![](https://help.apple.com/assets/64249035AF8E9C49FD47DE32/64249038AF8E9C49FD47DE48/zh_CN/36bb57e079ce24aa513fc127256b6df5.png)
在 Apple 商务管理中搭配 MS Azure AD 使用联合验证
成功登录管理员帐户并检查完用户名冲突后,你必须开启并测试联合验证。
要将 Apple 商务管理与 Azure AD 相关联并使用联合验证,需要完成一个三步骤流程:
1. 添加并验证域。请参阅关联新域。
2. 配置联合验证流程。
3. 使用单个 Azure AD 域帐户测试验证。
配置联合验证流程
此任务允许 Azure AD 信任 Apple 商务管理。
在 Apple 商务管理
中,使用具有管理员或人员经理职务的用户登录。
在边栏底部轻点你的姓名,轻点“偏好设置”
,然后轻点“帐户”
。
在“联合验证”旁边轻点“编辑”,然后轻点“连接”。
轻点“使用 Microsoft 登录”,输入 Microsoft Azure AD 全局管理员、应用程序管理员或云应用程序管理员帐户,然后轻点“下一步”。
输入该帐户的密码,然后轻点“登录”。
仔细阅读应用程序协议,然后轻点“接受”。
这表示你同意 Microsoft 授予 Apple 访问 Azure AD 中信息的权限。
轻点“完成”。
【注】完成这个步骤后,用户无法在你配置的域上创建新的个人 Apple ID。这可能会影响你使用的其他 Apple 服务。请参阅使用联合验证时转移 Apple 服务。
在部分情况下,你可能无法添加域。常见原因如下:
你所用的 Azure AD 全局管理员、应用程序管理员或云应用程序管理员帐户无权在 Microsoft Azure AD 中添加域。
第 4 步中帐户的用户名或密码不正确。
使用单个 Azure AD 帐户测试验证
此任务允许 Apple 商务管理信任 Azure AD。在验证了你的域所有权并使用单个 Azure AD 帐户成功测试了联合验证之后,你便可以创建其他帐户并继续联合你的域。
轻点你要联合的域旁边的“联合”。
轻点“登录 Microsoft Azure 门户”,然后输入你的用户名和密码。
输入存在于域中的 Microsoft Azure AD 全局管理员、应用程序管理员或云应用程序管理员帐户,然后轻点“下一步”。
输入帐户的密码,轻点“登录”,接着轻点“完成”,然后轻点“完成”。
在部分情况下,你可能无法登录域。常见原因如下:
你选择联合的域中的用户名或密码有误。
该帐户不属于你选择联合的域。
登录成功后,Apple 商务管理会检查用户名是否与此域冲突。你必须先完成用户名冲突检查,才能对此域使用联合验证。
【注】成功将 Apple 商务管理与 Azure AD 相关联后,你可以将帐户的职务更改为其他职务。例如,你可能希望将帐户的职务更改为职员职务。
开启联合验证
打开联合验证前,请确保你已关联至新的域并完成了域验证,而且已打开并测试了联合验证。
【注】如果你计划使用 SCIM 连接 Azure AD,请先等待 SCIM 连接成功,然后再打开联合验证。
在 Apple 商务管理
中,使用具有管理员或人员经理职务的用户登录。
在边栏底部轻点你的姓名,轻点“偏好设置”
,然后轻点“帐户”
。
在“域”部分轻点“编辑”,然后为已成功添加到 Apple 商务管理中的域开启联合验证。
更新所有帐户可能需要一段时间。
测试联合验证
完成以下任务后,你可以测试联合验证连接:
你已成功关联至自己的域并已完成域验证。
用户名冲突检查已完成。
已更新管理式 Apple ID 默认格式。
【注】具有管理员或人员经理职务的用户无法使用联合验证登录;他们只能管理联合流程。
在 Apple 商务管理
中,使用没有管理员职务的帐户登录。
如果找到了之前登录时使用的用户名,系统会弹出一个新窗口,表明你正在使用域中的用户进行登录。
轻点“继续”,输入用户的密码,然后轻点“登录”。
退出登录 Apple 商务管理。
【注】用户必须先使用自己的管理式 Apple ID 登录一台 Apple 设备,然后才能登录 iCloud.com。