ใช้การรับรองความถูกต้องแบบรวมศูนย์กับ Microsoft Azure AD ใน Apple School Manager
ใน Apple School Manager คุณสามารถเชื่อมโยงไปยัง Microsoft Azure Active Directory (Azure AD) เพื่อให้ผู้ใช้สามารถลงชื่อเข้าด้วยชื่อผู้ใช้และรหัสผ่าน Azure AD ของตนเองได้
Azure AD เป็นผู้ให้บริการข้อมูลประจำตัว (IdP) ซึ่งรับรองความถูกต้องของผู้ใช้สำหรับ Apple School Manager และออกโทเค็นการรับรองความถูกต้อง การรับรองความถูกต้องนี้รองรับการรับรองความถูกต้องของใบรับรองและการตรวจสอบสิทธิ์สองปัจจัย (2FA) เนื่องจาก Apple School Manager รองรับ Azure AD ดังนั้น IdP อื่นๆ ที่เชื่อมต่อกับ Azure AD เช่น Active Directory Federation Services (AD FS) ก็จะสามารถทำงานกับ Apple School Manager ได้เช่นกัน
สิ่งสำคัญ: การรับรองความถูกต้องแบบรวมศูนย์กำหนดให้ "ชื่อหลักของผู้ใช้" (UPN) ของผู้ใช้ต้องตรงกับที่อยู่อีเมล ไม่รองรับนามแฝงของ "ชื่อหลักของผู้ใช้" หรือ ID สำรอง
การรับรองความถูกต้องแบบรวมศูนย์และการซิงค์ไดเรกทอรีกับผู้เช่าของ Microsoft
หากต้องการเพิ่มแอป Apple School Manager Azure AD ด้วยผู้เช่าของ Microsoft ผู้ดูแลระบบผู้เช่าต้องดำเนินขั้นตอนการตั้งค่าการรับรองความถูกต้องแบบรวมศูนย์ รวมถึงการทดสอบการรับรองความถูกต้อง เมื่อการรับรองความถูกต้องเสร็จสมบูรณ์ แอป Apple School Manager Azure AD จะเผยแพร่ในผู้เช่า และผู้ดูแลระบบจะสามารถรวมศูนย์โดเมนและกำหนดค่า Apple School Manager ให้ใช้ SCIM (ระบบสำหรับการจัดการข้อมูลประจำตัวข้ามโดเมน) สำหรับการซิงค์ไดเรกทอรีได้ โปรดดู ตรวจสอบข้อกำหนด SCIM
ก่อนที่คุณจะเริ่ม
การเชื่อมโยง Apple School Manager กับ Azure AD และใช้การรับรองความถูกต้องแบบรวมศูนย์มีสามขั้นตอนดังนี้:
เพิ่มและยืนยันโดเมน ดู เชื่อมโยงไปยังโดเมนใหม่
โดเมนหลายโดเมนสามารถทำระบบแบบรวมศูนย์พร้อมกันได้ แต่โดเมนเหล่านั้นต้องมาจากผู้เช่าสาธารณะเดียวกันเพียงหนึ่งราย หากคุณกำลังพยายามทำระบบแบบรวมศูนย์สำหรับโดเมนที่คุณได้ยืนยันแล้ว แต่มีองค์กรอื่นได้ทำระบบแบบรวมศูนย์สำหรับโดเมนเดียวกันดังกล่าวไปแล้ว คุณต้องติดต่อองค์กรนั้นเพื่อระบุว่าผู้ใดมีอำนาจในการทำระบบแบบรวมศูนย์สำหรับโดเมนนั้น โปรดดู เกี่ยวกับความขัดแย้งของโดเมน
สิ่งสำคัญ: การทดสอบการรับรองความถูกต้องแบบรวมศูนย์ยังเปลี่ยนรูปแบบเริ่มต้นของ Apple ID ที่ได้รับการจัดการด้วย บัญชีใหม่ที่สร้างในระบบข้อมูลนักเรียน (SIS) หรืออัปโหลดโดยใช้ Secure File Transfer Protocol (SFTP) จะใช้ Apple ID ที่ได้รับการจัดการรูปแบบใหม่
