Používanie overenia združenej identity so službou Microsoft Entra ID v Apple School Manageri
V Apple School Manageri môžete pomocou overenia združenej identity vytvoriť prepojenie s globálnou službou Microsoft Entra ID Open ID Connect (OIDC) (login.microsoftonline.com) a umožniť tak používateľom prihlasovať sa do zariadení Apple pomocou svojho používateľského mena (zvyčajne emailovej adresy) a hesla služby Microsoft Entra ID.
Poznámka: Integrácia s národnými cloudmi v súčasnosti nie je podporovaná.
Používatelia tak budú môcť používať svoje prihlasovacie údaje služby Microsoft Entra ID ako spravované Apple účty. Pomocou týchto prihlasovacích údajov sa potom môžu prihlásiť do priradeného iPhonu, iPadu, Macu, Apple Vision Pro alebo zdieľaného iPadu. Po prihlásení na jednom z týchto zariadení sa potom na Macu môžu prihlásiť aj do iCloudu na webe (iCloud pre Windows spravované Apple účty nepodporuje).
Služba Microsoft Entra ID je poskytovateľom identity, ktorý overuje používateľov Apple School Managera a vydáva im overovacie tokeny. Toto overenie podporuje overovanie certifikátom a dvojfaktorovú autentifikáciu (2FA).
Poznámka: Dáta sa však nikdy nezapisujú späť do služby Microsoft Entra ID.
Údaje združenej identity načítané zo služby Microsoft Entra ID
Po prepojení so službou Microsoft Entra ID pomocou systému Open ID Connect (OIDC) sa načítajú nasledujúce informácie:
Žiadosť o súhlas správcu služby Microsoft Entra ID | Atribúty používané spoločnosťou Apple a dôvod | Dopyt alebo rozsah API |
|---|---|---|
Atribúty: id_token claims:
Dôvod: Prepojenie Apple School Managera so službou Microsoft Entra ID pomocou systému OIDC. | Dopyt API: Nie je k dispozícii Rozsah:
| |
Atribúty:
Dôvod: Aby bolo možné načítať bezpečnostné udalosti, týkajúce sa používateľských účtov zo služby Microsoft Entra ID, a potom v súvislosti s konkrétnymi účtami prihlásenými na zariadeniach Apple zaviesť náležité bezpečnostné opatrenia. Keď na strane služby Microsoft Entra ID dôjde k zmene hesla alebo zrušeniu prebiehajúceho prihlásenia pomocou neho, relácia spravovaného Apple účtu sa ukončí a zobrazí sa výzva na opätovné overenie. | Dopyt rozhrania API:
Rozsah: AuditLog.Read.All | |
Atribúty:
Dôvod: Aby bolo možné synchronizovať do Apple School Managera overené domény zo služby Microsoft Entra ID. | Dopyt API: Nie je k dispozícii Rozsah: Domain.Read.All | |
Atribúty:
Dôvod: Synchronizácia dát adresárov zo služby Microsoft Entra ID do Apple School Managera. Poznámka: Tento rozsah sa používa aj pre atribúty synchronizácie adresárov v tabuľke nižšie. | Dopyt API: Nie je k dispozícii Rozsah: Directory.Read.All | |
Atribúty: Nie je k dispozícii Dôvod: Aby bolo možné požiadať počas procesu overovacieho kódu o token obnovenia. Token obnovenia sa potom použije na vyžiadanie prístupového tokenu. Prostredníctvom prístupového tokenu je možné čítať tieto informácie:
| Dopyt API: Nie je k dispozícii Rozsah: offline_access |
Ako sa údaje združenej identity zo služby Microsoft Entra ID používajú na synchronizáciu adresárov
Keď nastavíte prepojenie so službou Microsoft Entra ID na synchronizáciu adresárov, Apple School Manager môže čítať tieto informácie:
Atribút používateľa v službe Microsoft Entra ID | Atribút používateľa v Apple School Manageri | Povinné |
|---|---|---|
givenName | Meno |  |
surname | Priezvisko | |
userPrincipalName | Spravovaný Apple účet a emailová adresa | |
displayName | Používateľské meno |  |
department | Oddelenie | |
costCenter | Nákladové stredisko | |
removed | Na odstránenie používateľa | |
Viac informácií nájdete v článku podpory spoločnosti Microsoft s názvom Get a user (Získanie používateľa).
Predvolené pozície z prostredia Microsoft, ktoré podporujú domény, synchronizáciu adresárov a čítanie domén
Na dokončenie úlohy Schválenie overenia združenej identity musíte použiť účet Microsoft s pozíciou v globálnej správe služby Entra ID. Ak budete chcieť po úspešnom pripojení vykonať zmenu rol, máte dve možnosti, ako daný účet Microsoft upraviť:
Zmeňte účet Microsoft na jednu z týchto pozícií:
Globálny čitateľ
Správca aplikácie
Správca cloudovej aplikácie
Zmeňte účet Microsoft tak, aby mal tieto dve pozície: Čitateľ adresárov a Čitateľ prehľadov.
Obe možnosti umožňujú nasledujúci prístup, ktorý vyžaduje Apple School Manager:
Čítanie zoznamu všetkých domén: microsoft.directory/domains/standard/read
Čítanie adresára všetkých používateľov: microsoft.directory/users/standard/read
Čítanie denníkov auditov udalostí zabezpečenia: microsoft.directory/auditLogs/allProperties/read
Proces overenia združenej identity
Tento proces pozostáva z troch hlavných krokov:
Schválenie overenia združenej identity.
