在 Apple 校務管理中使用 MS Azure AD 的聯合驗證
成功登入管理員帳號並檢查使用者名稱衝突後,必須開啟並測試聯合驗證。
【重要事項】聯合驗證測試也會變更你的預設管理式 Apple ID 格式。在學生資訊系統 (SIS) 中建立,或透過安全檔案傳輸通訊協定 (SFTP) 上傳的新帳號會使用新的管理式 Apple ID 格式。
將 Apple 校務管理連結至 Azure AD 並使用聯合驗證共有三個步驟:
1. 新增並驗證網域。請參閱〈連結至新網域〉。
2. 設定聯合驗證程序。
3. 使用單一 Azure AD 網域帳號測試驗證。
設定聯合驗證程序
此作業可以讓 Azure AD 信任 Apple 校務管理。
以具備管理員、機構經理或成員經理職務的使用者身分登入 Apple 校務管理。
在側邊欄底部點一下你的姓名,點一下「偏好設定」,然後點一下「帳號」。
點一下「聯合驗證」旁邊的「編輯」,再點一下「連線」。
點一下「使用 Microsoft 登入」,並輸入 Microsoft Azure AD 全域管理員、應用程式管理員或雲端應用程式管理員帳號,再點一下「下一步」。
輸入該帳號的密碼,再點一下「登入」。
仔細閱讀應用程式協議,再點一下「接受」。
這表示你同意 Microsoft 授予 Apple 權限,可存取在 Azure AD 中找到的資訊。
點一下「完成」。
【注意】完成此步驟後,使用者將無法在你設定的網域上建立新的個人 Apple ID。這可能會影響你使用的其他 Apple 服務。請參閱〈建立聯合驗證時移轉 Apple 服務〉。
在某些情況下你可能無法新增網域。常見原因包含:
你使用的 Azure AD 全域管理員、應用程式管理員或雲端應用程式管理員帳號,不具備在 Microsoft Azure AD 上新增網域的權限。
在步驟 4 輸入的帳號使用者名稱或密碼不正確。
使用單一 Azure AD 帳號測試驗證
此作業可讓 Apple 校務管理信任 Azure AD。在驗證完你的網域所有權,並成功以單一 Azure AD 帳號測試驗證後,你即可開始建立其他帳號,並繼續進行網域的聯合驗證。
在要建立聯合驗證的網域旁邊,點一下「建立聯合驗證」。
點一下「登入 Microsoft Azure 入口網站」,然後輸入你的使用者名稱和密碼。
輸入該網域現有的 Microsoft Azure AD 全域管理員、應用程式管理員或雲端應用程式管理員帳號,再點一下「下一步」。
輸入該帳號的密碼後點一下「登入」,然後點一下「完成」,再點一下「完成」。
在某些情況下可能無法登入你的網域。常見原因包含:
你選擇要建立聯合驗證的網域使用者名稱或密碼不正確。
帳號不屬於你選擇要建立聯合驗證的網域。
登入成功後,Apple 校務管理會檢查使用者名稱是否與此網域衝突。請務必先完成使用者名稱衝突檢查,才能以此網域建立聯合驗證。
【注意】成功將 Apple 校務管理連結至 Azure AD 後,即可變更帳號的職務。例如:你可能想要將某帳號的職務更改成教師職務。
開啟聯合驗證
開啟聯合驗證之前,請確定您已連結至新網域及驗證過該網域,並且已開啟及測試聯合驗證。
【注意】如果您打算要使用 SCIM 連線至 Azure AD,請等到 SCIM 連線成功後再開啟聯合驗證。
在 Apple 校務管理中,以具備管理員、機構經理或成員經理職務的使用者身分登入。
在側邊欄底部點一下你的姓名,點一下「偏好設定」,然後點一下「帳號」。
在「網域」區段中點一下「編輯」,再針對已成功新增至 Apple 校務管理的網域開啟聯合驗證。
上傳完所有帳號可能需花費一段時間。
測試聯合驗證
你可以在執行下列事項後測試聯合驗證連線:
已成功連線至你的網域並完成驗證。
已完成使用者名稱衝突檢查。
已更新管理式 Apple ID 預設格式。
【注意】具備管理員、機構經理或成員經理職務的使用者無法使用聯合驗證登入,只能管理聯合驗證程序。
在 Apple 校務管理 中,使用不具備管理員、職員或學生職務的使用者身分登入。
若系統找到你登入時所使用的使用者名稱,即會顯示新畫面,表示你正使用你網域中的使用者身分登入。
點一下「繼續」,輸入該使用者的密碼,再點一下「登入」。
登出 Apple 校務管理。
【注意】使用者必須先以自己的管理式 Apple ID 登入另一部 Apple 裝置後,才能登入 iCloud.com。