Apple-ID mit Azure
Für die Nutzung von Apple-Geräten ist eine Apple-ID erforderlich. Als Firma kann ich die Anmeldung an Apple per Federation mit dem AzureAD vereinfachen und absichern.
Privat und Firma
Ehe sie nun die Einrichtung durchführen, sollten Sie erst einmal innehalten und die aktuelle Nutzung von Apple-Geräten mit der Apple-ID in ihrer Firma überdenken. Ohne den Apple Business Manager konnten auch in der Vergangenheit ihr Mitarbeiter schon ein IPhone o.ä. kaufen und einrichten. Dazu brauchen Sie eine Apple-ID, die sich jeder Mitarbeiter auch einfach mit der Firmen-Mailadresse erstellen kann.
Für Apple macht es aber erst einmal keinen Unterschied, ob eine Person eine Apple-ID mit einer "icloud.com" oder eine "gmx.de" oder einer Firmendomain wie "netatwork.de" anlegt. Technisch ist es einfach eine eigenständige losgelöste Apple-ID, die von dem Mitarbeiter bei der Einrichtung genutzt wird und mit der er auch weitere Apps installieren kann. Über Gutscheine, eine eigene Kreditkarte oder auch Firmenkreditkarte kann der Mitarbeiter auch Produkte über den Apple Store kaufen, d.h. Apps aber auch Medien etc.
Dass dieses Vorgehen nicht gerade sinnvoll ist, mussten vor Jahren auch schon Firmen erkennen in denen die Anwender sich eine "LiveID/MIcrosoft Konto" mit der Firmendomain angelegt haben und später dann ein Office 365-Konto mit der gleichen Domain eingerichtet wurde. Grundsätzlich müssen sie zwischen "Privat" und "Business" unterscheiden. Für eine Firma ist es natürlich ratsam, wenn die Geräte der Firma auch durch die Firma verwaltet werden und damit auch die Konten durch die Firma kontrolliert werden. Dafür gibt es die Federation der Domain mit Apple.
Für den weniger versierten Anwender hingegen ist es auch wichtig, auf seinen privaten Geräten eine Apple-ID ohne Bezug zur Firma zu nutzen. Er kann ja gerne eine Adresse auf "icloud.com" nutzen, analog zu der "outlook.com"-Domain bei einem Microsoft-Konto. Er sollte das auch tun, denn wenn er die Firma verlässt, hat er keinen Zugriff mehr auf das Postfach und jegliche Kommunikation von Apple mit der Apple-ID unter der Firmendomain ist damit unterbrochen. Es wird noch schlimmer da nun die Firma mit Zugriff auf das Postfach zur Mailadresse die Apple-ID "übernehmen" könnte.
Sie sollten also im Vorfeld sicherstellen, dass "private Konten und Geräte" auch eine Apple-ID nutzen, die nicht mit der Firmendomain zu tun hat während die Firmengeräte natürlich weiterhin mit einer der Firma gehörenden Apple-ID arbeiten können.
Einschränkungen
Die Nutzung von "verwalteten Apple-IDs" hat aber auch einige Einschränkungen.
- Kein ApplePay
- Kein iCloud Mail
- Keine iCloud Familienfreigabe
- kein iMessage
- ReadOnly Apple Store
Der Anwender kann im Store die Apple suchen und anschauen aber keine Apps installieren, d.h. weder kostenpflichtig noch kostenfrei - Keine Mediendienste
d.h. kein Apple One, Apple Arcade, Apple Music, Apple Radio, Apple Fitness+, Apple News+, Apple TV+ - Kein "Wo ist"
- Kein HomeKit
- Keine neuen Konten mit der eingerichteten Domain
All diese Einschränkungen zeigen aber gut, dass die verwalteten Apple-IDs nicht parallel für den privaten Einsatz genutzt werden sollte, sondern primär auf das Interesse der Firma ausgerichtet sind. Es gibt noch ein paar Punkte mehr und die Liste dürfte auch schnell wieder veralten. Daher hier der Link zur Apple Dokumentation.
