Синхронізація облікових записів користувачів із Microsoft Entra ID до Apple Business Manager
Ви можете синхронізувати облікові записи користувачів з Apple Business Manager за допомогою OpenID Connect (OIDC). За допомогою цієї системи можна обʼєднати ресурси Apple Business Manager, як‑от ролі, з даними облікового запису користувача, імпортованими з Microsoft Entra ID. Коли ви синхронізуєте облікові записи користувачів за допомогою OIDC, інформація про обліковий запис додається у форматі лише для читання, доки ви не відʼєднаєтеся від Microsoft Entra ID. Після від’єднання облікові записи користувачів стають обліковими записами, створеними вручну, а їхні атрибути — доступними для редагування.
Перш ніж почати
Перед синхронізацією з Microsoft Entra ID потрібно виконати наведені далі дії, скориставшись підключенням OIDC.
За потреби налаштуйте й підтвердьте домен, який ви хочете використовувати. Див. розділ Додайте та підтвердьте домен. Якщо ви вже підтвердили домен, який хочете об’єднати з Google Workspace, цей крок можна пропустити.
Налаштуйте, об’єднайте й увімкніть домен. Див. розділ Використання обʼєднаної автентифікації за допомогою Microsoft Entra ID.
Під час налаштування підключення слід використовувати адресу електронної пошти користувача з роллю адміністратора або менеджера з персоналу, щоб він міг отримувати сповіщення від Microsoft Entra ID.
Зателефонуйте глобальному адміністратору Microsoft Entra ID з дозволами на редагування налаштувань Microsoft Entra ID.
Облікові записи користувачів Microsoft Entra ID й Apple Business Manager
Якщо обліковий запис користувача синхронізується з Microsoft Entra ID в Apple Business Manager за допомогою OIDC, за замовчуванням йому призначається роль «Персонал». Після завершення синхронізації можна змінити наведені нижче атрибути ролей облікового запису користувача. Цей атрибут зберігається з обліковим записом користувача в Apple Business Manager і не записується назад у Microsoft Entra ID.
Важливо! Не використовуйте те саме ім’я користувача в програмі Apple Business Manager Entra ID повторно протягом 30 днів.
Атрибути входу
В Apple Business Manager необхідно, щоб атрибут, що використовується для керованого облікового запису Apple, був унікальним. Зазвичай це адреса електронної пошти користувача. Якщо атрибут користувача повністю збігається з атрибутом користувача Apple Business Manager, якому присвоєно роль адміністратора, синхронізація не здійснюватиметься, а поле джерела залишиться без змін.
User Principal Name
Якщо імʼя User Principal Name (UPN) облікового запису користувача повністю збігається з іменем наявного облікового запису користувача, якому присвоєно роль адміністратора або менеджера з персоналу, синхронізація не здійснюватиметься, а поле джерела залишиться без змін.
Ідентифікатор особи
Коли обліковий запис користувача Microsoft Entra ID синхронізується з Apple Business Manager, для облікового запису користувача Apple Business Manager створюється ідентифікатор особи. Цей ідентифікатор допомагає виявляти облікові записи користувачів, які мають конфлікт.
Нижче наведено важливі моменти, які варто врахувати під час змінення ідентифікатора особи.
Якщо змінити ідентифікатор особи для облікового запису користувача, який імпортовано з Microsoft Entra ID, він більше не буде повʼязаний із Microsoft Entra ID.
Якщо ви змінили ідентифікатор особи для облікового запису користувача, який імпортовано з Microsoft Entra ID, і хочете повторно привʼязати його, див. розділ Усунення конфліктів облікових записів користувачів OIDC у Microsoft Entra ID.
Клієнти Microsoft Entra ID
Щоб використовувати OIDC з Apple Business Manager, ваша установа не повинна мати такого ж клієнта Microsoft Entra ID, як жодна інша установа з Apple Business Manager. Якщо ви хочете використовувати OIDC для своєї установи, зверніться до глобального адміністратора Microsoft Entra ID, щоб переконатися, що вашого клієнта Entra ID для OIDC не використовує жодна інша установа.
Групи Microsoft Entra ID
В інтерфейсі користувача Microsoft Entra ID можна синхронізувати облікові записи групи; синхронізацію підтримують лише облікові записи користувачів у цих групах.
Якщо ви налаштували обліковий запис групи в Microsoft Entra ID, її можна додати в програму Apple Business Manager Entra ID замість того, щоб додати кожного користувача.
Примітка. Програма Apple Business Manager Entra ID не підтримує підгрупи.
Зіставлення атрибутів користувача OIDC
Коли обліковий запис користувача синхронізується з Microsoft Entra ID в Apple Business Manager за допомогою OIDC, наведені нижче атрибути користувача зберігаються лише для читання. У таблиці також зазначено, чи є атрибут користувача обов’язковим.
Важливо! Додання атрибутів, що не вказані в таблиці, може розірвати з’єднання OIDC.
Атрибут користувача Microsoft Entra ID | Атрибут користувача Apple Business Manager | Обовʼязково |
|---|---|---|
givenName | Імʼя |
|
surname | Прізвище |
|
userPrincipalName | Керований обліковий запис Apple й адреса е‑пошти |
|
objectId | (Не відображається в Apple Business Manager. Цей атрибут використовується для виявлення конфліктуючих облікових записів.) |
|
Відділ | Відділ |
|
Ідентифікаційний номер працівника | Номер особи |
|
employeeOrgData.costCenter | Центр витрат |
|
employeeOrgData.division | Підрозділ |
|
Увімкнення синхронізації підключення Microsoft Entra
В Apple Business Manager
увійдіть в обліковий запис користувача, що має роль адміністратора або менеджера з персоналу.У нижній частині бічної панелі виберіть своє ім’я, натисніть «Уподобання»
, а потім — «Керовані облікові записи Apple»
.Увімкніть синхронізацію підключення Microsoft Entra, а потім виберіть «Синхронізувати зараз».
Синхронізація вручну
Ви можете вручну синхронізувати Apple Business Manager із Microsoft Entra ID, щоб імпортувати зміни, внесені в Microsoft Entra ID.
В Apple Business Manager
увійдіть в обліковий запис користувача, що має роль адміністратора або менеджера з персоналу.У нижній частині бічної панелі виберіть своє ім’я, натисніть «Уподобання»
, а потім — «Керовані облікові записи Apple».У Microsoft Entra ID виберіть «Синхронізувати зараз».