Příprava organizace na Mesh
Na této stránce najdete informace o požadovaných úlohách a navrhovaných funkčních rolích, které můžou potřebovat vědět o zavedení, ale sledují standardní proces zavedení vaší organizace, včetně správy změn a konfigurace.
Tento obsah popisuje požadavky na implementace Mesh pro asistivní prostory ve službě Mesh a imerzivní prostory v Teams. Obecný postup je následující:
Po plánování implementace Mesh se dozvíte, jak nastavit Microsoft Mesh a jak nastavit imerzivní prostory v Teams.
Shromáždění týmu nasazení
Sponzorství na úrovni vedení je velmi vhodné, aby vám pomohlo s případnými problémy s blokováním napříč týmy.
Budete potřebovat přístup k několika nástrojům pro správu:
Teams Správa Center (TAC) je potřeba ke konfiguraci správy avatarů a imerzivních prostorů.
Azure Portal je potřeba ke správě skriptování v cloudu Mesh používaného pro vlastní prostředí Mesh (pokud vaše prostředí volitelně používají tuto formu skriptování).
Další úlohy, jako je povolení adres URL a portů brány firewall, se budou provádět v jakémkoli nástroji pro správu, které vaše organizace používá.
Mesh používá další části sady Microsoft 365. Pokud vaše organizace omezí přístup k těmto prostředkům, nebudou části mesh fungovat. Promluvte si s kýmkoli, kdo má přístup k nástrojům Správa Microsoftu 365, abyste zjistili, jestli existují nějaká omezení, a otestujte, jestli tato omezení nebudou v rozporu se sítí Mesh.
Následující tabulka například definuje, jaký přístup je potřeba pro konkrétní akce:
Akce sítě Potřebný přístup Create kolekce mesh Create skupiny Microsoft 365 Přidání jako člena do kolekce mesh Přístup ke skupinám Microsoft 365 Create události Mesh Přístup ke kalendáři Microsoft 365 Pozvání na událost Mesh Přístup k outlookové poště Vytvoření šablony Přístup k SharePointu Přidání obrázku nebo videa na začátek události nebo šablony Přístup k SharePointu nebo OneDrivu
Tip
Existují některé úlohy nastavení, které můžou vyžadovat spolupráci jednotlivců nebo oddělení mimo jednotlivce nebo tým, který bude nasazovat a spouštět Mesh, například Licencování, Zabezpečení a Správa koncových bodů. Možná bude potřeba konzultovat i další zúčastněné strany, jako je helpdesk a lidské zdroje.
Ověření licencí a zásad
Pro avatary a imerzivní prostory v Teams musí mít uživatelé licence na jednu z následujících možností: Teams Essentials, Microsoft 365 Business Basic, Microsoft 365 Business Standard Microsoft 365 Business Premium, Microsoft 365 E3/E5 a Office 365 E1/E3/E5.
Licenční požadavky pro asistivní prostory ve službě Mesh
Pro Microsoft Mesh budete potřebovat následující:
Teams Premium licenci v tenantovi pro komerční použití. Další informace o licencování Microsoft Teams Premium – Microsoft Teams | Microsoft Learn.
Poznámka
Nepodporujeme tenanty s licencemi globálního veřejného sektoru, EDU nebo GCC.
Požadovaná licence pro Teams Premium, jak je uvedeno v tématu Požadavky na nákup Teams Premium – Microsoft Teams | Microsoft Learn pro všechny uživatele mesh.
Poznámka
Všechny Teams Premium požadované licence zahrnují SharePoint, OneDrive a Kalendář M365. Přečtěte si další informace o licenci Teams pro velké organizace a Teams Premium zkušební verzi.
(Volitelné) Licence Unity a předplatné Azure s úložištěm pro vývoj vlastních imerzivních prostorů a nasazení cloudových skriptů pro prostředí Mesh
Přečtěte si další informace o skriptování v cloudu pro vlastní imerzivní prostory ve službě Microsoft Mesh.
