Gefedereerde authenticatie gebruiken met Microsoft Entra ID in Apple Business Manager
In Apple Business Manager kun je met behulp van gefedereerde authenticatie koppelen met Microsoft Entra ID om toe te staan dat gebruikers inloggen op Apple apparaten met hun Microsoft Entra ID-gebruikersnaam (over het algemeen hun e-mailadres) en -wachtwoord.
Het resultaat is dat je gebruikers hun Microsoft Entra ID-inloggegevens kunnen gebruiken als Beheerde Apple Accounts. Ze kunnen dan deze inloggegevens gebruiken om in te loggen op hun toegewezen iPhone, iPad of Mac en zelfs bij iCloud op internet.
Microsoft Entra ID is de identiteitsprovider (IdP) die de gebruiker authenticeert voor Apple Business Manager en authenticatie-tokens uitgeeft. Deze authenticatie ondersteunt authenticatie van certificaten en twee-factor-authenticatie (2FA).
Voordat je aan de slag gaat
Denk aan het volgende voordat je koppelt met Microsoft Entra ID:
Je moet 'Domein vastleggen' vergrendelen en inschakelen voordat je kunt federeren. Zie Een domein vergrendelen.
Gefedereerde authenticatie vereist dat de userPrincipalName (UPN) van de gebruiker overeenkomt met diens e-mailadres. userPrincipalName-aliassen en alternatieve ID's worden niet ondersteund.
Voor bestaande gebruikers met een e-mailadres in het gefedereerde domein wordt hun beheerde Apple Account automatisch gewijzigd zodat deze overeenkomt met dat e-mailadres.
Gebruikersaccounts met de rol van beheerder of personenmanager kunnen niet inloggen met gefedereerde authenticatie; zij kunnen het federatieproces alleen beheren.
Wanneer de Microsoft Entra ID-verbinding is verlopen, wordt de federatie en synchronisatie van gebruikersaccounts met Microsoft Entra ID gestopt. Je moet opnieuw verbinding maken met Microsoft Entra ID om federatie en synchronisatie te blijven gebruiken.
Proces voor gefedereerde authenticatie
Dit proces omvat drie belangrijke stappen:
Gefedereerde authenticatie configureren.
De gefedereerde authenticatie testen met één Microsoft Entra ID-gebruikersaccount.
Gefedereerde authenticatie inschakelen.
Stap 1: Gefedereerde authenticatie configureren
De eerste stap is een vertrouwensrelatie op te zetten tussen Microsoft Entra ID en Apple Business Manager.
Opmerking: Als je deze stap hebt voltooid, kunnen gebruikers geen nieuwe persoonlijke Apple Accounts meer maken op het domein dat jij configureert. Dit kan ook invloed hebben op andere diensten van Apple die je gebruikers gebruiken. Raadpleeg Services van Apple overzetten bij federatie.
Log in bij Apple Business Manager als een gebruiker die de rol van beheerder of personenmanager heeft.
Selecteer je naam onder in de navigatiekolom, selecteer 'Voorkeuren' , selecteer beheerde Apple Accounts en vervolgens 'Aan de slag' onder 'Gebruikersaanmelding en directory-synchronisatie'.
Selecteer Microsoft Entra ID en selecteer 'Ga door'.
Selecteer 'Log in met Microsoft', voer een globale beheerdersgebruikersnaam voor Microsoft Entra ID in en selecteer 'Volgende'.
Voer het wachtwoord voor de account in en selecteer vervolgens 'Log in'.
Lees de applicatieovereenkomst zorgvuldig, selecteer 'Toestemming namens je organisatie' en selecteer 'Accepteer'.
Je gaat ermee akkoord dat Microsoft Apple toegang geeft tot gegevens in Microsoft Entra ID.
Bekijk indien nodig de geverifieerde en conflicterende domeinen.
Selecteer 'Gereed'.
In bepaalde gevallen kun je mogelijk niet inloggen op je domein. Hieronder een aantal veelvoorkomende redenen:
De gebruikersnaam of het wachtwoord van de account in stap 4 is onjuist.
Stap 2: De authenticatie testen met één Microsoft Entra ID-gebruikersaccount
Belangrijk: De gefedereerde authenticatietest wijzigt ook de standaardindeling van je beheerde Apple Account.
Je kunt de verbinding van gefedereerde authenticatie testen nadat je de volgende taken hebt uitgevoerd:
De controle op conflicterende gebruikersnamen is voltooid.
De standaardindeling van de beheerde Apple Account is bijgewerkt.
Nadat je Apple Business Manager met succes hebt gekoppeld met Microsoft Entra ID, kun je de rol van een gebruikersaccount wijzigen in een andere rol. Misschien wil je bijvoorbeeld de rol van een gebruikersaccount veranderen in een medewerkerrol.
Opmerking: Gebruikersaccounts met de rol van beheerder of personenmanager kunnen niet inloggen met gefedereerde authenticatie; zij kunnen het federatieproces alleen beheren.
Selecteer 'Federeer' naast het domein dat je wilt federeren.
Selecteer 'Log in bij Microsoft Entra ID-portal', voer een Microsoft Entra ID-gebruikersnaam in van een account die in het domein bestaat en selecteer 'Volgende'.
Voer het wachtwoord voor de account in, selecteer 'Log in', selecteer 'Gereed' en vervolgens 'Gereed'.
In bepaalde gevallen kun je mogelijk niet inloggen op je domein. Hieronder een aantal veelvoorkomende redenen:
De gebruikersnaam of het wachtwoord van het domein dat je hebt gekozen om te federeren, is niet juist.
De account bevindt zich niet in het domein dat je hebt gekozen om te federeren.
Stap 3: Gefedereerde authenticatie inschakelen
Log in bij Apple Business Manager als een gebruiker die de rol van beheerder of personenmanager heeft.
Selecteer je naam onder in de navigatiekolom, selecteer 'Voorkeuren' en selecteer beheerde Apple Accounts .
Selecteer 'Beheer' naast het domein dat je wilt federeren in het gedeelte 'Domeinen' en selecteer 'Log in met Microsoft Entra ID inschakelen'.
Schakel 'Log in met Microsoft Entra ID' in.
Indien nodig kun je nu gebruikersaccounts synchroniseren met Apple Business Manager. Zie Gebruikersaccounts van Microsoft Entra ID synchroniseren.