透過 Apple 校務管理使用聯合驗證簡介
你可以使用聯合驗證將 Apple 校務管理連結到下列服務:
Google Workspace
Microsoft Entra ID
你的身分提供者 (IdP)
【注意】你可以連結至 Google Workspace、Microsoft Entra ID 或 IdP,但一次只能連結其中一個。
因此,使用者可以接著使用其現有的使用者名稱(通常是其電子郵件地址)和密碼來登入指派給他們的 iPhone、iPad、Mac、Apple Vision Pro 和共享 iPad。登入其中一部裝置之後,他們還可以接著登入 Mac 網頁版 iCloud(Windows 版 iCloud 不支援管理式 Apple 帳號)。
【重要事項】若連線已過期,聯合驗證和使用者帳號同步也會一併停止。你必須重新連線,才能繼續使用聯合驗證和同步功能。
以下是你可能需要使用聯合驗證的特定情況:
僅使用聯合驗證
連結 Apple 校務管理和 Google Workspace、Microsoft Entra ID 或你的 IdP 後,系統會自動為使用者建立管理式 Apple 帳號。然後,他們可以使用其現有的使用者名稱 (通常是其電子郵件地址) 和密碼登入。
請參閱下列內容:
聯合驗證搭配目錄同步
你也可以將 Google Workspace、Microsoft Entra ID 或 IdP 上的使用者帳號同步至 Apple 校務管理。當你設定目錄同步連線時,你可以新增 Apple 校務管理屬性(例如年級和職務)至其中一項服務輸入的使用者帳號資料。系統會以唯讀形式新增服務的使用者帳號資訊,直到你關閉同步為止。屆時,這些帳號會變成手動帳號,你即可編輯這些帳號的屬性。若從其中一項服務移除使用者帳號,也可從 Apple 校務管理移除該使用者帳號。請參閱下列內容:
以學生資訊系統 (SIS) 中的使用者或透過使用 SFTP 上傳的檔案進行聯合驗證
如果你打算搭配 SIS 或 CSV 檔案使用聯合驗證,請先設定並開啟聯合驗證。
當你想要連結至 Google Workspace、Microsoft Entra ID 或你的 IdP 以及連結至你的 SIS 或使用 SFTP 上傳檔案時,你必須執行下列操作:
接著你就可以整合 SIS 或透過 SFTP 上傳檔案。所有資訊 (例如班級和名冊) 皆會和來自 Google Workspace、Microsoft Entra ID 或你的 IdP 的使用者一致。若從 Google Workspace、Microsoft Entra ID 或你的 IdP 移除使用者帳號,則必須由具備變更使用者狀態權限的帳號在 Apple 校務管理中停用該使用者帳號。
【重要事項】若是與學生資訊系統 (SIS) 整合,或透過安全檔案傳輸通訊協定 (SFTP) 輸入使用者帳號,且採用聯合驗證,則使用者在 SIS 中的電子郵件地址必須與他們已用來登入的 Google Workspace、Microsoft Entra ID 或 IdP 使用者名稱一致。
聯合驗證搭配共享 iPad
當你搭配「共享 iPad」使用聯合驗證時,登入程序會視使用者帳號是否已存在於 Apple 校務管理而有所差異。如想瞭解登入情境,請參閱〈登入共享 iPad〉。
預設密碼規則為標準密碼(需使用 8 個以上的字母和數字),且可更改。請參閱〈密碼規則情況〉。
若使用者忘記密碼,你必須重置「共享 iPad」密碼。
開始之前
搭配 Google Workspace、Microsoft Entra ID 或你的 IdP 使用聯合驗證之前,請考慮下列事項:
要求
Apple 裝置必須符合下列最低作業系統要求:
iOS 15.5
iPadOS 15.5
macOS 12.4
visionOS 1.1
你必須中斷與學生資訊系統 (SIS) 的連線,或停止使用 SFTP 進行上傳。
你必須鎖定並開啟網域擷取程序。請參閱鎖定網域。
沒有管理式 Apple 帳號衝突。可參閱〈管理式 Apple 帳號衝突〉。
具備管理員、機構經理或成員經理職務的使用者帳號無法使用聯合驗證登入,只能管理聯合驗證程序。
使用聯合驗證時,預設管理式 Apple 帳號格式設定不適用。
IdP 特定要求
連結至 Google Workspace 時:
聯合驗證應使用使用者的電子郵件地址作為其使用者名稱。不支援別名。
連結至 Microsoft Entra ID 時:
必須使用具備 Entra ID 全域管理員角色的使用者,以完成下列核准聯合驗證的工作細項。連線成功後可變更使用者角色,從全域管理員轉為有權維持連線的其他職務。如需更多資訊,請參閱〈支援網域、目錄同步和網域讀取的 Microsoft 預設職務〉。
Microsoft Entra ID 的聯合驗證需要使用者的 userPrincipalName (UPN) 符合其電子郵件地址。不支援 userPrincipalName 別名和替代 ID。
連結至 IdP 時,你必須具有下列資訊:
你要使用的已驗證網域。請參閱新增並驗證網域。
登入方式:使用 Open ID Connect (OIDC)。
範圍存取:必須將存取權授予下列項目
ssf.manage和ssf.read。Shared Signals Framework (SSF) 設定 URL:參閱你的身分提供者文件。
OpenID 設定 URL:參閱你的 IdP 文件。
自動變更
針對聯合驗證網域中具有電子郵件地址的現有「Apple 校務管理」使用者,其管理式 Apple 帳號會自動變更以符合該電子郵件地址。