Apple School Manager에서 Microsoft Entra ID와의 연합 인증 사용
Apple School Manager에서는 사용자가 Microsoft Entra ID 사용자 이름(대개 이메일 주소) 및 암호를 사용하여 Apple 기기에 로그인할 수 있도록 연합 인증을 사용하여 Microsoft Entra ID Open ID Connect(OIDC) 글로벌 서비스(login.microsoftonline.com)에 연결할 수 있습니다.
참고: 국가별 클라우드와의 통합은 현재 지원되지 않습니다.
따라서 사용자는 자신의 Microsoft Entra ID 자격 증명을 관리형 Apple 계정으로 활용할 수 있습니다. 그런 다음 해당 자격 증명을 사용하여 할당된 iPhone, iPad, Mac, Apple Vision Pro 및 공유iPad에 로그인할 수 있습니다. 해당 기기 중 하나에 로그인한 후에는 Mac을 사용하여 웹에서 iCloud에 로그인할 수도 있습니다(Windows용 iCloud는 관리형 Apple 계정을 지원하지 않음).
Microsoft Entra ID는 신원 확인 제공업체(IdP)이며 Apple School Manager의 사용자를 인증하고 인증 토큰을 발급합니다. 이 인증은 인증서 인증 및 2FA(이중 인증)를 지원합니다.
참고: 어떠한 경우에도 데이터가 Microsoft Entra ID에 다시 기록되지 않습니다.
Microsoft Entra ID에서 읽은 연합 데이터
OIDC(Open ID Connect)를 사용하여 Microsoft Entra ID에 연결할 때 다음 정보를 읽습니다.
Microsoft Entra ID 책임자 동의 요청 | Apple에서 사용하는 속성 및 이유 | API 쿼리 또는 범위 |
|---|---|---|
속성: id_token이 청구하는 내용.
이유: OIDC를 사용하여 Microsoft Entra ID로 Apple School Manager에 연결하기 위해. | API 쿼리: 해당 없음 범위:
| |
속성:
이유: Microsoft Entra ID에서 사용자 계정에 발생한 보안 이벤트를 조회하고 해당 계정으로 로그인된 Apple 기기에 대해 적절한 보안 조치를 취하기 위해. 암호가 변경되거나 Microsoft Entra ID에 의해 무효화되면 관리형 Apple 계정 세션이 종료되며, 재인증 요청을 받게 됩니다. | API 쿼리:
범위: AuditLog.Read.All | |
속성:
이유: Microsoft Entra ID의 인증된 도메인을 Apple School Manager와 동기화하기 위해. | API 쿼리: 해당 없음 범위: Domain.Read.All | |
속성:
이유: Microsoft Entra ID의 디렉토리 데이터를 Apple School Manager와 동기화하기 위해. 참고: 해당 범위는 아래 표에 있는 디렉토리 동기화 속성에도 사용됩니다. | API 쿼리: 해당 없음 범위: Directory.Read.All | |
속성: 해당 없음 이유: 인증 코드 플로우 중에 리프레시 토큰을 요청하기 위해 리프레시 토큰은 접근 토큰을 요청하는 데 사용됩니다. 접근 토큰은 다음을 읽는 데 사용됩니다.
| API 쿼리: 해당 없음 범위: offline_access |
디렉토리 동기화에 Microsoft Entra ID의 연합 데이터가 사용되는 방법
디렉토리 연결을 위해 Microsoft Entra ID에 연결할 때 Apple School Manager에서는 다음 정보를 읽습니다.
Microsoft Entra ID 사용자 속성 | Apple School Manager 사용자 속성 | 필수 |
|---|---|---|
givenName | 이름 |  |
surname | 성 | |
userPrincipalName | 관리형 Apple 계정 및 이메일 주소 | |
displayName | 사용자 이름 |  |
department | 부서 | |
costCenter | 비용 센터 | |
removed | 사용자 제거에 사용됨 | |
자세한 내용은 Microsoft API 지원 문서 사용자 가져오기(Get a user)를 참고하십시오.
도메인, 디렉토리 동기화 및 도메인 읽기를 지원하는 Microsoft 기본 역할
연합 인증 승인 작업을 완료하려면 Entra ID 전역 관리자 역할이 있는 Microsoft 계정을 사용해야 합니다. 성공적으로 연결된 후 역할을 변경하려면 다음 두 가지 방법으로 해당 Microsoft 계정을 편집합니다.
Microsoft 계정을 다음 역할 중 하나로 변경합니다.
전역 리더
애플리케이션 관리자
클라우드 애플리케이션 관리자
디렉토리 리더와 보고서 리더 역할을 갖도록 Microsoft 계정을 변경합니다.
두 옵션 모두 Apple School Manager에게 필요한 다음 액세스 권한을 허용합니다.
모든 도메인 목록 읽기: microsoft.directory/domains/standard/read
모든 사용자 디렉토리 읽기: microsoft.directory/users/standard/read
보안 이벤트 감사 로그 읽기: microsoft.directory/auditLogs/allProperties/read
연합 인증 절차
이 절차에는 3가지 주요 단계가 포함됩니다.
