Azure AD-synkroniseringsbehörigheter med Apple Business manager
Du kan använda SCIM (System for Cross-domain Identity Management) för att importera användare i Apple Business Manager. Använd det här systemet för att slå samman Apple Business Manager-egenskaper (som till exempel roller) med användarkontodata importerade från Microsoft Azure Active Directory (Azure AD). Om du använder SCIM för att importera användare läggs kontoinformationen till i skrivskyddat läge tills du kopplar bort från SCIM. Då blir kontona manuella konton och attribut i dessa konton kan då redigeras. Den första synkroniseringen tar längre tid att utföra än kommande cykler, vilka inträffar ungefär en gång var fyrtionde minut så länge som Azure AD-etableringstjänsten körs. Se Etableringstips på Microsoft Azures dokumentationssida.
Azure AD-behörigheter
Följande roller i Azure AD kan använda SCIM för att synkronisera konton till Apple Business Manager:
Programadministratör
Molnprogramadministratör
Programägare
Global administratör
Se Inbyggda roller i Azure AD på Microsoft Azure AD-webbplatsen.
Azure AD-klienter
Om du vill använda SCIM med Apple Business Manager får din organisation inte ha samma Azure AD-klient som någon annan Apple Business Manager-organisation. Om du vill använda SCIM för din organisation kontaktar du Azure AD-administratören för att se till att ingen annan organisation använder din Azure AD-klient för SCIM.
Azure AD-grupper
I Azure AD använder båda synkroniseringsmetoderna ordet grupper, men endast användarkonton synkroniseras. Du kan lägga till Azure AD-grupper till Apple Business Manager Azure AD-appen. Om du till exempel har grupper i Azure AD som heter Teknik, Marknadsföring och Reklam kan du lägga till dessa grupper till Apple Business Manager Azure AD-appen. När du ansluter med SCIM synkroniseras endast konton i dessa grupper till Apple Business Manager.
Obs! Undergrupper stöds inte i Azure AD-appen för Apple Business Manager .
Omfattning av etablering
Det finns två metoder för att synkronisera konton från Azure AD till Apple Business Manager.
Synkronisera endast tilldelade användare och grupper: Det här alternativet synkroniserar endast kontona som visas i Apple Business Manager Azure AD-appen till Apple Business Manager. När du använder den här metoden för att synkronisera, måste Azure AD-konton ha rollen Användare för att synkronisera till Apple Business Manager.
Synkronisera alla användare och grupper: Det här alternativet synkroniserar alla konton (synkronisering av grupper stöds inte) som visas på Azure AD-användarfliken för Apple Business Manager och skapar Hanterade Apple-ID:n för alla federerade Azure AD-konton, även om du endast avser använda ett visst antal konton.
Se Microsoft-supportartiklarna Vad är automatiserad SaaS-app användaretablering i Azure AD? och Attributbaserad programetablering med omfångsfilter.
Etableringsnotiser
När du konfigurerar provisionering bör du använda e-postadressen till en användare som har rollen som administratör eller personansvarig så att de kan ta emot meddelanden från Azure AD.
SCIM och federerad autentisering
Om federering redan är aktiverat när Azure AD-konton skickas till Apple Business Manager kommer ingen aktivitet att visas men kontona kommer ändå att synkroniseras från den federerade domänen.
Azure AD är den identitetsleverantör (IdP) som autentiserar användaren för Apple Business Manager och som utfärdar autentiseringstoken. Eftersom Apple Business Manager har stöd för Azure AD kommer andra identitetsleverantörer som ansluter till Azure AD som Active Directory Federated Services (ADFS) också att fungera. Federerad autentisering använder SAML (Security Assertion Markup Language) för att ansluta Apple Business Manager till Azure AD.
Azure AD-användarkonton med roller för Apple Business Manager
När en användare kopieras från Azure AD med SCIM till Apple Business Manager är standardrollen Personal. När synkroniseringen har slutförts kan endast användarattributet Roller redigeras. Attributet lagras tillsammans med användarkontot i Apple Business Manager och skrivs inte tillbaka till Azure AD.
Attributmappning av SCIM-användare
När ett konto kopieras från Azure AD med SCIM till Apple Business Manager sparas följande attribut skrivskyddat. Tabellen visar även om användarattribut krävs.
Viktigt: Att lägga till attribut som inte anges i tabellen bryter SCIM-anslutningen.
Azure AD-användarattribut | Apple Business Manager användarattribut | Krävs |
---|---|---|
Förnamn | Förnamn | |
Efternamn | Efternamn | |
Avändarhuvudnamn (UPN - User Principal Name) | Hanterat Apple-ID och e-postadress | |
Objekt-ID | (Visas inte i Apple Business Manager. Det här attributet används för att identifiera konton med konflikter.) | |
Avdelning | Avdelning | |
Anställnings-ID | personligt nummer | |
Anpassat attribut (måste skapas i Apple Business Manager Azure AD-appen) | Kostnadsställe | |
Anpassat attribut (måste skapas i Apple Business Manager Azure AD-appen) | Division |
Avändarhuvudnamn (UPN - User Principal Name)
Om en användare har ett användarhuvudnamn (UPN – User Principal Name) som är exakt samma som en befintlig användare med rollen administratör utförs ingen synkronisering och källfältet förblir oförändrat.
Person-ID
När en Azure AD-användare synkroniseras till Apple Business Manager skapas ett Person-ID för Apple Business Manager-användarkontot. Person-ID och Objekt-ID används för att identifiera konton med konflikter.
Om du ändrar Person-ID för ett konto som tidigare har importerats från SCIM kommer det kontot inte längre att parkopplas med Azure AD. Om du ändrade Person-ID för ett konto som tidigare importerats från SCIM och vill återansluta kontot till SCIM kan du läsa Lösa konflikter för SCIM-användarkonton.
Rekommendationer
Du ska endast använda Apple Business Manager Azure AD-appen när du ansluter med SCIM.
Om du har en verifierad domän men inte har slagit på federerad autentisering ska du vänta med att slå på federering tills efter att du har verifierat att Azure AD-användare har skickats till Apple Business Manager. Det gör du genom att titta på Azure AD-etableringsloggarna. När du har verifierat att Azure AD-användarna har skickats, när du aktiverar federation, meddelas du av en aktivitet när Azure AD-användare tillhandahålls. Om federering redan är aktiverat när Azure AD-användare skickas kommer ingen aktivitet att visas men kontona kommer ändå att synkronisera.
Om du har en grupp konfigurerad i Azure AD kan du lägga till den gruppen till Apple Business Manager Azure AD-appen istället för att lägga till varje användare.
Viktigt: Undvik att återanvända ett användarnamn under 30 dagar i Apple Business Manager Azure AD-appen.
Innan du börjar
Innan du börjar måste du göra följande:
Konfigurera och verifiera domänen du vill använda. Se Länk till nya domäner.
Konfigurera (men aktivera inte) federerad autentisering. Se Aktivera och testa federerad autentisering.
Obs! Om federerad autentisering redan är aktiverat kan du fortfarande gå vidare. Se rekommendationerna i föregående avsnitt.
Avgör typen av synkronisering i Azure AD och skapa vid behov grupper för att synkronisera endast tilldelade konton till Apple Business Manager Azure AD-appen:
Synkronisera endast tilldelade användare.
Synkronisera alla användare.
Ring en Azure AD-administratör som har behörighet att redigera företagsprogram. När ni båda är redo, se Använd SCIM för att importera användare.