Apple Business ManagerでのFederated Authenticationについて
Federated Authenticationを使用して、Apple Business Managerを以下にリンクすることができます。
Google Workspace
Microsoft Entra ID
利用しているIDプロバイダ(IdP)
注記: Google Workspace、Microsoft Entra ID、IdPにリンクすることが可能ですが、同時にリンクできるのは1つのみです。
リンクすると、既存のユーザ名(通常はメールアドレス)とパスワードを使用して、割り当て済みのiPhone、iPad、Mac、Apple Vision Pro、共有iPadにサインインできるようになります。これらのデバイスのいずれかにサインインした後は、MacでWeb上のiCloudにもサインインできます(Windows用iCloudは管理対象Apple Accountに対応していません)。
重要: 接続が期限切れになると、ユーザアカウントの連携と同期が停止します。Federated Authenticationと同期を引き続き使用するには、再接続する必要があります。
Federated Authenticationを使用する可能性がある具体的な状況は、以下のとおりです。
Federated Authenticationのみ
Apple Business ManagerをGoogle Workspace、Microsoft Entra ID、IdPのいずれかにリンクすると、ユーザの管理対象Apple Accountが自動的に作成されます。これにより、ユーザは既存のユーザ名(通常はメールアドレス)とパスワードを使用してサインインできるようになります。
以下を参照してください:
Federated Authenticationとディレクトリ同期の併用
Google Workspace、Microsoft Entra ID、IdPのユーザアカウントをApple Business Managerと同期することもできます。ディレクトリ同期接続を設定すると、Apple Business Managerのプロパティ(役割など)を、これらのサービスのいずれかから読み込んだユーザアカウントデータに追加できます。サービスのユーザアカウント情報は、同期を無効にするまで、読み取り専用として追加されます。その際、アカウントは手動アカウントになり、アカウントの属性が編集できるようになります。ユーザアカウントをこれらのサービスのいずれかから削除した場合、Apple Business Managerからそのユーザアカウントを削除できます。以下を参照してください:
共有iPadでのFederated Authentication
Federated Authenticationを共有iPadで使用する場合、ユーザアカウントがすでにApple Business Managerに存在するかどうかによって、サインインのプロセスが異なります。サインインのシナリオを見るには、「共有iPadにサインインする」を参照してください。
ユーザがパスコードを忘れた場合は、共有iPadのパスコードをリセットする必要があります。
開始する前に
Google Workspace、Microsoft Entra ID、またはIdPでFederated Authenticationを使用する前に、以下の事項を考慮してください。
必要条件
Appleデバイスが、オペレーティングシステムに関する以下の最小要件を満たしている。
iOS 15.5
iPadOS 15.5
macOS 12.4
visionOS 1.1
ロックしてドメインキャプチャプロセスをオンにする。「ドメインをロックする」を参照してください。
管理対象Apple Accountの競合がない。「管理対象Apple Accountの競合」を参照してください。
管理者またはユーザマネージャの役割を持つユーザアカウントは、Federated Authenticationを使用してサインインできません。これらの役割では、連携プロセスの管理のみが可能です。
Federated Authenticationを使用している場合、デフォルトの管理対象Apple Accountフォーマットの設定は適用されません。
IdP固有の要件
Google Workspaceにリンクする場合:
Federated Authenticationでは、ユーザのメールアドレスをユーザ名として使用する必要があります。エイリアスはサポートされていません。
Microsoft Entra IDにリンクする場合:
以下の「Federated Authenticationを承認する」のタスクを完了するには、Entra IDのグローバル管理者の役割を持つユーザを使用する必要があります。正常に接続できたら、ユーザの役割をグローバル管理者の役割から、接続を維持するために必要な権限を持つ別の役割に変更できます。詳細については、ドメイン、ディレクトリの同期、ドメインの読み取りに対応しているMicrosoftのデフォルトの役割を参照してください。
Microsoft Entra IDでFederated Authenticationを使用するには、ユーザのuserPrincipalName(UPN)がメールアドレスと一致する必要があります。userPrincipalNameのエイリアスと代替IDはサポートされていません。
IdPにリンクする場合は以下の情報が必要です。
使用する確認済みドメイン。「ドメインを追加し、確認する」を参照してください。
サインイン方法:OpenID Connect(OIDC)を使用します。
スコープアクセス:アクセスを
ssf.manageおよびssf.read。Shared Signals Framework(SSF)構成用のURL:IdPのマニュアルを参照してください。
OpenID構成用のURL:IdPのマニュアルを参照してください。
自動的な変更
連携されたドメインにメールアドレスがある既存のApple Business Managerユーザの場合、そのメールアドレスと一致するように管理対象Apple Accountが自動的に変更されます。