在 Apple 校務管理中使用 Microsoft Azure AD 的聯合驗證。
你可以在 Apple 校務管理連結至 Microsoft Azure Active Directory (Azure AD),讓使用者透過其 Azure AD 使用者名稱和密碼登入。
Azure AD 為身分提供者 (IdP),可為 Apple 校務管理驗證使用者,並核發驗證權杖。此種驗證支援憑證驗證以及雙重認證 (2FA)。Apple 校務管理支援 Azure AD,因此連線至 Azure AD 的其他 IdP(例如 Active Directory 同盟服務 (AD FS))也適用於 Apple 校務管理。
【重要事項】聯合驗證需要使用者的使用者主體名稱 (UPN) 與其電子郵件地址一致。不支援使用者主體名稱別名和替代識別碼。
透過 Microsoft 租用戶進行聯合驗證和目錄同步
若要透過 Microsoft 租用戶新增 Apple 校務管理 Azure AD App,租用戶的管理員必須先完成聯合驗證設定程序,包括測試驗證。驗證成功後,Apple 校務管理 Azure AD App 將成為租用戶,此時管理員可為網域建立聯合驗證並設定 Apple 校務管理以使用 SCIM(跨網域身分管理系統)進行目錄同步。請參閱〈SCIM 要求〉。
開始之前
將 Apple 校務管理連結至 Azure AD 並使用聯合驗證共有三個步驟:
設定聯合驗證程序
此作業可以讓 Azure AD 信任 Apple 校務管理。
以具備管理員、機構經理或成員經理職務的使用者身分登入 Apple 校務管理 。
在側邊欄底部選取你的姓名,接著選取「偏好設定」,然後選取「帳號」。
選取「聯合驗證」旁邊的「編輯」,然後選取「連線」。
選取「使用 Microsoft 登入」,並輸入 Microsoft Azure AD 全域管理員、應用程式管理員或雲端應用程式管理員帳號,再選取「下一步」。
輸入該帳號的密碼,再選取「登入」。
仔細閱讀應用程式協議,再選取「接受」。
這表示你同意 Microsoft 授予 Apple 權限,可存取在 Azure AD 中找到的資訊。
選取「完成」。
【注意】完成此步驟後,使用者將無法在你設定的網域上建立新的個人 Apple ID。這可能會影響你使用的其他 Apple 服務。請參閱〈建立聯合驗證時移轉 Apple 服務〉。
在某些情況下你可能無法新增網域。常見原因包含:
你使用的 Azure AD 全域管理員、應用程式管理員或雲端應用程式管理員帳號,不具備在 Microsoft Azure AD 上新增網域的權限。
在步驟 4 輸入的帳號使用者名稱或密碼不正確。
使用單一 Azure AD 帳號測試驗證
此作業可讓 Apple 校務管理信任 Azure AD。在驗證完你的網域所有權,並成功以單一 Azure AD 帳號測試驗證後,你即可開始建立其他帳號,並繼續進行網域的聯合驗證。
在要建立聯合驗證的網域旁邊,選取「建立聯合驗證」。
選取「登入 Microsoft Azure 入口網站」,然後輸入你的使用者名稱和密碼。
輸入該網域現有的 Microsoft Azure AD 全域管理員、應用程式管理員或雲端應用程式管理員帳號,再選取「下一步」。
輸入該帳號的密碼後選取「登入」,選取「完成」,再選取「完成」。
在某些情況下可能無法登入你的網域。常見原因包含:
你選擇要建立聯合驗證的網域使用者名稱或密碼不正確。
帳號不屬於你選擇要建立聯合驗證的網域。
登入成功後,Apple 校務管理會檢查使用者名稱是否與此網域衝突。請務必先完成使用者名稱衝突檢查,才能以此網域建立聯合驗證。
【注意】成功將 Apple 校務管理連結至 Azure AD 後,即可變更帳號的職務。例如:你可能想要將某帳號的職務改為教師。
開啟聯合驗證
在開啟聯合驗證前,請確認你已連結至新網域並進行驗證。
【注意】如果你打算要使用 SCIM 連線至 Azure AD,請等到 SCIM 連線成功後再開啟聯合驗證。
以具備管理員、機構經理或成員經理職務的使用者身分登入 Apple 校務管理 。
在側邊欄底部選取你的姓名,接著選取「偏好設定」,然後選取「帳號」。
在「網域」區段中選取「編輯」,再針對已成功新增至 Apple 校務管理的網域開啟聯合驗證。
上傳完所有帳號可能需花費一段時間。
測試聯合驗證
你可以在執行下列事項後測試聯合驗證連線:
已成功連線至你的網域並完成驗證。
已完成使用者名稱衝突檢查。
已更新管理式 Apple ID 預設格式。
【注意】具備管理員、機構經理或成員經理職務的使用者無法使用聯合驗證登入,只能管理聯合驗證程序。
使用不具備管理員、職員或學生職務的使用者身分登入 Apple 校務管理 。
若系統找到你登入時所使用的使用者名稱,即會顯示新畫面,表示你正使用你網域中的使用者身分登入。
選取「繼續」,輸入該使用者的密碼,再選取「登入」。
登出 Apple 校務管理。
【注意】使用者必須先以自己的管理式 Apple ID 登入另一部 Apple 裝置後,才能登入 iCloud.com。