Požadavky na předplatné
Aby mohli používat Microsoft Mesh, musí mít všichni uživatelé (včetně vývojářů, organizátorů událostí a účastníků/uživatelů) předplatné Office M365 s přístupem k SharePointu, OneDrivu a kalendáři M365.
Tyto údaje jsou vyžadovány pro:
- Vytváření skupin: Používá se k vytváření světů mesh ve službě Mesh na webu.
- SharePoint/OneDrive: Používá se k vytváření vlastních událostí nebo šablon.
- Poštovní schránka/kalendář: Používá se k vytváření událostí a/nebo odesílání/přijímání pozvánek na události.
Nápovědu najdete v imerzivních prostorech v tématu Řešení potíží s licencováním sítí a nejčastější dotazy.
Licenční požadavky pro asistivní prostory v Teams
Požadované licence
Vaši uživatelé musí mít komerční licenci teams: Microsoft Teams Enterprise, Teams Essentials nebo některou z následujících skladových položek M365, O365 nebo Business se zahrnutými aplikacemi Teams: Microsoft 365 Business Basic, Microsoft 365 Business Standard, Microsoft 365 Business Premium, Microsoft 365 E3/E5 a Office 365 E1/E3/E5.
Přečtěte si další informace o tom, jak nastavit imerzivní prostory v Teams.
Nápovědu najdete v imerzivních prostorech v tématu Řešení potíží s licencováním Teams a nejčastější dotazy.
Zvažte, kterého tenanta se má zřídit pro síť Mesh.
Dva hlavní faktory, které je potřeba vzít v úvahu při výběru tenantů, které se mají zřídit pro mesh, jsou:
Kteří uživatelé by měli mít přístup k imerzivním prostředím
Všichni uživatelé, kteří se budou společně účastnit imerzivních prostředí, musí mít nativní účty ve stejném Microsoft Entra ID (dříve Azure Active Directory) – přístup hostů k tenantovi nefunguje.
Kompromisy mezi neomezenou kontrolou domény a konečnou odpovědností za bezpečné a efektivní provozování domény.
Primární tenant pro Mesh
Zřizování primárního produkčního tenanta pro Službu Mesh se doporučuje, protože vám poskytne největší rozsah pro testování, ale může způsobit režijní práci prostřednictvím interních postupů a schválení.
Samostatný tenant pro Mesh
Pokud chcete spolupracovat s lidmi mimo produkčního tenanta, můžete nastavit samostatného tenanta jenom pro Mesh. Vytváření uživatelských účtů v produkčním tenantovi pro uživatele, kteří pro danou organizaci nepracují, sice neexistuje žádná technická překážka, ale můžou proti tomu existovat silné obchodní důvody.
Poznámka
Vytváření dalších tenantů ale zvýší složitost správy účtů pro správce a uživatele, může také vyžadovat další náklady na licencování a správu domén a může vyžadovat další proces v rámci vaší organizace.
Pokud očekáváte, že budete používat imerzivní prostory v Teams pro uživatele ve vaší produkční verzi Teams, určitě budete chtít zřídit produkčního tenanta pro Službu Mesh. I když můžete vytvořit další tenanty pro testování, lidé, kteří používají Teams po celý den, je vysoce nepravděpodobné, že se budou chtít odhlásit ze svého hlavního účtu Teams a přihlásit se k jinému účtu v jiném tenantovi. Samostatný tenant je praktičtější pro aplikaci Mesh, kde je jednodušší přecházení mezi účty.
Každý tenant může mít několik předplatných služby Azure Storage, ale předplatné služby Azure Storage používané pro skriptování cloudu Mesh musí být ve stejném identifikátoru EntraID jako uživatelé, kteří se budou účastnit událostí, a vývojáři, kteří budou nahrávat a spravovat skripty.
