Folosirea autentificării federative cu Microsoft Entra ID în Apple School Manager
În Apple School Manager, puteți realiza asocierea cu serviciul global Microsoft Entra ID Open ID Connect (OIDC) (login.microsoftonline.com) folosind autentificarea federativă pentru a permite utilizatorilor să se autentifice pe dispozitivele lor Apple cu numele de utilizator Microsoft Entra ID (în general, adresa de e-mail) și parola pentru Microsoft Entra ID.
Notă: Integrarea cu cloud-urile naționale nu este acceptată în prezent.
Prin urmare, utilizatorii își pot folosi datele de autentificare Microsoft Entra ID drept cont Apple gestionat. Aceștia pot folosi apoi datele de autentificare respective pentru a se conecta la dispozitivele lor iPhone, iPad, Mac, Apple Vision Pro și iPad partajate. După ce s-au autentificat pe unul dintre aceste dispozitive, se pot conecta și la iCloud pe web de pe un Mac (iCloud pentru Windows nu acceptă conturi Apple gestionate).
Microsoft Entra ID este furnizorul de identități (IdP) care autentifică utilizatorul pentru Apple School Manager și emite identificatori de autentificare. Această autentificare acceptă autentificarea cu un certificat și autentificarea cu doi factori (2FA).
Notă: Niciodată nu se scrie niciun fel de date înapoi în Microsoft Entra ID.
Datele de asociere citite din Microsoft Entra ID
Următoarele informații sunt citite când vă asociați cu Microsoft Entra ID folosind Open ID Connect (OIDC):
Cerere de consimțământ pentru administratorul Microsoft Entra ID | Atributele utilizate de Apple și motivul | Interogare API sau domeniu de aplicare |
|---|---|---|
Atribute: revendicări id_token:
Motiv: pentru a conecta Apple School Manager cu Microsoft Entra ID folosind OIDC. | Interogare API: N/A Domeniu de aplicare:
| |
Atribute:
Motiv: pentru a prelua evenimentele de securitate care au avut loc pe conturile utilizatorilor din Microsoft Entra ID și pentru a lua măsurile de securitate corespunzătoare pentru conturile respective care sunt autentificate pe dispozitivele Apple. Când o parolă este schimbată sau invalidată de Microsoft Entra ID, sesiunea contului Apple gestionat este încheiată și utilizatorului i se va cere să se autentifice din nou. | interogare API:
Domeniu de aplicare: AuditLog.Read.All | |
Atribute:
Motiv: pentru a sincroniza domeniile confirmate din Microsoft Entra ID cu Apple School Manager. | Interogare API: N/A Domeniu de aplicare: Domain.Read.All | |
Atribute:
Motiv: pentru a sincroniza datele directorului din Microsoft Entra ID cu Apple School Manager. Notă: Acest domeniu de aplicare este utilizat și pentru atributele de sincronizare a directoarelor din tabelul de mai jos. | Interogare API: N/A Domeniu de aplicare: Directory.Read.All | |
Atribute: N/A Motiv: pentru a solicita un token de reîmprospătare în timpul fluxului aferent codului de autorizare. Tokenul de reîmprospătare este apoi utilizat pentru a solicita un token de acces. Tokenul de acces este utilizat pentru a citi:
| Interogare API: N/A Domeniu de aplicare: offline_access |
Cum sunt utilizate datele de asociere din Microsoft Entra ID pentru sincronizarea directoarelor
Următoarele informații sunt citite de Apple School Manager când vă asociați cu Microsoft Entra ID pentru sincronizarea directorului:
Atributele utilizatorului Microsoft Entra ID | Atributul utilizatorului Apple School Manager | Obligatoriu |
|---|---|---|
givenName | Prenume |  |
surname | Nume | |
userPrincipalName | Cont Apple gestionat și adrese de e-mail | |
displayName | Nume utilizator |  |
departament | Departament | |
costCenter | Centru de costuri | |
eliminat | Pentru eliminarea utilizatorului | |
Pentru mai multe informații, consultați articolul de asistență Microsoft Obținerea unui utilizator.
Rolurile implicite Microsoft care acceptă domenii, sincronizarea directorului și citirea domeniilor
Trebuie să folosiți un cont Microsoft cu rolul de Administrator global Entra ID pentru a finaliza sarcina Aprobați autentificarea federativă. După ce conexiunea a fost stabilită cu succes, dacă doriți să schimbați rolurile, aveți două opțiuni pentru a edita contul Microsoft:
Schimbați contul într-unul dintre următoarele roluri:
Cititor global
Administrator de aplicații
Administrator de aplicații Cloud
Schimbați contul Microsoft astfel încât să aibă următoarele două roluri: Cititor director și Cititor rapoarte.
