Вступ до обʼєднаної автентифікації в Apple Business Manager
Ви можете скористатися функцією обʼєднана автентифікація, щоб підключити Apple Business Manager до:
Google Workspace
Microsoft Entra ID
Ваш постачальник ідентифікаційних даних (IdP)
Примітка. Ви можете звʼязатися з Google Workspace, Microsoft Entra ID або своїм IdP, але лише по черзі.
Після цього користувачі можуть входити на призначені їм пристрої iPhone, iPad, Mac, Apple Vision Pro, а також на спільний iPad, вводячи своє ім’я користувача (як правило, адресу електронної пошти) і пароль. Після входу на одному з цих пристроїв вони можуть також увійти в iCloud через Інтернет на комп’ютері Mac (iCloud для Windows не підтримує керовані облікові записи Apple).
Важливо! Коли термін дії звʼязку завершується, обʼєднання й синхронізація облікових записів користувачів призупиняється. Щоб продовжити використовувати об’єднану автентифікацію та синхронізацію, вам потрібно повторно підключитися.
Існують певні випадки, коли може використовуватись обʼєднана автентифікація.
Лише обʼєднана автентифікація
Під час підʼєднання Apple Business Manager до Google Workspace, Microsoft Entra ID або IdP для користувачів автоматично створюються керовані облікові записи Apple. Після цього вони можуть входити зі своїм поточним іменем користувача (зазвичай це е‑адреса користувача) й паролем.
Перегляньте наведені нижче статті.
Синхронізація обʼєднаної автентифікації та каталогів
Також ви можете синхронізувати з Apple Business Manager облікові записи користувачів із Google Workspace, Microsoft Entra ID або IdP. Налаштувавши з’єднання для синхронізації каталогів, ви можете обʼєднати ресурси Apple Business Manager, як‑от ролі, з даними облікового запису користувача, імпортованими з однієї із цих служб. Ці дані додаються як доступні лише для читання, доки ви не вимкнете синхронізацію. Після від’єднання облікові записи стають обліковими записами, створеними вручну, а їхні атрибути — доступними для редагування. Якщо обліковий запис користувача вилучено з однієї із цих служб, такий обліковий запис користувача можна вилучити з Apple Business Manager. Перегляньте наведені нижче статті.
Об’єднана автентифікація на спільному iPad
Коли ви використовуєте обʼєднану автентифікацію зі спільним iPad, процедура входу в систему відрізняється залежно від того, чи обліковий запис користувача вже зареєстровано в Apple Business Manager. Сценарії входу наведено в розділі Вхід на спільному iPad.
Вам потрібно скинути код допуску для спільного iPad, якщо користувач забув його.
Перш ніж почати
Перш ніж використовувати об'єднану автентифікацію з Google Workspace, Microsoft Entra ID або своїм IdP, врахуйте такі фактори:
Вимоги
Пристрої Apple мають відповідати наступним мінімальним вимогам до операційної системи:
iOS 15.5
iPadOS 15.5
macOS 12.4
visionOS 1.1
Ви маєте заблокувати й увімкнути процес запису домену. Див. розділ Блокування доменів.
Немає суперечностей між керованими обліковими записами Apple. Див. розділ Конфлікти керованих облікових записів Apple.
Облікові записи користувачів із роллю адміністратора або менеджера з персоналу не можуть входити, використовуючи обʼєднану автентифікацію, а лише керувати процесом обʼєднання.
Якщо використовується обʼєднана автентифікація, стандартне налаштування формату керованого облікового запису Apple не застосовується.
Особливі вимоги для IdP
При підключенні до Google Workspace:
Об’єднана автентифікація має використовувати е‑адресу користувача як ім’я користувача. Псевдоніми не підтримуються.
При підключенні до Microsoft Entra ID:
Ви маєте вибрати користувача з роллю Глобального адміністратора Entra ID, щоб виконати завдання Схвалення об’єднаної автентифікації, наведене нижче. Після успішного з’єднання ви можете змінити роль користувача з Глобального адміністратора на іншу роль із необхідними привілеями для підтримки з’єднання. Детальніше дивіться в розділі Ролі Microsoft за умовчанням, які підтримують домени, синхронізацію каталогів і читання доменів.
Для об’єднаної автентифікації з Microsoft Entra ID необхідно, щоб ім’я userPrincipalName (UPN) користувача збігалося з його е‑адресою. Псевдоніми userPrincipalName і альтернативні ідентифікатори не підтримуються.
При підключенні до IdP ви маєте володіти наступною інформацією:
Підтверджений домен, який ви хочете використовувати. Див. розділ Додайте та підтвердьте домен.
Спосіб входу: виберіть Open ID Connect (OIDC).
Обсяг доступу: доступ необхідно надати до
ssf.manageіssf.read.URL-адреса конфігурації Shared Signals Framework (SSF): ознайомтеся з документацією свого IdP.
URL-адреса конфігурації OpenID: ознайомтеся з документацією свого IdP.
Автоматичні зміни
Для наявних користувачів Apple Business Manager, які мають е‑адресу в об’єднаному домені, керований обліковий запис Apple автоматично змінюється відповідно до цієї адреси.