Gefedereerde authenticatie met Microsoft Azure AD gebruiken in Apple Business Manager
In Apple Business Manager kun je een koppeling maken met Microsoft Azure Active Directory (Azure AD) om toe te staan dat gebruikers kunnen inloggen met hun Azure AD-gebruikersnaam en -wachtwoord.
Azure AD is de identiteitsprovider (IdP) die de gebruiker authenticeert voor Apple Business Manager en authenticatie-tokens uitgeeft. Deze authenticatie ondersteunt authenticatie van certificaten en twee-factor-authenticatie (2FA). Omdat Apple Business Manager Azure AD ondersteunt, werken andere identiteitsproviders die verbinden met Azure AD, zoals Active Directory Federation Services (ADFS), ook met Apple Business Manager.
Belangrijk: Gefedereerde authenticatie vereist dat de User Principal Name (hoofdnaam gebruiker, UPN) van de gebruikers overeenkomt met hun e‑mailadres. User Principal Name-aliassen en alternatieve ID's worden niet ondersteund.
Gefedereerde authenticatie en directory-synchronisatie met Microsoft-tenants
Om de Azure AD-app van Apple Business Manager met Microsoft-tenants toe te voegen, moet de beheerder van de tenants het configuratieproces voor gefedereerde authenticatie doorlopen, inclusief het testen van de authenticatie. Als de authenticatie is gelukt, wordt de Azure AD-app van Apple Business Manager ingevuld in de tenant en kan de beheerder domeinen federeren en Apple Business Manager configureren voor het gebruik van SCIM (System for Cross-domain Identity Management) voor directory-synchronisatie. Zie SCIM-vereisten bekijken.
Voordat je aan de slag gaat
Er zijn drie stappen om Apple Business Manager aan Azure AD te koppelen en gefedereerde authenticatie te gebruiken:
Een domein toevoegen en verifiëren. Zie Aan nieuwe domeinen koppelen.
Meerdere domeinen kunnen worden gefedereerd, maar ze moeten van dezelfde enkele publieke tenant zijn. Probeer je een domein te federeren dat je al hebt geverifieerd, maar een andere organisatie heeft het identieke domein al gefedereerd? Neem dan contact op met die organisatie om vast te stellen wie het recht heeft om het domein te federeren. Raadpleeg Over domeinconflicten.
Het proces voor gefedereerde authenticatie configureren.
De authenticatie testen met één Azure AD-domeinaccount.
Het proces voor gefedereerde authenticatie configureren
Deze taak staat Azure AD toe om Apple Business Manager te vertrouwen.
Log bij Apple Business Manager in met een gebruiker die de rol heeft van beheerder of personenmanager.
Selecteer je naam onder in de navigatiekolom, selecteer 'Voorkeuren' en selecteer 'Accounts' .
Selecteer 'Bewerk' naast 'Gefedereerde authenticatie' en selecteer vervolgens 'Verbind'.
Selecteer 'Log in met Microsoft', voer een account van Microsoft Azure AD in voor een algemene beheerder, toepassingsbeheerder of cloudtoepassingsbeheerder en selecteer 'Volgende'.
Voer het wachtwoord in voor de account en selecteer vervolgens 'Log in'.
Lees de overeenkomst voor de applicatie goed door en selecteer vervolgens 'Akkoord'.
Je gaat ermee akkoord dat Microsoft toegang geeft aan Apple tot gegevens in Azure AD.
Selecteer 'Gereed'.
Opmerking: Als je deze stap hebt voltooid, kunnen gebruikers geen nieuwe persoonlijke Apple ID’s meer maken op het domein dat jij configureert. Dit kan ook invloed hebben op andere diensten van Apple die je gebruikt. Raadpleeg Services van Apple overzetten bij federatie.
