Sử dụng tính năng xác thực có liên kết với Microsoft Entra ID trong Apple Business Manager
Nhờ đó, người dùng của bạn có thể tận dụng thông tin đăng nhập Google Workspace làm Tài khoản Apple được quản lý. Sau đó, họ có thể sử dụng những thông tin đăng nhập đó để đăng nhập vào iPhone, iPad, máy Mac, Apple Vision Pro và iPad dùng chung đã chỉ định. Sau khi đăng nhập vào một trong những thiết bị đó, người dùng còn có thể đăng nhập vào iCloud trên web.
Trong Apple Business Manager, bạn có thể liên kết với Microsoft Entra ID bằng tính năng xác thực có liên kết để cho phép người dùng đăng nhập vào thiết bị Apple bằng tên người dùng (thường là địa chỉ email) và mật khẩu Microsoft Entra ID của họ.
Nhờ đó, người dùng của bạn có thể tận dụng thông tin đăng nhập Microsoft Entra ID làm Tài khoản Apple được quản lý. Sau đó, họ có thể sử dụng những thông tin đăng nhập đó để đăng nhập vào iPhone, iPad, máy Mac, Apple Vision Pro và iPad dùng chung đã chỉ định. Sau khi đăng nhập vào một trong những thiết bị đó, họ cũng có thể đăng nhập vào iCloud trên web trên máy Mac (iCloud dành cho Windows không hỗ trợ Tài khoản Apple được quản lý).
Microsoft Entra ID là nhà cung cấp nhận dạng (IdP) giúp xác thực người dùng cho Apple Business Manager và phát hành mã thông báo xác thực. Tính năng xác thực này hỗ trợ quá trình xác thực chứng chỉ và xác thực hai yếu tố (2FA).
Các vai trò mặc định của Microsoft hỗ trợ tên miền, đồng bộ hóa danh mục và đọc tên miền
Sau khi tác vụ Phê duyệt xác thực có liên kết ban đầu thành công, nếu bạn muốn thay đổi vai trò của tài khoản Quản trị viên toàn cầu Microsoft Entra ID hiện tại thì bạn sẽ có 2 tùy chọn để sửa.
Thay đổi tài khoản thành một trong các vai trò sau:
Global Reader
Quản trị viên ứng dụng
Quản trị viên ứng dụng đám mây
Thay đổi tài khoản để có 2 vai trò sau: Directory Reader và Reports Reader.
Cả hai tùy chọn đều cho phép quyền truy cập sau đây (bắt buộc với Apple Business Manager):
Đọc danh sách tất cả các tên miền: microsoft.directory/domains/standard/read
Đọc danh mục của tất cả người dùng: microsoft.directory/users/standard/read
Đọc nhật ký kiểm tra Sự cố bảo mật: microsoft.directory/auditLogs/allProperties/read
Quy trình xác thực có liên kết
Quy trình này bao gồm ba bước chính:
Phê duyệt xác thực có liên kết.
Kiểm tra xác thực có liên kết bằng một tài khoản người dùng Microsoft Entra ID.
Bật xác thực có liên kết.
Quan trọng: Hãy xem xét những mục sau trước khi bạn định cấu hình xác thực có liên kết.
Bước 1: Phê duyệt xác thực có liên kết
Bước đầu tiên là thiết lập mối quan hệ tin cậy giữa Microsoft Entra ID và Apple Business Manager. Tác vụ này phải được thực hiện bởi người dùng giữ vai trò Quản trị viên toàn cầu trong Microsoft Entra ID.
Ghi chú: Sau khi bạn hoàn thành bước này, người dùng sẽ không thể tạo Tài khoản Apple cá nhân mới trên tên miền mà bạn cấu hình. Điều này có thể ảnh hưởng đến các dịch vụ Apple khác mà người dùng của bạn truy cập. Hãy xem Chuyển dịch vụ Apple sang Tài khoản Apple được quản lý.
