Apple Businessでのディレクトリの同期について
概要
ディレクトリ同期は、Apple BusinessのデータをIDプロバイダー(IdP)と最新の状態に保つのに役立ちます。ディレクトリ同期を使用すると、Apple BusinessはIdPから自動的に通知を受け、次の場合に情報を更新できます。
新しいユーザーアカウントが作成された
ユーザーアカウント情報が変更された
ユーザーアカウントが削除された
Apple BusinessでOpenID Connect (OIDC)を使用すると、以下の場所のユーザーアカウントを同期できます(ただし、一度に1つのみ)。
Google Workspace
Microsoft Entra ID
IdP
IdPによっては、クロスドメインID管理システム(SCIM)経由でも同期できます。
開始する前に
Google Workspace、Microsoft Entra ID、またはIdPと同期する前に、以下の事項を考慮してください。
ユーザーグループの同期はサポートされていません。
初回の同期には、それ以降のサイクルでの同期よりも長い時間がかかります。IdPのマニュアルを参照して、ユーザー同期が実行される頻度を確認してください。
必要条件
必要に応じて、ドメインを手動で確認します。「ドメインを追加し、確認する」を参照してください。
Federated Authenticationをオンにする必要があります。「Federated Authenticationについて」を参照してください。
Google Workspace、Microsoft Entra ID、または別のIdPの設定を編集する権限のある管理者に連絡します。
Apple Businessでは、管理対象Apple Accountに使用する属性を一意にする必要があります。これは通常、ユーザーのメールアドレスです。ユーザーの属性が、組織管理者の役割を持つApple Businessの既存のユーザーとまったく同じである場合、同期は行われず、ソースフィールドは変更されないままになります。
初回接続を構成するときは、連携の設定と構成、およびIdPとの接続を行う権限を持つ役割のユーザーのメールアドレスを使用する必要があります。そのユーザーは同期するGoogle Workspace、Microsoft Entra ID、または別のIdPからの通知を受け取ることができます。
IdP固有の要件
Microsoft Entra IDにリンクする場合:
Apple BusinessでOIDCを使用するには、組織に他のApple Business組織と同じMicrosoft Entra IDテナントを含めることはできません。組織でOIDCを使用したい場合は、Microsoft Entra IDのグローバル管理者に連絡し、他の組織がOIDCで同じEntra IDテナントを使用していないことを確認してください。
ユーザーアカウントが、連携の設定および構成、IdPへの接続を行う権限を持つ役割の既存ユーザーとまったく同じユーザープリンシパル名(UPN)を持っている場合、同期は行われず、ソースフィールドは変更されないままになります。
Google WorkspaceまたはMicrosoft Entra ID以外のIdPにリンクする場合は、以下の情報を用意してください。
ユーザーの一意の識別子フィールド:通常、この属性の値はユーザーのメールアドレスです。これを使用してユーザーの管理対象Apple Accountが作成されます。たとえば「userName」などです。
認証方法:SAML 2.0。
認証モード:OAuth 2。
シングルサインオンURL:IdPのマニュアルを参照してください。
認可コールバックURL:IdPのマニュアルを参照してください。
自動的な変更
アカウント作成
ディレクトリ同期が設定されると、ユーザーアカウントはApple Businessに同期され、職員の役割が割り当てられます。同期されたアカウント情報は読み取り専用として追加されますが、ユーザーアカウントの役割属性は編集できます。この属性はApple Businessのユーザーアカウントに保存されます。Google Workspace、Microsoft Entra ID、IdPに書き戻されることはありません。
Federated Authenticationをオフにすると、アカウントは手動アカウントになり、これらのアカウントの属性(ユーザー名など)を編集できるようになります。
アカウントの変更
ディレクトリ同期は、同期された属性の変更をモニターし、Apple Businessで自動的に更新します。これらの変更が同期される間隔はIdPによって異なります。
アカウントの削除
Google Workspace、Microsoft Entra ID、またはIdPでユーザーアカウントが削除されると、Apple Business内の対応するアカウントが無効化され、削除対象としてフラグが付けられます。無効化されたアカウントはデバイスからログアウトされ、再度サインインすることはできません。アカウントが30日以内に再度同期されない限り、そのアカウントは自動的に削除されます。
ユーザーIDについて
OIDCを使用してユーザーアカウントが最初にApple Businessに同期されたときは、アカウントの競合を識別するため、そのユーザーアカウントのユーザーIDが自動的に生成されます。
以前に同期されたユーザーアカウントのユーザーIDをApple Businessで変更すると、そのユーザーアカウントはGoogle Workspace、Microsoft Entra ID、IdPと同期されなくなります。ユーザーアカウントを再接続する場合は、ユーザーIDの競合を解決する必要があります。