「Apple 校務管理」聯合驗證簡介
你可以使用聯合驗證將 Apple 校務管理連結到下列服務:
Google Workspace
Microsoft Entra ID Open ID Connect (OIDC)
任何使用 OIDC 或跨域身分管理系統 (SCIM) 的身分提供者 (IdP)
【注意】你可以連結至 Google Workspace、Microsoft Entra ID 或 IdP,但一次只能連結其中一個。
因此,使用者可以接著使用其現有的使用者名稱(通常是其電子郵件地址)和密碼來登入指派給他們的 iPhone、iPad、Mac、Apple Vision Pro 和共享 iPad。登入其中一部裝置之後,他們還可以接著登入 Mac 網頁版 iCloud(Windows 版 iCloud 不支援管理式 Apple 帳號)。
【重要事項】若連線已過期,聯合驗證和使用者帳號同步也會一併停止。你需要重新連線,才能繼續使用聯合驗證和同步功能。
以下是你可能需要使用聯合驗證的特定情況:
僅使用聯合驗證
連結 Apple 校務管理和 Google Workspace、Microsoft Entra ID 或你的 IdP 後,系統會自動為使用者建立管理式 Apple 帳號。然後,他們可以使用其現有的使用者名稱 (通常是其電子郵件地址) 和密碼登入。
請參閱下列內容:
聯合驗證搭配目錄同步
你也可以將 Google Workspace、Microsoft Entra ID 或 IdP 上的使用者帳號同步至 Apple 校務管理。當你設定目錄同步連線時,你可以新增 Apple 校務管理屬性(例如年級和職務)至其中一項服務輸入的使用者帳號資料。系統會以唯讀形式新增服務的使用者帳號資訊,直到你關閉同步為止。屆時,這些帳號會變成手動帳號,你即可編輯這些帳號的屬性。若從其中一項服務移除使用者帳號,也可從 Apple 校務管理移除該使用者帳號。請參閱下列內容:
以學生資訊系統 (SIS) 中的使用者或透過使用 SFTP 上傳的 .csv 檔案進行聯合驗證
如果要與 SIS 整合或使用 SFTP 匯入使用者帳號,並且打算使用聯合驗證:
先開啟並設定聯合驗證。
使用者在 SIS 中的電子郵件地址需符合他們用來登入的 Google Workspace、Microsoft Entra ID 或 IdP 使用者名稱。
接著你就可以整合 SIS 或透過 SFTP 上傳 .csv 檔案。所有資訊 (例如班級和名冊) 皆會和來自 Google Workspace、Microsoft Entra ID 或你的 IdP 的使用者一致。若從 Google Workspace、Microsoft Entra ID 或你的 IdP 移除使用者帳號,則需由具備變更使用者狀態權限的帳號在「Apple 校務管理」中停用該使用者帳號。
聯合驗證搭配共享 iPad
當你搭配「共享 iPad」使用聯合驗證時,登入程序會視使用者帳號是否已存在於 Apple 校務管理而有所差異。如想瞭解登入情境,請參閱〈登入共享 iPad〉。
預設密碼規則為標準密碼(需使用 8 個以上的字母和數字),且可更改。請參閱〈密碼規則情況〉。
若使用者忘記密碼,則需重置共享 iPad 密碼。
開始之前
搭配 Google Workspace、Microsoft Entra ID 或你的 IdP 使用聯合驗證之前,請考慮下列事項:
要求
Apple 裝置需符合下列最低作業系統要求:
iOS 15.5
iPadOS 15.5
macOS 12.4
visionOS 1.1
需中斷與學生資訊系統 (SIS) 的連線,或停止使用 SFTP 上傳。
需鎖定並開啟網域擷取程序,請參閱〈鎖定網域〉。
沒有管理式 Apple 帳號衝突。可參閱〈管理式 Apple 帳號衝突〉。
具備管理員、機構經理或成員經理職務的使用者帳號無法使用聯合驗證登入,只能管理聯合驗證程序。
使用聯合驗證時,預設管理式 Apple 帳號格式設定不適用。
IdP 特定要求
連結至 Google Workspace 時:
聯合驗證需以使用者的電子郵件地址作為其使用者名稱。不支援別名。
連結至 Microsoft Entra ID 時:
需要使用具備 Entra ID 全域管理員角色的使用者,以完成下列核准聯合驗證的工作細項。連線成功後可變更使用者角色,從全域管理員轉為有權維持連線的其他職務。如需更多資訊,請參閱〈支援網域、目錄同步和網域讀取的 Microsoft 預設職務〉。
Microsoft Entra ID 的聯合驗證需要使用者的 userPrincipalName (UPN) 符合其電子郵件地址。不支援 userPrincipalName 別名和替代 ID。
連結至 IdP 時,需具備下列資訊:
你要使用的已驗證網域。請參閱新增並驗證網域。
登入方式:使用 Open ID Connect (OIDC)。
範圍存取:需將存取權授予下列項目:
ssf.manage和ssf.read。Shared Signals Framework (SSF) 設定 URL:參閱你的身分提供者文件。
OpenID 設定 URL:參閱你的 IdP 文件。
自動變更
針對聯合驗證網域中具有電子郵件地址的現有「Apple 校務管理」使用者,其管理式 Apple 帳號會自動變更以符合該電子郵件地址。