Kontaktování vlastníků podpůrných týmů
Pokud chcete dokončit kroky pro spuštění služby Mesh, budete muset mít různá práva a oprávnění nebo být v kontaktu s lidmi ve vaší organizaci, kteří můžou udělit práva a oprávnění, která budete potřebovat. V závislosti na struktuře a zásadách vaší společnosti může být tento proces časově náročný, takže vám pomůže co nejdříve zahájit práci.
Následující část obsahuje seznam organizačních rolí, se kterými budete pravděpodobně muset pracovat, abyste mohli dokončit požadované úlohy před nasazením:
Správci aplikací Teams
Správa imerzivních prostorů a avatarů proběhne na portálu pro správu Teams admin.teams.microsoft.com. Budete potřebovat, aby globální správce tenanta přiřadil někomu z týmu Mesh roli správce Teams v Microsoft Entra, nebo budete muset úzce spolupracovat s aktuálním Správcem aplikací Teams, abyste mohli provést všechny potřebné konfigurace.
Zásady aplikací Teams
Dvě z komponent Mesh, které budete používat, jsou aplikace Teams. měli byste nastavit zásady, aby k nim měli přístup jenom schválení uživatelé. Upravte zásady aplikací Teams na globální nebo vlastní úrovni tak, aby povolovaly nebo blokovaly aplikace Mesh podle potřeby. Pokud chcete, aby se určené uživatele automaticky nainstalovaly komponenty Mesh, musíte nastavit také zásady nastavení aplikací Teams. Při plánování vhodných zásad se můžete koordinovat s kýmkoli, kdo vlastní správu aplikací Teams. Další informace o řízení přístupu k Teams najdete v tématu https://admin.microsoft.com/Adminportal/Home#/rbac/directory.
Zásady zpětné vazby v Teams
Microsoft se při vytváření lepších produktů spoléhá na zpětnou vazbu od uživatelů. Správce Teams může nastavit, jestli uživatelé můžou posílat zpětnou vazbu k Teams do Microsoftu. Zpětnou vazbu je možné povolit na základě členství ve skupině Id Entra. Pokud je zpětná vazba v Teams zakázaná, uživatelé nebudou moct posílat zpětnou vazbu k funkcím Mesh integrovaným v Teams. Důrazně doporučujeme, aby vaše organizace povolila tuto zpětnou vazbu pro uživatele služby Mesh, ale před provedením jakýchkoli změn si projděte zásady vaší společnosti. Další informace o správě zpětné vazby najdete v tématu
Správa zásad zpětné vazby v Teams
Konfigurace plánu služby pro povolení přístupu uživatelů
Důležité
Aby správci mohli zjednodušit prostředí pro správu, nebudou už muset konfigurovat mesh v M365 Apps Správa Center. Pokud jste dříve omezili přístup k síti Mesh uživatelům nebo skupinám ve vaší organizaci prostřednictvím zásad Mesh, které najdete v Správa Centru M365 Apps, budete muset do konce února 2024 přepnout na omezení přístupu prostřednictvím plánu služby Mesh místo v M365 Správa Center (MAC).
Další informace o plánech služeb najdete v tématu Konfigurace přístupu ke službě Mesh pomocí plánů služeb.
Licenční smlouva s koncovým uživatelem
Vaši uživatelé musí uzavřít samostatnou smlouvu přímo s Microsoftem, aby umožnili prostorový zvuk pro prostředí Mesh. Tato smlouva se vašim uživatelům předloží před prvním použitím služby Mesh uživatelem. Pokud uživatel nechce tuto smlouvu uzavřít, nemůže používat Mesh.
Pokud správce nesouhlasí s podmínkami licenční smlouvy, mohou správci zakázat službu Mesh pro uživatele prostřednictvím plánů služeb popsaných výše.
Další informace o plánech služeb a licenční smlouvě s koncovým uživatelem najdete v tématu Licenční smlouva s koncovým uživatelem.
