Requisitos de sincronização do Azure AD com o Apple Business Manager
Pode utilizar o Sistema de gestão de identidade entre domínios (SCIM) para importar utilizadores para o Apple Business Manager. Ao utilizar este sistema, irá combinar as propriedades do Apple Business Manager (tais como funções) com os dados de contas de utilizador importados do Microsoft Azure Active Directory (Azure AD). Quando utiliza o SCIM para importar utilizadores, as informações de conta são adicionadas como informações apenas de leitura até desligar do SCIM. Nesse momento, as contas passam a manuais, sendo possível editar os respetivos atributos. A sincronização inicial é mais demorada do que os ciclos subsequentes, que ocorrem aproximadamente a cada 40 minutos, desde que o serviço de aprovisionamento do Azure AD esteja em execução. Consulte a secção Dicas de provisionamento no site de documentação do Microsoft Azure.
Privilégios do Azure AD
As funções seguintes do Azure AD podem utilizar o SCIM para sincronizar contas com o Apple Business Manager:
Administração da aplicação
Administração da aplicação na nuvem
Propriedade da aplicação
Administração global
Consulte a secção Funções incorporadas do Azure AD no site do Microsoft Azure AD.
Inquilinos do Azure AD
Para utilizar o SCIM com o Apple Business Manager, a sua organização não pode ter o mesmo inquilino do Azure AD de outra organização do Apple Business Manager. Se quiser utilizar o SCIM na sua organização, contacte a pessoa com a função de administração do Azure AD para garantir que nenhuma outra organização está a utilizar o seu inquilino do Azure AD para o SCIM.
Grupos do Azure AD
No Azure AD, ambos os métodos de sincronização utilizam a palavra Grupos, mas apenas as contas de utilizador são sincronizadas. Pode adicionar grupos do Azure AD à app do Apple Business Manager no Azure AD. Por exemplo, se tiver grupos no Azure AD designados Engenharia, Marketing e Vendas, pode adicionar estes três grupos à app do Apple Business Manager no Azure AD. Quando estabelece ligação através do SCIM, apenas as contas desses grupos são sincronizadas para o Apple Business Manager.
Nota: Os subgrupos não são suportados na app do Apple Business Manager no Azure AD.
Âmbito de aprovisionamento
Existem duas formas de sincronizar contas do Azure AD para o Apple Business Manager.
Sincronizar apenas os utilizadores e grupos atribuídos: esta opção sincroniza apenas as contas que aparecem na app do Apple Business Manager no Azure AD para o Apple Business Manager. Quando utiliza este método para sincronizar, as contas do Azure AD têm de ter a função de utilizador para sincronizarem para o Apple Business Manager.
Sincronizar todos os utilizadores e grupos: esta opção sincroniza todas as contas (a sincronização de grupos não é suportada) que aparecem no separador Utilizador do Azure AD para o Apple Business Manager e cria ID Apple geridos para todas as contas do Azure AD vinculadas, mesmo que apenas pretenda utilizar um número específico de contas.
Consulte os seguintes artigos do Suporte da Microsoft: O que é o aprovisionamento de utilizadores de aplicações SaaS automatizadas no Azure AD? e Aprovisionamento de aplicações baseadas em atributos com filtros de âmbito.
Notificações de aprovisionamento
Ao configurar o fornecimento, deve utilizar o endereço de e‑mail de um(a) utilizador(a) com função de administração ou gestão de pessoas para que possam receber notificações do Azure AD.
SCIM e autenticação vinculada
Se a vinculação já estiver ativada quando as contas do Azure AD forem enviadas para o Apple Business Manager, não verá nenhuma atividade, mas as contas continuarão a sincronizar a partir do domínio vinculado.
O Azure AD é o fornecedor de identidade (IdP) que autentica o(a) utilizador(a) para o Apple Business Manager e emite os tokens de autenticação. Uma vez que o Apple Business Manager suporta o Azure AD, outros IdP que estabeleçam ligação ao Azure AD, como os Active Directory Federated Services (ADFS), serão igualmente compatíveis. A autenticação vinculada utiliza a Security Assertion Markup Language (SAML) para associar o Apple Business Manager ao Azure AD.
