Gefedereerde authenticatie gebruiken met Microsoft Entra ID in Apple School Manager
In Apple School Manager kun je met behulp van gefedereerde authenticatie koppelen met Microsoft Entra ID om toe te staan dat gebruikers inloggen op Apple apparaten met hun Microsoft Entra ID-gebruikersnaam (over het algemeen hun e-mailadres) en -wachtwoord.
Het resultaat is dat je gebruikers hun Microsoft Entra ID-inloggegevens kunnen gebruiken als Beheerde Apple Accounts. Ze kunnen deze inloggegevens gebruiken om in te loggen op hun toegewezen iPhone, iPad, Mac of Apple Vision Pro en zelfs bij iCloud op internet.
Microsoft Entra ID is de identiteitsprovider (IdP) die de gebruiker authenticeert voor Apple School Manager en authenticatie-tokens uitgeeft. Deze authenticatie ondersteunt authenticatie van certificaten en twee-factor-authenticatie (2FA).
Voordat je aan de slag gaat
Denk aan het volgende voordat je koppelt met Microsoft Entra ID:
Je moet een gebruiker met de rol Globale beheerder voor Entra ID gebruiken om de taak Gefedereerde authenticatie goedkeuren hieronder te voltooien. Nadat de verbinding is gelukt, kun je de rol van de gebruiker van Algemene beheerder wijzigen in een andere rol met de vereiste bevoegdheden om de verbinding te behouden. Zie Ondersteunde rollen en bevoegdheden voor meer informatie.
Je moet 'Domein vastleggen' vergrendelen en inschakelen voordat je kunt federeren. Zie Een domein vergrendelen.
Gefedereerde authenticatie vereist dat de userPrincipalName (UPN) van de gebruiker overeenkomt met diens e-mailadres. userPrincipalName-aliassen en alternatieve ID's worden niet ondersteund.
Voor bestaande gebruikers met een e-mailadres in het gefedereerde domein wordt hun beheerde Apple Account automatisch gewijzigd zodat deze overeenkomt met dat e-mailadres.
Verbreek de verbinding met je studenteninformatiesysteem (SIS) of stop met uploaden met SFTP.
Gebruikersaccounts met de rol van beheerder, systeembeheerder of personenmanager kunnen niet inloggen met gefedereerde authenticatie; zij kunnen het federatieproces alleen beheren.
Wanneer de Microsoft Entra ID-verbinding is verlopen, wordt de federatie en synchronisatie van gebruikersaccounts met Microsoft Entra ID gestopt. Je moet opnieuw verbinding maken met Microsoft Entra ID om federatie en synchronisatie te blijven gebruiken.
Ondersteunde rollen en bevoegdheden
Als de initiële taak Gefedereerde authenticatie goedkeuren is gelukt, heb je als je rollen wilt wijzigen 2 opties om de account te bewerken met de huidige rol van Algemene beheerder van Microsoft Entra ID.
Wijzig de account naar een van de volgende rollen:
Algemene lezer
Programmabeheerder
Cloudprogrammabeheerder
Wijzig de account zodat deze de volgende 2 rollen hebben: Directory-lezer en rapportenlezer.
Beide opties maken de volgende toegang mogelijk, die vereist is bij Apple School Manager:
Lees de lijst met alle domeinen: microsoft.directory/domains/standard/read
Lees de directory met alle gebruikers: microsoft.directory/users/standard/read
Lees de auditlogboeken voor beveiligingsgebeurtenissen: microsoft.directory/auditLogs/allProperties/read
Proces voor gefedereerde authenticatie
Dit proces omvat drie belangrijke stappen:
Gefedereerde authenticatie goedkeuren.
De gefedereerde authenticatie testen met één Microsoft Entra ID-gebruikersaccount.
Gefedereerde authenticatie inschakelen.
Stap 1: Gefedereerde authenticatie goedkeuren
De eerste stap is een vertrouwensrelatie op te zetten tussen Microsoft Entra ID en Apple School Manager. Deze taak moet worden uitgevoerd door een gebruiker met de rol Algemene beheerder in Microsoft Entra ID.