Trong Apple Business Manager
, đăng nhập bằng người dùng có vai trò Quản trị viên hoặc Quản lý người dùng.Chọn tên của bạn ở cuối thanh bên, chọn Tùy chọn hệ thống
, chọn Tài khoản Apple được quản lý 
, sau đó chọn Bắt đầu trong “Thông tin đăng nhập người dùng và đồng bộ hóa danh mục”.Chọn Microsoft Entra ID, sau đó chọn Tiếp tục.
Chọn “Đăng nhập bằng Microsoft”, nhập tên người dùng Quản trị viên toàn cầu Microsoft Entra ID rồi chọn Tiếp theo.
Nhập mật khẩu của tài khoản, rồi chọn Đăng nhập.
Đọc kỹ thỏa thuận đăng ký, chọn “Chấp thuận thay mặt cho tổ chức của bạn”, rồi chọn Chấp nhận.
Bạn đang đồng ý cho Microsoft cấp cho Apple quyền truy cập vào thông tin có trong Microsoft Entra ID.
Nếu cần, hãy xem lại các miền đã xác minh và có xung đột.
Chọn Xong.
Nếu cần, bạn có thể thay đổi vai trò của người dùng trong Microsoft Entra ID từ Quản trị viên toàn cầu sang vai trò được hỗ trợ với các đặc quyền cần thiết. Để biết thêm thông tin, hãy xem Các vai trò mặc định của Microsoft hỗ trợ tên miền, đồng bộ hóa danh mục và đọc tên miền.
Trong một số trường hợp, bạn có thể không đăng nhập được vào tên miền của mình. Dưới đây là một số lý do phổ biến:
Tên người dùng hoặc mật khẩu của tài khoản ở bước 4 không chính xác.
Bước 2: Kiểm tra xác thực bằng một tài khoản người dùng Microsoft Entra ID
Quan trọng: Việc kiểm tra xác thực có liên kết cũng sẽ thay đổi định dạng Tài khoản Apple được quản lý mặc định của bạn.
Bạn có thể kiểm tra kết nối xác thực có liên kết sau khi thực hiện các tác vụ sau:
Quá trình kiểm tra xung đột tên người dùng đã hoàn tất.
Định dạng mặc định của Tài khoản Apple được quản lý đã được cập nhật.
Sau khi liên kết thành công Apple Business Manager với Microsoft Entra ID, bạn có thể chuyển tài khoản người dùng sang vai trò khác. Ví dụ: bạn có thể thay đổi vai trò của một tài khoản người dùng thành vai trò Nhân viên.
Ghi chú: Tài khoản người dùng có vai trò Quản trị viên hoặc Quản lý người dùng không thể đăng nhập bằng tính năng xác thực có liên kết; họ chỉ có thể quản lý quá trình liên kết.
Chọn Liên kết bên cạnh tên miền bạn muốn liên kết.
Chọn “Đăng nhập vào Cổng thông tin Microsoft Entra ID”, nhập tên người dùng Microsoft Entra ID của tài khoản đã có trong miền, sau đó chọn Tiếp theo.
Nhập mật khẩu của tài khoản, chọn Đăng nhập, chọn Xong, rồi chọn Xong.
Trong một số trường hợp, bạn có thể không đăng nhập được vào tên miền của mình. Dưới đây là một số lý do phổ biến:
Tên người dùng hoặc mật khẩu từ tên miền bạn chọn để liên kết không chính xác.
Tài khoản không thuộc tên miền bạn chọn để liên kết.
Bước 3: Bật tính năng xác thực có liên kết
Trong Apple Business Manager
, đăng nhập bằng người dùng có vai trò Quản trị viên hoặc Quản lý người dùng.Chọn tên của bạn ở cuối thanh bên, chọn Tùy chọn hệ thống
, sau đó chọn Tài khoản Apple được quản lý .Trong phần Miền, hãy chọn Quản lý bên cạnh miền bạn muốn liên kết, sau đó chọn “Bật Đăng nhập bằng Microsoft Entra ID”.
Bật “Đăng nhập bằng Microsoft Entra ID”.
Nếu cần, bạn có thể đồng bộ hóa tài khoản người dùng với Apple Business Manager ngay lúc này. Xem phần Đồng bộ hóa tài khoản người dùng từ Microsoft Entra ID.