Gunakan pengesahan penyepaduan dengan Microsoft Entra ID dalam Apple School Manager
Dalam Apple School Manager, anda boleh memaut kepada perkhidmatan global Open ID Connect (OIDC) Microsoft Entra ID (login.microsoftonline.com) menggunakan pengesahan penyepaduan untuk membenarkan pengguna mendaftar masuk ke peranti Apple dengan nama pengguna Microsoft Entra ID (secara umumnya alamat e-mel mereka) dan kata laluan mereka.
Nota: Penyepaduan dengan awan kebangsaan tidak disokong pada masa ini.
Hasilnya, pengguna anda boleh memanfaatkan kelayakan Microsoft Entra ID mereka sebagai Akaun Apple Terurus. Kemudian, mereka boleh menggunakan kelayakan tersebut untuk mendaftar masuk ke iPhone, iPad, Mac, Apple Vision Pro, dan ke iPad Yang Dikongsi yang ditugaskan kepada mereka. Selepas mereka mendaftar masuk ke salah satu peranti tersebut, mereka juga boleh mendaftar masuk ke iCloud pada web pada Mac (iCloud untuk Windows tidak menyokong Akaun Apple Terurus).
Microsoft Entra ID ialah pembekal identiti (IdP) yang mengesahkan pengguna untuk Apple School Manager dan mengeluarkan token pengesahan. Pengesahan ini menyokong pengesahan sijil dan pengesahan dua faktor (2FA).
Nota: Data tidak akan ditulis balik ke Microsoft Entra ID anda.
Data penyepaduan dibaca dari Microsoft Entra ID
Maklumat berikut dibaca apabila anda memautkan ke Microsoft Entra ID menggunakan Open ID Connect (OIDC):
Permintaan persetujuan pentadbir Microsoft Entra ID | Atribut yang digunakan oleh Apple dan sebabnya | Pertanyaan atau skop API |
|---|---|---|
Atribut: tuntutan id_token:
Sebab: Untuk menyambungkan Apple School Manager dengan Microsoft Entra ID menggunakan OIDC. | Pertanyaan API: Tidak Berkenaan Skop:
| |
Atribut:
Sebab: Untuk mendapatkan peristiwa keselamatan yang berlaku pada akaun pengguna dalam Microsoft Entra ID dan kemudian mengambil langkah keselamatan yang sesuai untuk akaun masing-masing yang didaftar masuk ke peranti Apple. Apabila kata laluan dikemas kini atau menjadi tidak sah oleh Microsoft Entra ID, sesi Akaun Apple Terurus ditamatkan dan pengguna diminta untuk mengesahkan semula identiti. | Pertanyaan API:
Skop: AuditLog.Read.All | |
Atribut:
Sebab: Untuk menyegerakkan domain yang disahkan dari Microsoft Entra ID ke Apple School Manager. | Pertanyaan API: Tidak Berkenaan Skop: Domain.Read.All | |
Atribut:
Sebab: Untuk menyegerakkan data direktori dari Microsoft Entra ID ke Apple School Manager. Nota: Skop ini juga digunakan untuk atribut penyegerakan direktori dalam jadual di bawah. | Pertanyaan API: Tidak Berkenaan Skop: Directory.Read.All | |
Atribut: Tidak Berkenaan Sebab: Untuk meminta token segar semula semasa aliran kod kebenaran. Token segar semula kemudian digunakan untuk meminta token akses. Token akses digunakan untuk membaca:
| Pertanyaan API: Tidak Berkenaan Skop: offline_access |
Cara data penyepaduan dari Microsoft Entra ID digunakan untuk penyegerakan direktori
Maklumat berikut dibaca oleh Apple School Manager apabila anda memaut kepada Microsoft Entra ID untuk penyegerakan direktori:
Atribut pengguna Microsoft Entra ID | Atribut pengguna Apple School Manager | Diperlukan |
|---|---|---|
givenName | Nama Pertama |  |
surname | Nama Akhir | |
userPrincipalName | Akaun Apple Terurus dan alamat e-mel | |
displayName | Nama Pengguna |  |
department | Jabatan | |
costCenter | Pusat Kos | |
removed | Untuk penyingkiran pengguna | |
Untuk maklumat lanjut, rujuk artikel sokongan Microsoft Dapatkan pengguna.
Peranan lalai Microsoft yang menyokong domain, penyegerakan direktori dan baca domain
Anda perlu menggunakan akaun Microsoft dengan peranan Pentadbir Global Entra ID untuk menyelesaikan tugas Luluskan pengesahan penyepaduan. Selepas sambungan berjaya, jika anda ingin menukar peranan, anda mempunyai dua pilihan untuk mengedit akaun Microsoft tersebut:
Tukar akaun Microsoft kepada salah satu daripada peranan berikut:
Pembaca Global
Pentadbir Aplikasi
Pentadbir Aplikasi Awan
Tukar akaun Microsoft supaya akaun mempunyai dua peranan berikut: Pembaca Direktori dan Pembaca Laporan.
Kedua-dua pilihan membenarkan akses berikut, yang diperlukan oleh Apple School Manager:
Baca senarai semua domain: microsoft.directory/domains/standard/read
Baca direktori semua pengguna: microsoft.directory/users/standard/read
Baca log audit Peristiwa Keselamatan: microsoft.directory/auditLogs/allProperties/read
Proses pengesahan penyepaduan
Proses ini melibatkan tiga langkah utama:
Luluskan pengesahan penyepaduan.