กำหนดค่ากระบวนการรับรองความถูกต้องแบบรวมศูนย์
ทดสอบการรับรองความถูกต้องกับบัญชีเดียวของโดเมน Azure AD
กำหนดค่ากระบวนการรับรองความถูกต้องแบบรวมศูนย์
การดำเนินการนี้จะช่วยให้ Azure AD เชื่อถือ Apple School Manager
ใน Apple School Manager ให้ลงชื่อเข้าด้วยผู้ใช้ที่มีบทบาทผู้ดูแลระบบ ผู้จัดการไซต์ หรือผู้จัดการบุคคล
เลือกชื่อของคุณที่ด้านล่างของแถบด้านข้าง แล้วเลือก "การตั้งค่า" จากนั้นเลือก "บัญชี"
ถัดจาก "การรับรองความถูกต้องแบบรวมศูนย์" ให้เลือก "แก้ไข" จากนั้นเลือก "เชื่อมต่อ"
เลือก "ลงชื่อเข้าด้วย Microsoft" แล้วป้อนบัญชีผู้ดูแลระบบส่วนกลาง ผู้ดูแลระบบแอปพลิเคชัน หรือผู้ดูแลระบบแอปพลิเคชันคลาวด์ของ Microsoft Azure AD จากนั้นเลือก "ถัดไป"
ป้อนรหัสผ่านของบัญชี จากนั้นเลือก "ลงชื่อเข้า"
อ่านข้อตกลงของแอปพลิเคชันอย่างรอบคอบ แล้วเลือก "ยอมรับ"
คุณยินยอมให้ Microsoft มอบสิทธิ์การเข้าถึงข้อมูลที่พบใน Azure AD แก่ Apple
เลือก "เสร็จสิ้น"
หมายเหตุ: หลังจากที่คุณทำขั้นตอนนี้เสร็จแล้ว ผู้ใช้จะไม่สามารถสร้าง Apple ID ส่วนตัวรายการใหม่บนโดเมนที่คุณกำหนดค่าได้ ซึ่งอาจจะส่งผลกระทบกับบริการของ Apple อื่นๆ ที่คุณใช้ โปรดดู ถ่ายโอนบริการของ Apple เมื่อทำระบบแบบรวมศูนย์
ในบางกรณี คุณอาจไม่สามารถเพิ่มโดเมนของคุณได้ โดยมีเหตุผลที่พบบ่อยดังนี้:
บัญชีผู้ดูแลระบบส่วนกลาง ผู้ดูแลระบบแอปพลิเคชัน หรือผู้ดูแลระบบแอปพลิเคชันคลาวด์ของ Microsoft Azure AD ที่ใช้ไม่มีสิทธิ์เพิ่มโดเมนใน Azure AD
ชื่อผู้ใช้หรือรหัสผ่านจากบัญชีในขั้นตอนที่ 4 ไม่ถูกต้อง
ทดสอบการรับรองความถูกต้องกับบัญชี Azure AD
การดำเนินการนี้จะช่วยให้ Apple School Manager เชื่อถือ Azure AD หลังจากที่คุณได้ยืนยันความเป็นเจ้าของโดเมนของคุณและทดสอบการรับรองความถูกต้องด้วยบัญชี Azure AD หนึ่งรายการสำเร็จแล้ว คุณจะสามารถสร้างบัญชีเพิ่มเติมและทำระบบแบบรวมศูนย์สำหรับโดเมนของคุณต่อได้
เลือก "ทำระบบแบบรวมศูนย์" ถัดจากโดเมนที่คุณต้องการทำระบบแบบรวมศูนย์
เลือก "ลงชื่อเข้า Microsoft Azure Portal" จากนั้นป้อนชื่อผู้ใช้และรหัสผ่านของคุณ
ป้อนบัญชีผู้ดูแลระบบส่วนกลาง ผู้ดูแลระบบแอปพลิเคชัน หรือผู้ดูแลระบบแอปพลิเคชันคลาวด์ของ Microsoft Azure AD ที่มีอยู่ในโดเมน จากนั้นเลือก "ถัดไป"
ป้อนรหัสผ่านของบัญชี แล้วเลือก "ลงชื่อเข้า" จากนั้นเลือก "เสร็จสิ้น" แล้วเลือก "เสร็จสิ้น" อีกครั้ง
