Introducción a la autenticación vinculada en Apple Business Manager
Puedes usar autenticación vinculada para vincular Apple Business Manager con lo siguiente:
Google Workspace
Microsoft Entra ID
Tu proveedor de identidad (PI)
Nota: Puedes efectuar la vinculación con Google Workspace, Microsoft Entra ID o tu PI, pero sólo uno a la vez.
Como resultado, los usuarios luego pueden iniciar sesión en sus iPhone, iPad, Mac, Apple Vision Pro y iPad compartido asignados usando su nombre de usuario existente (generalmente su dirección de correo electrónico) y contraseña. Luego de que hayan iniciado sesión en uno de estos dispositivos, también podrán iniciar sesión en iCloud en la web en una Mac (iCloud para Windows no admite Cuentas administradas de Apple).
Importante: Cuando la conexión se haya vencido, se detendrá la vinculación y sincronización de las cuentas de usuario. Debes volver a conectarte para continuar usando la autenticación vinculada y la sincronización.
Hay instancias específicas en las que puedes usar la autenticación vinculada:
Sólo autenticación vinculada
Cuando se vinculan Apple Business Manager y Google Workspace, Microsoft Entra ID o tu proveedor de identidad (PI), se crean automáticamente cuentas administradas de Apple para los usuarios. Entonces, pueden iniciar sesión con su nombre de usuario existente (por lo general, su dirección de correo electrónico) y su contraseña.
Consulta los siguientes artículos:
Autenticación vinculada con sincronización del directorio
También puedes sincronizar las cuentas de usuario de Google Workspace, Microsoft Entra ID o tu PI con Apple Business Manager. Cuando configuras una conexión con sincronización del directorio, puedes agregar propiedades de Apple Business Manager (como funciones) con datos de cuentas de usuario importados de uno de esos servicios. La información de la cuenta de usuario de los servicios se agrega como de solo lectura hasta que desactives la sincronización. En ese momento, las cuentas se vuelven cuentas manuales y se pueden editar sus atributos. Si se elimina una cuenta de usuario de uno de esos servicios, esa cuenta puede eliminarse de Apple Business Manager. Consulta los siguientes artículos:
Autenticación vinculada con iPad compartido
Cuando usas la autenticación vinculada con iPad compartido, el proceso de inicio de sesión varía en función de si la cuenta de usuario ya existe en Apple Business Manager. Para ver las situaciones de inicio de sesión, consulta Inicia sesión en iPad compartido.
Si el usuario olvida su código, se debe restablecer el código del iPad compartido.
Antes de empezar
Antes de usar la autenticación vinculada con Google Workspace, Microsoft Entra ID o tu IdP, considera lo siguiente:
Requisitos
Los dispositivos Apple deben cumplir con los requisitos mínimos del sistema operativo:
iOS 15.5
iPadOS 15.5
macOS 12.4
visionOS 1.1
Debes bloquear y activar el proceso de captura de dominio. Consulta Bloquea un dominio.
No hay conflictos de la Cuenta administrada de Apple. Consulta Conflictos de la cuenta administrada de Apple.
Las cuentas de usuario con la función de administrador o gestor de personas no pueden iniciar sesión con la autenticación vinculada; sólo pueden administrar el proceso de vinculación.
Cuando uses la autenticación vinculada, la configuración de formato predeterminado de la cuenta administrada de Apple no se aplica.
Requisitos específicos de IdP
Cuando enlaces con Google Workspace:
En la autenticación vinculada, debe usarse la dirección de correo electrónico del usuario como su nombre de usuario. No se admiten alias.
Cuando enlaces con Microsoft Entra ID:
Debes usar un usuario con la función de Administrador global de Entra ID para completar la tarea de aprobación de la autenticación vinculada que se indica a continuación. Si la conexión se establece correctamente, puedes cambiar la función del usuario de Administrador global a otra que tenga los privilegios necesarios para mantener la conexión. Para obtener más información, consulta Funciones predeterminadas de Microsoft que admiten dominios, sincronización del directorio y lectura de dominios.
La autenticación vinculada con Microsoft Entra ID requiere que el userPrincipalName (UPN) de un usuario coincida con su dirección de correo electrónico. No se admiten alias de userPrincipalName ni ID alternativos.
Cuando enlaces con un IdP, debes tener la siguiente información:
Un dominio verificado que quieras usar. Consulta Agrega y verifica un dominio.
Método de inicio de sesión: usa Open ID Connect (OIDC).
Acceso al alcance: se debe otorgar acceso a
ssf.manageyssf.read.URL de configuración del marco de señales compartidas (SSF): consulta la documentación de tu PI.
URL de configuración de OpenID: consulta la documentación de tu PI.
Cambios automáticos
En el caso de los usuarios existentes de Apple Business Manager con una dirección de correo electrónico en el dominio vinculado, su Cuenta administrada de Apple se cambia automáticamente para que coincida con esa dirección de correo electrónico.