將使用者帳號從 Microsoft Entra ID 同步至 Apple 校務管理
你可以使用 OpenID Connect (OIDC) 將使用者帳號同步至 Apple 校務管理。使用此系統時,你可以新增 Apple 校務管理屬性 (例如年級和職務),並從 Microsoft Entra ID 輸入使用者帳號資料。當你使用 OIDC 同步使用者帳號時,系統會以唯讀形式新增帳號資訊,直到你中斷 Microsoft Entra ID 連線為止。屆時,這些使用者帳號會變成手動帳號,而你就可以編輯這些帳號中的屬性。
開始之前
使用 OIDC 連線同步至 Microsoft Entra ID 之前,請務必執行下列動作:
如有必要,請設定並驗證要使用的網域。請參閱新增並驗證網域。如果你已驗證要與 Google Workspace 建立聯合驗證的網域,則可以略過此程序。
中斷與學生資訊系統 (SIS) 的連線,或停止使用 SFTP 進行上傳。
設定網域、為其建立聯合驗證並加以啟用。請參閱〈使用 Microsoft Entra ID 的聯合驗證〉。
設定連線時,你應使用擁有管理員、機構經理或成員經理職務之使用者的電子郵件地址,這樣他們就能收到來自 Microsoft Entra ID 的通知。
讓具備編輯 Microsoft Entra ID 設定權限的 Microsoft Entra ID 全域管理員保持待命。
Microsoft Entra ID 使用者帳號與 Apple 校務管理
使用 OIDC 將使用者帳號從 Microsoft Entra ID 同步至 Apple 校務管理時,預設職務是學生。完成同步後,可編輯下列使用者帳號屬性:
職務
年級
學生資訊系統 (SIS) 使用者名稱
這些屬性會隨 Apple 校務管理中的使用者帳號一起儲存,而不會寫回至 Microsoft Entra ID。
【重要事項】在 Apple 校務管理 Entra ID App 中,請勿在 120 天內重複使用同一個使用者名稱。
登入屬性
使用 Apple 校務管理時,管理式 Apple 帳號所用的屬性不得重複。這通常會是使用者的電子郵件地址。如果有使用者的屬性與具備管理員職務的現有 Apple 校務管理使用者完全相同,則不會執行同步,且來源欄位會保持不變。
使用者主體名稱
如果使用者帳號的使用者主體名稱 (UPN) 與擁有管理員、機構經理或成員經理職務的現有使用者帳號完全相同,則不會執行同步,且來源欄位保持不變。無論原先使用的同步方法為何(SIS 或 SFTP)。
成員 ID
當 Microsoft Entra ID 使用者帳號同步至 Apple 校務管理時,系統會為 Apple 校務管理使用者帳號建立成員 ID。成員 ID 會用來辨識衝突的使用者帳號。此外,如果使用者是透過 OIDC 或 SIS 整合所同步,則會自動產生成員 ID,但如果使用者是透過 SFTP 所輸入,則不會自動產生。
如果 Microsoft Entra ID 中斷連線且 SFTP 用於重新上傳使用者,除非 SFTP 上傳檔案中的成員 ID 符合 OIDC 同步指派的成員 ID,否則將會建立新的使用者。可參閱〈將學生資訊系統資料上傳至「Apple 校務管理」〉。
以下是修改成員 ID 的重要須知:
如果你為先前從 Microsoft Entra ID 輸入的使用者帳號修改了成員 ID,該使用者帳號將無法再與 Microsoft Entra ID 配對。
如果你為先前從 Microsoft Entra ID 輸入的使用者帳號修改了成員 ID,且希望重新連線至該使用者帳號,請參閱〈解決 Microsoft Entra ID OIDC 使用者帳號衝突〉。
Microsoft Entra ID 租用戶
若要搭配 Apple 校務管理使用 OIDC,你的機構不得與任何其他 Apple 校務管理機構有相同的 Microsoft Entra ID 租用戶。如果你的機構要使用 OIDC,請洽詢 Microsoft Entra ID 全域管理員,確保沒有其他機構將你的 Entra ID 租用戶用於 OIDC。
Microsoft Entra ID 群組
Microsoft Entra ID 中的使用者介面可讓你同步群組帳號,但僅支援這些群組中的使用者帳號進行同步。
如果你在 Microsoft Entra ID 中設定了群組帳號,你可以將該群組新增至 Apple 校務管理 Entra ID App,而不用新增每位使用者。
【注意】Apple 校務管理 Entra ID App 不支援子群組。
OIDC 使用者屬性對應
使用 OIDC 將使用者帳號從 Microsoft Entra ID 同步至 Apple 校務管理時,系統會以唯讀形式儲存下列使用者屬性。下方表格也說明了該使用者屬性是否為必備。
【重要事項】新增未列於表格中的屬性,可能會導致 OIDC 連線中斷。
Microsoft Entra ID 使用者屬性 | Apple 校務管理使用者屬性 | 必備 |
|---|---|---|
givenName | 名字 |
|
surname | 姓氏 |
|
userPrincipalName | 管理式 Apple 帳號和電子郵件地址 |
|
objectId | (不會在 Apple 校務管理顯示。此屬性是用來識別衝突的帳號。) |
|
部門 | 部門 |
|
Employee Id | 成員編號 |
|
employeeOrgData.costCenter | 成本中心 |
|
employeeOrgData.division | 單位 |
|
開啟 Microsoft Entra Connect Sync
以具備管理員、機構經理或成員經理職務的使用者身分登入 Apple 校務管理
。在側邊欄底部選取你的姓名,接著選取「偏好設定」
,然後選取「管理式 Apple 帳號」
。開啟 Microsoft Entra Connect Sync,然後選取「立即同步」。
手動同步
你可以將 Apple 校務管理手動同步至 Microsoft Entra ID,以輸入在 Microsoft Entra ID 中所做的任何變更。
以具備管理員、機構經理或成員經理職務的使用者身分登入 Apple 校務管理
。在側邊欄底部選取你的姓名,接著選取「偏好設定」
,然後選取「管理式 Apple 帳號」。在「Microsoft Entra ID」下,選取「立即同步」。