บทนำเกี่ยวกับการรับรองความถูกต้องแบบรวมศูนย์กับ Apple Business Manager
คุณสามารถใช้ การรับรองความถูกต้องแบบรวมศูนย์ เพื่อเชื่อมโยง Apple Business Manager กับสิ่งต่อไปนี้
Google Workspace
Microsoft Entra ID
ผู้ให้บริการข้อมูลประจำตัว (IdP) ของคุณ
หมายเหตุ: คุณสามารถเชื่อมโยงได้กับ Google Workspace, Microsoft Entra ID หรือ IdP แต่จะเชื่อมโยงได้แค่หนึ่งรายการในเวลาเดียวกัน
ด้วยเหตุนี้ ผู้ใช้จึงสามารถลงชื่อเข้า iPhone, iPad, Mac, Apple Vision Pro ที่ได้รับมอบหมาย และ iPad ที่แชร์กัน โดยใช้ชื่อผู้ใช้ที่มีอยู่ (โดยทั่วไปคือที่อยู่อีเมล) และรหัสผ่าน หลังจากลงชื่อเข้าในอุปกรณ์เหล่านี้แล้ว ผู้ใช้ยังสามารถลงชื่อเข้า iCloud บนเว็บไซต์ใน Mac ได้ด้วย (iCloud สำหรับ Windows ไม่รองรับบัญชี Apple ที่มีการจัดการ)
สิ่งสำคัญ: เมื่อการเชื่อมต่อหมดอายุ การทำระบบแบบรวมศูนย์และการซิงค์บัญชีผู้ใช้จะหยุดทำงาน คุณจะต้องเชื่อมต่อใหม่อีกครั้งเพื่อใช้การรับรองความถูกต้องและการซิงค์แบบรวมศูนย์ต่อไป
สถานการณ์ที่คุณอาจใช้การรับรองความถูกต้องแบบรวมศูนย์มีดังนี้:
การรับรองความถูกต้องแบบรวมศูนย์เท่านั้น
เมื่อ Apple Business Manager กับ Google Workspace, Microsoft Entra ID หรือ IdP ของคุณเชื่อมโยงกันแล้ว บัญชี Apple ที่มีการจัดการจะถูกสร้างขึ้นให้แก่ผู้ใช้โดยอัตโนมัติ จากนั้นผู้ใช้จะสามารถลงชื่อเข้าได้ด้วยชื่อผู้ใช้ (โดยทั่วไปคือที่อยู่อีเมล) และรหัสผ่านที่มีอยู่
ดูข้อมูลต่อไปนี้:
การรับรองความถูกต้องแบบรวมศูนย์ที่มีการซิงค์ไดเรกทอรี
คุณยังสามารถซิงค์บัญชีผู้ใช้จาก Google Workspace, Microsoft Extra ID หรือ IdP ของคุณไปยัง Apple Business Manager ได้ เมื่อคุณตั้งค่าการเชื่อมต่อการซิงค์ไดเรกทอรี คุณสามารถเพิ่มคุณสมบัติ Apple Business Manager (เช่น บทบาท) ลงในข้อมูลบัญชีผู้ใช้ที่นำเข้าจาก 1 ในบริการเหล่านั้นได้ ข้อมูลบัญชีผู้ใช้ของบริการจะได้รับการเพิ่มเป็นแบบอ่านอย่างเดียวจนกว่าคุณจะปิดใช้การซิงค์ ในเวลานั้น บัญชีดังกล่าวจะกลายเป็นบัญชีแบบดำเนินการด้วยตนเองและจะสามารถแก้ไขคุณลักษณะในบัญชีเหล่านี้ได้ หากบัญชีผู้ใช้ถูกลบออกจากบริการเหล่านั้น ก็จะสามารถลบบัญชีผู้ใช้ดังกล่าวออกจาก Apple Business Manager ได้ ดูข้อมูลต่อไปนี้:
การรับรองความถูกต้องแบบรวมศูนย์กับ iPad ที่แชร์
เมื่อคุณใช้การรับรองความถูกต้องแบบรวมศูนย์กับ iPad ที่แชร์ ขั้นตอนการลงชื่อเข้าจะแตกต่างกันไปขึ้นอยู่กับว่าบัญชีผู้ใช้นั้นอยู่ใน Apple Business Manager อยู่แล้วหรือไม่ หากต้องการดูสถานการณ์การลงชื่อเข้าใช้ โปรดดูหัวข้อลงชื่อเข้าใช้ iPad ที่แชร์
