在 Apple Business Manager 以 Microsoft Azure AD 使用聯合認證
在 Apple Business Manager,你可以連結到 Microsoft Azure Active Directory (Azure AD) 以允許用户使用其 Azure AD 用户名稱和密碼登入。
Azure AD 是身份識別提供者 (IdP),可為用户進行 Apple Business Manager 認證,並發出認證代號。這項認證支援證書認證和雙重認證 (2FA)。由於 Apple Business Manager 支援 Azure AD,因此連結 Azure AD 的其他 IdP(例如 Active Directory Federation Services (AD FS))也適用於 Apple Business Manager。
重要事項:聯合認證要求用户的用户主要名稱 (UPN) 與電郵地址相符。不支援用户主要名稱別名和替用 ID。
以 Microsoft 租用户身份使用聯合認證和同步目錄
如要以 Microsoft 租用户身份加入 Apple Business Manager Azure AD App,租用户管理員必須經過聯合認證設定過程,包括測試認證。認證成功後,系統會在租用户中填入 Apple Business Manager Azure AD App,管理員可以為網域建立聯合認證並設定 Apple Business Manager,以使用 SCIM(跨網域身份管理系統)同步目錄。請參閱檢視 SCIM 要求。
事前須知
設定聯合認證程序
此操作讓 Azure AD 信任 Apple Business Manager。
在 Apple Business Manager ,使用職務為管理員或成員經理的用户登入。
在側邊欄底部選擇你的名字,選擇「偏好設定」,然後選擇「帳户」。
在「聯合認證」旁選擇「編輯」,然後選擇「連結」。
選擇「使用 Microsoft 登入」,輸入 Microsoft Azure AD Global Administrator、Application Administrator 或 Cloud Application Administrator 帳户,然後選擇「下一步」。
輸入帳户密碼,然後選擇「登入」。
細閱應用程式協議,然後選擇「接受」。
你現在同意 Microsoft 允許 Apple 使用 Azure AD 的資料。
選擇「完成」。
附註:完成此步驟後,用户無法在你配置設定的網域上建立新的個人 Apple ID。這可能會影響你使用的其他 Apple 服務。請參閱:在聯合時轉移 Apple 服務。
某些情況下,你可能無法新增網域。常見原因如下:
你使用的 Microsoft Azure AD Global Administrator、Application Administrator 或 Cloud Application Administrator 帳户無權在 Azure AD 新增網域。
步驟 4 中的帳户用户名稱或密碼不正確。
使用單一 Azure AD 帳户測試認證
此任務容許 Apple Business Manager 信任 Azure AD。驗證網域擁有權並使用單一 Azure AD 帳户成功測試認證後,你就可以建立其他帳户並繼續為網域建立聯合認證。
在要建立聯合認證的網域旁,選擇「建立聯合認證」。
選擇「登入 Microsoft Azure Portal」,然後輸入你的用户名稱和密碼。
輸入網域現有的 Microsoft Azure AD Global Administrator、Application Administrator 或 Cloud Application Administrator 帳户,然後選擇「下一步」。
輸入帳户的密碼後,選擇「登入」,選擇「完成」,再選擇「完成」。
某些情況下,你可能無法登入網域。常見原因如下:
用户名稱或密碼(屬於你選擇建立聯合認證的網域)不正確。
帳户不屬於你選擇建立聯合認證的網域。
登入後,Apple Business Manager 會檢查與網域衝突的用户名稱。必須完成用户名稱衝突檢查,網域才可使用聯合認證。
附註:Apple Business Manager 成功連結 Azure AD 後,你便可以更改帳户的職務。例如,你可以將帳户的職務改為職員。
開啟聯合認證
在啟用聯合認證之前,確保你已連結並驗證新網域。
附註:如果你打算要使用 SCIM 連線至 Azure AD,請等到 SCIM 連線成功後再開啟聯合驗證。
在 Apple Business Manager ,使用職務為管理員或成員經理的用户登入。
在側邊欄底部選擇你的名字,選擇「偏好設定」,然後選擇「帳户」。
在「網域」部分選擇「編輯」,然後為已加入 Apple Business Manager 的網域啟用聯合認證。
更新所有帳户需要一些時間。
測試聯合認證
執行以下各項後,你可以測試聯合認證連線:
完成網域連線和驗證
用户名稱衝突檢查完成
更新管理式 Apple ID 預設格式
附註:職務為管理員或成員經理的用户無法使用聯合認證登入;他們只能管理聯合認證程序。
在 Apple Business Manager ,登入沒有管理員職務的用户。
如果系統找到你登入的用户名稱,你會看到新畫面,表示你正使用網域內的用户登入。
選擇「繼續」,輸入用户密碼,並選擇「登入」。
登出 Apple Business Manager。
附註:用户必須先使用管理式 Apple ID 登入另一部 Apple 裝置,才能登入 iCloud.com。