Kontrola správců koncových bodů
Ujistěte se, že znáte proces nasazení aplikací ve vaší organizaci. Aplikace Mesh je k dispozici v Microsoft Storu a můžete ji odsud odstranit pomocí řešení MDM (správa mobilních zařízení), jako je Microsoft Intune, aby se aplikace nasadila a zobrazila se v Portál společnosti uživatelů. Pokud zablokujete přístup k Microsoft Storu, můžete místo toho použít WinGet. Další informace o nasazování aplikací s Microsoft Intune najdete tady:
Přidání aplikací z Microsoft Storu do Microsoft Intune
Konfigurace azure pro cloudové skriptování
Pokud vaši vývojáři plánují vytvářet vlastní prostředí Mesh, která budou používat skriptování mesh cloudu, budou vyžadovat předplatné Azure, do kterého můžou nasadit svoji cloudovou skriptovací službu. Předplatné Azure se nevyžaduje pro prostředí, která používají pouze skriptování vizuálů mesh.
Další podrobnosti o těchto požadavcích najdete v tématu Nastavení infrastruktury cloudových skriptování v Azure .
Spolupráce s týmem zabezpečení vaší organizace
Před nasazením jakékoli nové aplikace nebo služby musíte vzít v úvahu bezpečnostní důsledky a úzce spolupracovat se svým bezpečnostním týmem, abyste měli jistotu, že dodržujete všechny standardní zásady zabezpečení. S příslušnými vlastníky zabezpečení předem prodiskutujte následující požadavky na síť.
Koncové body a porty brány firewall pro prostředí v Teams
Imerzivní prostory v Teams | Avatary v Teams | |
---|---|---|
Požadované koncové body | Následující koncové body musí být povolené prostřednictvím brány firewall nebo proxy serveru. Všechny koncové body musí povolit provoz na portech TCP 80 a 443: *.microsoft.com |
Následující koncové body musí být povolené prostřednictvím brány firewall nebo proxy serveru. Všechny koncové body musí povolit provoz na portech TCP 80 a 443: *.microsoft.com |
Porty brány firewall | Kromě výše uvedených koncových bodů vyžaduje mesh také povolení odchozího provozu na IP adresy ve značce služby AzureCloud přes následující protokoly a porty: Porty TCP 80, 443 Pokud potřebujete přeložit značku služby na seznam rozsahů IP adres, můžete pravidelně používat rozhraní API pro značky služby nebo stahovat snímek. Další informace o značkách služeb najdete v tématu Přehled značek služeb Azure. |
Odpovídá standardní sadě požadavků Microsoft Teams uvedených v adresách URL a rozsahech IP adres Microsoft 365. |
Další informace najdete v tématech Nastavení imerzivních prostorů v Teams a Nastavení avatarů v Microsoft Teams.
Koncové body a porty brány firewall pro imerzivní prostory ve službě Mesh (aplikace Mesh)
Událost v jedné místnosti v aplikaci Mesh | Událost s více místnostmi v aplikaci Mesh | |
---|---|---|
Požadované koncové body | Odpovídá standardní sadě požadavků Microsoft Teams uvedených v adresách URL a rozsahech IP adres Microsoft 365. | Pokud chcete zajistit, aby služba Mesh fungovala správně, povolte následující koncové body. Všechny koncové body musí povolit provoz na portech TCP 80 a 443: *.officeapps.live.com |
Porty brány firewall | Odpovídá standardní sadě požadavků Microsoft Teams uvedených v adresách URL a rozsahech IP adres Microsoft 365. | Kromě výše uvedených koncových bodů vyžaduje mesh také povolení odchozího provozu na IP adresy ve značce služby AzureCloud přes následující protokoly a porty: Porty TCP 80, 443 Pokud potřebujete přeložit značku služby na seznam rozsahů IP adres, můžete pravidelně používat rozhraní API pro značky služby nebo stahovat snímek. Další informace o značkách služeb najdete v tématu Přehled značek služeb Azure. |
Další informace o událostech v jedné místnosti a více místnostech najdete v tématu Create události ve službě Mesh.
