
ข้อมูลเบื้องต้นเกี่ยวกับการรับรองความถูกต้องแบบรวมศูนย์กับ Apple School Manager
คุณสามารถใช้ การรับรองความถูกต้องแบบรวมศูนย์ เพื่อเชื่อมโยง Apple School Manager กับสิ่งต่อไปนี้
Google Workspace
Microsoft Entra ID Open ID Connect (OIDC)
ผู้ให้บริการข้อมูลประจำตัว (IdP) รายใดก็ตามที่ใช้ OIDC หรือระบบสำหรับการจัดการข้อมูลประจำตัวข้ามโดเมน (SCIM)
หมายเหตุ: คุณสามารถเชื่อมโยงได้กับ Google Workspace, Microsoft Entra ID หรือ IdP แต่จะเชื่อมโยงได้แค่หนึ่งรายการในเวลาเดียวกัน
ด้วยเหตุนี้ ผู้ใช้จึงสามารถลงชื่อเข้าสู่ iPhone, iPad, Mac, Apple Vision Pro ที่ได้รับมอบหมาย และ iPad ที่แชร์ โดยใช้ชื่อผู้ใช้ที่มีอยู่ (โดยทั่วไปคือที่อยู่อีเมล) และรหัสผ่าน หลังจากลงชื่อเข้าในอุปกรณ์เหล่านี้แล้ว ผู้ใช้ยังสามารถลงชื่อเข้า iCloud บนเว็บใน Mac ได้ด้วย (iCloud สำหรับ Windows ไม่รองรับ บัญชี Apple ที่มีการจัดการ)
สิ่งสำคัญ: เมื่อการเชื่อมต่อหมดอายุ การทำระบบแบบรวมศูนย์และการซิงค์บัญชีผู้ใช้จะหยุดทำงาน คุณจำเป็นต้องเชื่อมต่อใหม่อีกครั้งเพื่อใช้การรับรองความถูกต้องและการซิงค์แบบรวมศูนย์ต่อ
สถานการณ์ที่คุณอาจใช้การรับรองความถูกต้องแบบรวมศูนย์มีดังนี้:
การรับรองความถูกต้องแบบรวมศูนย์เท่านั้น
เมื่อ Apple School Manager กับ Google Workspace, Microsoft Entra ID หรือ IdP ของคุณเชื่อมโยงกันแล้ว บัญชี Apple ที่มีการจัดการจะถูกสร้างขึ้นให้แก่ผู้ใช้โดยอัตโนมัติ จากนั้นผู้ใช้จะสามารถลงชื่อเข้าได้ด้วยชื่อผู้ใช้ (โดยทั่วไปคือที่อยู่อีเมล) และรหัสผ่านที่มีอยู่
โปรดดูข้อมูลต่อไปนี้
การรับรองความถูกต้องแบบรวมศูนย์ที่มีการซิงค์ไดเรกทอรี
คุณยังสามารถซิงค์บัญชีผู้ใช้จาก Google Workspace, Microsoft Entra ID หรือ IdP ของคุณไปยัง Apple School Manager ได้ เมื่อคุณตั้งค่าการเชื่อมต่อการซิงค์ไดเรกทอรี คุณสามารถเพิ่มคุณสมบัติ Apple School Manager (เช่น ระดับชั้นเรียนและบทบาท) ลงในข้อมูลบัญชีผู้ใช้ที่นำเข้าจาก 1 ในบริการเหล่านั้นได้ ข้อมูลบัญชีผู้ใช้ของบริการจะได้รับการเพิ่มเป็นแบบอ่านอย่างเดียวจนกว่าคุณจะปิดใช้การซิงค์ ในเวลานั้น บัญชีดังกล่าวจะกลายเป็นบัญชีแบบดำเนินการด้วยตนเองและจะสามารถแก้ไขคุณลักษณะในบัญชีเหล่านี้ได้ หากบัญชีผู้ใช้ถูกลบออกจากบริการเหล่านั้น ก็จะสามารถลบบัญชีผู้ใช้ดังกล่าวออกจาก Apple School Manager ได้ ดูข้อมูลต่อไปนี้:
การรับรองความถูกต้องแบบรวมศูนย์ด้วยผู้ใช้จากระบบข้อมูลนักเรียน (SIS) หรือด้วยไฟล์ .csv ที่อัปโหลดโดยใช้ SFTP
หากคุณกำลังผสานรวมกับ SIS หรือนำเข้าบัญชีผู้ใช้ด้วย SFTP และจะใช้การรับรองความถูกต้องแบบรวมศูนย์:
เปิดและกำหนดค่าการรับรองความถูกต้องแบบรวมศูนย์ก่อน
ที่อยู่อีเมลของผู้ใช้ใน SIS ต้องตรงกับชื่อผู้ใช้ใน Google Workspace, Microsoft Entra ID หรือ IdP ที่ใช้ในการลงชื่อเข้าเรียบร้อยแล้ว
คุณสามารถผสานรวมกับ SIS ของคุณหรืออัปโหลดไฟล์ .csv ด้วย Secure File Transfer Protocol (SFTP) ได้ ข้อมูลทั้งหมด เช่น ชั้นเรียนและบัญชีรายชื่อจะตรงกับผู้ใช้จาก Google Workspace, Microsoft Entra ID หรือ IdP ของคุณ หากบัญชีผู้ใช้ถูกลบออกจาก Google Workspace, Microsoft Entra ID หรือ IdP ของคุณ บัญชีผู้ใช้ดังกล่าวจะต้องถูกปิดใช้งานใน Apple School Manager โดยบัญชีที่มีสิทธิ์เปลี่ยนแปลงสถานะของผู้ใช้
