Apple Business Manager 的 Azure AD 同步要求
你可以使用跨網域身份管理系統 (SCIM) 將用户輸入至 Apple Business Manager。使用此系統時,你會將 Apple Business Manager 屬性(例如班級和職務)合併至從 Microsoft Azure Active Directory (Azure AD) 輸入的用户帳户資料。當你使用 SCIM 輸入用户時,系統會以唯讀形式新增帳户資訊,直到與 SCIM 中斷連線為止。屆時,這些帳户會變成手動帳户,而且就可以編輯這些帳户中的屬性。執行初始同步需要比隨後週期更長 MDM 的時間,只要正在執行 Azure AD 建置服務,大約每隔 40 分鐘便會發生一次。請參閱 Microsoft Azure 文件網站上的布建秘訣。
Azure AD 權限
以下 Azure AD 的職務可以使用 SCIM 將帳户同步至 Apple Business Manager:
Application Administrator
Cloud Application Administrator
Application Owner
Global Administrator
請參閱 Microsoft Azure AD 網站上的Azure AD 內置職務。
Azure AD 租用户
要透過 Apple Business Manager 使用 SCIM,你的機構不能擁有與其他 Apple School Manager 機構相同的 Azure AD 租用户。如果你想為你的機構使用 SCIM,請與 Azure AD 管理員聯絡,以確保沒有其他機構將你的 Azure AD 租用户用於 SCIM。
Azure AD 群組
在 Azure AD,兩個同步方法均使用群組一詞,但是只會同步用户帳户。你可以將 Azure AD 群組加至 Apple Business Manager Azure AD App。例如,如果你在 Azure AD 有名為工程、推廣和銷售的群組,你可以將這三個群組加至 Apple Business Manager Azure AD App。使用 SCIM 連線時,只有這些群組的帳户會同步至 Apple Business Manager。
附註:Apple Business Manager Azure AD App 不支援子群組。
建置範圍
你可以透過兩種方式將帳户從 Azure AD 同步至 Apple Business Manager。
只同步獲分派的用户和群組:此選項只會將 Apple Business Manager Azure AD App 顯示的帳户同步至 Apple Business Manager。使用此方法同步時,Azure AD 帳户必須獲派用户職務,才能同步至 Apple Business Manager。
同步所有用户和群組:此選項會將所有在「Azure AD 用户」分頁顯示的帳户同步(不支援群組的同步)至 Apple Business Manager,並會為所有使用聯合認證的 Azure AD 帳户建立管理式 Apple ID,即使你只打算使用指定數量的帳户也不例外。
請參閱 Microsoft 支援服務文章:甚麼是在 Azure AD 中自動佈建 SaaS 應用程式使用者?和含範圍篩選器的屬性型應用程式佈建。
建置通知
設定建置時,你應使用職務為管理員或成員經理的用户之電郵地址,這樣他們就能收到來自 Azure AD 的通知。
SCIM 和聯合認證
如果 Azure AD 帳户傳送至 Apple Business Manager 時已開啟聯合功能,你就不會看到動作,但帳户仍會從聯合網域進行同步。
Azure AD 是身份識別提供者 (IdP),可為用户進行 Apple Business Manager 認證,並發出認證代號。由於 Apple Business Manager 支援 Azure AD,因此連結 Azure AD 的其他 IdP(例如 Active Directory Federated Services (ADFS))也適用。聯合認證採用 Security Assertion Markup Language (SAML),將 Apple Business Manager 連結 Azure AD。
Azure AD 用户帳户和 Apple Business Manager
使用 SCIM 將用户從 Azure AD 複製到 Apple Business Manager 時,預設職務為「職員」。完成同步後,就能編輯用户屬性中的「職務」。此屬性會隨 Apple Business Manager 的用户帳户一起儲存,而不會寫回 Azure AD。
SCIM 用户屬性對應
使用 SCIM 將帳户從 Azure AD 複製到 Apple Business Manager 時,便會以唯讀方式儲存以下用户屬性:此表格也會表示是否需要用户屬性。
重要事項:新增未列於表格中的屬性,會導致 SCIM 連線中斷。
Azure AD 用户屬性 | Apple Business Manager 用户屬性 | 必須 |
---|---|---|
名字 | 名字 | |
姓氏 | 姓氏 | |
用户主要名稱 | 管理式 Apple ID 和電郵地址 | |
物件 ID | (未顯示在 Apple Business Manager,此屬性可用於識別衝突的帳户。) | |
部門 | 部門 | |
員工 ID | 成員編號 | |
自訂屬性(必須建立於 Apple Business Manager Azure AD App) | 成本中心 | |
自訂屬性(必須建立於 Apple Business Manager Azure AD App) | 分部 |
用户主要名稱
如果用户的用户主要名稱 (UPN) 與有管理員角色的現有用户完全相同,則不會執行同步,來源欄位會保持不變。
人員 ID
Azure AD 用户同步至 Apple Business Manager 時,會為 Apple Business Manager 用户帳户建立成員 ID。成員 ID 和物件 ID 可用於識別衝突的帳户。
如果你對先前從 SCIM 輸入的帳户修改成員 ID,該帳户將無法再與 Azure AD 配對。如果你對早前從 SCIM 輸入的帳户修改了成員 ID,並想將帳户重新連線至 SCIM,請參閱解決 SCIM 用户帳户衝突。
建議事項
與 SCIM 連線時,你應只使用 Apple Business Manager Azure AD App。
如果你已驗證網域,但尚未開啟聯合驗證,則應等到你已確認 Azure AD 用户已傳送至 Apple Business Manager 之後,再開啟聯合驗證。若要執行此動作,請檢視 Azure AD 建置記錄檔。確認 Azure AD 用户已傳送之後,當你開啟聯合認證,只要建置 Azure AD 用户,便會收到動作的通知。如果 Azure AD 用户傳送時已開啟聯合功能,你就不會看到動作,但帳户仍會同步。
如果你已在 Azure AD 設定群組,便可以將該群組加至 Apple Business Manager Azure AD App,而不必逐一加入每名用户。
重要事項:在 Apple Business Manager Azure AD App 中,請勿在 30 日內重複使用同一個用户名稱。
事前須知
在開始之前,你必須執行以下操作:
設定並驗證你要使用的網域。請參閱連結至新網域。
設定(但不要開啟)聯合認證。請參閱啟用並測試聯合認證。
附註:如果已開啟聯合認證,你仍可繼續作業。請參閱早前章節的建議事項。
決定 Azure AD 的同步類型,亦可按需要建立群組,只將已獲分派的帳户同步至 Apple Business Manager Azure AD App:
只同步已獲分派的用户
同步所有用户
聯絡好具備編輯企業應用程式權限的 Azure AD 管理員。當你們都準備好時,請參閱使用 SCIM 輸入用户。