对 Apple 商务管理使用联合验证的简介
你可以使用 联合验证 将 Apple 商务管理与以下域进行关联:
Google Workspace
Microsoft Entra ID
你的身份提供方 (IdP)
【注】你可以关联 Google Workspace、Microsoft Entra ID 或你的 IdP,但每次只能关联一个。
如此一来,用户便可使用他们现有用户名(通常是电子邮件地址)和密码,登录所分配的 iPhone、iPad、Mac、Apple Vision Pro 和共享 iPad。在这些设备上登录后,用户还可以在 Mac 上登录网页版 iCloud(Windows 版 iCloud 不支持管理式 Apple 账户)。
【重要事项】当连接过期后,用户账户的联合验证和同步功能都会停止。要继续使用联合验证和同步功能,必须重新建立连接。
你可以在以下特定情况下使用联合验证:
仅限联合验证
关联 Apple 商务管理和 Google Workspace、Microsoft Entra ID 或你的 IdP 后,系统会自动为用户创建管理式 Apple 账户。然后,用户可以使用自己现有的用户名(通常是电子邮件地址)和密码登录。
请参阅以下内容:
结合目录同步进行联合验证
你也可以将用户账户从 Google Workspace、Microsoft Entra ID 或你的 IdP 同步到 Apple 商务管理。设置目录同步连接时,你可以将 Apple 商务管理属性(如职务)添加到从这些服务中导入的用户账户数据。在关闭同步前,添加的服务用户帐户信息均为只读状态。断开连接后,这些帐户将变为手动帐户,你便可以编辑帐户中的属性。如果从其中一项服务中移除了某个用户帐户,则也可以从 Apple 商务管理中移除该用户帐户。请参阅以下内容:
针对共用 iPad 使用联合验证
对共享 iPad 使用联合验证时,登录过程不尽相同,具体取决于 Apple 商务管理中是否已存在该用户帐户。要查看登录流程,请参阅登录共享 iPad。
如果用户忘记了密码,则必须重设共享 iPad 密码。
开始操作前
在使用 Google Workspace、Microsoft Entra ID 或 IdP 进行联合验证之前,请注意以下几点:
必备条件
Apple 设备必须满足以下最低操作系统版本要求:
iOS 15.5
iPadOS 15.5
macOS 12.4
visionOS 1.1
必须锁定并启用域名采集流程。请参阅锁定域。
系统中不存在管理式 Apple 账户冲突。请参阅管理式 Apple 账户冲突。
具有管理员或人员经理职务的用户帐户无法使用联合验证登录;他们只能管理联合流程。
启用联合验证时,“默认管理式 Apple 账户格式”设置将不适用。
IdP 特定要求
关联 Google Workspace 时:
联合验证应将用户的电子邮件地址用作他们的用户名。不支持使用别名。
关联 Microsoft Entra ID 时:
必须由具有 Entra ID 全局管理员职务的用户来完成下面的批准联合验证任务。连接成功后,可以将用户的职务从全局管理员更改为具有维护连接所需权限的其他角色。要了解更多信息,请参阅支持域、目录同步和域读取的 Microsoft 默认职务。
使用 Microsoft Entra ID 进行联合验证时,要求用户的“用户主体名称”(UPN) 与他们的电子邮件地址一致。不支持使用“用户主体名称”别名和备用 ID。
在关联 IdP 时,你必须准备以下信息:
一个要使用的已验证的域。请参阅添加并验证域。
登录方法:使用 Open ID Connect (OIDC)。
范围访问:必须授予对
ssf.manage和ssf.read 的访问权限。共享信号框架 (SSF) 配置 URL:请查阅 IdP 的文档。
OpenID 配置 URL:请查阅 IdP 的文档。
自动更改
对于在联合域中已有电子邮件地址的现有 Apple 商务管理用户,他们的管理式 Apple 账户会自动更改,以与这个电子邮件地址匹配。