การรับรองความถูกต้องแบบรวมศูนย์กับ iPad ที่แชร์
เมื่อคุณใช้การรับรองความถูกต้องแบบรวมศูนย์กับ iPad ที่แชร์ ขั้นตอนการลงชื่อเข้าจะแตกต่างกันไปขึ้นอยู่กับว่าบัญชีผู้ใช้นั้นอยู่ใน Apple School Manager อยู่แล้วหรือไม่ หากต้องการดูสถานการณ์การลงชื่อเข้าใช้ โปรดดูหัวข้อลงชื่อเข้าใช้ iPad ที่แชร์
นโยบายรหัสเริ่มต้นเป็นค่ามาตรฐาน (ตัวอักษรและตัวเลข 8 ตัวขึ้นไป) และสามารถเปลี่ยนแปลงได้ โปรดดู สถานการณ์การใช้นโยบายรหัสผ่าน
หากผู้ใช้ลืมรหัสของตนเอง คุณจำเป็นต้องรีเซ็ตรหัส iPad ที่แชร์
ก่อนที่คุณจะเริ่มต้น
ก่อนที่คุณจะใช้การรับรองความถูกต้องแบบรวมศูนย์กับ Google Workspace, Microsoft Entra ID หรือ IdP ของตนเอง โปรดพิจารณาสิ่งต่อไปนี้:
ข้อกำหนด
อุปกรณ์ Apple ต้องเป็นไปตามข้อกำหนดขั้นต่ำของระบบปฏิบัติการขั้นต่ำดังต่อไปนี้:
iOS 15.5
iPadOS 15.5
macOS 12.4
visionOS 1.1
คุณต้องยกเลิกการเชื่อมต่อจากระบบข้อมูลนักเรียน (SIS) ของตนเองหรือหยุดการอัปโหลดที่ใช้ SFTP
คุณต้องล็อกและเปิดกระบวนการจับโดเมน ดู ล็อกโดเมน
ไม่มีข้อขัดแย้งบัญชี Apple ที่มีการจัดการ โปรดดู ข้อขัดแย้งบัญชี Apple ที่มีการจัดการ
บัญชีผู้ใช้ที่มีบทบาทผู้ดูแลระบบ ผู้จัดการไซต์ หรือผู้จัดการบุคคลจะไม่สามารถลงชื่อเข้าโดยใช้การรับรองความถูกต้องแบบรวมศูนย์ได้ โดยจะสามารถจัดการกระบวนการการทำระบบแบบรวมศูนย์ได้เท่านั้น
เมื่อใช้การรับรองความถูกต้องแบบรวมศูนย์ ระบบจะไม่ใช้การตั้งค่ารูปแบบเริ่มต้นของบัญชี Apple ที่มีการจัดการ
ข้อกำหนดเฉพาะของ IdP
เมื่อเชื่อมโยงกับ Google Workspace
การรับรองความถูกต้องแบบรวมศูนย์ต้องใช้ที่อยู่อีเมลของผู้ใช้เป็นชื่อผู้ใช้ ไม่รองรับนามแฝง
เมื่อเชื่อมโยงกับ Microsoft Entra ID
คุณต้องใช้ผู้ใช้ที่มีบทบาทเป็นผู้ดูแลระบบส่วนกลาง Entra ID เพื่อดำเนินการ อนุมัติการรับรองความถูกต้องแบบรวมศูนย์ ด้านล่าง หลังจากเชื่อมต่อสำเร็จ คุณสามารถเปลี่ยนบทบาทของผู้ใช้จากผู้ดูแลระบบส่วนกลางเป็นบทบาทอื่นซึ่งมีสิทธิ์ที่จำเป็นเพื่อรักษาการเชื่อมต่อเอาไว้ได้ โปรดดูข้อมูลเพิ่มเติมที่ บทบาทเริ่มต้นของ Microsoft ที่รองรับโดเมน การซิงค์ไดเรกทอรี และการอ่านโดเมน
การรับรองความถูกต้องแบบรวมศูนย์กับ Microsoft Entra ID กำหนดให้ userPrincipalName (UPN) ของผู้ใช้ต้องตรงกับที่อยู่อีเมล ไม่รองรับนามแฝงของ userPrincipalName และ ID รอง
เมื่อเชื่อมโยงกับ IdP คุณต้องมีข้อมูลต่อไปนี้:
โดเมนที่ผ่านการตรวจสอบยืนยันซึ่งคุณต้องการใช้ ดูเพิ่มและยืนยันโดเมน
วิธีการลงชื่อเข้า: ใช้ Open ID Connect (OIDC)
การเข้าถึงแบบมีขอบเขต: ต้องให้สิทธิ์การเข้าถึง
ssf.manage
และssf.read
URL การกำหนดค่า Shared Signals Framework (SSF): ศึกษาเอกสารประกอบจาก IdP ของคุณ
URL การกำหนดค่า OpenID: ศึกษาเอกสารประกอบจาก IdP ของคุณ
การเปลี่ยนแปลงโดยอัตโนมัติ
สำหรับผู้ใช้ Apple School Manager ปัจจุบันที่มีที่อยู่อีเมลในโดเมนแบบรวมศูนย์ บัญชี Apple ที่มีการจัดการจะถูกเปลี่ยนให้ตรงกับที่อยู่อีเมลนั้นโดยอัตโนมัติ