在 Apple 商务管理中搭配 Microsoft Entra ID 使用联合验证
在 Apple 商务管理中,你可以使用联合验证关联 Microsoft Entra ID,以便让用户通过 Microsoft Entra ID 用户名(通常是电子邮件地址)和密码登录 Apple 设备。
关联成功后,你的用户便可以将他们的 Microsoft Entra ID 凭证用作管理式 Apple 账户。然后,用户将可以使用这些凭证,登录分配给他们的 iPhone、iPad 或 Mac,甚至网页版 iCloud。
Microsoft Entra ID 是为 Apple 商务管理验证用户身份并签发身份验证令牌的身份提供方 (IdP)。此身份验证支持使用证书认证和双重认证 (2FA)。
开始操作前
在关联到 Microsoft Entra ID 之前,请考虑以下事项:
你必须锁定并开启域采集,然后才能进行联合。请参阅锁定域。
联合验证要求用户的“用户主体名称”(UPN) 与他们的电子邮件地址相匹配。不支持使用“用户主体名称”别名和备用 ID。
对于在联合域中已有电子邮件地址的现有用户,他们的管理式 Apple 账户会自动更改,以与这个电子邮件地址匹配。
具有管理员或人员经理职务的用户帐户无法使用联合验证登录;他们只能管理联合流程。
当 Microsoft Entra ID 连接过期时,使用 Microsoft Entra ID 的联合验证和同步用户帐户会停止。你必须重新连接到 Microsoft Entra ID 才能继续使用联合验证和同步。
联合验证过程
这一过程包括三个主要步骤:
配置联合验证。
使用单个 Microsoft Entra ID 用户帐户测试联合验证。
开启联合验证.
第 1 步:配置联合验证
第一步是在 Microsoft Entra ID 和 Apple 商务管理之间建立信任关系。
【注】完成这个步骤后,用户将无法在你配置的域上创建新的个人 Apple 账户。这可能会影响你的用户访问的其他 Apple 服务。请参阅使用联合验证时转移 Apple 服务。
在 Apple 商务管理 中,使用具有管理员或人员经理职务的用户登录。
在边栏底部选择你的姓名,选择“偏好设置”,选择“管理式 Apple 账户”,然后选择“用户登录和目录同步”下的“开始使用”。
选择“Microsoft Entra ID”,然后选择“继续”。
选择“使用 Microsoft 帐户登录”,输入 Microsoft Entra ID 全局管理员用户名,然后选择“下一步”。
输入该账户的密码,然后选择“登录”。
仔细阅读应用程序协议,选择“代表组织同意”,然后选择“接受”。
这表示你同意 Microsoft 授予 Apple 访问 Microsoft Entra ID 中信息的权限。
如有必要,请查看已验证域和任何冲突的域。
选择“完成”。
在部分情况下,你可能无法登录域。常见原因如下:
第 4 步中账户的用户名或密码不正确。
第 2 步:使用单个 Microsoft Entra ID 用户帐户测试验证
【重要事项】联合验证测试还会更改默认管理式 Apple 账户格式。
完成以下任务后,你可以测试联合验证连接:
用户名冲突检查已完成。
已更新管理式 Apple 账户默认格式。
成功将 Apple 商务管理与 Microsoft Entra ID 关联后,你可以将用户帐户的职务更改为其他职务。例如,你可能需要将用户帐户的职务更改为职员职务。
【注】具有管理员或人员经理职务的用户帐户无法使用联合验证登录;他们只能管理联合流程。
选择你要联合的域旁边的“联合”。
选择“登录 Microsoft Entra ID 门户”,输入一个该域中存在的帐户的 Microsoft Entra ID 用户名,然后选择“下一步”。
输入账户的密码,选择“登录”,选择“完成”,然后再选择“完成”。
在部分情况下,你可能无法登录域。常见原因如下:
你选择联合的域中的用户名或密码有误。
该账户不属于你选择联合的域。
第 3 步:开启联合验证
在 Apple 商务管理 中,使用具有管理员或人员经理职务的用户登录。
在边栏底部选择你的姓名,选择“偏好设置”,然后选择“管理式 Apple 账户”。
在“域名”部分中,选择你要联合的域名旁边的“管理”,然后选择“开启‘通过 Microsoft Entra ID 登录’”。
开启“通过 Microsoft Entra ID 登录”。
如有必要,现在就可以将用户帐户同步到 Apple 商务管理。请参阅“从 Microsoft Entra ID 同步用户帐户”。