Úkol & podmíněného přístupu
Podmíněný přístup je důležitou součástí přístupu s nulovou důvěryhodností, který pomáhá zabezpečit síť a prostředky. V rámci nulové důvěryhodnosti používá mnoho společností zásady funkcí podmíněného přístupu s Microsoft Entra a Microsoft Intune k omezení typů zařízení, která mají povolený přístup k prostředkům společnosti, a dokonce i verze a konfigurace operačního systému na těchto zařízeních; zařízení, která splňují definovaný profil, jsou povolena a jakékoli jiné zařízení, které není zadané, bude přístup odepřen. Meta vydala podporu MDM beta verze GA pro Quest, která funguje s Intune. Každá společnost, která v předběžné verzi používá Mesh, bude muset spolupracovat se svými týmy pro zabezpečení a správu koncových bodů, aby se rozhodly, jestli je možné vytvořit zásadu, která je přijatelná pro rizikový profil společnosti a zároveň povolí přístup k zařízením Quest.
V současné době existuje jedno řešení: Pokud chcete získat přístup ke službě Mesh on Quest se zásadami podmíněného přístupu, které můžou blokovat službu Mesh on Quest, je řešením vytvořit vlastní zásady podmíněného přístupu v Microsoft Entra vyloučit služby Microsoft Mesh a Office 365.
Další informace o podmíněném přístupu najdete tady:
Spolupráce se zúčastněnými stranami, které komunikují o změnách
Výše uvedené zúčastněné strany mají aktivní kroky, které ovlivní nastavení prostředí Mesh, ale můžou existovat i další části vaší organizace, které budou nasazením ovlivněné, nebo mohou mít zásady nebo pokyny, které je potřeba vzít v úvahu v rané fázi procesu plánování. Tady jsou některé oblasti vaší organizace, na které se možná budete muset obrátit před nasazením.
Změna komunikace: Pokud máte standardní proces pro kontaktování uživatelů ohledně čekajících změn, ujistěte se, že součástí této komunikace je Mesh.
Help Desk: Vytvořte plán podpory pro uživatele, kteří mají problémy s používáním služby Mesh. Ujistěte se, že vaši správci mesh mají způsob, jak zkontrolovat problémy uživatelů, aby je bylo možné podle potřeby sdělit Microsoftu.
Lidské zdroje: Zatímco mesh nevyžaduje žádnou konkrétní akci z lidských zdrojů pro nasazení nebo provoz, personální oddělení může zajímat, že mesh je o vytváření imerzivních prostředí pro uživatele. Na personálním oddělení se obraťte na všechny zásady, které by mohly mít vliv na vaše prostředí schůzek Mesh.
Firemní branding: Pokud se rozhodnete vytvořit pro své uživatele vlastní prostředí schůzek, měli byste se u odborníků na firemní branding ujistit, že všechny prostředky schůzek splňují standardy brandingu.
Příprava uživatelů na avatary mesh
Při prvním zavedení funkce avatara v Teams můžou někteří uživatelé potřebovat pokyny, kdy je vhodné je používat a kdy není vhodné je používat. Společnost Microsoft publikovala blog na téma Avatar etiquette: How Microsoft employees are using avatars in Microsoft Teams in their meetings. Tento dokument vám může pomoct informovat o materiálech, které můžete chtít sdílet s uživateli.
Souhrn
Microsoft Mesh nabízí mnoho výkonných funkcí, které zlepšují komunikaci a spolupráci na vzdálených a hybridních pracovištích. Vzhledem k tomu, že tato služba poskytuje prostředí zahrnující služby, nezapomeňte naplánovat poskytnutí vstupních dat všem potřebným zúčastněným stranám, a to jak těm, které jsou zde uvedené, tak i dalším osobám specifickým pro vaši organizaci.