Contas de utilizador do Azure AD e Apple Business Manager
Quando uma conta é copiada do Azure AD através do SCIM para o Apple Business Manager, a função predefinida é Funcionário. Depois de a sincronização estar concluída, a Função é o único atributo do(a) utilizador(a) que pode ser editado. Este atributo é armazenado com a conta de utilizador no Apple Business Manager e não é gravado no Azure AD.
Mapeamento de atributos de utilizador do SCIM
Quando uma conta é copiada do Azure AD através do SCIM para o Apple Business Manager, os seguintes atributos de utilizador são armazenados como atributos apenas de leitura. A tabela também denota se o atributo de utilizador é obrigatório.
Importante: Adicionar atributos que não façam parte da tabela interrompe a ligação do SCIM.
Atributo de utilizador do Azure AD | Atributos de utilizador do Apple Business Manager | Obrigatório |
---|---|---|
Nome próprio | Nome próprio | |
Apelido | Apelido | |
Nome principal de utilizador | ID Apple gerido e endereço de e‑mail | |
ID de objeto | (Não apresentado no Apple Business Manager. Este atributo é utilizado para identificar contas em conflito.) | |
Departamento | Departamento | |
ID do funcionário | Número da pessoa | |
Atributo personalizado (tem de ser criado na app do Apple Business Manager no Azure AD) | Centro de custos | |
Atributo personalizado (tem de ser criado na app do Apple Business Manager no Azure AD) | Divisão |
Nome principal de utilizador
Se um(a) utilizador(a) tiver um Nome principal de utilizador (UPN) que seja exatamente igual a um(a) utilizador(a) existente que tenha a função de Administração, não é realizada a sincronização e o campo de origem permanece inalterado.
ID da pessoa
Quando uma conta do Azure AD é sincronizada com o Apple Business Manager, é criado um ID de pessoa para a conta de utilizador do Apple Business Manager. O ID de pessoa e o ID de objeto são utilizados para identificar contas em conflito.
Se alterar o ID de pessoa de uma conta importada a partir do SCIM, esta deixará de ser emparelhada com o Azure AD. Se tiver alterado o ID de pessoa de uma conta importada a partir do SCIM e pretender restabelecer ligação entre a conta e o SCIM, consulte Resolver os conflitos de contas de utilizador do SCIM.
Recomendações
Só deve utilizar a app Apple Business Manager do Azure AD ao estabelecer ligação ao SCIM.
Se tiver um domínio confirmado, mas não tiver ativado a autenticação vinculada, deve aguardar para ativar a vinculação depois de ter confirmado que os utilizadores do Azure AD foram enviados para o Apple Business Manager. Faça‑o ao visualizar os registos de aprovisionamento do Azure AD. Depois de confirmar que os utilizadores do Azure AD foram enviados, receberá uma notificação de uma atividade quando ativar a vinculação e as contas do Azure AD forem fornecidas. Se a vinculação já estiver ativada quando os utilizadores do Azure AD forem enviados, não verá nenhuma atividade, mas as contas continuarão a sincronizar.
Se tiver um grupo configurado no Azure AD, pode adicioná‑lo à app do Apple Business Manager no Azure AD em vez de adicionar todos os utilizadores.
Importante: Não utilize o mesmo nome de utilizador durante 30 dias na app do Apple Business Manager no Azure AD.
Antes de iniciar
Antes de iniciar, deve proceder da seguinte forma:
Configure e confirme o domínio que pretende utilizar. Consulte Associar a novos domínios.
Configure (mas não ative) a autenticação vinculada. Consulte Ativar e testar a autenticação vinculada.
Nota: Se a autenticação vinculada já estiver ativada, pode prosseguir à mesma. Consulte as recomendações apresentadas na secção anterior.
Determine o tipo de sincronização no Azure AD e, se necessário, crie grupos de sincronização apenas de contas atribuídas com a app do Apple Business Manager no Azure AD:
Sincronizar apenas os utilizadores atribuídos.
Sincronizar todos os utilizadores.
Entre em contacto com uma pessoa com a função de administração do Azure AD com permissões para editar aplicações empresariais. Quando ambos estiverem preparados, consulte Utilizar o SCIM para importar utilizadores.