「Apple 商務管理」的目錄同步簡介
你可以搭配「Apple 商務管理」使用 OpenID Connect (OIDC) 來同步下列使用者帳號:
Google Workspace
Microsoft Entra ID
你的身分提供者 (IdP)
某些 IdP 還可以使用跨網域身分管理系統 (SCIM)
【注意】你可以同步至 Google Workspace、Microsoft Entra ID 或你的 IdP,但一次只能同步其中一個。
開始之前
同步至 Google Workspace、Microsoft Entra ID 或你的 IdP 之前,請考慮下列事項:
不支援同步使用者群組。
要求
如有必要,請手動驗證網域。請參閱新增並驗證網域。
你必須開啟聯合驗證。請參閱〈聯合驗證簡介〉。
讓具備編輯 Google Workspace、Microsoft Entra ID 或其他 IdP 設定權限的管理員保持待命。
使用 Apple 商務管理時,管理式 Apple 帳號所用的屬性不得重複。這通常會是使用者的電子郵件地址。如果有使用者的屬性與具備管理員職務的現有 Apple 商務管理使用者完全相同,則不會執行同步,且來源欄位會保持不變。
設定初始連線時,你應使用具備管理員或成員經理職務之使用者的電子郵件地址,以便他們收到來自你正在同步之 Google Workspace、Microsoft Entra ID 或其他 IdP 的通知。
IdP 特定要求
連結至 Microsoft Entra ID 時:
若要搭配 Apple 商務管理使用 OIDC,你的機構不得與任何其他 Apple 商務管理機構有相同的 Microsoft Entra ID 租用戶。如果你的機構要使用 OIDC,請洽詢 Microsoft Entra ID 全域管理員,確保沒有其他機構將你的 Entra ID 租用戶用於 OIDC。
如果使用者帳號的使用者主體名稱 (UPN) 與擁有管理員或成員經理職務的現有使用者帳號完全相同,則不會執行同步,且來源欄位保持不變。
連結至非 Google Workspace 或 Microsoft Entra ID 的 IdP 時,請具有下列資訊:
使用者的唯一識別碼欄位:此屬性的值通常是使用者的電子郵件地址。這會用來建立使用者的管理式 Apple 帳號。例如,這可能會是 userName。
驗證方式:SAML 2.0。
驗證模式:OAuth 2。
單一登入 URL:參閱你的 IdP 文件。
授權回撥 URL:參閱你的 IdP·文件。
自動變更
監控使用者帳號變更,並將這些變更自動同步至「Apple 商務管理」。
在 Google Workspace、Microsoft Entra ID 或你的 IdP 中移除對應的使用者帳號時,就會自動移除管理式 Apple 帳號。
將使用者帳號同步至「Apple 商務管理」時,預設職務是職員。完成同步後,只能編輯「職務」此一使用者帳號屬性。此屬性會隨「Apple 商務管理」中的使用者帳號一起儲存,而不會寫回至 Google Workspace、Microsoft Entra ID 或你的 IdP。
系統會以唯讀形式新增同步的帳號資訊,直到你關閉同步為止。屆時,這些帳號會變成手動帳號,並可編輯其屬性 (例如使用者名稱)。
【注意】執行初始同步所需的時間會比執行後續週期更長。請參閱你的 IdP 文件,瞭解使用者的同步頻率。
關於成員 ID
為了識別衝突的帳號,當使用 OIDC 將使用者帳號初始同步至「Apple 商務管理」時,系統會為該使用者帳號自動產生成員 ID。
如果你為先前同步的使用者帳號修改了「Apple 商務管理」中的成員 ID,該使用者帳號將無法再與 Google Workspace、Microsoft Entra ID 或你的 IdP 配對。若要重新連線至該使用者帳號,你必須解決成員 ID 衝突。