ความต้องการในการซิงค์ Microsoft Azure AD กับ Apple Business Manager
คุณสามารถใช้ "ระบบสำหรับการจัดการข้อมูลประจำตัวข้ามโดเมน" (SCIM) นำเข้าผู้ใช้สู่ Apple Business Manager ได้ เมื่อใช้ระบบนี้ คุณจะผสานคุณสมบัติของ Apple Business Manager (เช่น บทบาท) เข้ากับข้อมูลบัญชีผู้ใช้ที่นำเข้าจาก Microsoft Azure Active Directory (Azure AD) เมื่อคุณใช้ SCIM ในการนำเข้าผู้ใช้ ข้อมูลบัญชีจะถูกเพิ่มเป็นแบบอ่านอย่างเดียวจนกว่าคุณจะยกเลิกการเชื่อมต่อจาก SCIM ในเวลานั้น บัญชีดังกล่าวจะกลายเป็นบัญชีแบบดำเนินการด้วยตนเองและจะสามารถแก้ไขคุณลักษณะในบัญชีเหล่านี้ได้ การซิงค์ครั้งแรกจะใช้เวลาดำเนินการนานกว่ารอบต่อๆ ไปซึ่งจะเกิดขึ้นทุกๆ 40 นาทีโดยประมาณ ตราบเท่าที่บริการการจัดสรร Azure AD กำลังทำงานอยู่ ดู เคล็ดลับการจัดสรร ที่เว็บไซต์เอกสารประกอบ Microsoft Azure
สิทธิ์ของ Azure AD
บทบาทดังต่อไปนี้ใน Azure AD สามารถใช้ SCIM ในการซิงค์บัญชีไปยัง Apple Business Manager ได้:
ผู้ดูแลระบบแอปพลิเคชัน
ผู้ดูแลระบบคลาวด์
เจ้าของแอปพลิเคชัน
ผู้ดูแลระบบส่วนกลาง
ดู บทบาทในตัวของ Azure AD ที่เว็บไซต์ Microsoft Azure AD
ผู้เช่า Azure AD
หากต้องการใช้ SCIM กับ Apple Business Manager องค์กรของคุณต้องไม่มีผู้เช่า Azure AD เดียวกันกับองค์กร Apple Business Manager อื่นๆ หากคุณต้องการใช้ SCIM สำหรับองค์กรของคุณ ให้ติดต่อผู้ดูแลระบบ Azure AD ของคุณเพื่อให้แน่ใจว่าไม่มีองค์กรอื่นกำลังใช้ผู้เช่า Azure AD ของคุณสำหรับ SCIM อยู่
กลุ่ม Azure AD
ใน Azure AD การซิงค์ทั้งสองวิธีใช้คำว่ากลุ่ม แต่จะมีการซิงค์เฉพาะบัญชีผู้ใช้เท่านั้น คุณสามารถเพิ่มกลุ่ม Azure AD ไปยังแอป Apple Business Manager Azure AD ได้ ตัวอย่างเช่น หากคุณมีกลุ่มใน Azure AD ที่ชื่อว่าวิศวกรรม การตลาด และฝ่ายขาย คุณสามารถเพิ่มสามกลุ่มนี้ในแอป Apple Business Manager Azure AD ได้ เมื่อคุณเชื่อมต่อโดยใช้ SCIM เฉพาะบัญชีในกลุ่มเหล่านี้เท่านั้นที่จะซิงค์ไปยัง Apple Business Manager
หมายเหตุ: แอป Apple Business Manager Azure AD ไม่รองรับกลุ่มย่อย
ขอบเขตการจัดสรร
คุณสามารถซิงค์บัญชีจาก Azure AD ไปยัง Apple Business Manager ได้สองวิธี
ซิงค์เฉพาะผู้ใช้และกลุ่มที่ได้รับมอบหมายเท่านั้น: ตัวเลือกนี้จะซิงค์เฉพาะบัญชีที่ปรากฏอยู่ในแอป Apple Business Manager Azure AD ไปยัง Apple Business Manager เมื่อใช้วิธีนี้ในการซิงค์ บัญชี Azure AD จะต้องซิงค์บทบาทของผู้ใช้ไปยัง Apple Business Manager
