Používání federovaného ověřování přes Microsoft Entra ID v Apple Business Manageru
Uživatelé pak můžou používat svoje uživatelská jména a hesla z Google Workspace jako spravované účty Apple. Těmito údaji se pak můžou přihlašovat ke svému přiřazenému iPhonu, iPadu, Macu, Apple Vision Pro nebo sdílenému iPadu. Po přihlášení k některému z těchto zařízení se pak můžou přihlásit i k iCloudu na webu.
Apple Business Manager můžete pomocí federovaného ověřování propojit s Microsoft Entra ID a umožnit tak uživatelům, aby se k zařízením Apple přihlašovali svými uživatelskými jmény (zpravidla e‑mailovou adresou) a hesly z Microsoft Entra ID.
Uživatelé pak můžou používat svoje uživatelská jména a hesla z Microsoft Entra ID jako spravované účty Apple. Těmito údaji se pak můžou přihlašovat ke svému přiřazenému iPhonu, iPadu, Macu, Apple Vision Pro nebo sdílenému iPadu. Po přihlášení k některému z těchto zařízení se pak na Macu můžou přihlásit i k iCloudu na webu (iCloud pro Windows nepodporuje spravované účty Apple).
Microsoft Entra ID je poskytovatel identit (IdP), který ověřuje uživatele Apple Business Manageru a vydává jim ověřovací tokeny. Toto ověřování podporuje ověření certifikátem a dvoufaktorové ověření (2FA).
Výchozí uživatelské funkce Microsoftu, které podporují domény, synchronizaci adresáře a čtení domén
Pokud chcete po dokončení počátečního schválení federovaného ověřování změnit funkce uživatelů, máte dvě možnosti, jak se dá upravit účet s aktuální rolí globálního administrátora Microsoft Entra ID.
Účet můžete změnit na některou z těchto funkcí:
Globální čtenář
Správce aplikace
Správce cloudové aplikace
Změňte účet tak, aby měl následující dvě role: Čtenář adresáře a Čtenář sestav.
Obě možnosti umožňují následující přístup, který Apple Business Manager vyžaduje:
Číst seznam všech domén: microsoft.directory/domains/standard/read
Číst adresář všech uživatelů: microsoft.directory/users/standard/read
Číst auditní protokoly o bezpečnostních událostech: microsoft.directory/auditLogs/allProperties/read
Proces federovaného ověřování
Tento proces obnáší tři hlavní kroky:
Schválení federovaného ověřování.
Otestování federovaného ověřování na jednom účtu z Microsoft Entra ID.
Zapnutí federovaného ověřování.
Důležité: Před nakonfigurováním federovaného ověřování si projděte následující.
1. krok: Schválení federovaného ověřování
Prvním krokem je navázání vztahu důvěry mezi Microsoft Entra ID a Apple Business Manager. Tuto akci musí provést uživatel s funkcí globálního administrátora v Microsoft Entra ID.
Poznámka: Po dokončení tohoto kroku už uživatelé nebudou moct v nakonfigurované doméně vytvářet nové osobní účty Apple. To může mít vliv na ostatní služby Apple, které vaši uživatelé používají. Další informace najdete v části Převedení služeb Apple pod spravovaný účet Apple.
V Apple Business Manageru
se přihlaste jako uživatel s funkcí administrátora nebo správce osob.Ve spodní části bočního panelu vyberte svoje jméno, vyberte Předvolby
, zvolte Spravované účty Apple 
a pak v části Přihlášení uživatele a synchronizace adresáře vyberte Začít.Vyberte Microsoft Entra ID a poté vyberte Pokračovat.
Vyberte Přihlásit se přes Microsoft, zadejte informace o vašem globálním administrátorovi Microsoft Entra ID a zvolte Další.
Zadejte heslo k účtu a vyberte Přihlásit.
Důkladně si přečtěte smlouvu k žádosti, vyberte Vyjádřit souhlas jménem vaší organizace a potom vyberte Přijmout.
Tím dáte Microsoftu souhlas s tím, že společnost Apple může přistupovat k informacím v Microsoft Entra ID.
Pokud to bude potřeba, zkontrolujte ověřené a konfliktní domény.
Vyberte Hotovo.
Pokud je to nutné, můžete změnit funkci uživatele v Microsoft Entra ID z globálního správce na jinou podporovanou roli s potřebnými oprávněními. Další informace najdete v části Výchozí uživatelské funkce Microsoftu, které podporují domény, synchronizaci adresáře a čtení domén.
V některých případech se nebudete moci ke své doméně přihlásit. Zde jsou některé běžné důvody:
Uživatelské jméno nebo heslo účtu z kroku 4 je nesprávné.
Krok 2: Otestování federovaného ověřování na jednom účtu z Microsoft Entra ID
Důležité: Test federovaného ověřování zároveň změní váš výchozí formát spravovaných účtů Apple.
Ověření federované totožnosti můžete otestovat po provedení následujících úkonů:
Kontrola konfliktů uživatelských jmen byla dokončena.
Výchozí formát spravovaných účtů Apple je aktualizovaný.
Po úspěšném propojení Apple Business Manageru s Microsoft Entra ID můžete měnit funkce přiřazené k uživatelským účtům. Například můžete změnit funkci některého uživatelského účtu na Zaměstnanec.
Poznámka: Uživatelské účty s funkcí administrátora nebo správce osob se nemůžou přihlašovat pomocí federovaného ověřování – můžou jenom spravovat proces federování.
Vedle domény, kterou chcete federovat, vyberte Federovat.
Vyberte Přihlásit se k portálu Microsoft Entra ID, zadejte uživatelské jméno nějakého účtu Microsoft Entra ID, které v dotyčné doméně existuje, a zvolte Další.
Zadejte heslo k účtu, vyberte Přihlásit, vyberte Hotovo a potom ještě jednou Hotovo.
V některých případech se nebudete moci ke své doméně přihlásit. Zde jsou některé běžné důvody:
Uživatelské jméno nebo heslo z domény, kterou jste vybrali k federaci, je nesprávné.
Účet není na doméně, kterou jste vybrali k federaci.
Krok 3: Zapněte federované ověřování
V Apple Business Manageru
se přihlaste jako uživatel s funkcí administrátora nebo správce osob.Ve spodní části bočního panelu vyberte svoje jméno, vyberte Předvolby
a zvolte Spravované účty Apple .V části Domény vyberte Spravovat vedle domény, kterou chcete federovat, a poté vyberte Zapnout přihlašování přes Microsoft Entra ID.
Zapněte možnost Přihlásit se přes Microsoft Entra ID.
Pokud je to potřeba, můžete teď s Apple Business Managerem synchronizovat uživatelské účty. Víc se dočtete v části Synchronizace uživatelských účtů z Microsoft Entra ID.