Krav til synkronisering av Azure AD med Apple Business Manager
Du kan bruke SCIM (system for identitetsadministrering mellom domener) til å importere brukere til Apple Business Manager. Med dette systemet kan du slå sammen Apple Business Manager-egenskaper (som roller) med brukerkontodata importert fra Microsoft Azure Active Directory (Azure AD). Når du bruker SCIM til å importere brukere, legges kontoinformasjonen til som skrivebeskyttet inntil du kobler fra SCIM. På dette tidspunktet blir kontoene manuelle kontoer, og attributtene i disse kontoene kan da redigeres. Den første synkroniseringen tar lengre tid å utføre enn etterfølgende sykluser, som finner sted ca. hvert 40. minutt så lenge klargjøringstjenesten for Azure AD kjører. Se Provisioning tips (Tips til klargjøring) på dokumentasjonsnettstedet for Microsoft Azure.
Azure AD-tillatelser
Følgende roller i Azure AD kan bruke SCIM til å synkronisere kontoer til Apple Business Manager:
Programadministrator
Skyprogramadministrator
Programeier
Global administrator
Se Azure AD built-in roles (Innebygde roller i Azure AD) på Microsoft Azure AD-nettstedet.
Azure AD-leietakere
For å bruke SCIM sammen med Apple Business Manager kan ikke organisasjonen din ha samme Azure AD-leietaker som en annen Apple Business Manager-organisasjon. Hvis du vil bruke SCIM for organisasjonen din, må du ta kontakt med Azure AD-administratoren for å forsikre deg om at Azure AD-leietakeren din ikke brukes sammen med SCIM av noen annen organisasjon.
Azure AD-grupper
I Azure AD bruker begge synkroniseringsmetodene ordet Grupper, men kun brukerkontoer blir synkronisert. Du kan legge til Azure AD-grupper i Apple Business Manager Azure AD-appen. Hvis du for eksempel har grupper i Azure AD kalt Teknikere, Markedsføring og Salg, kan du legge til disse tre gruppene i Apple Business Manager Azure AD-appen. Når du kobler til med SCIM, synkroniseres kun kontoene i disse gruppene til Apple Business Manager.
Merk: Undergrupper støttes ikke i Apple Business Manager Azure AD-appen.
Omfang av klargjøring
Det er to fremgangsmåter for synkronisering av kontoer fra Azure AD til Apple Business Manager.
Synkroniser kun tilordnede brukere og grupper: Dette alternativet synkroniserer kun kontoene som vises i Apple Business Manager Azure AD-appen, til Apple Business Manager. Når du bruker denne metoden til å synkronisere, må Azure AD-kontoene ha rollen som Bruker for å synkroniseres til Apple Business Manager.
Synkroniser alle brukere og grupper: Dette alternativet synkroniserer alle kontoer (synkronisering av grupper støttes ikke) i Azure AD-brukerfanen til Apple Business Manager og oppretter administrerte Apple-ID-er for alle forente Azure AD-kontoer, selv hvis du bare vil bruke et spesifikt antall kontoer.
Se Microsoft-kundestøtteartiklene What is automated SaaS app user provisioning in Azure AD? (Hva er automatisert klargjøring av SaaS-appbrukere i Azure AD?) og Attribute-based application provisioning with scoping filters (Attributtbasert programklargjøring med omfangsfiltre).
Varslinger om klargjøring
Når du konfigurerer klargjøring, må du bruke e-postadressen til en bruker med rollen administrator eller personansvarlig, slik at vedkommende kan motta varslinger fra Azure AD.
SCIM og forent autentisering
Hvis forening allerede er slått på når Azure AD-kontoer sendes til Apple Business Manager, ser du ikke noen aktivitet, men kontoer synkroniserer fortsatt fra det forente domenet.
Azure AD er identitetsleverandøren (IdP) som godkjenner brukeren for Apple Business Manager og utsteder autentiseringstokener. Apple Business Manager støtter Azure AD, noe som betyr at andre IdP-er som kobler til Azure AD – som Active Directory Federated Services (ADFS) – også fungerer. Forent autentisering bruker Security Assertion Markup Language (SAML) for å koble Apple Business Manager til Azure AD.