- Verwaltete AppleāIDs in Apple Business Manager verwenden
https://support.apple.com/de-de/guide/apple-business-manager/axm78b477c81/web
Domain eintragen
Die Nutzung von Apple-IDs mit der Firmendomain über den Apple Business-Manager hat für die Firma natürlich den Vorteil, dass alle Konten damit zentral verwaltet werden können. Für den Anwender hat das den "Nachteil", dass er nicht mehr alleine Herr über seine Firmen-Geräte ist, da die Firma z.B. die Bereitstellung von Apps steuern kann.
Der erste Schritt besteht nun darin, die DNS-Domain im Apple Business Manager zu addieren. Der Prozess ähnelt stark der Einrichtung einer Domain in Microsoft 365.
- Domain im Business Manager addieren
Das geht nur für Domains, die noch nicht bei Apple registriert sind - Angegeben TXT-Record im DNS hinterlegen
Um den Besitz nachzuweisen, muss der DNS-Admin einen TXT-Eintrag in der Form "apple-domain-verification=hier_kommt_der_code_rein" anlegen. Dafür haben Sie 14 Tage Zeit. - Domain verifizieren
Danach stoßen Sie die Prüfung an, damit Apple die Domain ihrer Instanz zuweist
Natürlich kann einen Domain nur genau einer Business Manager Instanz zugewiesen werden. Sollte die Domain schon an eine andere Instanz zugewiesen sein, können Sie nur ihre Kontaktdaten an den anderen Administrator senden und hoffen, dass er sich mit ihnen in Verbindung setzt. Apple greift hier angeblich nicht ein und sie können auch nicht sehen, wer der "Besitzer" ist.
Ich habe noch nicht herausgefunden, ob ein "Admin Takeover" einer Domain möglich ist, wenn die andere Instanz verwaist ist.
Wenn Sie Domain haben, kann es natürlich immer noch sein, dass Benutzer bereits eine Apple-ID mit dieser Domain nutzen. In dem Fall sehen Sie als Business Manager Admin diese Konten und können diese Benutzer gezielt ansprechen, ehe Sie das Konto "zurückfordern".
Offen: Was sieht der Benutzer. wird das bestehende Konto samt Apps und Käufen beibehalten/migriert oder ist es ein neues Konto?
- Link to new domains in Apple Business Manager
https://support.apple.com/guide/apple-business-manager/link-to-new-domains-axm48c3280c0/1/web/1 - Informationen zu Domainkonflikten in
Apple Business Manager
https://support.apple.com/de-de/guide/apple-business-manager/axma5e07161d/1/web/1 - Apple-ID-Konflikte in
Apple Business Manager lösen
https://support.apple.com/de-de/guide/apple-business-manager/axm4f1716xzy/1/web/1 - Benachrichtigung über
Benutzernamenskonflikte in
Apple Business Manager erhalten
https://support.apple.com/de-de/guide/apple-business-manager/axme685676ac/1/web/1
Benutzer verwalten
Sie können natürlich manuell Konten im Apple Verzeichnisdienst anlegen und verwalten. Das wäre dann vergleichbar mit den "Cloud Only"-Konten in einem AzureAD und für sehr kleine Firmen mit wenig Fluktuation oder ganz ohne lokale AD ist dies ein durchaus üblicher Weg. Größere Firmen werden natürlich sehr schnell nach einem Verzeichnisabgleich mit einem bestehenden Verzeichnisdienst, z.B. einem lokale AD oder AzureAD fragen.
Apple erlaubt die Kopplung des Apple Business Managers mit dem Azure AD und dem Google Verzeichnisdienst. Dabei kommt SCIM (Siehe auch SCIM - System for Cross-Domain Identity Management) zum Einsatz. Der Business Manager Admin holt sich eine URL und ein Secret von Apple und richtet dann im AzureAD den Apple Business Manager als Applikation ein.
Sie müssen Sie danach am Apple Portal unter "https://business.apple.com/" anmelden, um die Einrichtung abzuschließen.
Dieser Prozess unterscheidet sich von der üblichen Einrichtung einer "klassischen" Enterprise Application. Sie melden Sich am Apple Portal an und machen von dort die Einstellungen zu Berechtigungen, SCIM etc
Am Ende ist natürlich auch der Apple Business Manager eine App in ihrem Tenant.
