Utiliser l’authentification fédérée avec Microsoft Entra ID dans Apple Business Manager
Par conséquent, vos utilisateurs peuvent se servir de leurs informations de connexion Google Workspace en tant que compte Apple géré. Ils peuvent ensuite utiliser ces informations d’identification pour se connecter à l’iPhone, à l’iPad, au Mac ou à l’Apple Vision Pro qui leur est attribué, ainsi qu’aux iPad partagés. Une fois qu’ils sont connectés à l’un de ces appareils, ils peuvent se connecter à iCloud sur le Web.
Dans Apple Business Manager, vous pouvez créer un lien avec Microsoft Entra ID à l’aide de l’authentification fédérée pour permettre aux utilisateurs de se connecter aux appareils Apple à l’aide de leur nom d’utilisateur (en général leur adresse e-mail) et de leur mot de passe Microsoft Entra ID.
Par conséquent, vos utilisateurs peuvent se servir de leurs informations de connexion Microsoft Entra ID en tant que compte Apple géré. Ils peuvent ensuite utiliser ces informations d’identification pour se connecter à l’iPhone, à l’iPad, au Mac ou à l’Apple Vision Pro qui leur est attribué, ainsi qu’aux iPad partagés. Une fois qu’ils sont connectés à l’un de ces appareils, ils peuvent également se connecter à iCloud sur le Web sur un Mac (iCloud pour Windows ne prend pas en charge les comptes Apple gérés).
Microsoft Entra ID est le fournisseur d’identité qui authentifie l’utilisateur pour Apple Business Manager et délivre les jetons d’authentification. Cette authentification prend en charge l’authentification par certificat et l’identification à deux facteurs (2FA).
Rôles Microsoft par défaut qui prennent en charge les domaines, la synchronisation de répertoire et la lecture de domaines
Une fois la tâche Approuver l’authentification fédérée effectuée, si vous souhaitez changer le rôle du compte associé au rôle Administrateur général Microsoft Entra ID, deux options s’offrent à vous.
Remplacez le rôle du compte par l’un des suivants :
Lecteur général
Administrateur d’application
Administrateur d’application Cloud
Modifiez le compte de sorte qu’il soit associé aux deux rôles suivants : Lecteur de répertoires et Lecteur de rapports.
Ces deux options octroient l’accès suivant, qui est requis par Apple Business Manager :
Consulter la liste de tous les domaines : microsoft.directory/domains/standard/read
Consulter le répertoire de tous les utilisateurs :microsoft.directory/users/standard/read
Consulter les journaux d’audit des évènements de sécurité : microsoft.directory/auditLogs/allProperties/read
Processus d’authentification fédérée
Ce processus se déroule en trois étapes principales :
Approuver l’authentification fédérée
Tester l’authentification fédérée avec un seul compte utilisateur Microsoft Entra ID
Activer l’authentification fédérée.
Important : Consultez les informations suivantes avant de configurer l’authentification fédérée.
Étape 1 : approuver l’authentification fédérée
La première étape consiste à établir une relation de confiance entre Microsoft Entra ID et Apple Business Manager. Cette tâche doit être effectuée par un utilisateur ayant le rôle d’Administrateur général dans Microsoft Entra ID.
Remarque : Une fois cette étape effectuée, les utilisateurs ne peuvent pas créer de compte Apple personnel dans le domaine que vous configurez. Cela pourrait affecter d’autres services Apple auxquels vos utilisateurs accèdent. Consultez la rubrique Transférer les services Apple vers un compte Apple géré.
Dans Apple Business Manager
, connectez‑vous avec un compte disposant du rôle Administrateur ou Gestionnaire de personnes.Sélectionnez votre nom au bas de la barre latérale, sélectionnez Préférences
, Comptes Apple gérés 
, puis Démarrer sous Connexion de l’utilisateur et synchronisation du répertoire.Sélectionnez Microsoft Entra ID, puis Continuer.
Sélectionnez Se connecter avec Microsoft, saisissez un nom d’utilisateur Microsoft Entra ID de type Administrateur général, puis sélectionnez Suivant.
Saisissez le mot de passe de ce compte, puis sélectionnez Se connecter.
Lisez attentivement le contrat de l’application, sélectionnez Accepter au nom de votre organisation, puis Accepter.
Vous autorisez Microsoft à permettre à Apple d’accéder aux informations se trouvant dans Microsoft Entra ID.
Si nécessaire, examinez les domaines validés et en conflit.
Sélectionnez Terminé.
Si nécessaire, vous pouvez changer le rôle de l’utilisateur dans Microsoft Entra ID et le faire passer d’Aministrateur général à un rôle pris en charge doté des privilèges requis. Pour plus d’informations, consultez la section Rôles Microsoft par défaut qui prennent en charge les domaines, la synchronisation de répertoire et la lecture de domaines.
Dans certains cas, il se peut que vous ne puissiez pas vous connecter à votre domaine. Voici quelques‑unes des explications possibles :
Le nom d’utilisateur ou le mot de passe du compte de l’étape 4 est incorrect.
Étape 2 : tester l’authentification avec un seul compte utilisateur Microsoft Entra ID
Important : Le test de l’authentification fédérée modifie également le format de votre compte Apple géré par défaut.
Vous pouvez tester la connexion d’authentification fédérée après avoir réalisé les tâches suivantes :
La vérification des conflits de noms d’utilisateur est terminée.
Le format de compte Apple géré par défaut est mis à jour.
Une fois le lien entre Apple Business Manager et Microsoft Entra ID établi, vous pouvez modifier le rôle d’un compte utilisateur. Par exemple, vous souhaitez modifier un compte utilisateur et lui donner le rôle de personnel administratif.
Remarque : Les comptes utilisateur disposant du rôle Administrateur ou Gestionnaire de personnes ne peuvent pas se connecter à l’aide de l’authentification fédérée ; ils peuvent uniquement gérer le processus de fédération.
Sélectionnez Fédérer à côté du domaine que vous voulez fédérer.
Sélectionnez Se connecter au portail Microsoft Entra ID, saisissez le nom d’utilisateur Microsoft Entra ID d’un compte qui existe dans le domaine, puis sélectionnez Suivant.
Saisissez le mot de passe du compte, sélectionnez Connexion, puis Terminé, à deux reprises.
Dans certains cas, il se peut que vous ne puissiez pas vous connecter à votre domaine. Voici quelques‑unes des explications possibles :
Le nom d’utilisateur ou le mot de passe du domaine que vous avez choisi de fédérer est incorrect.
Le compte ne figure pas dans le domaine que vous avez choisi de fédérer.
Étape 3 : activer l’authentification fédérée
Dans Apple Business Manager
, connectez‑vous avec un compte disposant du rôle Administrateur ou Gestionnaire de personnes.Sélectionnez votre nom au bas de la barre latérale, sélectionnez Préférences
, puis Comptes Apple gérés .Dans la section Domaines, sélectionnez Gérer à côté du domaine que vous souhaitez fédérer, puis sélectionnez Activer la connexion avec Microsoft Entra ID.
Activez Se connecter avec Microsoft Entra ID.
Si nécessaire, vous pouvez désormais synchroniser des comptes utilisateur avec Apple Business Manager. Consultez la rubrique Synchroniser des comptes utilisateur à partir de Microsoft Entra ID.