Apple 商務管理中的 Azure AD 同步需求
您可以使用跨網域身分管理系統 (SCIM) 將使用者輸入至 Apple 商務管理。使用此系統時,你會將 Apple 商務管理屬性(例如職務)合併至從 Microsoft Azure Active Directory (Azure AD) 輸入的使用者帳號資料。當你使用 SCIM 輸入使用者時,系統會以唯讀形式新增帳號資訊,直到你中斷 SCIM 連線為止。屆時,這些帳號會變成手動帳號,而您就可以編輯這些帳號中的屬性。執行初始同步需要比後續週期更久的時間,只要 Azure AD 佈建服務處於執行中狀態,這大約每隔 40 分鐘會發生一次。請參閱 Microsoft Azure 文件網站的佈建秘訣。
Azure AD 權限
Azure AD 中的下列職務可以使用 SCIM 將帳號同步至 Apple 商務管理:
應用程式管理員
雲端應用程式管理員
應用程式擁有者
全域管理員
請參閱 Microsoft Azure AD 網站的 Azure AD 內建角色。
Azure AD 租用戶
若要搭配 Apple 商務管理使用 SCIM,您的機構不得與其他 Apple 商務管理機構有相同的 Azure AD 租用戶。如果你的機構要使用 SCIM,請洽詢 Azure AD 管理員,確保沒有其他 機構將你的 Azure AD 租用戶用於 SCIM。
Azure AD 群組
在 Azure AD 中,兩種同步方式都使用「群組」一詞,但只會同步使用者帳號。您可以將 Azure AD 群組新增至 Apple 商務管理 Azure AD App。例如,如果你在 Azure AD 中具有名為工程、行銷和銷售的群組,你可以將這三個群組新增至 Apple 商務管理 Azure AD App。當您使用 SCIM 進行連線時,將只有這些群組中的帳號會同步至 Apple 商務管理。
【注意】Apple 商務管理 Azure AD App 並不支援子群組。
佈建範圍
您可以透過兩種方式將帳號從 Azure AD 同步至 Apple 商務管理。
僅同步已指派的使用者和群組:此選項只會將出現在 Apple 商務管理 Azure AD App 中的帳號同步至 Apple 商務管理。使用此方法進行同步時,Azure AD 帳號必須具備使用者的職務,才能同步至 Apple 商務管理。
同步所有使用者和群組:此選項會將所有出現在「Azure AD 使用者」標籤中的帳號同步(不支援群組同步作業)至 Apple 商務管理,並且為所有聯合 Azure AD 帳號建立管理式 Apple ID,即使您只打算使用特定數量的帳號亦然。
請參閱 Microsoft 支援文章〈什麼是 Azure AD 的自動化 SaaS App 使用者佈建?〉和〈含範圍篩選器的屬性型應用程式佈建〉。
佈建通知
設定佈建時,你應使用具備管理員或成員經理職務使用者的電子郵件地址,這樣他們就能收到來自 Azure AD 的通知。
SCIM 和聯合驗證
如果在 Azure AD 帳號傳送至 Apple 商務管理時已開啟聯合功能,您就不會看到動作,但帳號仍會從聯合網域進行同步。
Azure AD 是身分提供者 (IdP),可為使用者進行 Apple 商務管理驗證,並發行驗證權杖。由於 Apple 商務管理支援 Azure AD,因此連線至 Azure AD(例如 Active Directory Federated Services (ADFS))的其他 IdP 也適用。聯合驗證會透過安全性聲明標記語言 (SAML) 將 Apple 商務管理連線至 Azure AD。
Azure AD 使用者帳號與 Apple 商務管理
使用 SCIM 將使用者從 Azure AD 拷貝到 Apple 商務管理時,預設職務會是「職員」。完成同步後,只能編輯「角色」使用者屬性。此屬性會隨 Apple 商務管理中的使用者帳號一起儲存,而不會寫回至 Azure AD。
SCIM 使用者屬性對應
使用 SCIM 將帳號從 Azure AD 拷貝到 Apple 商務管理時,會將下列使用者屬性儲存為唯讀屬性。下方表格也說明了使用者屬性是否為必備。
【重要事項】若您新增了未列於表格中的屬性,則會導致 SCIM 連線中斷。
Azure AD 使用者屬性 | Apple 商務管理使用者屬性 | 必備 |
---|---|---|
名字 | 名字 | |
姓氏 | 姓氏 | |
使用者主體名稱 | 管理式 Apple ID 和電子郵件地址 | |
物件 ID | (不會顯示在 Apple 商務管理中。此屬性可用來識別衝突的帳號。) | |
部門 | 部門 | |
員工 ID | 成員編號 | |
自訂屬性(必須在 Apple 商務管理 Azure AD App 中建立) | 成本中心 | |
自訂屬性(必須在 Apple 商務管理 Azure AD App 中建立) | 單位 |
使用者主體名稱
如果使用者的主體名稱(UPN)與擁有管理員職務的現有使用者相同,則不會執行同步,且來源欄位保持不變。
人員 ID
當 Azure AD 使用者同步至 Apple 商務管理時,會為 Apple 商務管理使用者帳號建立成員 ID。成員 ID 和物件 ID 是用來識別衝突的帳號。
如果你對先前從 SCIM 輸入的帳號修改了成員 ID,該帳號將無法再與 Azure AD 配對。如果您對先前從 SCIM 輸入的帳號修改了成員 ID,且想要將帳號重新連線至 SCIM,請參閱〈解決 SCIM 使用者帳號衝突〉。
建議事項
與 SCIM 連線時,您應該只使用 Apple 商務管理 Azure AD App。
如果你驗證過網域,但尚未開啟聯合驗證,則應等到你確認 Azure AD 使用者已傳送至 Apple 商務管理之後,再開啟聯合驗證。可藉由檢視 Azure AD 佈建記錄檔執行此動作。在確認 Azure AD 帳號已傳送之後,在開啟聯合驗證的情況下,如果佈建 Azure AD 帳號,你將會收到動作的通知。若傳送 Azure AD 帳號時聯合驗證已經開啟,你將不會看到動作,但帳號仍會同步。
如果您在 Azure AD 中設定了群組,您可以將該群組新增至 Apple 商務管理 Azure AD App,而不用新增每位使用者。
【重要事項】在 Apple 商務管理 Azure AD App 中,請勿在 30 天內重複使用同一個使用者名稱。
開始之前
開始之前,請務必執行下列動作:
設定並驗證要使用的網域。請參閱〈連結至新網域〉。
設定(但先別開啟)聯合驗證。請參閱〈開啟並測試聯合驗證〉。
【注意】如果聯合驗證已開啟,您仍可繼續作業。請參閱先前章節中的建議事項。
決定 Azure AD 中的同步類型。若有必要,可建立群組,用來將已指派的帳號同步至 Apple 商務管理 Azure AD App:
僅同步已指派的使用者
同步所有使用者
讓擁有編輯企業應用程式權限的 Azure AD 管理員保持待命。當你們都準備妥當時,請參閱〈使用 SCIM 輸入使用者〉。