Otestovanie overenia združenej identity s jedným používateľským účtom služby Microsoft Entra ID.
Zapnutie funkcie Overenie združenej identity.
Dôležité: Pred konfiguráciou overenia združenej identity si prečítajte tieto informácie.
1. krok: Schválenie overenia združenej identity
Prvým krokom je vytvorenie dôveryhodného vzťahu medzi službou Microsoft Entra ID a Apple School Managerom. Túto úlohu musí vykonať používateľ účtu Microsoft s pozíciou v globálnej správe v službe Microsoft Entra ID.
Poznámka: Po dokončení tohto kroku už používatelia nebudú môcť v nakonfigurovanej doméne vytvárať nové nespravované (osobné) Apple účty. Môže to mať vplyv na ostatné služby Apple, ku ktorým používatelia získavajú prístup. Pozrite si tému Prevod služieb Apple.
V Apple School Manageri
sa prihláste do účtu s oprávneniami na spravovanie overenia združenej identity.Vyberte svoje meno v dolnej časti bočného panela, vyberte položku Nastavenia
, vyberte položku Spravované Apple účty 
a potom vyberte položku Začať v časti „Prihlásenie používateľa a synchronizácia adresára“.Vyberte Microsoft Entra ID a potom vyberte Pokračovať.
Vyberte položku Prihlásiť sa cez Microsoft, zadajte používateľské meno globálneho správcu služby Microsoft Entra ID a potom vyberte položku Ďalej.
Zadajte heslo účtu a vyberte položku Prihlásiť sa.
Pozorne si prečítajte zmluvu o aplikácii, vyberte možnosť „Súhlas v mene vašej organizácie“ a potom vyberte položku Prijať.
Týmto krokom odsúhlasíte, aby spoločnosť Microsoft poskytla spoločnosti Apple prístup k informáciám, ktoré sa nachádzajú v službe Microsoft Entra ID.
V prípade potreby skontrolujte overené a konfliktné domény.
Vyberte položku Hotovo.
Ak je to potrebné, môžete zmeniť pozíciu účtu Microsoft v službe Microsoft Entra ID z globálnej správy na podporovanú pozíciu s požadovanými oprávneniami. Viac informácií nájdete v téme Predvolené pozície z prostredia Microsoft, ktoré podporujú domény, synchronizáciu adresárov a čítanie domén.
V niektorých prípadoch sa môže stať, že doménu nebude možné pridať. Dôvody môžu byť nasledovné:
Používateľské meno alebo heslo účtu zo 4. kroku je nesprávne.
2. krok: Otestovanie overenia s jedným používateľským účtom služby Microsoft Entra ID
Dôležité: Test overenia združenej identity zároveň zmení predvolený formát spravovaného Apple účtu. Nové účty vytvorené v študentskom informačnom systéme (SIS) alebo nahraté pomocou protokolu SFTP (Secure File Transfer Protocol) používajú nový formát spravovaného Apple účtu.
Spojenie overenia združenej identity môžete otestovať v prípade, že ste predtým vykonali nasledujúce kroky:
Kontrola konfliktov používateľských mien je hotová.
Aktualizovali ste predvolený formát spravovaného Apple účtu.
Po úspešnom prepojení Apple School Managera so službou Microsoft Entra ID môžete zmeniť pozíciu používateľského účtu na inú. Môžete napríklad zmeniť pozíciu používateľského účtu na pozíciu Vyučujúci.
Poznámka: Používateľské účty s pozíciou administrátora, správcu inštitúcie alebo správcu osôb sa nemôžu prihlásiť pomocou overenia združenej identity – môžu len spravovať proces združenia.
Vedľa domény, ktorú chcete združiť, vyberte položku Združiť.
Vyberte možnosť „Prihlásiť sa na portál Microsoft Entra ID“, zadajte používateľské meno účtu Microsoft Entra ID, ktorý existuje v doméne, a potom vyberte položku Ďalej.
Zadajte heslo účtu, vyberte položku Prihlásiť sa a potom položku Hotovo. Nakoniec opäť vyberte položku Hotovo.
V niektorých prípadoch sa môže stať, že sa do domény nebudete môcť prihlásiť. Tu je niekoľko bežných príčin:
Používateľské meno alebo heslo z domény, ktoré ste na združenie vybrali, je nesprávne.
Účet sa nenachádza v doméne, ktorú ste na združenie vybrali.
3. krok: Zapnutie funkcie Overenie združenej identity
V Apple School Manageri
sa prihláste do účtu s oprávneniami na spravovanie overenia združenej identity.Vyberte svoje meno v dolnej časti bočného panela, vyberte položku Nastavenia
a potom vyberte položku Spravované Apple účty .V časti Domény vyberte možnosť Spravovať vedľa domény, ktorú chcete združiť, a potom vyberte možnosť Zapnúť prihlásenie cez Microsoft Entra ID.
Zapnúť Prihlásiť sa cez Microsoft Entra ID
V prípade potreby môžete teraz synchronizovať používateľské účty do Apple School Managera. Pozrite si tému Synchronizácia používateľských účtov zo služby Microsoft Entra ID.