Korzystanie z uwierzytelniania federacyjnego za pomocą usługi Microsoft Entra ID w usłudze Apple Business Manager
W rezultacie użytkownicy mogą używać swoich danych uwierzytelniających usługi Google Workspace jako zarządzanych kont Apple. Mogą oni następnie używać tych danych uwierzytelniających do logowania się do przydzielonego iPhone’a, iPada, Maca, Apple Vision Pro oraz do Wspólnego iPada. Po zalogowaniu się na jednym z tych urządzeń mogą oni również zalogować się do usługi iCloud w Internecie.
W usłudze Apple Business Manager możesz nawiązać połączenie z usługą Microsoft Entra ID przy użyciu uwierzytelniania federacyjnego, aby umożliwić użytkownikom logowanie się do urządzeń Apple za pomocą ich nazwy użytkownika (zazwyczaj adresu email) i hasła z usługi Microsoft Entra ID.
W rezultacie użytkownicy mogą używać swoich danych uwierzytelniających usługi Microsoft Entra ID jako zarządzanych kont Apple. Mogą oni następnie używać tych danych uwierzytelniających do logowania się do przydzielonego iPhone’a, iPada, Maca, Apple Vision Pro oraz do Wspólnego iPada. Po zalogowaniu się na jednym z tych urządzeń mogą oni również zalogować się do usługi iCloud w Internecie na Macu (aplikacja iCloud dla Windows nie obsługuje zarządzanych kont Apple).
Microsoft Entra ID to dostawca tożsamości, który uwierzytelnia użytkownika w usłudze Apple Business Manager i wystawia tokeny uwierzytelniania. To uwierzytelnianie obsługuje uwierzytelnianie za pomocą certyfikatu oraz uwierzytelnianie dwupoziomowe (2FA).
Domyślne role Microsoft obsługujące domeny, synchronizację katalogów i odczyt domeny
Po pomyślnym wykonaniu początkowego zadania Zatwierdzenie uwierzytelniania federacyjnego, jeśli chcesz zmienić role, masz 2 opcje edycji konta z bieżącą rolą Administrator globalny Entra ID.
Zmień konto na jedną z następujących ról:
Czytelnik globalny
Administrator aplikacji
Administrator aplikacji w chmurze
Zmień konto tak, aby miało następujące 2 role: Czytelnik katalogu i Czytelnik raportu.
Obie opcje umożliwiają następujący dostęp, który jest wymagany przez usługę Apple Business Manager:
Odczyt listy wszystkich domen: microsoft.directory/domains/standard/read
Odczyt katalogu wszystkich użytkowników: microsoft.directory/users/standard/read
Odczyt dzienników audytu zdarzeń zabezpieczeń: microsoft.directory/auditLogs/allProperties/read
Proces uwierzytelniania federacyjnego
Ten proces obejmuje trzy główne etapy:
Zatwierdzenie uwierzytelniania federacyjnego
Przetestowanie uwierzytelniania federacyjnego za pomocą jednego konta użytkownika Microsoft Entra ID.
Włączanie uwierzytelniania federacyjnego.
Ważne: Przed skonfigurowaniem uwierzytelniania federacyjnego zapoznaj się z następującymi informacjami.
Krok 1. Zatwierdzenie uwierzytelniania federacyjnego
Pierwszym krokiem jest ustanowienie relacji zaufania między usługami Microsoft Entra ID i Apple Business Manager. To zadanie =musi zostać wykonane przez użytkownika z rolą administratora globalnego w Microsoft Entra ID.
Uwaga: Po wykonaniu tego kroku użytkownicy nie mogą tworzyć nowych osobistych kont Apple w skonfigurowanej domenie. Może to mieć wpływ na inne usługi Apple, z których korzystają użytkownicy. Zobacz Przenoszenie usług Apple do zarządzanego konta Apple.
