在 Apple 商務管理中使用 Microsoft Entra ID 的聯合驗證。
在 Apple 商務管理中,你可以使用聯合驗證連結至 Microsoft Entra ID,讓使用者透過其 Microsoft Entra ID 使用者名稱 (通常是其電子郵件地址) 和密碼登入 Apple 裝置。
因此,你的使用者可以利用其 Microsoft Entra ID 憑證作為管理式 Apple 帳號。然後使用者可利用這些憑證,登入獲派的 iPhone、iPad 或 Mac,甚至是網頁版 iCloud。
Microsoft Entra ID 為身分提供者 (IdP),可為 Apple 商務管理驗證使用者,並核發驗證權杖。此種驗證支援憑證驗證以及雙重認證 (2FA)。
開始之前
在你連結至 Microsoft Entra ID 之前,請考慮下列事項:
你必須先鎖定並啟用網域擷取,才能進行聯合驗證。請參閱鎖定網域。
聯合驗證需要使用者的 userPrincipalName (UPN) 符合其電子郵件地址。不支援 userPrincipalName 別名和替代 ID。
針對聯合驗證網域中具有電子郵件地址的現有使用者,其管理式 Apple 帳號會自動變更以符合該電子郵件地址。
具備管理員或成員經理職務的使用者帳號無法使用聯合驗證登入,只能管理聯合驗證程序。
若 Microsoft Entra ID 連線已過期,使用 Microsoft Entra ID 的聯合驗證和使用者帳號同步也會一併停止。你必須重新連線到 Microsoft Entra ID,才能繼續使用聯合驗證和同步功能。
聯合驗證程序
此程序包含三個主要步驟:
設定聯合驗證
使用單一 Microsoft Entra ID 使用者帳號測試聯合驗證。
開啟聯合驗證.
步驟 1:設定聯合驗證
第一步是要在 Microsoft Entra ID 與 Apple 商務管理之間建立信任關係。
【注意】完成此步驟後,使用者將無法在你設定的網域上建立新的個人 Apple 帳號。這可能會影響你的使用者所存取的其他 Apple 服務。可參閱〈建立聯合驗證時移轉 Apple 服務〉。
以具備管理員或成員經理職務的使用者身分登入 Apple 商務管理 。
在側邊欄底部選取你的姓名,接著依序選取「偏好設定」、「管理式 Apple 帳號」,以及「使用者登入和目錄同步」底下的「開始使用」。
選取「Microsoft Entra ID」,再選取「繼續」。
選取「使用 Microsoft 登入」,並輸入 Microsoft Entra ID 全域管理員使用者名稱,再選取「下一步」。
輸入該帳號的密碼,再選取「登入」。
仔細閱讀應用程式協議,接著選取「代表貴機構同意」,再選取「接受」。
你已同意讓 Microsoft 授與 Apple 存取可在 Microsoft Entra ID 中找到的資訊。
如有必要,請檢閱已驗證且衝突的網域。
選取「完成」。
在某些情況下可能無法登入你的網域。常見原因包含:
在步驟 4 輸入的帳號使用者名稱或密碼不正確。
步驟 2:使用單一 Microsoft Entra ID 使用者帳號測試驗證
【重要事項】聯合驗證測試也會變更你的預設管理式 Apple 帳號格式。
你可以在執行下列事項後測試聯合驗證連線:
已完成使用者名稱衝突檢查。
已更新管理式 Apple 帳號預設格式。
在你成功將 Apple 商務管理連結至 Microsoft Entra ID 後,即可將使用者帳號的職務變更為其他職務。例如,你可能想要將某使用者帳號的職務變更為職員職務。
【注意】具備管理員或成員經理職務的使用者帳號無法使用聯合驗證登入,只能管理聯合驗證程序。
在要建立聯合驗證的網域旁邊,選取「建立聯合驗證」。
選取「登入 Microsoft Entra ID 入口網站」,並輸入網域現有 Microsoft Entra ID 帳號的使用者名稱,再選取「下一步」。
輸入該帳號的密碼後選取「登入」,選取「完成」,再選取「完成」。
在某些情況下可能無法登入你的網域。常見原因包含:
你選擇要建立聯合驗證的網域使用者名稱或密碼不正確。
帳號不屬於你選擇要建立聯合驗證的網域。
步驟 3:開啟聯合驗證
以具備管理員或成員經理職務的使用者身分登入 Apple 商務管理 。
在側邊欄底部選取你的姓名,接著選取「偏好設定」,然後選取「管理式 Apple 帳號」。
在「網域」區段中所要建立聯合驗證的網域旁邊,選取「管理」,然後選取「開啟『使用 Microsoft Entra ID 登入』」。
開啟「使用 Microsoft Entra ID 登入」。
如有必要,你現在可以將使用者帳號同步至 Apple 商務管理。請參閱〈從 Microsoft Entra ID 同步使用者帳號〉。