Apple 商務管理中的 Azure AD 同步需求
你可以使用跨網域身分管理系統 (SCIM) 將使用者輸入至 Apple 商務管理。使用此系統時,你會將 Apple 商務管理屬性(例如職務)合併至從 Microsoft Azure Active Directory (Azure AD) 輸入的使用者帳號資料。當你使用 SCIM 輸入使用者時,系統會以唯讀形式新增帳號資訊,直到你中斷 SCIM 連線為止。屆時,這些帳號會變成手動帳號,你即可編輯這些帳號的屬性。執行初始同步需要比後續週期更久的時間,只要 Azure AD 佈建服務處於執行中狀態,這大約每隔 40 分鐘會發生一次。請參閱 Microsoft Azure 文件網站的布建秘訣。
Azure AD 權限
在 Azure AD 中的以下角色可以使用 SCIM 將帳號同步至 Apple 商務管理:
應用程式系統管理員
雲端應用程式系統管理員
應用程式擁有者
全域管理員
請參閱 Microsoft Azure AD 網站的 Azure AD 內建角色。
Azure AD 租用戶
若要搭配 Apple 商務管理使用 SCIM,你的機構不得與其他 Apple 商務管理機構有相同的 Azure AD 租用戶。如果你的機構要使用 SCIM,請洽詢 Azure AD 管理員,確保沒有其他機構將你的 Azure AD 租用戶用於 SCIM。
Azure AD 群組
在 Azure AD 中,兩種同步方式都使用「群組」一詞,但只會同步使用者帳號。你可以將 Azure AD 群組新增至 Apple 商務管理 Azure AD App。例如,你在 Azure AD 中有命名為「工程」、「行銷」和「銷售」的群組,你可以將這三個群組新增至 Apple 商務管理 Azure AD App。當你使用 SCIM 進行連線時,只有這些群組的帳號會同步至 Apple 商務管理。
【注意】Apple 商務管理 Azure AD App 不支援子群組。
佈建範圍
你可以透過兩種方式將帳號從 Azure AD 同步至 Apple 商務管理。
僅同步已指派的使用者和群組:此選項只會將出現在 Apple 商務管理 Azure AD App 中的帳號同步至 Apple 商務管理。使用此方法進行同步時,Azure AD 帳號必須具備使用者的職務,才能同步至 Apple 商務管理。
同步所有使用者和群組:此選項會將所有出現在「Azure AD 使用者」標籤中的帳號同步(不支援群組同步作業)至 Apple 商務管理,並且為所有聯合 Azure AD 帳號建立管理式 Apple ID,即使你只打算使用特定數量的帳號亦然。
請參閱 Microsoft 支援文章〈何謂在 Azure Active Directory 中進行應用程式布建?〉和〈界定要布建範圍篩選的使用者或群組〉。
佈建通知
設定佈建時,你應使用具備管理員或成員經理職務使用者的電子郵件地址,這樣他們就能收到來自 Azure AD 的通知。
SCIM 和聯合驗證
如果在 Azure AD 帳號傳送至 Apple 商務管理時已開啟聯合驗證功能,你將不會看到動作,但帳號仍會從聯合驗證網域進行同步。
Azure AD 為身分提供者 (IdP),可為 Apple 商務管理驗證使用者,並核發驗證權杖。由於 Apple 商務管理支援 Azure AD,因此連線至 Azure AD(例如 Active Directory Federated Services (ADFS))的其他 IdP 也適用。聯合驗證透過安全性聲明標記語言 (SAML) 將 Apple 商務管理連線至 Azure AD。
Azure AD 使用者帳號與 Apple 商務管理
使用 SCIM 將使用者從 Azure AD 拷貝到 Apple 商務管理時,其預設職務是「職員」。完成同步後,只能編輯「職務」此一使用者屬性。此屬性會隨 Apple 商務管理中的使用者帳號一起儲存,而不會寫回至 Azure AD。
SCIM 使用者屬性對應
使用 SCIM 將帳號從 Azure AD 拷貝到 Apple 商務管理時,將以唯讀形式儲存下列使用者屬性。下方表格也說明了該使用者屬性是否為必備。
【重要事項】若新增未列於表格中的屬性,將導致 SCIM 連線中斷。
Azure AD 使用者屬性 | Apple 商務管理使用者屬性 | 必備 |
---|---|---|
名字 | 名字 | |
姓氏 | 姓氏 | |
使用者主體名稱 | 管理式 Apple ID 和電子郵件地址 | |
物件 ID | (不會在 Apple 商務管理顯示。此屬性可用來識別衝突的帳號。) | |
部門 | 部門 | |
員工 ID | 成員編號 | |
自訂屬性(必須在 Apple 商務管理 Azure AD App 中建立) | 成本中心 | |
自訂屬性(必須在 Apple 商務管理 Azure AD App 中建立) | 單位 |
使用者主體名稱
如果使用者主體名稱 (UPN) 與擁有管理員職務的現有使用者相同,則不會執行同步,且來源欄位保持不變。
成員 ID
當 Azure AD 使用者同步至 Apple 商務管理時,會為 Apple 商務管理使用者帳號建立成員 ID。成員 ID 和物件 ID 是用來識別衝突的帳號。
以下是修改成員 ID 的重要須知:
如果你修改了先前從 SCIM 輸入帳號的成員 ID,該帳號將無法再與 Azure AD 配對。
如要修改先前從 SCIM 輸入帳號的成員 ID,且希望重新連線至該帳號,請參閱解決 SCIM 使用者帳號衝突。
建議事項
與 SCIM 連線時,應只使用 Apple 商務管理 Azure AD App。
如果你驗證過網域,但尚未開啟聯合驗證,則應等到你確認 Azure AD 使用者已傳送至 Apple 商務管理之後,再開啟聯合驗證。可藉由檢視 Azure AD 佈建記錄檔執行此動作。在確認 Azure AD 帳號已傳送之後,在開啟聯合驗證的情況下,如果佈建 Azure AD 帳號,你將會收到動作的通知。若傳送 Azure AD 帳號時聯合驗證已經開啟,你將不會看到動作,但帳號仍會同步。
如果在 Azure AD 中設定了群組,你可以將該群組新增至 Apple 商務管理 Azure AD App,而不用一個一個新增每位使用者。
【重要事項】在 Apple 商務管理 Azure AD App 中,請勿在 30 天內重複使用同一個使用者名稱。
開始之前
開始之前,請務必執行下列動作:
設定並驗證要使用的網域。請參閱〈連結至新網域〉。
設定(但先不要開啟)聯合驗證。請參閱〈設定聯合驗證程序〉。
【注意】如果聯合驗證已開啟,你仍可繼續作業。請參閱先前章節中的建議事項。
決定 Azure AD 中的同步類型。若有必要,可建立群組,用來將已指派的帳號同步至 Apple 商務管理 Azure AD App:
僅同步已指派的使用者
同步所有使用者
讓擁有編輯企業應用程式權限的 Azure AD 管理員保持待命。當雙方都準備妥當時,請參閱〈使用 SCIM 輸入使用者〉。