Opmerking: Als je deze stap hebt voltooid, kunnen gebruikers geen nieuwe persoonlijke Apple Accounts meer maken op het domein dat jij configureert. Dit kan ook invloed hebben op andere diensten van Apple die je gebruikers gebruiken. Raadpleeg Draag diensten van Apple over aan een beheerde Apple Account.
Log in bij Apple School Manager
als een gebruiker met de rol van beheerder, systeembeheerder of personenmanager.Selecteer je naam onder in de navigatiekolom, selecteer 'Voorkeuren'
, selecteer beheerde Apple Accounts 
en vervolgens 'Aan de slag' onder 'Gebruikersaanmelding en directory-synchronisatie'.Selecteer Microsoft Entra ID en selecteer 'Ga door'.
Selecteer 'Log in met Microsoft', voer een globale beheerdersgebruikersnaam voor Microsoft Entra ID in en selecteer 'Volgende'.
Voer het wachtwoord voor de account in en selecteer vervolgens 'Log in'.
Lees de applicatieovereenkomst zorgvuldig, selecteer 'Toestemming namens je organisatie' en selecteer 'Accepteer'.
Je gaat ermee akkoord dat Microsoft Apple toegang geeft tot gegevens in Microsoft Entra ID.
Bekijk indien nodig de geverifieerde en conflicterende domeinen.
Selecteer 'Gereed'.
Indien nodig kun je de rol van de gebruiker in Microsoft Entra ID wijzigen van Algemene beheerder naar een ondersteunde rol met de vereiste bevoegdheden. Zie Ondersteunde rollen en bevoegdheden voor meer informatie.
In bepaalde gevallen kun je je domein mogelijk niet toevoegen. Veelvoorkomende redenen zijn:
De gebruikersnaam of het wachtwoord van de account in stap 4 is onjuist.
Stap 2: De authenticatie testen met één Microsoft Entra ID-gebruikersaccount
Belangrijk: De gefedereerde authenticatietest wijzigt ook de standaardindeling van je beheerde Apple Account. Nieuwe accounts die zijn aangemaakt in je studenteninformatiesysteem (SIS) of geüpload met Secure File Transfer Protocol (SFTP), gebruiken de nieuwe beheerde Apple Account-indeling.
Je kunt de verbinding van gefedereerde authenticatie testen nadat je de volgende taken hebt uitgevoerd:
De controle op conflicterende gebruikersnamen is voltooid.
De standaardindeling van de beheerde Apple Account is bijgewerkt.
Nadat je Apple School Manager met succes hebt gekoppeld met Microsoft Entra ID, kun je de rol van een gebruikersaccount wijzigen in een andere rol. Misschien wil je bijvoorbeeld de rol van een gebruikersaccount veranderen in een docentenrol.
Opmerking: Gebruikersaccounts met de rol van beheerder, systeembeheerder of personenmanager kunnen niet inloggen met gefedereerde authenticatie; zij kunnen het federatieproces alleen beheren.
Selecteer 'Federeer' naast het domein dat je wilt federeren.
Selecteer 'Log in bij Microsoft Entra ID-portal', voer een Microsoft Entra ID-gebruikersnaam in van een account die in het domein bestaat en selecteer 'Volgende'.
Voer het wachtwoord voor de account in, selecteer 'Log in', selecteer 'Gereed' en vervolgens 'Gereed'.
In bepaalde gevallen kun je mogelijk niet inloggen op je domein. Hieronder een aantal veelvoorkomende redenen:
De gebruikersnaam of het wachtwoord van het domein dat je hebt gekozen om te federeren, is niet juist.
De account bevindt zich niet in het domein dat je hebt gekozen om te federeren.
Stap 3: Gefedereerde authenticatie inschakelen
Log in bij Apple School Manager
als een gebruiker met de rol van beheerder, systeembeheerder of personenmanager.Selecteer je naam onder in de navigatiekolom, selecteer 'Voorkeuren'
en selecteer beheerde Apple Accounts .Selecteer 'Beheer' naast het domein dat je wilt federeren in het gedeelte 'Domeinen' en selecteer 'Log in met Microsoft Entra ID inschakelen'.
Schakel 'Log in met Microsoft Entra ID' in.
Indien nodig kun je nu gebruikersaccounts synchroniseren met Apple School Manager. Zie Gebruikersaccounts van Microsoft Entra ID synchroniseren.