Bild wird nachgereicht
Apple beschreibt noch eine zweite Option, bei der nicht SCIM genutzt wird sondern Apple quasi "on the fly" ein Konto anlegt, wenn der Benutzer mit einem vom AzureAD ausgestellten Token sich beim Apple Identifizierungsdienst meldet. Das OAUTH-Token enthält ja mehrere Felder, die der Apple Business Manager zum Aufbau seiner eigenen Benutzerdaten nutzen kann. Die ist aus meiner Sicht aber eine "Lite"-Version, da die Benutzerinformationen nur bei einer Anmeldung am Apple Business Manager aktualisiert werden und keine automatische Lösung von Objekten erfolgt.
Die Replikation mittels SCIM ist nicht auf AzureAD beschränkt. Theoretisch könnten Sie mit einer passenden Software auch einen Sync-Dienst schreiben oder kaufen, der Daten aus anderen Datenquellen einliest und u.a. zu Apple schreibt. Quelle könnte auch ihre Personalverwaltungssoftware (SAP Success Factors, Personio u.a.) sein, wenn diese SCIM unterstützen.
- SCIM - System for Cross-Domain Identity Management
- Einführung zu Benutzer:innen und Benutzergruppen in Apple Business Manager
https://support.apple.com/de-de/guide/apple-business-manager/axmf52e4f360/web - Voraussetzungen für die Microsoft Azure AD-Synchronisation in
Apple Business Manager
https://support.apple.com/de-de/guide/apple-business-manager/axmd88331cd6/web - Benutzer:innen aus Azure AD mit Apple Business Manager synchronisieren
https://support.apple.com/de-de/guide/apple-business-manager/axm3ec7b95ad/web - Tutorial: Konfigurieren von Apple Business Manager für die automatische
Benutzerbereitstellung
https://learn.microsoft.com/de-de/azure/active-directory/saas-apps/apple-business-manager-provision-tutorial
Authentifizierung
Bei der Benutzer-Synchronisation per SCIM werden keine Kennworte oder Hashwerte übertragen. Der Benutzer kann sich an den Apple Diensten entweder mit einem getrennten Kennwort anmelden oder Sie nutzen auch hier einen Identity Provider (IdP). Apple unterstützt hier neben Google oder AzureAD auch einen lokalen ADFS-Service. Interessant ist hier neben der SCIM-Kopplung aber vor allem das AzureAD und sie können sowieso nur einen IdP einrichten.
Wenn Sie für den Verzeichnisabgleich mit SCIM noch nicht die Apple Enterprise App in ihrem Tenant eingerichtet haben, dann sollten Sie dies nun für die Authentifizierung nachholen.
Bild wird nachgereicht
- Die verknüpfte Authentifizierung mit MS Azure AD in Apple Business Manager
verwenden
https://support.apple.com/de-de/guide/apple-business-manager/axmb02f73f18/1/web/1 - Einführung in die verknüpfte Authentifizierung in Apple Business Manager
https://support.apple.com/de-de/guide/apple-business-manager/axmb19317543/1/web/1 - Was ist einmaliges Anmelden in Azure Active Directory?
https://learn.microsoft.com/de-de/azure/active-directory/manage-apps/what-is-single-sign-on
Weitere Links
- Microsoft 365 Identity Management
- SCIM - System for Cross-Domain Identity Management
- Doppelkonto Azure vs. Microsoft
-
Desktop Anmeldung
Was passiert eigentlich bei der Anmeldung am Desktop mit Cloud-Konten - Get notified about user name conflicts in Apple Business
Manager
https://support.apple.com/guide/apple-business-manager/get-notified-about-user-name-conflicts-axme685676ac/web - About domain conflicts in Apple Business Manager
https://support.apple.com/guide/apple-business-manager/about-domain-conflicts-axma5e07161d/1/web/1 - Intro to federated authentication with Apple Business
Manager
https://support.apple.com/guide/apple-business-manager/intro-to-federated-authentication-axmb19317543/1/web/1 - Link to new domains in Apple Business Manager
https://support.apple.com/guide/apple-business-manager/link-to-new-domains-axm48c3280c0/1/web/1 - Disconnect federation from a domain in Apple Business
Manager
https://support.apple.com/guide/apple-business-manager/disconnect-federation-from-a-domain-axmd952e0762/1/web/1