユーザーは、Microsoft Entra IDの認証情報を管理対象Apple Accountとして利用できます。ユーザーはその後、それらの認証情報を使用して、割り当て済みのiPhone、iPad、Mac、Apple Vision Pro、共有iPadにサインインすることができます。これらのデバイスのいずれかにサインインした後は、MacでWebのiCloudにもサインインできます(Windows用iCloudは管理対象Apple Accountに対応していません)。
Microsoft Entra IDは、Apple Business用にユーザーを認証し、認証トークンを発行するIDプロバイダー(IdP)です。この認証は、証明書認証と2ファクタ認証(2FA)をサポートしています。
注記: データがMicrosoft Entra IDに書き戻されることはありません。
Microsoft Entra IDから読み込まれるのは、どのような連携データですか?
OpenID Connect (OIDC)を使用してMicrosoft Entra IDにリンクすると、以下の情報が取得されます。
Microsoft Entra ID管理者に表示される同意リクエストの文言 | Appleで使用される属性と理由 | APIクエリまたはスコープ |
|---|---|---|
属性:id_tokenに含まれるクレーム内容:
理由:OIDCを使用してApple BusinessとMicrosoft Entra IDを接続するため。 | APIクエリ:該当なし スコープ:
| |
属性:
理由:Microsoft Entra IDのユーザーアカウントで発生したセキュリティイベントを取得し、Appleデバイスにサインインしている該当アカウントに対して適切なセキュリティ対策を講じるため。 パスワードがMicrosoft Entra IDによって変更または無効化された場合、管理対象Apple Accountのセッションは終了し、再認証が必要となります。 | APIクエリ:
スコープ:AuditLog.Read.All | |
属性:
理由:Microsoft Entra IDの検証済みドメインをApple Businessに同期するため。 | APIクエリ:該当なし スコープ:Domain.Read.All | |
属性:
理由:Microsoft Entra IDのディレクトリデータをApple Businessに同期するため。 注記: このスコープは、ディレクトリ同期に使う属性にも使用されます。「ディレクトリ同期におけるMicrosoft Entra IDの連携データの使用方法」を参照してください。 | APIクエリ:該当なし スコープ:Directory.Read.All | |
属性:該当なし 理由:認可コードフローの進行中に、リフレッシュトークンをリクエストするため。 リフレッシュトークンは、アクセストークンのリクエストに使用されます。 このアクセストークンは、以下の情報の読み取りに使用されます。
| APIクエリ:該当なし スコープ:offline_access |
ドメイン、ディレクトリの同期、ドメインの読み取りに対応しているMicrosoftのデフォルトの役割は何ですか?
「Federated Authenticationを承認する」のタスクを完了するには、Entra IDのグローバル管理者の役割を持つMicrosoftアカウントを使用する必要があります。正常に接続された後、役割を変更する場合は、そのMicrosoftアカウントを編集するための2つのオプションがあります。
Microsoftアカウントの役割を次のいずれかに変更します。
グローバル閲覧者
アプリケーション管理者
クラウドアプリケーション管理者
ディレクトリ閲覧者とレポート閲覧者という2個の役割を持つようにMicrosoftアカウントの役割を変更する。
どちらのオプションでも、Apple Businessに必要な次のアクセス権限が許可されます。
すべてのドメインのリストを参照する:microsoft.directory/domains/standard/read
すべてのユーザーの一覧を参照する:microsoft.directory/users/standard/read
セキュリティイベントの監査ログを参照する:microsoft.directory/auditLogs/allProperties/read
Federated Authenticationプロセス
このプロセスは、主に次の3つの手順で構成されます。
Federated Authenticationを承認する。
1つのMicrosoft Entra IDユーザーアカウントでFederated Authenticationをテストする。
Federated Authenticationを有効にする。
重要: Federated Authenticationを設定する前に、以下の事項を確認してください。
手順1:Federated Authenticationを承認する
