Gefedereerde authenticatie gebruiken met Microsoft Entra ID in Apple School Manager
Het resultaat is dat je gebruikers hun Google Workspace-inloggegevens kunnen gebruiken als een beheerde Apple Account. Ze kunnen deze inloggegevens gebruiken om in te loggen op hun toegewezen iPhone, iPad of Mac, Apple Vision Pro en bij Gedeelde iPad. Nadat ze hebben ingelogd bij een van die apparaten, kunnen ze ook inloggen bij iCloud op internet.
In Apple School Manager kun je met behulp van gefedereerde authenticatie koppelen met Microsoft Entra ID om toe te staan dat gebruikers inloggen op Apple apparaten met hun Microsoft Entra ID-gebruikersnaam (over het algemeen hun e-mailadres) en -wachtwoord.
Het resultaat is dat je gebruikers hun Microsoft Entra ID-inloggegevens kunnen gebruiken als een beheerde Apple Account. Ze kunnen deze inloggegevens gebruiken om in te loggen op hun toegewezen iPhone, iPad of Mac, Apple Vision Pro en bij Gedeelde iPad. Nadat ze hebben ingelogd bij een van die apparaten, kunnen ze ook inloggen bij iCloud op internet op een Mac (iCloud voor Windows ondersteunt geen beheerde Apple Accounts).
Microsoft Entra ID is de identiteitsprovider (IdP) die de gebruiker authenticeert voor Apple School Manager en authenticatie-tokens uitgeeft. Deze authenticatie ondersteunt authenticatie van certificaten en twee-factor-authenticatie (2FA).
Standaard Microsoft-rollen die domeinen, directory-synchronisatie en domein lezen ondersteunen
Als de initiële taak Gefedereerde authenticatie goedkeuren is gelukt, heb je als je rollen wilt wijzigen 2 opties om de account te bewerken met de huidige rol van Algemene beheerder van Microsoft Entra ID.
Wijzig de account naar een van de volgende rollen:
Algemene lezer
Programmabeheerder
Cloudprogrammabeheerder
Wijzig de account zodat deze de volgende 2 rollen hebben: Directory-lezer en rapportenlezer.
Beide opties maken de volgende toegang mogelijk, die vereist is bij Apple School Manager:
Lees de lijst met alle domeinen: microsoft.directory/domains/standard/read
Lees de directory met alle gebruikers: microsoft.directory/users/standard/read
Lees de auditlogboeken voor beveiligingsgebeurtenissen: microsoft.directory/auditLogs/allProperties/read
Proces voor gefedereerde authenticatie
Dit proces omvat drie belangrijke stappen:
Gefedereerde authenticatie goedkeuren.
De gefedereerde authenticatie testen met één Microsoft Entra ID-gebruikersaccount.
Gefedereerde authenticatie inschakelen.
Belangrijk: Bestudeer het volgende voordat je gefedereerde authenticatie configureert.
Stap 1: Gefedereerde authenticatie goedkeuren
De eerste stap is een vertrouwensrelatie op te zetten tussen Microsoft Entra ID en Apple School Manager. Deze taak moet worden uitgevoerd door een gebruiker met de rol Algemene beheerder in Microsoft Entra ID.
Opmerking: Als je deze stap hebt voltooid, kunnen gebruikers geen nieuwe persoonlijke Apple Accounts meer maken op het domein dat jij configureert. Dit kan ook invloed hebben op andere diensten van Apple die je gebruikers gebruiken. Raadpleeg Draag diensten van Apple over aan een beheerde Apple Account.
Log in bij Apple School Manager
als een gebruiker met de rol van beheerder, systeembeheerder of personenmanager.Selecteer je naam onder in de navigatiekolom, selecteer 'Voorkeuren'
, selecteer beheerde Apple Accounts 
en vervolgens 'Aan de slag' onder 'Gebruikersaanmelding en directory-synchronisatie'.Selecteer Microsoft Entra ID en selecteer 'Ga door'.
Selecteer 'Log in met Microsoft', voer een globale beheerdersgebruikersnaam voor Microsoft Entra ID in en selecteer 'Volgende'.
Voer het wachtwoord voor de account in en selecteer vervolgens 'Log in'.
Lees de applicatieovereenkomst zorgvuldig, selecteer 'Toestemming namens je organisatie' en selecteer 'Accepteer'.
Je gaat ermee akkoord dat Microsoft Apple toegang geeft tot gegevens in Microsoft Entra ID.
Bekijk indien nodig de geverifieerde en conflicterende domeinen.
Selecteer 'Gereed'.
Indien nodig kun je de rol van de gebruiker in Microsoft Entra ID wijzigen van Algemene beheerder naar een ondersteunde rol met de vereiste bevoegdheden. Zie Standaard Microsoft-rollen die domeinen, directory-synchronisatie en domein lezen ondersteunen voor meer informatie.
In bepaalde gevallen kun je je domein mogelijk niet toevoegen. Veelvoorkomende redenen zijn:
De gebruikersnaam of het wachtwoord van de account in stap 4 is onjuist.
Stap 2: De authenticatie testen met één Microsoft Entra ID-gebruikersaccount
Belangrijk: De gefedereerde authenticatietest wijzigt ook de standaardindeling van je beheerde Apple Account. Nieuwe accounts die zijn aangemaakt in je studenteninformatiesysteem (SIS) of geüpload met Secure File Transfer Protocol (SFTP), gebruiken de nieuwe beheerde Apple Account-indeling.
Je kunt de verbinding van gefedereerde authenticatie testen nadat je de volgende taken hebt uitgevoerd:
De controle op conflicterende gebruikersnamen is voltooid.
De standaardindeling van de beheerde Apple Account is bijgewerkt.
Nadat je Apple School Manager met succes hebt gekoppeld met Microsoft Entra ID, kun je de rol van een gebruikersaccount wijzigen in een andere rol. Misschien wil je bijvoorbeeld de rol van een gebruikersaccount veranderen in een docentenrol.
Opmerking: Gebruikersaccounts met de rol van beheerder, systeembeheerder of personenmanager kunnen niet inloggen met gefedereerde authenticatie; zij kunnen het federatieproces alleen beheren.
Selecteer 'Federeer' naast het domein dat je wilt federeren.
Selecteer 'Log in bij Microsoft Entra ID-portal', voer een Microsoft Entra ID-gebruikersnaam in van een account die in het domein bestaat en selecteer 'Volgende'.
Voer het wachtwoord voor de account in, selecteer 'Log in', selecteer 'Gereed' en vervolgens 'Gereed'.
In bepaalde gevallen kun je mogelijk niet inloggen op je domein. Hieronder een aantal veelvoorkomende redenen:
De gebruikersnaam of het wachtwoord van het domein dat je hebt gekozen om te federeren, is niet juist.
De account bevindt zich niet in het domein dat je hebt gekozen om te federeren.
Stap 3: Gefedereerde authenticatie inschakelen
Log in bij Apple School Manager
als een gebruiker met de rol van beheerder, systeembeheerder of personenmanager.Selecteer je naam onder in de navigatiekolom, selecteer 'Voorkeuren'
en selecteer beheerde Apple Accounts .Selecteer 'Beheer' naast het domein dat je wilt federeren in het gedeelte 'Domeinen' en selecteer 'Log in met Microsoft Entra ID inschakelen'.
Schakel 'Log in met Microsoft Entra ID' in.
Indien nodig kun je nu gebruikersaccounts synchroniseren met Apple School Manager. Zie Gebruikersaccounts van Microsoft Entra ID synchroniseren.