![](https://help.apple.com/assets/661DA8E484CAC7D29D0A29D4/661DA8E74EAB261820082179/zh_CN/027012655ffa60501a6b40df04cf18a2.png)
在 Apple 校园教务管理中搭配 Microsoft Entra ID 使用联合验证
在 Apple 校园教务管理中,你可以使用联合验证关联 Microsoft Entra ID,以便让用户通过 Microsoft Entra ID 用户名(通常是电子邮件地址)和密码登录 Apple 设备。
关联后,你的用户便可以将他们的 Microsoft Entra ID 凭证用作管理式 Apple ID。然后,用户将可以使用这些凭证,登录分配给他们的 iPhone、iPad 或 Mac,甚至网页版 iCloud。
Microsoft Entra ID 是为 Apple 校园教务管理验证用户身份并签发身份验证令牌的身份提供方 (IdP)。此身份验证支持使用证书认证和双重认证 (2FA)。
开始操作前
在关联到 Microsoft Entra ID 之前,请考虑以下事项:
联合验证要求用户的“用户主体名称”(UPN) 与他们的电子邮件地址相匹配。不支持使用“用户主体名称”别名和备用 ID。
对于在联合域中已有电子邮件地址的现有用户,他们的管理式 Apple ID 会自动更改,以与这个电子邮件地址匹配。
如有必要,请配置并验证你要使用的域。请参阅关联新域。如果你已经验证了想要与 Microsoft Entra ID 进行联合认证的域,可以跳过这个过程。
断开与学生信息系统 (SIS) 的连接,或停止通过 SFTP 上传。
具有管理员、机构经理或人员经理职务的用户帐户无法使用联合验证登录;他们只能管理联合流程。
当 Microsoft Entra ID 连接过期时,使用 Microsoft Entra ID 的联合验证和同步用户帐户会停止。你必须重新连接到 Microsoft Entra ID 才能继续使用联合验证和同步。
联合验证过程
这一过程包括三个主要步骤:
配置联合验证。
使用单个 Microsoft Entra ID 用户帐户测试联合验证。
开启联合验证.
第 1 步:配置联合验证
这个任务可让 Microsoft Entra ID 信任 Apple 校园教务管理。
【注】完成这个步骤后,用户无法在你配置的域上创建新的个人 Apple ID。这可能会影响你使用的其他 Apple 服务。请参阅使用联合验证时转移 Apple 服务。
在 Apple 校园教务管理中
,使用具有管理员、机构经理或人员经理职务的用户登录。
在边栏底部选择你的姓名,选择“偏好设置”
,选择“管理式 Apple ID”
,然后选择“用户登录和目录同步”下的“开始使用”。
选择“Microsoft Entra ID”,然后选择“继续”。
选择“使用 Microsoft 帐户登录”,输入 Microsoft Entra ID 全局管理员用户名,然后选择“下一步”。
输入该账户的密码,然后选择“登录”。
仔细阅读应用程序协议,选择“代表组织同意”,然后选择“接受”。
这表示你同意 Microsoft 授予 Apple 访问 Microsoft Entra ID 中信息的权限。
如有必要,请查看已验证域和任何冲突的域。
选择“完成”。
在部分情况下,你可能无法添加域。常见原因如下:
第 4 步中账户的用户名或密码不正确。
第 2 步:使用单个 Microsoft Entra ID 用户帐户测试验证
【重要事项】联合验证测试还会更改默认管理式 Apple ID 格式。在学生信息系统 (SIS) 中创建的或通过安全文件传输协议 (SFTP) 上传的新账户会使用新的管理式 Apple ID 格式。
完成以下任务后,你可以测试联合验证连接:
用户名冲突检查已完成。
已更新管理式 Apple ID 默认格式。
成功将 Apple 校园教务管理与 Microsoft Entra ID 关联后,你可以将用户帐户的职务更改为其他职务。例如,你可能需要将用户帐户的职务更改为教师职务。
【注】具有管理员、机构经理或人员经理职务的用户帐户无法使用联合验证登录;他们只能管理联合流程。
选择你要联合的域旁边的“联合”。
选择“登录 Microsoft Entra ID 门户”,输入一个该域中存在的帐户的 Microsoft Entra ID 用户名,然后选择“下一步”。
输入账户的密码,选择“登录”,选择“完成”,然后再选择“完成”。
在部分情况下,你可能无法登录域。常见原因如下:
你选择联合的域中的用户名或密码有误。
该账户不属于你选择联合的域。
第 3 步:开启联合验证
在 Apple 校园教务管理中
,使用具有管理员、机构经理或人员经理职务的用户登录。
在边栏底部选择你的姓名,选择“偏好设置”
,然后选择“管理式 Apple ID”
。
在“域名”部分中,选择你要联合的域名旁边的“管理”,然后选择“开启‘通过 Microsoft Entra ID 登录’”。
开启“通过 Microsoft Entra ID 登录”。
如有必要,现在就可以将用户帐户同步到 Apple 校园教务管理。请参阅“从 Microsoft Entra ID 同步用户帐户”。