Використання обʼєднаної автентифікації за допомогою Microsoft Entra ID в Apple Business Manager
В Apple Business Manager ви можете підʼєднатися до Microsoft Entra ID за допомогою обʼєднаної автентифікації, щоб дозволити користувачам входити в систему пристроїв Apple за допомогою свого імені користувача Microsoft Entra ID (зазвичай це адреса електронної пошти користувача) і пароля.
Унаслідок цього користувачі зможуть використовувати свої облікові дані Microsoft Entra ID як керовані облікові записи Apple. За допомогою цих облікових даних вони можуть входити в систему призначених їм пристроїв iPhone, iPad або комп’ютерів Mac і навіть в iCloud у браузері.
Microsoft Entra ID — це постачальник ідентифікаційних даних (IdP), який автентифікує користувачів в Apple Business Manager і видає токени автентифікації. Такий тип автентифікації підтримує автентифікацію за допомогою сертифіката та двофакторну автентифікацію (2FA).
Перш ніж почати
Перш ніж зв’язатися з Microsoft Entra ID, врахуйте нижчезазначене.
Перед об’єднанням спершу потрібно заблокувати й ввімкнути запис домену. Див. розділ Блокування доменів.
Для об’єднаної автентифікації необхідно, щоб ім’я userPrincipalName (UPN) користувача збігалося з його електронною адресою. Псевдоніми userPrincipalName і альтернативні ідентифікатори не підтримуються.
Керований обліковий запис Apple наявних користувачів, які мають адресу електронної пошти в об’єднаному домені, автоматично змінюється відповідно до цієї адреси.
Облікові записи користувачів із роллю адміністратора або менеджера з персоналу не можуть входити, використовуючи обʼєднану автентифікацію, а лише керувати процесом обʼєднання.
Коли термін дії зв’язку Microsoft Entra ID завершується, об’єднання й синхронізація облікових записів користувачів із Microsoft Entra ID призупиняється. Щоб продовжити користуватися ними, потрібно знову підключитися до Microsoft Entra ID.
Процес обʼєднаної автентифікації
Процес складається із трьох основних кроків:
Налаштування об’єднаної автентифікації.
Перевірте об’єднану автентифікацію за допомогою одного облікового запису користувача Microsoft Entra ID.
Увімкнення обʼєднаної автентифікації.
Крок 1. Налаштування обʼєднаної автентифікації
Перший крок — установити надійний зв’язок між Microsoft Entra ID та Apple Business Manager.
Примітка. Після виконання цього кроку користувачі не зможуть створювати особисті облікові записи Apple в сконфігурованому вами домені. Це може вплинути на інші служби Apple, до яких користувачі мають доступ. Див. розділ Перенесення сервісів Apple під час обʼєднання.
В Apple Business Manager увійдіть в обліковий запис користувача, що має роль адміністратора або менеджера з персоналу.
У нижній частині бічної панелі виберіть своє ім’я, натисніть «Уподобання» , виберіть Керовані облікові записи Apple , а потім — «Початок роботи» в розділі «Вхід користувача та синхронізація каталогів».
Виберіть Microsoft Entra ID, а потім натисніть кнопку «Продовжити».
Виберіть «Увійти за допомогою Microsoft», введіть ім’я користувача глобального адміністратора Microsoft Entra ID, а потім натисніть «Далі».
Введіть пароль для облікового запису, а потім натисніть «Увійти».
Уважно прочитайте умови програми, виберіть «Згода від імені установи» (Consent on behalf of your organization), а потім — «Прийняти».
Ви погоджуєтеся з тим, що корпорація Microsoft надаватиме Apple доступ до інформації, знайденої в Microsoft Entra ID.
За потреби перегляньте перевірені й конфліктні домени.
Натисніть «Готово».
У деяких випадках вам може не вдаватись увійти у свій домен. Ось деякі поширені причини:
Неправильне імʼя користувача або пароль з облікового запису, указаного в кроці 4.
Крок 2. Перевірка автентифікації за допомогою одного облікового запису користувача Microsoft Entra ID
Важливо! Перевірка обʼєднаної автентифікації також змінить стандартний формат керованих облікових засобів Apple.
Ви можете перевірити підключення обʼєднаної автентифікації після виконання таких завдань:
Перевірку на наявність конфліктів імен користувачів завершено.
Оновлено стандартний формат керованих облікових записів Apple.
Після під’єднання Apple Business Manager до Microsoft Entra ID ви можете змінити роль облікового запису користувача на іншу роль. Наприклад, можливо, ви захочете змінити роль облікового запису користувача на роль «Персонал».
Примітка. Облікові записи користувачів із роллю адміністратора або менеджера з персоналу не можуть входити, використовуючи обʼєднану автентифікацію, а лише керувати процесом обʼєднання.
Поруч із доменом, який потрібно обʼєднати, натисніть «Обʼєднати».
Виберіть «Увійти на порталі Microsoft Entra ID» (Sign in to Microsoft Entra ID Portal), введіть ім’я користувача Microsoft Entra ID від наявного в домені облікового запису, а потім натисніть «Далі».
Введіть пароль для облікового запису, натисніть «Увійти», потім — «Готово», а тоді ще раз «Готово».
У деяких випадках вам може не вдаватись увійти у свій домен. Ось деякі поширені причини:
Неправильне імʼя користувача або пароль з домену, який ви обрали для обʼєднання.
Обліковий запис не знаходиться в домені, який ви вирішили обʼєднати.
Крок 3. Увімкнення обʼєднаної автентифікації
В Apple Business Manager увійдіть в обліковий запис користувача, що має роль адміністратора або менеджера з персоналу.
У нижній частині бічної панелі виберіть своє ім’я, натисніть «Уподобання» , а потім — «Керовані облікові записи Apple».
У розділі «Домени» натисніть «Керування» поруч із доменом, який ви хочете об’єднати, а потім виберіть «Увімкнути вхід за допомогою Microsoft Entra ID».
Увімкніть «Вхід за допомогою Microsoft Entra ID».
За потреби ви можете синхронізувати облікові записи користувачів з Apple Business Manager. Див. розділ Синхронізація облікових записів користувачів із Microsoft Entra ID.