透過 Apple 商務管理使用聯合驗證簡介
你可以使用聯合驗證將 Apple 商務管理連結到下列服務:
Google Workspace
Microsoft Entra ID
你的身分提供者 (IdP)
【注意】你可以連結至 Google Workspace、Microsoft Entra ID 或 IdP,但一次只能連結其中一個。
因此,使用者可以接著使用其現有的使用者名稱(通常是其電子郵件地址)和密碼來登入指派給他們的 iPhone、iPad、Mac、Apple Vision Pro 和共享 iPad。登入其中一部裝置之後,他們還可以接著登入 Mac 網頁版 iCloud(Windows 版 iCloud 不支援管理式 Apple 帳號)。
【重要事項】若連線已過期,聯合驗證和使用者帳號同步也會一併停止。你必須重新連線,才能繼續使用聯合驗證和同步功能。
以下是你可能需要使用聯合驗證的特定情況:
僅使用聯合驗證
連結 Apple 商務管理和 Google Workspace、Microsoft Entra ID 或你的 IdP 後,系統會自動為使用者建立管理式 Apple 帳號。然後,他們可以使用其現有的使用者名稱 (通常是其電子郵件地址) 和密碼登入。
請參閱下列內容:
聯合驗證搭配目錄同步
你也可以將 Google Workspace、Microsoft Entra ID 或 IdP 上的使用者帳號同步至「Apple 商務管理」。當你設定目錄同步連線時,你可以新增 Apple 商務管理屬性(例如職務)至其中一項服務輸入的使用者帳號資料。系統會以唯讀形式新增服務的使用者帳號資訊,直到你關閉同步為止。屆時,這些帳號會變成手動帳號,你即可編輯這些帳號的屬性。若從其中一項服務移除使用者帳號,也可從 Apple 商務管理移除該使用者帳號。請參閱下列內容:
聯合驗證搭配共享 iPad
當你搭配「共享 iPad」使用聯合驗證時,登入程序會視使用者帳號是否已存在於 Apple 商務管理而有所差異。如想瞭解登入情境,請參閱〈登入共享 iPad〉。
若使用者忘記密碼,你必須重置「共享 iPad」密碼。
開始之前
搭配 Google Workspace、Microsoft Entra ID 或你的 IdP 使用聯合驗證之前,請考慮下列事項:
要求
Apple 裝置必須符合下列最低作業系統要求:
iOS 15.5
iPadOS 15.5
macOS 12.4
visionOS 1.1
你必須鎖定並開啟網域擷取程序。請參閱鎖定網域。
沒有管理式 Apple 帳號衝突。可參閱〈管理式 Apple 帳號衝突〉。
具備管理員或成員經理職務的使用者帳號無法使用聯合驗證登入,只能管理聯合驗證程序。
使用聯合驗證時,預設管理式 Apple 帳號格式設定不適用。
IdP 特定要求
連結至 Google Workspace 時:
聯合驗證應使用使用者的電子郵件地址作為其使用者名稱。不支援別名。
連結至 Microsoft Entra ID 時:
必須使用具備 Entra ID 全域管理員角色的使用者,以完成下列核准聯合驗證的工作細項。連線成功後可變更使用者角色,從全域管理員轉為有權維持連線的其他職務。如需更多資訊,請參閱〈支援網域、目錄同步和網域讀取的 Microsoft 預設職務〉。
Microsoft Entra ID 的聯合驗證需要使用者的 userPrincipalName (UPN) 符合其電子郵件地址。不支援 userPrincipalName 別名和替代 ID。
連結至 IdP 時,你必須具有下列資訊:
你要使用的已驗證網域。請參閱新增並驗證網域。
登入方式:使用 Open ID Connect (OIDC)。
範圍存取:必須將存取權授予下列項目
ssf.manage和ssf.read。Shared Signals Framework (SSF) 設定 URL:參閱你的身分提供者文件。
OpenID 設定 URL:參閱你的 IdP 文件。
自動變更
針對聯合驗證網域中具有電子郵件地址的現有「Apple 商務管理」使用者,其管理式 Apple 帳號會自動變更以符合該電子郵件地址。