Apple Business Manager 的目錄同步簡介
目錄同步有助確保 Apple Business Manager 中的資料與你的身份識別提供者 (IdP) 時刻保持更新。透過目錄同步,Apple Business Manager 會自動收到 IdP 的通知,並在發生以下情況時更新資料:
建立新用户帳户
更改用户帳户資料
刪除用户帳户
你可配合 Apple Business Manager 使用 OpenID Connect (OIDC) 透過以下位置同步用户帳户(但一次只能同步一個):
Google Workspace
Microsoft Entra ID
你的 IdP
部分 IdP 還可以使用跨網域身份管理系統(SCIM)
事前須知
在你同步至 Google Workspace、Microsoft Entra ID 或你的 IdP 之前,請考慮以下事項:
不支援用户群組同步
執行初始同步需要比隨後週期更長的時間。請參閱 IdP 文件,了解 IdP 同步用户的頻率。
運作要求
如有需要,請手動驗證網域。請參閱新增並驗證網域。
你需要開啟聯合認證。請參閱聯合認證簡介。
安排有權編輯 Google Workspace、Microsoft Entra ID 或其他 IdP 設定的管理員。
Apple Business Manager 規定用於管理式 Apple 帳户的屬性不得重複。這通常是用户的電郵地址。如果用户具有與職務為管理員之現有 Apple Business Manager 用户相同的屬性,則系統不會執行同步,而且來源欄位保持不變。
設定初始連線時,你需要使用職務為「管理員」或「成員經理」的用户之電郵地址,以便相關人士收到來自 Google Workspace、Microsoft Entra ID 或其他同步 IdP 的通知。
IdP 特定要求
連結 Microsoft Entra ID 時:
要透過 Apple Business Manager 使用 OIDC,你的機構不可擁有與任何其他 Apple Business Manager 機構相同的 Microsoft Entra ID 租用户。如果你想為你的機構使用 OIDC,請與 Microsoft Entra ID 全域管理員聯絡,以確保沒有其他機構將你的 Entra ID 租用户用於 OIDC。
如果用户帳户具有與具備管理員或成員經理職務之現有用户帳户相同的用户主體名稱 (UPN),則不會執行同步,來源欄位會保持不變。
連結非 Google Workspace 或 Microsoft Entra ID 的 IdP 時,請準備下列資訊:
用户的唯一識別碼欄位:這個屬性的值通常為用户的電郵地址。這是用來建立用户的管理式 Apple 帳户。例如,這個欄位可能是 userName。
驗證方式:SAML 2.0。
驗證模式:OAuth 2。
單次登入 URL:請參閱 IdP 文件。
授權回調 URL:請參閱 IdP 文件。
自動更改
帳户建立
配置目錄同步後,用户帳户會同步至 Apple Business Manager,並獲指派「職員」職務。已同步帳户資料會以唯讀方式加入,但用户帳户的「職務」屬性可供編輯。此屬性會隨 Apple Business Manager 的用户帳户一起儲存,而不會寫回 Google Workspace、Microsoft Entra ID 或你的 IdP。
如關閉聯合認證,帳户會變成手動帳户,然後你就可以編輯這些帳户中的屬性(例如用户名稱)。
帳户修改
目錄同步會監察已同步屬性的變更,並自動在 Apple Business Manager 中作相應更新。同步這些變更的時間間距視 IdP 而定。
帳户移除
如用户帳户從 Google Workspace、Microsoft Entra ID 或你的 IdP 中移除,Apple Business Manager 中的對應帳户會被停用並標記為待刪除。停用的帳户會從裝置登出,且無法再次登入。除非帳户在接下來的 30 日內再次同步,否則系統會自動將其移除。
關於成員 ID
為了識別衝突的帳户,當首次使用 OIDC 將用户帳户同步到 Apple Business Manager,系統會自動為該用户帳户產生成員 ID。
如果你在 Apple Business Manager 中為先前同步的用户帳户修改成員 ID,該用户帳户將不再與 Google Workspace、Microsoft Entra ID 或你的 IdP 配對。如果要重新連結用户帳户,需要解決成員 ID 衝突。