Používání federovaného ověřování přes Microsoft Entra ID v Apple Business Manageru
Apple Business Manager můžete pomocí federovaného ověřování propojit s Microsoft Entra ID a umožnit tak uživatelům, aby se k zařízením Apple přihlašovali svými uživatelskými jmény (zpravidla e‑mailovou adresou) a hesly z Microsoft Entra ID.
Uživatelé pak můžou používat svoje uživatelská jména a hesla z Microsoft Entra ID jako spravovaná Apple ID. Potom se k přiřazenému iPhonu, iPadu, Macu, a dokonce i k iCloudu na webu přihlásí těmito přihlašovacími údaji.
Microsoft Entra ID je poskytovatel identit (IdP), který ověřuje uživatele Apple Business Manageru a vydává jim ověřovací tokeny. Toto ověřování podporuje ověření certifikátem a dvoufaktorové ověření (2FA).
Než začnete
Před připojením Microsoft Entra ID zvažte pár věcí:
Federované ověřování vyžaduje, aby se hlavní jméno uživatele (userPrincipalName, UPN) shodovalo s uživatelovou e‑mailovou adresou. Aliasy k userPrincipalName ani alternativní ID nejsou podporovány.
U existujících uživatelů, kteří mají ve federované doméně e‑mailovou adresu, se jejich spravované Apple ID automaticky změní tak, aby se shodovalo s e‑mailovou adresou.
Pokud je to potřeba, nakonfigurujte a ověřte doménu, kterou chcete používat. Viz Odkazování na nové domény. Pokud už doménu, kterou chcete federovat s Microsoft Entra ID, máte ověřenou, můžete tento krok přeskočit.
Uživatelské účty s funkcí administrátora nebo správce osob se nemůžou přihlašovat pomocí federovaného ověřování – můžou jenom spravovat proces federování.
Když propojení s Microsoft Entra ID vyprší, federování i synchronizace uživatelských účtů s Microsoft Entra ID se ukončí. Pokud chcete federování a synchronizaci obnovit, musíte se k Microsoft Entra ID znovu připojit.
Proces federovaného ověřování
Tento proces obnáší tři hlavní kroky:
Konfigurace ověření federované totožnosti.
Otestování federovaného ověřování na jednom účtu z Microsoft Entra ID.
Zapnutí federovaného ověřování.
Krok 1: Konfigurace federovaného ověřování
Tento krok umožní Microsoft Entra ID důvěřovat Apple Business Manageru.
Poznámka: Po dokončení tohoto kroku už uživatelé nebudou moct v nakonfigurované doméně vytvářet nová osobní Apple ID. Může to mít vliv na ostatní služby Apple, které používáte. Další informace najdete v části Převod služeb Apple při zapnutém federování.
V Apple Business Manageru
se přihlaste jako uživatel s funkcí administrátora nebo správce osob.Ve spodní části bočního panelu vyberte svoje jméno, vyberte Předvolby
, zvolte Spravovaná Apple ID 
, pak vyberte možnost „Začínáme…“ v části „Přihlášení uživatele a synchronizace adresáře.“Vyberte Microsoft Entra ID a poté vyberte Pokračovat.
Vyberte Přihlásit se přes Microsoft, zadejte informace o vašem globálním administrátorovi Microsoft Entra ID a zvolte Další.
Zadejte heslo k účtu a vyberte Přihlásit.
Důkladně si přečtěte smlouvu k žádosti, vyberte „Vyjádřit souhlas jménem vaší organizace“ a potom vyberte Přijmout.
Tím společnosti Microsoft dáte souhlas s tím, že Apple může přistupovat k informacím v Microsoft Entra ID.
Pokud to bude potřeba, zkontrolujte ověřené a konfliktní domény.
Vyberte Hotovo.
V některých případech se nebudete moci ke své doméně přihlásit. Zde jsou některé běžné důvody:
Uživatelské jméno nebo heslo účtu z kroku 4 je nesprávné.
Krok 2: Otestování federovaného ověřování na jednom účtu z Microsoft Entra ID
Ověření federované totožnosti můžete otestovat po provedení následujících úkonů:
Kontrola konfliktů uživatelských jmen je dokončena.
Výchozí formát spravovaného Apple ID je aktualizovaný.
Po úspěšném propojení Apple Business Manageru s Microsoft Entra ID můžete měnit funkce přiřazené k uživatelským účtům. Například můžete změnit funkci některého uživatelského účtu na Zaměstnanec.
Poznámka: Uživatelské účty s funkcí administrátora nebo správce osob se nemůžou přihlašovat pomocí federovaného ověřování – můžou jenom spravovat proces federování.
Vedle domény, kterou chcete federovat, vyberte Federovat.
Vyberte Přihlásit se k portálu Microsoft Entra ID, zadejte uživatelské jméno nějakého účtu Microsoft Entra ID, které v dotyčné doméně existuje, a zvolte Další.
Zadejte heslo k účtu, vyberte Přihlásit, vyberte Hotovo a potom ještě jednou Hotovo.
V některých případech se nebudete moci ke své doméně přihlásit. Zde jsou některé běžné důvody:
Uživatelské jméno nebo heslo z domény, kterou jste vybrali k federaci, je nesprávné.
Účet není v doméně, kterou jste vybrali k federaci.
Krok 3: Zapněte federované ověřování
V Apple Business Manageru
se přihlaste jako uživatel s funkcí administrátora nebo správce osob.Ve spodní části bočního panelu vyberte svoje jméno, vyberte Předvolby
a zvolte Spravovaná Apple ID .V části Domény vyberte Spravovat vedle domény, kterou chcete federovat, a poté vyberte „Zapnout přihlašování přes Microsoft Entra ID.“
Zapněte možnost „Přihlásit se přes Microsoft Entra ID.“
Pokud je to potřeba, můžete teď s Apple Business Managerem synchronizovat uživatelské účty. Víc se dočtete v části Synchronizace uživatelských účtů z Microsoft Entra ID.