Apple Business Managerでのディレクトリの同期について
Apple Business ManagerでOpenID Connect(OIDC)を使用すると、以下の場所のユーザアカウントを同期できます。
Google Workspace
Microsoft Entra ID
利用しているIDプロバイダ(IdP)
IdPによっては、クロスドメインID管理システム(SCIM)経由でも同期できます。
注記: Google Workspace、Microsoft Entra ID、IdPと同期できますが、同時に同期できるのは1つのみです。
開始する前に
Google Workspace、Microsoft Entra ID、またはIdPと同期する前に、以下の事項を考慮してください。
ユーザグループの同期はサポートされていません。
必要条件
必要に応じて、ドメインを手動で確認します。「ドメインを追加し、確認する」を参照してください。
Federated Authenticationをオンにする必要があります。こちらでFederated Authenticationについて、ご確認ください。
Google Workspace、Microsoft Entra ID、または別のIdPの設定を編集する権限のある管理者に連絡します。
Apple Business Managerで管理対象Apple Accountに使用する属性は、一意である必要があります。通常は、ユーザのメールアドレスを使用します。ユーザが、Apple Business Managerで管理者の役割を持つ既存のユーザとまったく同じ属性を持っている場合は、同期が実行されず、ソースのフィールドは変更されません。
初期接続を設定する際は、管理者またはユーザマネージャの役割を持つユーザのメールアドレスを使って、それらのユーザが同期対象のGoogle Workspace、Microsoft Entra ID、または別のIdPからの通知を受け取れるようにする必要があります。
IdP固有の要件
Microsoft Entra IDにリンクする場合:
Apple Business ManagerでOIDCを使用するには、組織に他のApple Business Manager組織と同じMicrosoft Entra IDテナントが含まれていてはいけません。組織でOIDCを使用したい場合は、Microsoft Entra IDのグローバル管理者に連絡し、他の組織がOIDCで同じEntra IDテナントを使用していないことを確認してください。
ユーザアカウントが、管理者またはユーザマネージャの役割を持つ既存のユーザアカウントとまったく同じユーザプリンシパル名(UPN)を持っている場合は、同期が実行されず、ソースのフィールドは変更されません。
Google WorkspaceまたはMicrosoft Entra ID以外のIdPにリンクする場合は、以下の情報を用意してください。
ユーザの一意の識別子フィールド:通常、この属性の値はユーザのメールアドレスです。これを使用してユーザの管理対象Apple Accountが作成されます。たとえば「userName」などです。
認証方法:SAML 2.0。
認証モード:OAuth 2。
シングルサインオンURL:IdPのマニュアルを参照してください。
認可コールバックURL:IdPのマニュアルを参照してください。
自動的な変更
ユーザアカウントに対する変更をモニターして、それらの変更を自動的にApple Business Managerに同期する。
管理対象Apple Accountは、対応するユーザアカウントがGoogle Workspace、Microsoft Entra ID、またはIdPで削除されると自動的に削除されます。
Apple Business Managerに同期されたユーザアカウントには、デフォルトで職員の役割が割り当てられます。同期が完了すると、「役割」ユーザアカウント属性のみを編集できます。この属性はApple Business Managerのユーザアカウントに保存されます。Google Workspace、Microsoft Entra ID、IdPに書き戻されることはありません。
同期されるアカウント情報は、同期を無効にするまで、読み取り専用として追加されます。その際、アカウントは手動アカウントになり、アカウントの属性(ユーザ名など)が編集できるようになります。
注記: 初回の同期には、それ以降のサイクルでの同期よりも長い時間がかかります。IdPのマニュアルを参照して、ユーザ同期が実行される頻度を確認してください。
ユーザIDについて
OIDCを使用してユーザアカウントが最初にApple Business Managerに同期されたときは、アカウントの競合を識別するため、そのユーザアカウントのユーザIDが自動的に生成されます。
以前に同期されたユーザアカウントのユーザIDをApple Business Managerで変更すると、そのユーザアカウントはGoogle Workspace、Microsoft Entra ID、IdPと同期されなくなります。ユーザアカウントを再接続する場合は、ユーザIDの競合を解決する必要があります。