在 Apple 商務管理中使用 Microsoft Entra ID 的聯合驗證。

在 Apple 商務管理中，你可以使用聯合驗證連結至 Microsoft Entra ID，讓使用者透過其 Microsoft Entra ID 使用者名稱 (通常是其電子郵件地址) 和密碼登入 Apple 裝置。

因此，你的使用者可以利用其 Microsoft Entra ID 憑證作為管理式 Apple 帳號。然後使用者可利用這些憑證，登入獲派的 iPhone、iPad、Mac 或 Apple Vision Pro，甚至是網頁版 iCloud。

Microsoft Entra ID 為身分提供者 (IdP)，可為 Apple 商務管理驗證使用者，並核發驗證權杖。此種驗證支援憑證驗證以及雙重認證 (2FA)。

開始之前

在你連結至 Microsoft Entra ID 之前，請考慮下列事項：

必須使用具備 Entra ID 全域管理員角色的使用者，以完成下列核准聯合驗證的工作細項。連線成功後可變更使用者角色，從全域管理員轉為有權維持連線的其他職務。如需更多資訊，請參閱〈支援的職務與權限〉。
你必須先鎖定並啟用網域擷取，才能進行聯合驗證。請參閱鎖定網域。
聯合驗證需要使用者的 userPrincipalName (UPN) 符合其電子郵件地址。不支援 userPrincipalName 別名和替代 ID。
針對聯合驗證網域中具有電子郵件地址的現有使用者，其管理式 Apple 帳號會自動變更以符合該電子郵件地址。
具備管理員或成員經理職務的使用者帳號無法使用聯合驗證登入，只能管理聯合驗證程序。
若 Microsoft Entra ID 連線已過期，使用 Microsoft Entra ID 的聯合驗證和使用者帳號同步也會一併停止。你必須重新連線到 Microsoft Entra ID，才能繼續使用聯合驗證和同步功能。

最初的核准聯合驗證作業成功後，如果想要變更職務，共有 2 種選項可用目前的 Microsoft Entra ID 全域管理員職務來編輯帳號。

兩種選項皆允許以下「Apple 商務管理」所需的存取權：

此程序包含三個主要步驟：

第一步是要在 Microsoft Entra ID 與 Apple 商務管理之間建立信任關係。此工作必須由職務為 Microsoft Entra ID 全域管理員的使用者完成。

【注意】完成此步驟後，使用者將無法在你設定的網域上建立新的個人 Apple 帳號。這可能會影響你的使用者所存取的其他 Apple 服務。可參閱〈將 Apple 服務移轉至管理式 Apple 帳號〉。

以具備管理員或成員經理職務的使用者身分登入 Apple 商務管理。
在側邊欄底部選取你的姓名，接著依序選取「偏好設定」、「管理式 Apple 帳號」，以及「使用者登入和目錄同步」底下的「開始使用」。
選取「Microsoft Entra ID」，再選取「繼續」。
選取「使用 Microsoft 登入」，並輸入 Microsoft Entra ID 全域管理員使用者名稱，再選取「下一步」。
輸入該帳號的密碼，再選取「登入」。
仔細閱讀應用程式協議，接著選取「代表貴機構同意」，再選取「接受」。
你已同意讓 Microsoft 授與 Apple 存取可在 Microsoft Entra ID 中找到的資訊。
如有必要，請檢閱已驗證且衝突的網域。
選取「完成」。
你可視需要變更 Microsoft Entra ID 的使用者職務，自全域管理員轉為具備必要權限的支援職務。如需更多資訊，請參閱〈支援的職務與權限〉。

在某些情況下可能無法登入你的網域。常見原因包含：

【重要事項】聯合驗證測試也會變更你的預設管理式 Apple 帳號格式。

你可以在執行下列事項後測試聯合驗證連線：

在你成功將 Apple 商務管理連結至 Microsoft Entra ID 後，即可將使用者帳號的職務變更為其他職務。例如，你可能想要將某使用者帳號的職務變更為職員職務。

【注意】具備管理員或成員經理職務的使用者帳號無法使用聯合驗證登入，只能管理聯合驗證程序。

在某些情況下可能無法登入你的網域。常見原因包含：

以具備管理員或成員經理職務的使用者身分登入 Apple 商務管理。
在側邊欄底部選取你的姓名，接著選取「偏好設定」，然後選取「管理式 Apple 帳號」。
在「網域」區段中所要建立聯合驗證的網域旁邊，選取「管理」，然後選取「開啟『使用 Microsoft Entra ID 登入』」。
開啟「使用 Microsoft Entra ID 登入」。
如有必要，你現在可以將使用者帳號同步至 Apple 商務管理。請參閱〈從 Microsoft Entra ID 同步使用者帳號〉。

有幫助？