Einführung in die verknüpfte Authentifizierung in Apple Business Manager
Du kannst Verknüpfte Authentifizierung verwenden, um Apple Business Manager mit Folgendem zu verbinden:
Google Workspace
Microsoft Entra ID
Dein Identitätsprovider (IdP)
Hinweis: Du kannst eine Verbindung zu Google Workspace, Microsoft Entra ID oder deinem IdP herstellen, aber immer jeweils nur zu einem davon.
Anschließend können sich Benutzer:innen bei dem ihnen zugewiesenen iPhone, iPad, Mac, der Apple Vision Pro und bei „Geteiltes iPad“ mit ihrem bestehenden Benutzernamen (in der Regel ihre E-Mail-Adresse) und Passwort anmelden. Nachdem sie sich auf einem dieser Geräte angemeldet haben, können sie sich auch bei iCloud im Internet auf einem Mac anmelden (iCloud für Windows unterstützt keine verwalteten Apple Accounts).
Wichtig: Wenn die Verbindung abgelaufen ist, werden die Verknüpfung und Synchronisierung von Benutzeraccounts beendet. Du musst dich erneut verbinden, um die verknüpfte Authentifizierung und Synchronisierung weiterhin zu nutzen.
Es gibt bestimmte Fälle, in denen du die verknüpfte Authentifizierung verwenden könntest:
Nur verknüpfte Authentifizierung
Wenn Apple Business Manager mit Google Workspace, Microsoft Entra ID oder deinem IdP verknüpft wird, werden für die Benutzer:innen automatisch verwaltete Apple Accounts erstellt. Sie können sich dann mit ihrem bestehenden Benutzernamen (in der Regel ihre E‑Mail-Adresse) und ihrem Passwort anmelden.
Weitere Informationen findest du hier:
Verknüpfte Authentifizierung mit Verzeichnissynchronisierung
Du kannst auch Benutzeraccounts von Google Workspace, Microsoft Entra ID oder deinem IdP mit Apple Business Manager synchronisieren. Wenn du eine Verbindung zur Verzeichnissynchronisierung einrichtest, kannst du Eigenschaften von Apple Business Manager (z. B. Funktionen) mit den aus einem dieser Dienste importierten Benutzeraccount-Daten zusammenführen. Die Informationen des Benutzeraccounts des Dienstes werden schreibgeschützt hinzugefügt, bis du die Synchronisierung deaktivierst. Die Accounts werden dann zu manuellen Accounts und Attribute darin können bearbeitet werden. Wenn ein Benutzeraccount aus einem dieser Dienste entfernt wird, kann dieser Benutzeraccount aus Apple Business Manager entfernt werden. Weitere Informationen findest du hier:
Verknüpfte Authentifizierung mit „Geteiltes iPad“
Wenn du die verknüpfte Authentifizierung mit „Geteiltes iPad“ verwendest, ist der Anmeldevorgang unterschiedlich, je nachdem, ob der Benutzeraccount bereits in Apple Business Manager vorhanden ist. Anmeldeszenarien findest du unter Bei gemeinsam genutztem iPad („Geteiltes iPad“) anmelden.
Wenn ein:e Benutzer:in seinen:ihren Code vergisst, musst du den Code für „Geteiltes iPad“ zurücksetzen.
Erste Schritte
Bevor du die verknüpfte Authentifizierung mit Google Workspace, Microsoft Entra ID oder deinem IdP verwendest, solltest du Folgendes beachten:
Voraussetzungen
Deine Apple-Geräte müssen die folgenden minimalen Betriebssystemvoraussetzungen erfüllen:
iOS 15.5
iPadOS 15.5
macOS 12.4
visionOS 1.1
Du musst die Domain-Erfassung sperren und aktivieren. Siehe Eine Domain sperren.
Es gibt keine Konflikte mit verwalteten Apple Account. Siehe Konflikte in verwalteten Apple Accounts.
Benutzeraccounts mit der Funktion „Administrator:in“ oder „Personenmanager:in“ können sich nicht mithilfe der verknüpften Authentifizierung anmelden. Sie können lediglich den Verknüpfungsvorgang verwalten.
Wenn die verknüpfte Authentifizierung verwendet wird, gilt das Standardformat für den verwalteten Apple Account nicht.
IdP-spezifische Voraussetzungen
Bei der Verknüpfung mit Google Workspace:
Bei der verknüpften Authentifizierung sollte die E‑Mail-Adresse des:der Benutzer:in als Benutzername verwendet werden. Aliasnamen werden nicht unterstützt.
Bei der Verknüpfung mit Microsoft Entra ID:
Du musst eine:n Benutzer:in mit der Funktion „Entra ID - Globaler Administrator“ verwenden, um die Aufgabe Verknüpfte Authentifizierung genehmigen (siehe unten) abzuschliessen. Nachdem die Verbindung erfolgreich hergestellt wurde, kannst du die Funktion des:der Benutzer:in von „Global Administrator“ in eine andere Funktion mit den erforderlichen Berechtigungen ändern, um die Verbindung aufrechtzuerhalten. Weitere Informationen findest du unter Microsoft-Standardfunktionen, die Domains, Verzeichnissynchronisierung und Domain-Lesevorgänge unterstützen.
Für die verknüpfte Authentifizierung mit Microsoft Entra ID muss der userPrincipalName (UPN) mit der E-Mail-Adresse des:der Benutzer:in übereinstimmen. Aliasse für Benutzerprinzipalnamen und alternative IDs werden nicht unterstützt.
Bei der Verknüpfung mit einem IdP musst du über die folgenden Informationen verfügen:
Eine bestätigte Domain, die du verwenden möchtest. Siehe Eine Domain hinzufügen und bestätigen.
Anmeldemethode: Verwende Open ID Connect (OIDC).
Umfangszugriff: Zugriff muss gewährt werden für
ssf.manageundssf.read.URL für die Shared Signals Framework (SSF)-Konfiguration: Beziehe dich auf die Dokumentation deines IdP.
URL für die OpenID-Konfiguration: Beziehe dich auf die Dokumentation deines IdP.
Automatische Änderungen
Für bestehende Benutzer:innen von Apple Business Manager mit einer E-Mail-Adresse in der verknüpften Domain wird ihr verwalteter Apple Account automatisch so geändert, dass er dieser E-Mail-Adresse entspricht.