Ambele opțiuni permit următorul tip de acces, care este necesar pentru Apple School Manager:
Citiți lista tuturor domeniilor: microsoft.directory/domains/standard/read
Citiți directorul tuturor utilizatorilor: microsoft.directory/users/standard/read
Citiți jurnalele de audit ale evenimentelor de securitate: microsoft.directory/auditLogs/allProperties/read
Procesul de autentificare federativă
Acest proces implică trei pași principali:
Aprobați autentificarea federativă.
Testați autentificarea federativă cu un singur cont de utilizator Microsoft Entra ID.
Activarea autentificării federative.
Important: Consultați următoarele înainte de a configura autentificarea federativă.
Pasul 1: Aprobați autentificarea federativă
Primul pas este să stabiliți o relație de încredere între Microsoft Entra ID și Apple School Manager. Această sarcină trebuie realizată de un cont Microsoft cu rolul de Administrator global în Microsoft Entra ID.
Notă: După ce finalizați acest pas, utilizatorii nu mai pot să creeze noi conturi Apple negestionate (personale) pe domeniul pe care îl configurați. Acest lucru ar putea afecta alte servicii Apple la care utilizatorii dvs. au acces. Consultați Transferul serviciilor Apple.
În Apple School Manager
, autentificați-vă cu un utilizator care are privilegii pentru gestionarea autentificării federative.Selectați-vă numele în partea de jos a barei laterale, selectați Preferințe
, selectați conturi Apple gestionate 
, apoi selectați Începeți în secțiunea „Autentificarea utilizatorilor și sincronizarea registrului”.Selectați Microsoft Entra ID, apoi selectați Continuați.
Selectați „Conectați-vă cu Microsoft”, introduceți numele de utilizator al administratorului global Microsoft Entra ID, apoi selectați Înainte.
Introduceți parola contului, apoi selectați Autentificați-vă.
Citiți cu atenție acordul de aplicație, selectați „Acceptați în numele organizației pe care o reprezentați", apoi selectați Acceptați.
Sunteți de acord ca Microsoft să acorde companiei Apple accesul la informațiile din Microsoft Entra ID.
Dacă este necesar, verificați și domeniile confirmate și aflate în conflict.
Selectați OK.
Dacă este necesar, puteți schimba rolul contul Microsoft în Microsoft Entra ID din Administrator global într-un rol acceptat cu privilegiile necesare. Pentru informații suplimentare, consultați Rolurile implicite Microsoft care acceptă domenii, sincronizarea directorului și citirea domeniilor.
În anumite cazuri, nu veți putea adăuga domeniul dorit. În general, cauzele sunt următoarele:
Numele de utilizator sau parola din contul de la pasul 4 este incorectă.
Pasul 2: Testați autentificarea cu un singur cont de utilizator Microsoft Entra ID
Important: Testul autentificării federative va schimba, de asemenea, formatul implicit al contului dvs. Apple gestionat. Noile conturi create în sistemul dvs. de gestionare a studenților (SIS) sau încărcate prin Secure File Transfer Protocol (SFTP) utilizează noul format de cont Apple gestionat.
Puteți testa conexiunea de autentificare federativă după efectuarea următoarelor acțiuni:
Verificarea conflictelor de nume de utilizator este finalizată.
Actualizarea formatului implicit de cont Apple gestionat.
După ce asociați cu succes Apple School Manager cu Microsoft Entra ID, puteți schimba rolul unui cont de utilizator. De exemplu, este posibil să doriți să schimbați rolul unui cont de utilizator în rol de Instructor.
Notă: Conturile de utilizatori cu rol de administrator, coordonator de centru sau coordonator de persoane nu se pot autentifica folosind autentificarea federativă; pot doar gestiona procesul de asociere.
Selectați Asociați din dreptul domeniului pe care doriți să îl asociați.
Selectați „Conectați-vă la portalul Microsoft Entra ID”, introduceți un nume de utilizator Microsoft Entra ID al unui cont care există în domeniu, apoi selectați Înainte.
Introduceți parola contului, selectați Autentificați-vă, selectați Finalizat și apoi din nou pe Finalizați.
În anumite cazuri, nu vă veți putea autentifica pe domeniul dvs. Iată câteva cauze frecvente:
Numele de utilizator sau parola domeniului ales pentru asociere este incorectă.
Contul nu ține de domeniul pe care ați ales să îl asociați.
Pasul 3: Activați autentificarea federativă
În Apple School Manager
, autentificați-vă cu un utilizator care are privilegii pentru gestionarea autentificării federative.Selectați-vă numele în partea de jos a barei laterale, selectați Preferințe
, apoi selectați conturi Apple gestionate .În secțiunea Domenii, selectați Gestionați din dreptul domeniului pe care doriți să îl asociați, apoi selectați „Activați autentificarea cu Microsoft Entra ID”.
Activați opțiunea „Autentificare cu Microsoft Entra ID”.
Dacă este necesar, puteți acum să sincronizați conturile de utilizatori la Apple School Manager. Consultați Sincronizarea conturilor de utilizatori din Microsoft Entra ID.