Uji pengesahan penyepaduan dengan akaun pengguna Microsoft Entra ID tunggal.
Hidupkan pengesahan penyepaduan.
Penting: Semak perkara berikut sebelum anda mengkonfigurasikan pengesahan penyepaduan.
Langkah 1: Luluskan pengesahan penyepaduan
Langkah pertama adalah mewujudkan hubungan kepercayaan antara Microsoft Entra ID dengan Apple School Manager. Tugas ini perlu dilakukan oleh akaun Microsoft dengan peranan Pentadbir Global dalam Microsoft Entra ID.
Nota: Selepas anda melengkapkan langkah ini, pengguna tidak boleh mencipta Akaun Apple tidak terurus (peribadi) yang baharu pada domain yang anda konfigurasikan. Hal ini boleh menjejaskan perkhidmatan Apple lain yang diakses oleh pengguna anda. Lihat Pindah perkhidmatan Apple.
Dalam Apple School Manager
, daftar masuk dengan pengguna yang mempunyai keistimewaan untuk mengurus pengesahan penyepaduan.Pilih nama anda di bahagian bawah bar sisi, pilih Keutamaan
, pilih Akaun Apple Terurus 
, kemudian pilih Mulakan di bawah “Daftar masuk pengguna dan penyegerakan direktori”.Pilih Microsoft Entra ID, kemudian pilih Teruskan.
Pilih “Daftar masuk dengan Microsoft”, masukkan nama pengguna Pentadbir Global Microsoft Entra ID, kemudian pilih Seterusnya.
Masukkan kata laluan untuk akaun tersebut, kemudian pilih Daftar Masuk.
Baca perjanjian aplikasi dengan teliti, pilih “Bersetuju bagi pihak organisasi anda”, kemudian pilih Terima.
Anda bersetuju Microsoft memberikan Apple akses kepada maklumat yang terdapat dalam Microsoft Entra ID.
Jika perlu, semak semula domain yang disahkan dan bercanggah.
Pilih Selesai.
Jika perlu, anda boleh menukar akaun Microsoft dalam Microsoft Entra ID daripada Pentadbir Global kepada peranan yang disokong dengan keistimewaan yang diperlukan. Untuk maklumat lanjut, lihat Peranan lalai Microsoft yang menyokong domain, penyegerakan direktori dan baca domain.
Dalam beberapa kes, anda mungkin tidak dapat menambah domain anda. Sebab‑sebab biasa adalah:
Nama pengguna atau kata laluan dari akaun dalam langkah 4 adalah tidak betul.
Langkah 2: Uji pengesahan dengan akaun pengguna Microsoft Entra ID tunggal
Penting: Ujian pengesahan penyepaduan juga mengubah format Akaun Apple Terurus lalai anda. Akaun baharu yang dicipta dalam Sistem Maklumat Pelajar (SIS) atau dimuat naik menggunakan Protokol Pindah Fail Selamat (SFTP) menggunakan format Akaun Apple Terurus yang baharu.
Anda boleh menguji sambungan pengesahan penyepaduan selepas anda melaksanakan tugasan berikut:
Semakan konflik nama pengguna lengkap.
Format lalai Akaun Apple Terurus dikemas kini.
Selepas anda berjaya memautkan Apple School Manager ke Microsoft Entra ID, anda boleh mengubah peranan akaun pengguna kepada peranan lain. Sebagai contoh, anda boleh mengubah peranan akaun pengguna kepada peranan pengajar.
Nota: Akaun pengguna dengan peranan Pentadbir, Pengurus Laman atau Pengurus Individu tidak boleh mendaftar masuk menggunakan pengesahan penyepaduan; mereka hanya boleh menguruskan proses penyepaduan.
Pilih Sepadukan di sebelah domain yang anda ingin menyepadukan.
Pilih “Daftar masuk ke Portal Microsoft Entra ID”, masukkan nama pengguna Microsoft Entra ID bagi akaun yang wujud dalam domain, kemudian pilih Seterusnya.
Masukkan kata laluan untuk akaun tersebut, pilih Daftar Masuk, pilih Selesai, kemudian pilih Selesai.
Dalam sesetengah kes, anda mungkin tidak dapat mendaftar masuk ke domain anda. Berikut adalah beberapa sebab yang biasa:
Nama pengguna atau kata laluan dari domain yang anda pilih untuk disepadukan adalah tidak betul.
Akaun tidak berada di domain yang anda pilih untuk disepadukan.
Langkah 3: Hidupkan pengesahan penyepaduan
Dalam Apple School Manager
, daftar masuk dengan pengguna yang mempunyai keistimewaan untuk mengurus pengesahan penyepaduan.Pilih nama anda di bahagian bawah bar sisi, pilih Keutamaan
, kemudian pilih Akaun Apple Terurus .Dalam bahagian Domain, pilih Urus di sebelah domain yang ingin anda sepadukan, kemudian pilih “Hidupkan Daftar masuk dengan Microsoft Entra ID”.
Hidupkan “Daftar masuk dengan Microsoft Entra ID”.
Jika perlu, anda kini boleh menyegerakkan akaun pengguna ke Apple School Manager. Lihat Segerakkan akaun pengguna dari Microsoft Entra ID.