最初に、Microsoft Entra IDとApple Businessの信頼関係を築きます。このタスクは、Microsoft Entra IDのグローバル管理者の役割を持つMicrosoftアカウントが実行する必要があります。
注記: この手順を完了すると、ユーザーは、構成したドメイン上で管理対象外(個人用) Apple Accountを新たに作成することができなくなります。これは、ユーザーがアクセスしているAppleのその他のサービスに影響を与える可能性があります。「Appleのサービスを移行する」を参照してください。
Apple Businessで、連携の設定と構成、およびIDプロバイダー(IdP)への接続を行う権限を持つ役割のユーザーとしてサインインします。
役割と権限の確認方法については、「役割と権限について」を参照してください。
「ユーザサインインとディレクトリ同期」の横にある「開始する」を選択します。
「Microsoft Entra ID」を選択し、「続ける」を選択します。
「Microsoftでサインイン」を選択し、Microsoft Entra IDのグローバル管理者のユーザー名を入力して、「次へ」を選択します。
アカウントのパスワードを入力して、「サインイン」を選択します。
アプリケーションの利用規約を注意深く読み、「Consent on behalf of your organization」(組織に代わって同意)を選択し、「同意する」を選択します。
これにより、Microsoft Entra IDにある情報へのアクセスを、MicrosoftがAppleに与えることに同意します。
必要に応じて、検証済みのドメインと競合するドメインを確認します。
「完了」を選択します。
必要に応じて、Microsoft Entra IDでのMicrosoftアカウントの役割をグローバル管理者から、必要な権限を持つ、サポートされている役割に変更することができます。「ドメイン、ディレクトリの同期、ドメインの読み取りに対応しているMicrosoftのデフォルトの役割は何ですか?」を参照してください。
場合によっては、ドメインにサインインできないことがあります。一般的な理由は、以下のとおりです。
Microsoft Entra ID管理者のユーザー名またはパスワードが正しくない。
手順2:1つのMicrosoft Entra IDユーザーアカウントでFederated Authenticationをテストする。
重要: Federated Authenticationテストでは、デフォルトの管理対象Apple Accountフォーマットも変更されます。
以下のタスクを完了したら、Federated Authenticationの接続をテストできます。
ユーザー名の競合チェック
管理対象Apple Accountのデフォルトフォーマットのアップデート
Apple BusinessをMicrosoft Entra IDに正常にリンクさせた後、ユーザーアカウントの役割を別の役割に変更できます。たとえば、ユーザーアカウントの役割を職員の役割に変更したい場合があります。
注記: 連携の設定、構成、Microsoft Entra IDへの接続の権限を付与されているユーザーは、Federated Authenticationを使用してサインインできません。連携プロセスの管理のみ可能です。
連携するドメインの横にある「連携する」を選択します。
「Sign in to Microsoft Entra ID Portal」(Microsoft Entra IDポータルにサインイン)を選択し、ドメインに存在するアカウントのMicrosoft Entra IDのユーザー名を入力し、「次へ」を選択します。
アカウントのパスワードを入力し、「サインイン」>「完了」>「完了」の順に選択します。
Apple Businessからサインアウトします。
注記: ユーザーは、まず別のAppleデバイスから管理対象Apple Accountにサインインするまで、MacからiCloud.comにサインインすることはできません。
場合によっては、ドメインにサインインできないことがあります。一般的な理由は、以下のとおりです。
連携用に選択したドメインのユーザー名またはパスワードが間違っている。
連携用に選択したドメインにアカウントが含まれていない。
手順3:Federated Authenticationを有効にする
Apple Businessで、連携の設定と構成、およびIDプロバイダー(IdP)への接続を行う権限を持つ役割のユーザーとしてサインインします。
役割と権限の確認方法については、「役割と権限について」を参照してください。
「ドメイン」セクションで、連携するドメインの横にある「管理」を選択し、「Microsoft Entra IDでのサインインを有効にする」を選択します。
「Microsoft Entra IDでのサインイン」を有効にします。
必要な場合に応じて、この段階でユーザーアカウントをApple Businessに同期できます。「Microsoft Entra IDからユーザーアカウントを同期する」を参照してください。