W usłudze Apple Business Manager
zaloguj się jako użytkownik z rolą administratora lub menedżera użytkowników.Wybierz swoje imię i nazwisko u dołu paska bocznego, wybierz opcję Preferencje
, wybierz opcję Zarządzane konta Apple 
, a następnie wybierz opcję Rozpocznij w obszarze „Logowanie użytkownika i synchronizacja katalogu”.Wybierz Microsoft Entra ID, a następnie wybierz opcję Kontynuuj.
Wybierz przycisk „Zaloguj się za pomocą konta Microsoft”, wprowadź nazwę użytkownika administratora globalnego usługi Microsoft Entra ID, a następnie wybierz przycisk Dalej.
Wpisz hasło do konta, a następnie wybierz przycisk Zaloguj.
Przeczytaj uważnie umowę dotyczącą aplikacji, zaznacz opcję „Zgoda w imieniu organizacji” a następnie wybierz przycisk Akceptuj.
Wyrażasz zgodę na to, aby firma Microsoft umożliwiła Apple dostęp do informacji znalezionych w usłudze Microsoft Entra ID.
W razie potrzeby przejrzyj zweryfikowane domeny oraz domeny będące w konflikcie.
Wybierz przycisk Gotowe.
W razie potrzeby możesz zmienić rolę użytkownika w Microsoft Entra ID z administratora globalnego na obsługiwaną rolę z wymaganymi uprawnieniami. Aby uzyskać więcej informacji, zobacz Domyślne role Microsoft obsługujące domeny, synchronizację katalogów i odczyt domeny.
W niektórych przypadkach zalogowanie się do domeny może nie być możliwe. Oto kilka często spotykanych powodów:
Nazwa użytkownika lub hasło z konta w kroku 4 są nieprawidłowe.
Krok 2. Przetestuj uwierzytelnianie za pomocą jednego konta użytkownika Microsoft Entra ID
Ważne: Test uwierzytelniania federacyjnego spowoduje też zmianę domyślnego formatu zarządzanego konta Apple.
Możesz przetestować połączenie uwierzytelniania federacyjnego po wykonaniu następujących zadań:
Ukończono sprawdzenie pod kątem konfliktów nazw użytkowników.
Domyślny format zarządzanego konta Apple został uaktualniony.
Po pomyślnym połączeniu usługi Apple Business Manager z usługą Microsoft Entra ID możesz zmienić rolę konta użytkownika na inną. Możesz na przykład zmienić rolę konta użytkownika na rolę personelu.
Uwaga: Konta użytkowników z rolą administratora lub menedżera użytkowników nie mogą logować się za pomocą uwierzytelniania federacyjnego; mogą jedynie zarządzać procesem federowania.
Wybierz przycisk Sfederuj obok domeny, którą chcesz sfederować.
Zaznacz opcję „Zaloguj się do portalu Microsoft Entra ID”, wprowadź nazwę użytkownika usługi Microsoft Entra ID konta, które istnieje w danej domenie, a następnie wybierz przycisk Dalej.
Wprowadź hasło do konta, wybierz przycisk Zaloguj, wybierz przycisk Gotowe, a następnie wybierz przycisk Gotowe.
W niektórych przypadkach zalogowanie się do domeny może nie być możliwe. Oto kilka często spotykanych powodów:
Nazwa użytkownika lub hasło z domeny wybranej do federacji jest nieprawidłowe.
Konto nie znajduje się w domenie wybranej do federacji.
Krok 3. Włącz uwierzytelnianie federacyjne
W usłudze Apple Business Manager
zaloguj się jako użytkownik z rolą administratora lub menedżera użytkowników.Wybierz swoje imię i nazwisko u dołu paska bocznego, wybierz opcję Preferencje
, a następnie wybierz opcję Zarządzane konta Apple .W sekcji Domeny wybierz przycisk Zarządzaj obok domeny, którą chcesz sfederować, a następnie wybierz opcję „Włącz logowanie za pomocą usługi Microsoft Entra ID”.
Włącz „Zaloguj się za pomocą usługi Microsoft Entra ID”.
W razie potrzeby możesz teraz zsynchronizować konta użytkowników z usługą Apple Business Manager. Zobacz Synchronizowanie kont użytkowników z usługi Microsoft Entra ID.