在 Apple 商务管理中搭配 MS Azure AD 使用联合验证
成功登录管理员帐户并检查完用户名冲突后,你必须开启并测试联合验证。
要将 Apple 商务管理与 Azure AD 相关联并使用联合验证,需要完成一个三步骤流程:
1. 添加并验证域。请参阅关联新域。
2. 配置联合验证流程。
3. 使用单个 Azure AD 域帐户测试验证。
配置联合验证流程
此任务允许 Azure AD 信任 Apple 商务管理。
在 Apple 商务管理 中,使用具有管理员或人员经理职务的用户登录。
在边栏底部轻点你的姓名,轻点“偏好设置”,然后轻点“帐户”。
在“联合验证”旁边轻点“编辑”,然后轻点“连接”。
轻点“使用 Microsoft 登录”,输入 Microsoft Azure AD 全局管理员、应用程序管理员或云应用程序管理员帐户,然后轻点“下一步”。
输入该帐户的密码,然后轻点“登录”。
仔细阅读应用程序协议,然后轻点“接受”。
这表示你同意 Microsoft 授予 Apple 访问 Azure AD 中信息的权限。
轻点“完成”。
【注】完成这个步骤后,用户无法在你配置的域上创建新的个人 Apple ID。这可能会影响你使用的其他 Apple 服务。请参阅使用联合验证时转移 Apple 服务。
在部分情况下,你可能无法添加域。常见原因如下:
你所用的 Azure AD 全局管理员、应用程序管理员或云应用程序管理员帐户无权在 Microsoft Azure AD 中添加域。
第 4 步中帐户的用户名或密码不正确。
使用单个 Azure AD 帐户测试验证
此任务允许 Apple 商务管理信任 Azure AD。在验证了你的域所有权并使用单个 Azure AD 帐户成功测试了联合验证之后,你便可以创建其他帐户并继续联合你的域。
轻点你要联合的域旁边的“联合”。
轻点“登录 Microsoft Azure 门户”,然后输入你的用户名和密码。
输入存在于域中的 Microsoft Azure AD 全局管理员、应用程序管理员或云应用程序管理员帐户,然后轻点“下一步”。
输入帐户的密码,轻点“登录”,接着轻点“完成”,然后轻点“完成”。
在部分情况下,你可能无法登录域。常见原因如下:
你选择联合的域中的用户名或密码有误。
该帐户不属于你选择联合的域。
登录成功后,Apple 商务管理会检查用户名是否与此域冲突。你必须先完成用户名冲突检查,才能对此域使用联合验证。
【注】成功将 Apple 商务管理与 Azure AD 相关联后,你可以将帐户的职务更改为其他职务。例如,你可能希望将帐户的职务更改为职员职务。
开启联合验证
打开联合验证前,请确保你已关联至新的域并完成了域验证,而且已打开并测试了联合验证。
【注】如果你计划使用 SCIM 连接 Azure AD,请先等待 SCIM 连接成功,然后再打开联合验证。
在 Apple 商务管理 中,使用具有管理员或人员经理职务的用户登录。
在边栏底部轻点你的姓名,轻点“偏好设置”,然后轻点“帐户”。
在“域”部分轻点“编辑”,然后为已成功添加到 Apple 商务管理中的域开启联合验证。
更新所有帐户可能需要一段时间。
测试联合验证
完成以下任务后,你可以测试联合验证连接:
你已成功关联至自己的域并已完成域验证。
用户名冲突检查已完成。
已更新管理式 Apple ID 默认格式。
【注】具有管理员或人员经理职务的用户无法使用联合验证登录;他们只能管理联合流程。
在 Apple 商务管理 中,使用没有管理员职务的帐户登录。
如果找到了之前登录时使用的用户名,系统会弹出一个新窗口,表明你正在使用域中的用户进行登录。
轻点“继续”,输入用户的密码,然后轻点“登录”。
退出登录 Apple 商务管理。
【注】用户必须先使用自己的管理式 Apple ID 登录一台 Apple 设备,然后才能登录 iCloud.com。