In bepaalde gevallen kun je je domein mogelijk niet toevoegen. Veelvoorkomende redenen zijn:
De gebruikte Microsoft Azure AD-account voor algemeen beheerder, programmabeheerder, of cloudprogrammabeheerder heeft geen bevoegdheden om domeinen toe te voegen in Azure AD.
De gebruikersnaam of het wachtwoord van de account in stap 4 is onjuist.
Authenticatie testen met één Azure AD-account
Deze taak staat Apple Business Manager toe om Azure AD te vertrouwen. Nadat je eigendom van je domein hebt geverifieerd en met succes de authenticatie hebt getest met een enkele Azure AD-account, kun je extra accounts aanmaken en doorgaan met het federeren van je domein.
Selecteer 'Federeer' naast het domein dat je wilt federeren.
Selecteer 'Log in op Microsoft Azure Portal' en voer je gebruikersnaam en wachtwoord in.
Voer een Microsoft Azure AD-account in voor een algemene beheerder, toepassingsbeheerder of cloudtoepassingsbeheerder die bestaat in het domein en selecteer 'Volgende'.
Voer het wachtwoord voor de account in, selecteer 'Log in', selecteer 'Gereed' en vervolgens 'Gereed'.
In bepaalde gevallen kun je mogelijk niet inloggen op je domein. Hieronder een aantal veelvoorkomende redenen:
De gebruikersnaam of het wachtwoord van het domein dat je hebt gekozen om te federeren, is niet juist.
De account bevindt zich niet in het domein dat je hebt gekozen om te federeren.
Wanneer het inloggen is geslaagd, controleert Apple Business Manager of er conflicterende gebruikersnamen zijn met dit domein. De controle op conflicterende gebruikersnamen moet voltooid zijn voordat je gefedereerde authenticatie voor dit domein kunt gebruiken.
Opmerking: Nadat Apple Business Manager met succes is gekoppeld met Azure AD, kun je de rol van een account wijzigen. Misschien wil je bijvoorbeeld de rol van een account veranderen in een medewerkerrol.
Gefedereerde authenticatie inschakelen
Voordat je gefedereerde authenticatie inschakelt, moet je controleren of je hebt gekoppeld naar een nieuw domein en dit hebt geverifieerd.
Opmerking: Als je van plan bent verbinding te maken met Azure AD via SCIM, moet je wachten met het inschakelen van gefedereerde authenticatie tot de SCIM-verbinding is gelukt.
Log in Apple Business Manager in met een gebruiker die de rol van beheerder of personenmanager heeft.
Selecteer je naam onder in de navigatiekolom, selecteer 'Voorkeuren' en selecteer 'Accounts' .
Selecteer 'Bewerk' in het gedeelte 'Domeinen' en zet vervolgens gefedereerde authenticatie aan voor de domeinen die met succes zijn toegevoegd aan Apple Business Manager.
Het kan even duren voordat alle accounts zijn bijgewerkt.
Gefedereerde authenticatie testen
Je kunt de verbinding van gefedereerde authenticatie testen nadat je de volgende taken hebt uitgevoerd:
De verbinding naar en verificatie van je domein zijn met succes voltooid.
De controle op conflicterende gebruikersnamen is voltooid.
De standaardindeling van de beheerde Apple ID is bijgewerkt.
Opmerking: Gebruikers met rol van beheerder of personenmanager kunnen niet inloggen met gefedereerde authenticatie; zij kunnen het federatieproces alleen maar beheren.
Log bij Apple Business Manager in met een gebruiker die niet de rol beheerder heeft.
Als de gebruikersnaam waarmee je bent ingelogd, is gevonden, staat in een nieuw scherm dat je inlogt met een gebruiker in je domein.
Selecteer 'Ga door', voer het wachtwoord voor de gebruiker in en selecteer vervolgens 'Log in'.
Log uit bij Apple Business Manager.
Opmerking: Gebruikers kunnen niet inloggen op iCloud.com tenzij ze eerst met hun beheerde Apple ID inloggen op een ander Apple apparaat.