Korzystanie z uwierzytelniania federacyjnego za pomocą usługi Microsoft Entra ID w usłudze Apple Business Manager
W usłudze Apple Business Manager możesz nawiązać połączenie z usługą Microsoft Entra ID przy użyciu uwierzytelniania federacyjnego, aby umożliwić użytkownikom logowanie się do urządzeń Apple za pomocą ich nazwy użytkownika (zazwyczaj adresu email) i hasła z usługi Microsoft Entra ID.
W rezultacie użytkownicy mogą używać swoich danych uwierzytelniających usługi Microsoft Entra ID jako zarządzanych kont Apple. Mogą oni następnie używać tych danych uwierzytelniających do logowania się do przydzielonego iPhone’a, iPada lub Maca, a nawet usługi iCloud w przeglądarce.
Microsoft Entra ID to dostawca tożsamości, który uwierzytelnia użytkownika w usłudze Apple Business Manager i wystawia tokeny uwierzytelniania. To uwierzytelnianie obsługuje uwierzytelnianie za pomocą certyfikatu oraz uwierzytelnianie dwupoziomowe (2FA).
Przed rozpoczęciem
Zanim nawiążesz połączenie z usługą Microsoft Entra ID, rozważ następujące kwestie:
Przed przystąpieniem do federacji należy zablokować domenę i włączyć przejmowanie domeny. Zobacz Blokowanie domeny.
Uwierzytelnianie federacyjne wymaga, aby nazwa userPrincipalName (UPN) użytkownika odpowiadała jego adresowi email. Aliasy userPrincipalName i alternatywne identyfikatory nie są obsługiwane.
W przypadku istniejących użytkowników z adresem email w domenie sfederowanej ich zarządzane konto Apple jest automatycznie zmieniane, aby pasowało do tego adresu email.
Konta użytkowników z rolą administratora lub menedżera użytkowników nie mogą logować się za pomocą uwierzytelniania federacyjnego; mogą jedynie zarządzać procesem federowania.
Gdy połączenie z usługą Microsoft Entra ID wygaśnie, federacja i synchronizacja kont użytkowników z usługą Microsoft Entra ID przestaje działać. Aby nadal korzystać z federacji i synchronizacji, musisz ponownie nawiązać połączenie z usługą Microsoft Entra ID.
Proces uwierzytelniania federacyjnego
Ten proces obejmuje trzy główne etapy:
Konfigurowanie uwierzytelniania federacyjnego.
Przetestuj uwierzytelnianie federacyjne za pomocą jednego konta użytkownika Microsoft Entra ID.
Włączanie uwierzytelniania federacyjnego.
Krok 1. Skonfiguruj uwierzytelnianie federacyjne
Pierwszym krokiem jest ustanowienie relacji zaufania między usługami Microsoft Entra ID i Apple Business Manager.
Uwaga: Po wykonaniu tego kroku użytkownicy nie mogą tworzyć nowych osobistych kont Apple w skonfigurowanej domenie. Może to mieć wpływ na inne usługi Apple, z których korzystają użytkownicy. Zobacz Przenoszenie usług Apple w procesie federacji.
W usłudze Apple Business Manager
zaloguj się jako użytkownik z rolą administratora lub menedżera użytkowników.Wybierz swoje imię i nazwisko u dołu paska bocznego, wybierz opcję Preferencje
, wybierz opcję Zarządzane konta Apple 
, a następnie wybierz opcję Rozpocznij w obszarze „Logowanie użytkownika i synchronizacja katalogu”.Wybierz Microsoft Entra ID, a następnie wybierz opcję Kontynuuj.
Wybierz przycisk „Zaloguj się za pomocą konta Microsoft”, wprowadź nazwę użytkownika administratora globalnego usługi Microsoft Entra ID, a następnie wybierz przycisk Dalej.
Wpisz hasło do konta, a następnie wybierz przycisk Zaloguj.
Przeczytaj uważnie umowę dotyczącą aplikacji, zaznacz opcję „Zgoda w imieniu organizacji” a następnie wybierz przycisk Akceptuj.
Wyrażasz zgodę na to, aby firma Microsoft umożliwiła Apple dostęp do informacji znalezionych w usłudze Microsoft Entra ID.
W razie potrzeby przejrzyj zweryfikowane domeny oraz domeny będące w konflikcie.
Wybierz przycisk Gotowe.
W niektórych przypadkach zalogowanie się do domeny może nie być możliwe. Oto kilka często spotykanych powodów:
Nazwa użytkownika lub hasło z konta w kroku 4 są nieprawidłowe.
Krok 2. Przetestuj uwierzytelnianie za pomocą jednego konta użytkownika Microsoft Entra ID
Ważne: Test uwierzytelniania federacyjnego spowoduje też zmianę domyślnego formatu zarządzanego konta Apple.
Możesz przetestować połączenie uwierzytelniania federacyjnego po wykonaniu następujących zadań:
Ukończono sprawdzenie pod kątem konfliktów nazw użytkowników.
Domyślny format zarządzanego konta Apple został uaktualniony.
Po pomyślnym połączeniu usługi Apple Business Manager z usługą Microsoft Entra ID możesz zmienić rolę konta użytkownika na inną. Możesz na przykład zmienić rolę konta użytkownika na rolę personelu.
Uwaga: Konta użytkowników z rolą administratora lub menedżera użytkowników nie mogą logować się za pomocą uwierzytelniania federacyjnego; mogą jedynie zarządzać procesem federowania.
Wybierz przycisk Sfederuj obok domeny, którą chcesz sfederować.
Zaznacz opcję „Zaloguj się do portalu Microsoft Entra ID”, wprowadź nazwę użytkownika usługi Microsoft Entra ID konta, które istnieje w danej domenie, a następnie wybierz przycisk Dalej.
Wprowadź hasło do konta, wybierz przycisk Zaloguj, wybierz przycisk Gotowe, a następnie wybierz przycisk Gotowe.
W niektórych przypadkach zalogowanie się do domeny może nie być możliwe. Oto kilka często spotykanych powodów:
Nazwa użytkownika lub hasło z domeny wybranej do federacji jest nieprawidłowe.
Konto nie znajduje się w domenie wybranej do federacji.
Krok 3. Włącz uwierzytelnianie federacyjne
W usłudze Apple Business Manager
zaloguj się jako użytkownik z rolą administratora lub menedżera użytkowników.Wybierz swoje imię i nazwisko u dołu paska bocznego, wybierz opcję Preferencje
, a następnie wybierz opcję Zarządzane konta Apple .W sekcji Domeny wybierz przycisk Zarządzaj obok domeny, którą chcesz sfederować, a następnie wybierz opcję „Włącz logowanie za pomocą usługi Microsoft Entra ID”.
Włącz „Zaloguj się za pomocą usługi Microsoft Entra ID”.
W razie potrzeby możesz teraz zsynchronizować konta użytkowników z usługą Apple Business Manager. Zobacz Synchronizowanie kont użytkowników z usługi Microsoft Entra ID.