ซิงค์ผู้ใช้และกลุ่มทั้งหมด: ตัวเลือกนี้จะซิงค์บัญชีทั้งหมด (ไม่รองรับการซิงค์กลุ่ม) ที่ปรากฏในแท็บ "ผู้ใช้ Azure AD" ไปยัง Apple Business Manager และสร้าง Apple ID ที่ได้รับการจัดการสำหรับบัญชี Azure AD แบบรวมศูนย์ทั้งหมด แม้ว่าคุณตั้งใจจะใช้งานบัญชีเพียงจำนวนหนึ่งเท่านั้น
ดูบทความการสนับสนุน Microsoft What is automated SaaS app user provisioning in Azure AD? (อะไรคือการกำหนดสิทธิ์ผู้ใช้แอป SaaS ที่ดำเนินการโดยอัตโนมัติใน Azure AD) และ Attribute-based application provisioning with scoping filters (การกำหนดสิทธิ์แอปพลิเคชันที่อิงตามแอตทริบิวต์ด้วยตัวกรองการกำหนดขอบเขต)
การแจ้งเตือนการจัดสรร
เมื่อคุณกำหนดค่าการจัดสรร คุณควรใช้ที่อยู่อีเมลของผู้ใช้ที่บทบาทเป็นผู้ดูแลระบบ หรือผู้จัดการบุคคล เพื่อให้พวกเขาได้รับการแจ้งเตือนจาก Azure AD ได้
SCIM และการรับรองความถูกต้องแบบรวมศูนย์
หากการรวมศูนย์เปิดอยู่แล้วในขณะที่ส่งบัญชี Azure AD ไปยัง Apple Business Manager คุณจะไม่เห็นกิจกรรม แต่บัญชีจะยังคงซิงค์จากโดเมนแบบรวมศูนย์อยู่
Azure AD เป็นผู้ให้บริการข้อมูลประจำตัว (IdP) ซึ่งรับรองความถูกต้องของผู้ใช้สำหรับ Apple Business Manager และออกโทเค็นการรับรองความถูกต้อง เนื่องจาก Apple Business Manager รองรับ Azure AD ดังนั้น IdP อื่นๆ ที่เชื่อมต่อกับ Azure AD เช่น Active Directory Federated Services (ADFS) จึงสามารถทำงานได้เช่นกัน การรับรองความถูกต้องแบบรวมศูนย์ใช้ Security Assertion Markup Language (SAML) เพื่อเชื่อมต่อ Apple Business Manager กับ Azure AD
บัญชีผู้ใช้ Azure AD และ Apple Business Manager
เมื่อมีการคัดลอกผู้ใช้จาก Azure AD ไปยัง Apple Business Manager โดยใช้ SCIM บทบาทตามค่าเริ่มต้นจะเป็นเจ้าหน้าที่ หลังจากการซิงค์เสร็จสิ้น คุณจะสามารถแก้ไขได้เฉพาะคุณลักษณะ "บทบาท" ของผู้ใช้ คุณลักษณะเหล่านี้จะจัดเก็บอยู่กับบัญชีผู้ใช้ใน Apple Business Manager และจะไม่เขียนกลับไปยัง Azure AD
การแมพคุณลักษณะผู้ใช้ SCIM
เมื่อใช้ SCIM คัดลอกบัญชีจาก Azure AD ไปยัง Apple Business Manager คุณลักษณะผู้ใช้ต่อไปนี้จะถูกจัดเก็บเป็นแบบอ่านอย่างเดียว ตารางนี้ยังระบุด้วยว่าจำเป็นต้องมีคุณลักษณะผู้ใช้หรือไม่
สิ่งสำคัญ: การเพิ่มคุณลักษณะที่ไม่แสดงอยู่ในตารางจะทำให้การเชื่อมต่อ SCIM หลุดการเชื่อมต่อ
คุณลักษณะผู้ใช้ Azure AD | คุณลักษณะผู้ใช้ Apple Business Manager | บังคับ |
---|---|---|
ชื่อ | ชื่อ | |
นามสกุล | นามสกุล | |
ชื่อหลักของผู้ใช้ | Apple ID ที่ได้รับการจัดการและที่อยู่อีเมล | |
ID วัตถุ | (ไม่แสดงใน Apple Business Manager คุณลักษณะนี้ใช้เพื่อระบุบัญชีที่ขัดแย้งกัน) | |
แผนก | แผนก | |
ID พนักงาน | หมายเลขบุคคล | |
