Giới thiệu về tính năng xác thực có liên kết bằng Apple Business Manager
Bạn có thể sử dụng xác thực có liên kết để liên kết Apple Business Manager với những dịch vụ sau:
Google Workspace
Microsoft Entra ID
Nhà cung cấp nhận dạng (IdP)
Ghi chú: Bạn có thể liên kết với Google Workspace, Microsoft Entra ID hoặc IdP, nhưng cần tiến hành lần lượt từng cái một.
Do đó, người dùng có thể đăng nhập vào iPhone, iPad, máy Mac, Apple Vision Pro được chỉ định, cũng như vào iPad dùng chung bằng tên người dùng hiện có (thường là địa chỉ email) và mật khẩu. Sau khi đăng nhập vào một trong những thiết bị trên, người dùng cũng có thể đăng nhập vào iCloud trên web trên máy Mac (iCloud dành cho Windows không hỗ trợ Tài khoản Apple được quản lý).
Quan trọng: Khi kết nối hết hạn, quá trình liên kết và đồng bộ hóa tài khoản người dùng sẽ dừng lại. Bạn phải kết nối lại để tiếp tục sử dụng xác thực có liên kết và đồng bộ hóa.
Bạn có thể sử dụng xác thực có liên kết trong những trường hợp cụ thể sau:
Chỉ xác thực có liên kết
Khi Apple Business Manager liên kết với Google Workspace, Microsoft Entra ID hoặc IdP của bạn, Tài khoản Apple được quản lý sẽ tự động được tạo cho người dùng. Khi đó, người dùng có thể đăng nhập bằng tên người dùng hiện có (thường là địa chỉ email) và mật khẩu của họ.
Hãy xem những bài viết sau:
Xác thực có liên kết với đồng bộ hóa danh mục
Bạn cũng có thể đồng bộ hóa tài khoản người dùng từ Google Workspace, Microsoft Entra ID hoặc IdP với Apple Business Manager. Khi thiết lập kết nối đồng bộ hóa danh mục, bạn có thể thêm các thuộc tính Apple Business Manager (chẳng hạn như vai trò) với dữ liệu tài khoản người dùng được nhập từ một trong những dịch vụ đó. Thông tin tài khoản người dùng dịch vụ sẽ được thêm vào dưới dạng chỉ đọc cho đến khi bạn tắt tính năng đồng bộ hóa. Tại thời điểm đó, các tài khoản này sẽ trở thành tài khoản thủ công và khi đó, bạn có thể sửa thuộc tính trong những tài khoản này. Nếu tài khoản người dùng bị gỡ bỏ khỏi một trong những dịch vụ đó, bạn có thể gỡ bỏ tài khoản người dùng trong Apple Business Manager. Hãy xem những bài viết sau:
Xác thực có liên kết qua iPad dùng chung
Khi bạn sử dụng tính năng xác thực có liên kết với iPad dùng chung, quy trình đăng nhập sẽ thay đổi tùy vào việc tài khoản người dùng đã có trong Apple Business Manager hay chưa. Để xem các tình huống đăng nhập, hãy xem Đăng nhập vào iPad dùng chung.
Nếu người dùng quên mật mã, bạn phải đặt lại mật mã iPad dùng chung.
Trước khi bạn bắt đầu
Trước khi sử dụng xác thực có liên kết với Google Workspace, Microsoft Entra ID hoặc IdP của bạn, hãy cân nhắc những điều sau:
Yêu cầu
Thiết bị Apple phải đáp ứng các yêu cầu tối thiểu về hệ điều hành sau đây:
iOS 15.5
iPadOS 15.5
macOS 12.4
visionOS 1.1
Bạn phải khóa và bật quy trình ghi lại tên miền. Xem Khóa tên miền.
Không có xung đột Tài khoản Apple được quản lý nào. Hãy xem Xung đột Tài khoản Apple được quản lý.
Tài khoản người dùng có vai trò Quản trị viên hoặc Quản lý người dùng không thể đăng nhập bằng tính năng xác thực có liên kết; họ chỉ có thể quản lý quá trình liên kết.
Khi sử dụng xác thực có liên kết, cài đặt Định dạng Tài khoản Apple được quản lý mặc định không áp dụng.
Yêu cầu đặc thù của IdP
Khi liên kết tới Google Workspace:
Tính năng xác thực có liên kết hỗ trợ sử dụng địa chỉ email làm tên người dùng. Không được dùng bí danh.
Khi liên kết tới Microsoft Entra ID:
Bạn phải sử dụng người dùng giữ vai trò Quản trị viên toàn cầu Entra ID để hoàn tất tác vụ Phê duyệt xác thực có liên kết bên dưới. Sau khi kết nối thành công, bạn có thể thay đổi vai trò của người dùng từ Quản trị viên toàn cầu sang vai trò khác có các đặc quyền cần thiết để duy trì kết nối. Để biết thêm thông tin, hãy xem Các vai trò mặc định của Microsoft hỗ trợ tên miền, đồng bộ hóa danh mục và đọc tên miền.
Xác thực có liên kết với Microsoft Entra ID yêu cầu userPrincipalName (UPN) của người dùng phải khớp với địa chỉ email của họ. Không được dùng bí danh userPrincipalName và ID thay thế.
Khi liên kết với IdP, bạn phải có những thông tin sau:
Tên miền đã xác minh mà bạn muốn sử dụng. Xem Thêm và xác minh tên miền.
Phương thức đăng nhập: Sử dụng Open ID Connect (OIDC).
Quyền truy cập có phạm vi: Phải cấp quyền truy cập cho
ssf.managevàssf.read.URL cấu hình Khung tín hiệu dùng chung (SSF): Tham khảo tài liệu của IdP.
URL cấu hình OpenID: Tham khảo tài liệu của IdP.
Thay đổi tự động
Đối với những người dùng Apple Business Manager hiện tại có địa chỉ email trong tên miền được liên kết, Tài khoản Apple được quản lý của họ sẽ tự động được thay đổi để khớp với địa chỉ email đó.