在 Apple 商务管理中搭配 Microsoft Entra ID 使用联合验证
关联成功后,你的用户便可将他们的 Google Workspace 凭证用作管理式 Apple 账户。随后,他们可以使用这些凭证来登录分配给他们的 iPhone、iPad、Mac、Apple Vision Pro 和共用 iPad。在他们成功登录其中任一台设备后,他们还可以进一步登录网页版 iCloud。
在 Apple 商务管理中,你可以使用联合验证关联 Microsoft Entra ID,以便让用户通过 Microsoft Entra ID 用户名(通常是电子邮件地址)和密码登录 Apple 设备。
关联成功后,你的用户便可将他们的 Microsoft Entra ID 凭证用作管理式 Apple 账户。随后,他们可以使用这些凭证来登录分配给他们的 iPhone、iPad、Mac、Apple Vision Pro 和共用 iPad。在这些设备上登录后,用户还可以在 Mac 上登录网页版 iCloud(Windows 版 iCloud 不支持管理式 Apple 账户)。
Microsoft Entra ID 是为 Apple 商务管理验证用户身份并签发身份验证令牌的身份提供方 (IdP)。此身份验证支持使用证书认证和双重认证 (2FA)。
支持域、目录同步和域读取的 Microsoft 默认职务
在初次成功完成批准联合验证任务后,如果你需要更改职务,可以通过 2 个选项来编辑当前职务为 Microsoft Entra ID 全局管理员的账户。
将账户更改为以下职务之一:
全局读取者
应用程序管理员
云应用程序管理员
更改账户,使其具有以下 2 个职务:目录读取者和报告读取者。
这两个选项都将提供 Apple 商务管理要求具备的以下访问权限:
读取所有域的列表:microsoft.directory/domains/standard/read
读取所有用户的目录:microsoft.directory/users/standard/read
读取安全事件审核日志:microsoft.directory/auditLogs/allProperties/read
联合验证过程
第 1 步:批准联合验证
第一步是在 Microsoft Entra ID 和 Apple 商务管理之间建立信任关系。这项任务必须由具有 Microsoft Entra ID 全局管理员职务的用户完成。
【注】完成这个步骤后,用户将无法在你配置的域上创建新的个人 Apple 账户。这可能会影响你的用户访问的其他 Apple 服务。请参阅将 Apple 服务转移至管理式 Apple 账户。
在 Apple 商务管理
中,使用具有管理员或人员经理职务的用户登录。在边栏底部选择你的姓名,选择“偏好设置”
,选择“管理式 Apple 账户”
,然后选择“用户登录和目录同步”下的“开始使用”。选择“Microsoft Entra ID”,然后选择“继续”。
选择“使用 Microsoft 帐户登录”,输入 Microsoft Entra ID 全局管理员用户名,然后选择“下一步”。
输入该账户的密码,然后选择“登录”。
仔细阅读应用程序协议,选择“代表组织同意”,然后选择“接受”。
这表示你同意 Microsoft 授予 Apple 访问 Microsoft Entra ID 中信息的权限。
如有必要,请查看已验证域和任何冲突的域。
选择“完成”。
如有必要,可以将用户在 Microsoft Entra ID 中的职务从全局管理员更改为具有所需权限的受支持职务。要了解更多信息,请参阅支持域、目录同步和域读取的 Microsoft 默认职务。
在部分情况下,你可能无法登录域。常见原因如下:
第 4 步中账户的用户名或密码不正确。
第 2 步:使用单个 Microsoft Entra ID 用户帐户测试验证
【重要事项】联合验证测试还会更改默认管理式 Apple 账户格式。
完成以下任务后,你可以测试联合验证连接:
用户名冲突检查已完成。
已更新管理式 Apple 账户默认格式。
成功将 Apple 商务管理与 Microsoft Entra ID 关联后,你可以将用户帐户的职务更改为其他职务。例如,你可能需要将用户帐户的职务更改为职员职务。
【注】具有管理员或人员经理职务的用户帐户无法使用联合验证登录;他们只能管理联合流程。
选择你要联合的域旁边的“联合”。
选择“登录 Microsoft Entra ID 门户”,输入一个该域中存在的帐户的 Microsoft Entra ID 用户名,然后选择“下一步”。
输入账户的密码,选择“登录”,选择“完成”,然后再选择“完成”。
在部分情况下,你可能无法登录域。常见原因如下:
你选择联合的域中的用户名或密码有误。
该账户不属于你选择联合的域。
第 3 步:开启联合验证
在 Apple 商务管理
中,通过具有管理员或人员经理职务的用户登录。在边栏底部选择你的姓名,选择“偏好设置”
,然后选择“管理式 Apple 账户”。在“域名”部分中,选择你要联合的域名旁边的“管理”,然后选择“开启‘通过 Microsoft Entra ID 登录’”。
开启“通过 Microsoft Entra ID 登录”。
如有必要,现在就可以将用户帐户同步到 Apple 商务管理。请参阅“从 Microsoft Entra ID 同步用户账户”。