คุณลักษณะที่กำหนดเอง (ต้องสร้างในแอป Apple Business Manager Azure AD) | ศูนย์ต้นทุน | |
คุณลักษณะที่กำหนดเอง (ต้องสร้างในแอป Apple Business Manager Azure AD) | ฝ่าย |
ชื่อหลักของผู้ใช้
หากผู้ใช้มีชื่อหลักของผู้ใช้ (UPN) ที่เหมือนกันทุกประการกับผู้ใช้ที่มีอยู่ ซึ่งมีบทบาทเป็นผู้ดูแลระบบ ระบบจะไม่ซิงค์ข้อมูล และช่องแหล่งที่มาจะไม่มีการเปลี่ยนแปลง
ID บุคคล
เมื่อบัญชีผู้ใช้ Azure AD ซิงค์กับ Apple Business Manager ระบบจะสร้าง ID บุคคลสำหรับบัญชีผู้ใช้ Apple Business Manager ID บุคคลและ ID วัตถุ ใช้เพื่อระบุบัญชีที่ขัดแย้งกัน
หากคุณแก้ไข ID บุคคลสำหรับบัญชีที่นำเข้าจาก SCIM ก่อนหน้านี้ บัญชีดังกล่าวจะไม่จับคู่กับ Azure AD อีกต่อไป หากคุณแก้ไข ID บุคคลสำหรับบัญชีที่นำเข้าจาก SCIM ก่อนหน้านี้และต้องการเชื่อมต่อบัญชีกับ SCIM อีกครั้ง ให้ดูแก้ไขความขัดแย้งของบัญชีผู้ใช้ SCIM
การแนะนำ
คุณควรใช้เพียงแอป Apple Business Manager Azure AD เท่านั้นเมื่อทำการเชื่อมต่อด้วย SCIM
หากคุณมีโดเมนที่ได้รับการตรวจสอบยืนยันแล้ว แต่ยังไม่ได้เปิดการรับรองความถูกต้องแบบรวมศูนย์ คุณควรรอเปิดการทำระบบแบบรวมศูนย์หลังจากที่คุณได้ตรวจสอบว่ามีการส่งผู้ใช้ Azure AD ไปยัง Apple Business Manager แล้ว ซึ่งทำได้โดยการดูบันทึกการจัดสรร Azure AD หลังจากตรวจสอบว่ามีการส่งผู้ใช้ Azure AD เรียบร้อยแล้ว เมื่อคุณเปิดการทำระบบแบบรวมศูนย์ คุณจะได้รับแจ้งด้วยกิจกรรมเมื่อมีการจัดสรรผู้ใช้ Azure AD หากการทำระบบแบบรวมศูนย์เปิดอยู่แล้วตอนที่มีการส่งผู้ใช้ Azure AD คุณจะไม่เห็นกิจกรรม แต่จะยังคงมีการซิงค์บัญชีอยู่
หากคุณมีกลุ่มที่กำหนดค่าไว้แล้วใน Azure AD คุณสามารถเพิ่มกลุ่มดังกล่าวไปยังแอป Apple Business Manager Azure AD แทนการเพิ่มผู้ใช้แต่ละรายได้
สิ่งสำคัญ: อย่าใช้ชื่อผู้ใช้ซ้ำเป็นเวลา 30 วันในแอป Apple Business Manager Azure AD
ก่อนที่คุณจะเริ่ม
ก่อนที่คุณจะเริ่ม คุณต้องดำเนินการดังต่อไปนี้:
กำหนดค่าและยืนยันโดเมนที่คุณต้องการใช้งาน ดู ลิงก์ไปยังโดเมนใหม่
กำหนดค่า (แต่อย่าเปิด) การรับรองความถูกต้องแบบรวมศูนย์ ดู เปิดและทดสอบการรับรองความถูกต้องแบบรวมศูนย์
หมายเหตุ: หากการรับรองความถูกต้องแบบรวมศูนย์เปิดอยู่แล้ว คุณยังสามารถดำเนินการต่อได้ ดูการแนะนำในส่วนก่อนหน้า
กำหนดประเภทของการซิงค์ใน Azure AD และหากจำเป็น ให้สร้างกลุ่มสำหรับการซิงค์เฉพาะบัญชีที่ได้รับมอบหมายไปยังแอป Apple Business Manager Azure AD ดังนี้:
ซิงค์เฉพาะผู้ใช้ที่ได้รับมอบหมาย
ซิงค์ผู้ใช้ทั้งหมด
มีผู้ดูแลระบบ Azure AD ที่มีสิทธิ์แก้ไขแอปพลิเคชันสำหรับองค์กรที่เตรียมพร้อมอยู่ เมื่อทั้งสองฝ่ายพร้อมแล้ว โปรดดู ใช้ SCIM นำเข้าผู้ใช้