Azure AD-brukerkontoer og Apple Business Manager
Når en bruker kopieres fra Azure AD med SCIM til Apple Business Manager, er standardrollen personale. Når synkroniseringen er fullført, kan kun brukerattributtet Roller redigeres. Dette attributtet lagres med brukerkontoen i Apple Business Manager, og blir ikke skrevet tilbake til Azure AD.
Tilordning av brukerattributter i SCIM
Når en konto kopieres fra Azure AD til Apple Business Manager med SCIM, lagres følgende attributter med skrivebeskyttelse. Tabellen angir også om brukerattributtet er obligatorisk.
Viktig: Hvis du legger til attributter som ikke er oppført i tabellen, brytes SCIM-tilkoblingen.
Azure AD-brukerattributt | Apple Business Manager-brukerattributt | Påkrevd |
---|---|---|
Fornavn | Fornavn | |
Etternavn | Etternavn | |
Brukerhovednavn | Administrert Apple-ID og e-postadresse | |
Objekt-ID | (Vises ikke i Apple Business Manager. Dette attributtet brukes for å identifisere kontoer med konflikter.) | |
Avdeling | Avdeling | |
ID-nummer for ansatt | Personnummer | |
Tilpasset attributt (må opprettes i Apple Business Manager Azure AD-appen) | Kostnadssenter | |
Tilpasset attributt (må opprettes i Apple Business Manager Azure AD-appen) | Divisjon |
Brukerhovednavn
Hvis en bruker har et brukerhovednavn (UPN) som er identisk med navnet til en eksisterende bruker som har rollen administrator, utføres det ingen synkronisering, og kildefeltet forblir uendret.
Person-ID
Når en Azure AD-brukerkonto synkroniseres til Apple Business Manager, opprettes en person-ID for Apple Business Manager-brukerkonto. Person-ID og objekt-ID brukes til å identifisere kontoer med konflikter.
Hvis du endrer person-ID-en for en konto som tidligere ble importert fra SCIM, er ikke den aktuelle kontoen tilkoblet Azure AD lenger. Hvis du har endret person-ID-en for en konto som tidligere ble importert fra SCIM og vil koble kontoen til SCIM igjen, ser du Løs konflikter for SCIM-brukerkontoer.
Anbefalinger
Du bør bare bruke Apple Business Manager Azure AD-appen når du kobler til SCIM.
Hvis du har et verifisert domene, men ikke har slått på forent autentisering, bør du ikke slå på forening før du har bekreftet at Azure AD-brukerne er sendt til Apple Business Manager. Gjør dette ved å vise klargjøringsloggene for Azure AD. Når du slår på forening etter at du har kontrollert at Azure AD-brukerne har blitt sendt, blir du varslet av en aktivitet når Azure AD brukere blir klargjort. Hvis forening allerede er slått på når Azure AD-brukere sendes, ser du ikke noen aktivitet, men kontoer synkroniserer fortsatt.
Hvis du har konfigurert en gruppe i Azure AD, kan du legge til den aktuelle gruppen i Apple Business Manager Azure AD-appen i stedet for å legge til hver bruker.
Viktig: Ikke bruk et gammelt brukernavn på nytt i 30 dager i Apple Business Manager Azure AD-appen.
Før du starter
Før du starter må du gjøre følgende:
Konfigurer og verifiser domenet du vil bruke. Se Koble til nye domener.
Konfigurer (men ikke slå på) forent autentisering. Se Slå på og test forent autentisering.
Merk: Hvis forent autentisering allerede er slått på, kan du fortsette. Se anbefalingene i den forrige delen.
Fastslå typen synkronisering i Azure AD og, hvis det er nødvendig, opprett grupper for synkronisering kun av tilordnede kontoer til Apple Business Manager Azure AD-appen:
Synkroniser kun tilordnede brukere.
Synkroniser alle brukere.
Vær på telefonen med en Azure AD-administrator med tillatelser til å redigere bedriftsprogrammer. Når dere er klare, ser du Importer brukere med SCIM.