연합 인증 승인.
하나의 Microsoft Entra ID 사용자 계정으로 연합 인증 테스트.
연합 인증 켜기.
중요사항: 연합 인증을 구성하기 전에 다음 사항을 검토하십시오.
1단계: 연합 인증 승인
첫 번째 단계는 Microsoft Entra ID와 Apple School Manager 사이에 신뢰 관계를 설정하는 것입니다. 이 작업은 Microsoft Entra ID의 전역 관리자 역할이 있는 Microsoft 계정을 가진 사용자가 수행해야 합니다.
참고: 이 단계를 완료한 후에는 사용자가 구성한 도메인에서 새로운 비관리형(개인) Apple 계정을 생성할 수 없습니다. 이는 사용자가 접근하는 다른 Apple 서비스에 영향을 줄 수 있습니다. Apple 서비스 이전을 참고하십시오.
Apple School Manager
에서 연합 인증을 관리할 권한이 있는 사용자로 로그인합니다.사이드바 하단에서 사용자의 이름을 선택하고 '환경설정'을
선택하고, 관리형 Apple 계정 
을 선택한 후 '사용자 로그인 및 디렉토리 동기화' 아래에 있는 '시작하기'를 선택합니다.Microsoft Entra ID를 선택한 후 계속을 선택합니다.
'Microsoft로 로그인'을 선택하고 Microsoft Entra ID 전역 관리자 사용자 이름을 입력한 후 다음을 선택합니다.
계정 암호를 입력한 후 로그인을 선택합니다.
애플리케이션 계약을 주의 깊게 읽고 '조직을 대표하여 동의함'을 선택한 다음 수락을 선택합니다.
Microsoft가 Microsoft Entra ID에 있는 정보에 액세스할 수 있는 권한을 Apple에 부여하는 것에 동의하는 것입니다.
필요한 경우 확인된 도메인과 충돌하는 도메인을 검토합니다.
완료를 선택합니다.
필요한 경우 전역 관리자의 Microsoft Entra ID에서 Microsoft 계정을 필요한 권한이 있는 지원되는 역할로 변경할 수 있습니다. 자세한 내용은 도메인, 디렉토리 동기화 및 도메인 읽기를 지원하는 Microsoft 기본 역할 문서를 참고하십시오.
도메인을 추가할 수 없는 경우가 있을 수 있습니다. 다음은 일반적인 이유입니다.
4단계의 계정 사용자 이름 또는 암호가 올바르지 않습니다.
2단계: 하나의 Microsoft Entra ID 사용자 계정으로 연합 인증 테스트
중요사항: 연합 인증 테스트로 관리형 Apple 계정 기본 포맷도 변경됩니다. 학생 정보 시스템(SIS)에서 작성되었거나 보안 파일 전송 프로토콜(SFTP)을 사용하여 업로드된 새 계정은 새로운 관리형 Apple 계정 포맷을 사용합니다.
다음 작업을 수행한 후 연합 인증 연결을 테스트할 수 있습니다.
사용자 이름 충돌 검사가 완료되었습니다.
관리형 Apple 계정 기본 포맷이 업데이트되었습니다.
Apple School Manager를 Microsoft Entra ID에 성공적으로 연결한 후에는 사용자 계정 역할을 다른 역할로 변경할 수 있습니다. 예를 들어 사용자 계정 역할을 강사 역할로 변경할 수 있습니다.
참고: 책임자, 사이트 관리자 또는 사용자 관리자 역할이 있는 사용자 계정은 연합 인증을 사용하여 로그인할 수 없고 연합 절차만 관리할 수 있습니다.
연합하려는 도메인 옆에 있는 연합을 선택합니다.
'Microsoft Entra ID 포털에 로그인'을 선택하고 도메인에 존재하는 계정의 Microsoft Entra ID 사용자 이름을 입력한 후 다음을 선택합니다.
계정 암호를 입력하고 로그인 > 완료 > 완료를 선택합니다.
도메인에 로그인하지 못하는 경우가 있을 수 있습니다. 다음은 몇 가지 일반적인 이유입니다.
연합을 위해 선택한 도메인의 사용자 이름 또는 암호가 올바르지 않습니다.
계정이 연합을 위해 선택한 도메인에 있지 않습니다.
3단계: 연합 인증 켜기
Apple School Manager
에서 연합 인증을 관리할 권한이 있는 사용자로 로그인합니다.사이드바 하단에서 사용자의 이름을 선택하고 '환경설정'을
선택한 다음 관리형 Apple 계정 을 선택합니다.도메인 섹션에서 연합하려는 도메인 옆에 있는 관리를 선택한 후 'Microsoft Entra ID로 로그인 켜기'를 선택합니다.
'Microsoft Entra ID로 로그인'을 켭니다.
필요한 경우, 사용자 계정을 Apple School Manager와 동기화할 수 있습니다. Microsoft Entra ID의 사용자 계정 동기화를 참조하십시오.