
Apple Business 的目錄同步簡介
概覽
目錄同步有助確保 Apple Business 中的資料與你的身份識別提供者 (IdP) 時刻保持更新。透過目錄同步,Apple Business 會自動收到 IdP 的通知,並在發生以下情況時更新資料:
建立新用户帳户
更改用户帳户資料
刪除用户帳户
在 Apple Business 中,你可以同步以下來源的用户帳户 (但每次只能同步一個):
Google Workspace
Microsoft Entra ID
你的 IdP
事前須知
在你同步至 Google Workspace、Microsoft Entra ID 或你的 IdP 之前,請考慮以下事項:
不支援用户群組同步
執行初始同步需要比隨後週期更長的時間。請參閱 IdP 文件,了解 IdP 同步用户的頻率。
應該關閉「自動合併」。如果已啟用「自動合併」,則新帳户會與現有用户帳户合併。
運作要求
如有需要,可手動驗證網域。請參閱「驗證網域」。
你需要開啟聯合認證。請參閱聯合認證簡介。
安排有權編輯 Google Workspace、Microsoft Entra ID 或其他 IdP 設定的管理員。
Apple Business 規定用於管理式 Apple 帳户的屬性不得重複。這通常是用户的電郵地址。如果用户具有與職務為「機構管理員」之現有 Apple Business 用户相同的屬性,則系統不會執行同步,且來源欄位保持不變。
設定初始連結時,你需要使用獲授權設定與配置聯合認證以及連接 IdP 的用户之電郵地址,以便相關人士收到來自 Google Workspace、Microsoft Entra ID 或其他同步 IdP 的通知。
IdP 特定要求
連結 Microsoft Entra ID 時:
要透過 Apple Business 使用 OIDC,你的機構不可擁有與任何其他 Apple Business 機構相同的 Microsoft Entra ID 租用户。如果你想為你的機構使用 OIDC,請與 Microsoft Entra ID 全域管理員聯絡,以確保沒有其他機構將你的 Entra ID 租用户用於 OIDC。
如果用户帳户的用户主體名稱 (UPN) 與現有用户完全相同,且該用户的職務權限可設定與配置聯合認證以及連接 IdP,則不會執行同步,來源欄位會保持不變。
連結非 Google Workspace 或 Microsoft Entra ID 的 IdP 時,請準備下列資訊:
用户的唯一識別碼欄位:這個屬性的值通常為用户的電郵地址。這是用來建立用户的管理式 Apple 帳户。例如,這個欄位可能是 userName。
驗證方式:SAML 2.0。
驗證模式:OAuth 2。
單次登入 URL:請參閱 IdP 文件。
授權回調 URL:請參閱 IdP 文件。
自動更改
帳户建立
配置目錄同步後,用户帳户會同步至 Apple Business,並獲分派「職員」職務。已同步帳户資料會以唯讀方式加入,但用户帳户的「職務」屬性可供編輯。此屬性會隨 Apple Business 的用户帳户一起儲存,而不會寫回 Google Workspace、Microsoft Entra ID 或你的 IdP。
如關閉聯合認證,帳户會變成手動帳户,然後你就可以編輯這些帳户的屬性 (例如用户的名稱)。
帳户修改
目錄同步會監察已同步屬性的變更,並自動在 Apple Business 中作相應更新。同步這些變更的時間間距視 IdP 而定。
帳户移除
如用户帳户從 Google Workspace、Microsoft Entra ID 或你的 IdP 中移除,Apple Business 中的對應帳户會被停用並標記為待刪除。停用的帳户會從裝置登出,且無法再次登入。除非帳户在接下來的 30 日內再次同步,否則系統會自動將其移除。
關於成員 ID
為了識別衝突的帳户,當首次使用 OIDC 將用户帳户同步到 Apple Business,系統會自動為該用户帳户產生成員 ID。
如果你在 Apple Business 中為先前同步的用户帳户修改成員 ID,該用户帳户將不再與 Google Workspace、Microsoft Entra ID 或你的 IdP 配對。如要重新連結用户帳户,你需要解決成員 ID 衝突。