Використання обʼєднаної автентифікації за допомогою Microsoft Entra ID в Apple Business Manager
Унаслідок цього користувачі зможуть використовувати свої облікові дані Google Workspace як керований обліковий запис Apple. За допомогою цих облікових даних вони можуть входити в систему призначених їм пристроїв iPhone, iPad, Mac, Apple Vision Pro та спільного iPad. Після входу на цих пристроях вони зможуть входити в iCloud у браузері.
В Apple Business Manager ви можете підʼєднатися до Microsoft Entra ID за допомогою обʼєднаної автентифікації, щоб дозволити користувачам входити в систему пристроїв Apple за допомогою свого імені користувача Microsoft Entra ID (зазвичай це е‑адреса користувача) і пароля.
Унаслідок цього користувачі зможуть використовувати свої облікові дані Microsoft Entra ID як керований обліковий запис Apple. За допомогою цих облікових даних вони можуть входити в систему призначених їм пристроїв iPhone, iPad, Mac, Apple Vision Pro та спільного iPad. Після входу на одному з цих пристроїв вони можуть також увійти в iCloud через Інтернет на комп’ютері Mac (iCloud для Windows не підтримує керовані облікові записи Apple).
Microsoft Entra ID — це постачальник ідентифікаційних даних (IdP), який автентифікує користувачів в Apple Business Manager і видає токени автентифікації. Такий тип автентифікації підтримує автентифікацію за допомогою сертифіката та двофакторну автентифікацію (2FA).
Ролі Microsoft за умовчанням, які підтримують домени, синхронізацію каталогів і читання доменів
Якщо ви хочете змінити роль, після успішного виконання завдання Схвалення об’єднаної автентифікації, у вас є 2 варіанти редагування облікового запису з поточною роллю Глобального адміністратора Microsoft Entra ID.
Виберіть одну з указаних ролей:
Глобальний зчитувач
Адміністратор програми
Адміністратор хмарної програми
Змініть обліковий запис так, щоб у ньому були наступні 2 ролі: Зчитувач каталогів і Зчитувач звітів.
Обидва варіанти забезпечують доступ, необхідний для Apple Business Manager:
Список усіх доменів: microsoft.directory/domains/standard/read
Каталог усіх користувачів: microsoft.directory/users/standard/read
Журнали аудиту подій безпеки: microsoft.directory/auditLogs/allProperties/read
Процес обʼєднаної автентифікації
Процес складається із трьох основних кроків:
Схвалення об’єднаної автентифікації.
Перевірте об’єднану автентифікацію за допомогою одного облікового запису користувача Microsoft Entra ID.
Увімкнення обʼєднаної автентифікації.
Важливо! Перш ніж налаштовувати об’єднану автентифікацію, ознайомтеся з наведеними нижче пунктами.
Крок 1. Схвалення обʼєднаної автентифікації
Перший крок — установити надійний зв’язок між Microsoft Entra ID та Apple Business Manager. Це завдання має виконувати користувач із роллю Глобального адміністратора в Microsoft Entra ID.
Примітка. Після виконання цього кроку користувачі не зможуть створювати особисті облікові записи Apple в сконфігурованому вами домені. Це може вплинути на інші служби Apple, до яких користувачі мають доступ. Див. розділ Перенесення сервісів Apple у керований Обліковий запис Apple.
В Apple Business Manager
увійдіть в обліковий запис користувача, що має роль адміністратора або менеджера з персоналу.У нижній частині бічної панелі виберіть своє ім’я, натисніть «Уподобання»
, виберіть Керовані облікові записи Apple 
, а потім — «Початок роботи» в розділі «Вхід користувача та синхронізація каталогів».Виберіть Microsoft Entra ID, а потім натисніть кнопку «Продовжити».
Виберіть «Увійти за допомогою Microsoft», введіть ім’я користувача глобального адміністратора Microsoft Entra ID, а потім натисніть «Далі».
Введіть пароль для облікового запису, а потім натисніть «Увійти».
Уважно прочитайте умови програми, виберіть «Згода від імені установи» (Consent on behalf of your organization), а потім — «Прийняти».
Ви погоджуєтеся з тим, що корпорація Microsoft надаватиме Apple доступ до інформації, знайденої в Microsoft Entra ID.
За потреби перегляньте перевірені й конфліктні домени.
Натисніть «Готово».
За необхідності ви можете змінити роль користувача в Microsoft Entra ID з Глобального адміністратора на підтримувану роль із необхідними привілеями. Детальніше дивіться в розділі Ролі Microsoft за умовчанням, які підтримують домени, синхронізацію каталогів і читання доменів.
У деяких випадках вам може не вдаватись увійти у свій домен. Ось деякі поширені причини:
Неправильне імʼя користувача або пароль з облікового запису, указаного в кроці 4.
Крок 2. Перевірка автентифікації за допомогою одного облікового запису користувача Microsoft Entra ID
Важливо! Перевірка обʼєднаної автентифікації також змінить стандартний формат керованих облікових засобів Apple.
Ви можете перевірити підключення обʼєднаної автентифікації після виконання таких завдань:
Перевірку на наявність конфліктів імен користувачів завершено.
Оновлено стандартний формат керованих облікових записів Apple.
Після під’єднання Apple Business Manager до Microsoft Entra ID ви можете змінити роль облікового запису користувача на іншу роль. Наприклад, можливо, ви захочете змінити роль облікового запису користувача на роль «Персонал».
Примітка. Облікові записи користувачів із роллю адміністратора або менеджера з персоналу не можуть входити, використовуючи обʼєднану автентифікацію, а лише керувати процесом обʼєднання.
Поруч із доменом, який потрібно обʼєднати, натисніть «Обʼєднати».
Виберіть «Увійти на порталі Microsoft Entra ID» (Sign in to Microsoft Entra ID Portal), введіть ім’я користувача Microsoft Entra ID від наявного в домені облікового запису, а потім натисніть «Далі».
Введіть пароль для облікового запису, натисніть «Увійти», потім — «Готово», а тоді ще раз «Готово».
У деяких випадках вам може не вдаватись увійти у свій домен. Ось деякі поширені причини:
Неправильне імʼя користувача або пароль з домену, який ви обрали для обʼєднання.
Обліковий запис не знаходиться в домені, який ви вирішили обʼєднати.
Крок 3. Увімкнення обʼєднаної автентифікації
В Apple Business Manager
увійдіть в обліковий запис користувача, що має роль адміністратора або менеджера з персоналу.У нижній частині бічної панелі виберіть своє ім’я, натисніть «Уподобання»
, а потім — «Керовані облікові записи Apple».У розділі «Домени» натисніть «Керування» поруч із доменом, який ви хочете об’єднати, а потім виберіть «Увімкнути вхід за допомогою Microsoft Entra ID».
Увімкніть «Вхід за допомогою Microsoft Entra ID».
За потреби ви можете синхронізувати облікові записи користувачів з Apple Business Manager. Див. розділ Синхронізація облікових записів користувачів із Microsoft Entra ID.