Requisitos de sincronização do Azure AD com o Apple Business Manager
Você pode usar o SCIM (Sistema para gerenciamento de identidades entre domínios) para importar usuários para o Apple Business Manager. Usando esse sistema, você combina as propriedades do Apple Business Manager (como funções) com os dados da conta do usuário importados do Microsoft Azure Active Directory (Azure AD). Quando você usa o SCIM para importar usuários, as informações da conta são adicionadas como somente leitura até que você se desconecte do SCIM. Nesse momento, as contas se tornam contas manuais e os atributos nessas contas podem então ser editados. A sincronização inicial demora mais para ser executada do que os ciclos subsequentes, que ocorrem aproximadamente a cada 40 minutos, desde que o serviço de provisionamento do Azure AD esteja em execução. Confira Dicas de provisionamento no site de documentação do Microsoft Azure.
Privilégios do Azure AD
As seguintes funções no Azure AD podem usar SCIM para sincronizar contas com o Apple Business Manager:
Administrador do aplicativo
Administrador do aplicativo na nuvem
Proprietário do aplicativo
Administrador global
Confira Funções internas do Azure AD no Microsoft Azure AD local na rede Internet.
Locatários do Azure AD
Para usar SCIM com Apple Business Manager, a empresa não deve ter o mesmo locatário do Azure AD como qualquer outra empresa do Apple Business Manager. Se você quiser usar o SCIM para sua empresa, entre em contato com o administrador do Azure AD para garantir que nenhuma outra empresa do esteja usando seu locatário do Azure AD para SCIM.
Grupos do Azure AD
No Azure AD, ambos os métodos de sincronização usam a palavra Grupos, mas apenas as contas de usuário são sincronizadas. Você pode adicionar grupos do Azure AD ao app Apple Business Manager Azure AD. Por exemplo, se você tiver grupos no Azure AD nomeados Engenharia, Marketing e Vendas, você pode adicionar esses três grupos ao app Apple Business Manager Azure AD. Quando você se conectar usando SCIM, somente contas nesses grupos serão sincronizadas com o Apple Business Manager.
Nota: subgrupos não são aceitos no app Apple Business Manager Azure AD.
Escopo de provisionamento
Há duas maneiras de sincronizar contas do Azure AD para o Apple Business Manager.
Sincronizar somente grupos e usuários atribuídos: essa opção sincroniza somente as contas exibidas no app Apple Business Manager Azure AD com o Apple Business Manager. Ao usar esse método para sincronizar, as contas do Azure AD devem ter a função de usuário para sincronização com o Apple Business Manager.
Sincronizar todos os usuários e grupos: essa opção sincroniza todas as contas (a sincronização de grupos não é aceita) que aparecem na aba Usuário do Azure AD com o Apple Business Manager e cria IDs Apple gerenciados para todas as contas do Azure AD, mesmo se você pretender usar apenas um número específico de contas.
Confira os artigos do Suporte da Microsoft O que é o provisionamento de usuários automatizado no aplicativo SaaS no Azure AD? e Provisionamento de aplicativo com base em atributo com filtros de escopo.
Notificações de provisionamento
Ao configurar o provisionamento, você deve usar o endereço de email do usuário que tem a função de Administrador ou Gerente de pessoas para que ele possa receber notificações do Azure AD.
SCIM e autenticação federada
Se a federação já estiver ativada quando as contas do Azure AD forem enviadas para o Apple Business Manager, você não verá uma atividade, mas as contas ainda serão sincronizadas do domínio federado.
O Azure AD é o IdP (Fornecedor de identidade), que autentica o usuário para o Apple Business Manager e emite tokens de autenticação. Como o Apple Business Manager oferece suporte ao Azure AD, outros IdPs que se conectam ao Azure AD, como o Active Directory Federated Services (ADFS), também funcionarão. A autenticação federada usa o SAML (Security Assertion Markup Language) para conectar o Apple Business Manager ao Azure AD.
Contas de usuário do Azure AD e do Apple Business Manager
Quando um usuário é copiado do Azure AD usando SCIM para o Apple Business Manager, a função predefinida é Equipe. Após a conclusão da sincronização, apenas o atributo de usuário Funções pode ser editado. Esse atributo é armazenado com a conta de usuário no Apple Business Manager e não é gravado no Azure AD.
Mapeamento de atributo de usuário SCIM
Quando uma conta for copiada do Azure AD usando SCIM para o Apple Business Manager, os seguintes atributos de usuário poderão ser editados. A tabela também denota se o atributo de usuário é exigido.
Importante: adicionar atributos não relacionados na tabela rompe a conexão SCIM.
Atributo de usuário Azure AD | Apple School ManagerApple Business Essentials | Solicitado |
---|---|---|
Nome | Nome | |
Sobrenome | Sobrenome | |
Nome principal do usuário | ID Apple gerenciado e endereço de e-mail | |
ID do objeto | (Não mostrado no Apple Business Manager. Esse atributo é usado para identificar contas com conflito.) | |
Departamento | Departamento | |
ID de funcionário | Número da pessoa | |
Atributo personalizado (deve ser criado no app Apple Business Manager Azure AD) | Central de custos | |
Atributo personalizado (deve ser criado no app Apple Business Manager Azure AD) | Divisão |
Nome principal do usuário
Se um usuário tiver um Nome principal do usuário (UPN) idêntico ao de um usuário existente que tem a função de Administrador, nenhuma sincronização ocorrerá e o campo fonte permanecerá inalterado.
ID de pessoa
Quando um usuário do Azure AD é sincronizado com o Apple Business Manager, é criado um ID de pessoa para a conta de usuário do Apple Business Manager. O ID de pessoa e o ID do objeto são usados para identificar contas em conflito.
Se você modificar o ID da pessoa para uma conta importada anteriormente do SCIM, essa conta não será mais pareada com o Azure AD. Se você tiver modificado o ID de pessoa de uma conta importada anteriormente de SCIM e quiser reconectar a conta ao SCIM, confira Resolva conflitos de conta de usuário SCIM.
Recomendações
Você só deve usar o app Apple Business Manager Azure AD na conexão com SCIM.
Se você tiver um domínio verificado, mas não tiver ativado a autenticação federada, aguarde para ativar a federação depois de verificar se os usuários do Azure AD foram enviados para o Apple Business Manager. Faça isso visualizando os registros de provisionamento do Azure AD. Depois de verificar se os usuários do Azure AD foram enviados, ao ativar a federação, você será notificado por uma atividade quando os usuários do Azure AD forem provisionados. Se a federação já estiver ativada quando os usuários do Azure AD forem enviados, você não verá uma atividade, mas os usuários ainda serão sincronizados.
Se você tiver um grupo configurado no Azure AD, você pode adicionar esse grupo ao app Apple Business Manager Azure AD em vez de adicionar cada usuário.
Importante: não reutilize um nome de usuário por 30 dias no app Apple Business Manager Azure AD.
Antes de começar
Antes de começar, faça o seguinte:
Configure e verifique o domínio que você deseja usar. Confira Vincule a novos domínios.
Configure (mas não ative) a federação autenticada. Confira Ative e teste a autenticação federada .
Nota: se a federação autenticada já estiver ativada, você ainda poderá continuar. Confira as recomendações na seção anterior.
Determine o tipo de sincronização no Azure AD e, se necessário, crie grupos para sincronização somente de contas atribuídas para o app Apple Business Manager Azure AD:
Sincronize somente usuários atribuídos.
Sincronize todos os usuários.
Tenha um administrador do Azure AD com permissões para editar apps empresariais sempre disponível. Quando ambos estiverem prontos, confira Use SCIM para importar usuários.