หากผู้ใช้ลืมรหัสของตน คุณต้องรีเซ็ตรหัส iPad ที่แชร์
ก่อนที่คุณจะเริ่ม
ก่อนที่คุณจะใช้การรับรองความถูกต้องแบบรวมศูนย์กับ Google Workspace, Microsoft Entra ID หรือ IdP ของตนเอง โปรดพิจารณาสิ่งต่อไปนี้:
ข้อกำหนด
อุปกรณ์ Apple จะต้องเป็นไปตาข้อกำหนดของระบบปฏิบัติการขั้นต่ำต่อไปนี้:
iOS 15.5
iPadOS 15.5
macOS 12.4
visionOS 1.1
คุณต้องล็อคและเปิดกระบวนการจับโดเมน ดูล็อคโดเมน
ไม่มีข้อขัดแย้งบัญชี Apple ที่มีการจัดการ โปรดดู ข้อขัดแย้งบัญชี Apple ที่มีการจัดการ
บัญชีผู้ใช้ที่มีบทบาทผู้ดูแลระบบหรือผู้จัดการบุคคลจะไม่สามารถลงชื่อเข้าโดยใช้การรับรองความถูกต้องแบบรวมศูนย์ได้ โดยจะสามารถจัดการกระบวนการการทำระบบแบบรวมศูนย์ได้เท่านั้น
เมื่อใช้การรับรองความถูกต้องแบบรวมศูนย์ ระบบจะไม่ใช้การตั้งค่ารูปแบบเริ่มต้นของบัญชี Apple ที่มีการจัดการ
ข้อกำหนดเฉพาะของ IdP
เมื่อเชื่อมโยงกับ Google Workspace
การรับรองความถูกต้องแบบรวมศูนย์ควรใช้ที่อยู่อีเมลของผู้ใช้เป็นชื่อผู้ใช้ ไม่รองรับนามแฝง
เมื่อเชื่อมโยงกับ Microsoft Entra ID
คุณต้องใช้ผู้ใช้ที่มีบทบาทเป็นผู้ดูแลระบบส่วนกลาง Entra ID เพื่อดำเนินขั้นตอนอนุมัติการรับรองความถูกต้องแบบรวมศูนย์ด้านล่าง หลังจากเชื่อมต่อสำเร็จ คุณสามารถเปลี่ยนบทบาทของผู้ใช้จากผู้ดูแลระบบส่วนกลางเป็นบทบาทอื่่นที่มีสิทธิ์ที่จำเป็นเพื่อรักษาการเชื่อมต่อเอาไว้ได้ สำหรับข้อมูลเพิ่มเติม โปรดดู บทบาทเริ่มต้นของ Microsoft ที่รองรับโดเมน การซิงค์ไดเรกทอรี และการอ่านโดเมน
การรับรองความถูกต้องแบบรวมศูนย์กับ Microsoft Entra ID กำหนดให้ userPrincipalName (UPN) ของผู้ใช้ต้องตรงกับที่อยู่อีเมล ไม่รองรับนามแฝงของ userPrincipalName และ ID รอง
เมื่อเชื่อมโยงกับ IdP คุณต้องมีข้อมูลต่อไปนี้:
โดเมนที่ผ่านการตรวจสอบยืนยันซึ่งคุณต้องการใช้ ดูเพิ่มและยืนยันโดเมน
วิธีการลงชื่อเข้า: ใช้ Open ID Connect (OIDC)
การเข้าแบบมีขอบเขต: ต้องให้สิทธิ์การเข้าถึง
ssf.manageและssf.readURL การกำหนดค่า Shared Signals Framework (SSF): ศึกษาเอกสารประกอบจาก IdP ของคุณ
URL การกำหนดค่า OpenID: ศึกษาเอกสารประกอบจาก IdP ของคุณ
การเปลี่ยนแปลงโดยอัตโนมัติ
สำหรับผู้ใช้ Apple Business Manager ปัจจุบันที่มีที่อยู่อีเมลในโดเมนแบบรวมศูนย์ บัญชี Apple ที่มีการจัดการจะถูกเปลี่ยนให้ตรงกับที่อยู่อีเมลนั้นโดยอัตโนมัติ