ในบางกรณี คุณอาจไม่สามารถลงชื่อเข้าใช้โดเมนของคุณได้ ตัวอย่างของเหตุผลที่พบบ่อยมีดังนี้:
ชื่อผู้ใช้หรือรหัสผ่านจากโดเมนที่คุณเลือกทำระบบแบบรวมศูนย์ไม่ถูกต้อง
บัญชีไม่ได้อยู่ในโดเมนที่คุณเลือกทำระบบแบบรวมศูนย์
หลังจากลงชื่อเข้าสำเร็จ Apple School Manager จะตรวจหาความขัดแย้งของชื่อผู้ใช้กับโดเมนนี้ โดยจะต้องตรวจสอบความขัดแย้งของชื่อผู้ใช้ก่อนที่คุณจะใช้การรับรองความถูกต้องแบบรวมศูนย์กับโดเมนนี้
หมายเหตุ: หลังจากที่คุณเชื่อมโยง Apple School Manager กับ Azure AD แล้ว คุณสามารถเปลี่ยนบทบาทของบัญชีเป็นบทบาทอื่นได้ ตัวอย่างเช่น คุณอาจต้องการเปลี่ยนบทบาทของบัญชีเป็นบทบาทผู้สอน
เปิดใช้การรับรองความถูกต้องแบบรวมศูนย์
ก่อนที่คุณจะเปิดการรับรองความถูกต้องแบบรวมศูนย์ ให้ตรวจสอบว่าคุณได้เชื่อมโยงและตรวจสอบยืนยันโดเมนใหม่แล้ว
หมายเหตุ: หากคุณวางแผนที่จะเชื่อมต่อกับ Azure AD โดยใช้ SCIM คุณควรรอให้เชื่อมต่อ SCIM สำเร็จแล้ว จากนั้นจึงเปิดใช้การรับรองความถูกต้องแบบรวมศูนย์
ใน Apple School Manager ให้ลงชื่อเข้าด้วยผู้ใช้ที่มีบทบาทผู้ดูแลระบบ ผู้จัดการไซต์ หรือผู้จัดการบุคคล
เลือกชื่อของคุณที่ด้านล่างของแถบด้านข้าง แล้วเลือก "การตั้งค่า" จากนั้นเลือก "บัญชี"
เลือก "แก้ไข" ในส่วน "โดเมน" จากนั้นเปิดใช้การรับรองความถูกต้องแบบรวมศูนย์ของโดเมนที่เพิ่มลงใน Apple School Manager เรียบร้อยแล้ว
การอัปเดตบัญชีทั้งหมดอาจใช้เวลาสักครู่
ทดสอบการรับรองความถูกต้องแบบรวมศูนย์
คุณสามารถทดสอบการเชื่อมต่อการรับรองความถูกต้องแบบรวมศูนย์หลังจากดำเนินการดังต่อไปนี้:
คุณได้เชื่อมต่อและยืนยันโดเมนของคุณเรียบร้อยแล้ว
ตรวจสอบความขัดแย้งของชื่อผู้ใช้เสร็จเรียบร้อยแล้ว
อัปเดตรูปแบบเริ่มต้นของ Apple ID ที่ได้รับการจัดการแล้ว
หมายเหตุ: ผู้ใช้ที่มีบทบาทผู้ดูแลระบบ ผู้จัดการไซต์ หรือผู้จัดการบุคคลจะไม่สามารถลงชื่อเข้าโดยใช้การรับรองความถูกต้องแบบรวมศูนย์ได้ โดยจะสามารถจัดการกระบวนการการทำระบบแบบรวมศูนย์ได้เท่านั้น
ใน Apple School Manager ให้ลงชื่อเข้าด้วยผู้ใช้ที่ไม่มีบทบาทผู้ดูแลระบบ เจ้าหน้าที่ หรือนักเรียน
หากพบชื่อผู้ใช้ที่คุณใช้ลงชื่อเข้า หน้าจอใหม่จะระบุว่าคุณกำลังลงชื่อเข้าด้วยผู้ใช้หนึ่งในโดเมนของคุณ
เลือก "ดำเนินการต่อ" แล้วป้อนรหัสผ่านของผู้ใช้รายนั้น จากนั้นเลือก "ลงชื่อเข้า"
ลงชื่อออกจาก Apple School Manager
หมายเหตุ: ผู้ใช้จะไม่สามารถลงชื่อเข้า iCloud.com ได้ เว้นแต่ว่าผู้ใช้จะลงชื่อเข้าด้วย Apple ID ที่ได้รับการจัดการในอุปกรณ์ Apple เครื่องอื่นก่อน