Entwerfen einer Kontostrategie
Große akademische Institutionen müssen überlegen, wie Konten für Studenten, Lehrkräfte und andere erstellt werden. In diesem Abschnitt wird beschrieben, wie Sie die Erstellung von Konten in einer großen BILDUNGS-Instanz angehen, die mehrere Microsoft Entra Mandanten umfasst.
Reine Cloudkonten
Es wird empfohlen, nach Möglichkeit reine Cloudidentitäten zu verwenden. Reine Cloudidentitäten werden durch Benutzerkontoobjekte dargestellt, die in Microsoft Entra ID erstellt und verwaltet werden. Bei reinen Cloudidentitäten werden alle Ihre Benutzer, Gruppen und Kontakte im Microsoft Entra Mandanten gespeichert.
Reine Cloudidentitäten eignen sich am besten für Organisationen, die keine Active Directory Domain Services (AD DS) verwenden, um lokale Identitäten zu verwalten oder über andere lokale Identitäten zu verfügen. Der größte Vorteil ist seine Einfachheit, da keine zusätzlichen Verzeichnistools oder Server erforderlich sind.
Das Erstellen von reinen Cloudkonten wird für Bildungseinrichtungen empfohlen, die:
ihre SaaS-Anwendungen bereits in Microsoft Entra ID integriert haben.
verlassen Sie sich nicht auf lokale AD DS zum Verwalten von Identitäten.
möchte School Data Sync (SDS) verwenden, um neue reine Cloudidentitäten basierend auf ihren Online-Schülerinformationssystemen (SIS) zu erstellen.
Hybridkonten
Hybrididentitäten werden durch Benutzerobjekte dargestellt, die in einem lokalen AD DS erstellt und dann mit einem Microsoft Entra Mandanten synchronisiert werden. Diese Konten erstellen eine gemeinsame Benutzeridentität für die Authentifizierung und Autorisierung. Hybridkonten werden häufig verwendet, wenn Benutzer Zugriff auf eine Mischung aus lokalen und Cloudanwendungen benötigen.
Hybrididentitäten eignen sich am besten für Organisationen, die AD DS verwenden. Der größte Vorteil besteht darin, dass Benutzer beim Zugriff auf lokale oder cloudbasierte Ressourcen dieselben Anmeldeinformationen verwenden können.
Das Erstellen und Verwalten von Hybridkonten ist komplexer als das Verwalten von reinen Cloudkonten und wird nur für Bildungseinrichtungen empfohlen, die:
benötigen Zugriff auf lokale und cloudbasierte Ressourcen.
Erstellen und Verwalten von Benutzerkonten mithilfe von AD DS oder einem anderen Identitätsanbieter.
Registrieren
In den meisten Ländern/Regionen muss Ihre Einrichtung keine administrativen Maßnahmen ergreifen, um Benutzer zu registrieren. Sie können die Verfügbarkeit von Office 365 A1 oder Office 365 A1 Plus mit Ihren Studierenden, Lehrkräften und Mitarbeitern kommunizieren, indem Sie Inhalte aus dem Office 365 Campus Marketing Toolkit verwenden. Das Toolkit enthält vorlagenbasierte E-Mails, Poster, Webbanner und mehr, die Ihnen helfen, das Bewusstsein von Studenten, Lehrkräften und Mitarbeitern zu erhöhen. Wenden Sie sich bei speziellen Fragen zu den Schritten, die Ihre Einrichtung veranlassen sollte, an Ihren Microsoft-Partner.
Kunden in einigen Ländern/Regionen müssen den Mandanten so konfigurieren, dass E-Mail-verifizierte Benutzer dem Mandanten beitreten können. Administratoren können Office 365 A1 oder Office 365 A1 Plus für Studenten und Lehrkräfte verfügbar machen, indem sie die folgenden Schritte ausführen:
Wenn Sie Windows 7 verwenden, installieren Sie Microsoft Online Services Sign-In Assistant for IT Professionals. Wenn Sie Windows 8 oder höher verwenden, ist dieser Schritt nicht erforderlich.
Installieren Sie die neueste 64-Bit-Version des Azure Active Directory-Moduls für Windows PowerShell.
Geben Sie den folgenden Windows PowerShell-Befehl ein, um neuen Benutzern den automatischen Beitritt zu Ihrem Office 365-Mandanten zu ermöglichen:
Set-MsolCompanySettings -AllowEmailVerifiedUsers $true
Weitere Informationen finden Sie unter Welche Schritte müssen wir unternehmen, um dies Für Studierende, Lehrkräfte und Mitarbeiter verfügbar zu machen?
Erstellen von M365 A1-Konten
Es gibt mehrere Möglichkeiten, Office 365 Konten für Benutzer zu erstellen. Wie Sie die Konten erstellen, hängt von Ihrem aktuellen Zustand ab.
Wenn Office 365 Konten bereits vorhanden sind
Wenn Ihre Schule über eine vorhandene Office 365 Umgebung verfügt, in der Studenten, Lehrkräfte oder Mitarbeiter bereits über ein Geschäfts-, Schul- oder Unikonto verfügen, aktiviert Microsoft automatisch Office 365 EDU A1-Lizenzen und weist sie vorhandenen Konten zu. Nach der Aktivierung werden die Benutzer automatisch über die zusätzlichen verfügbaren Dienste benachrichtigt, einschließlich der Möglichkeit, Office 365 ProPlus herunterzuladen, falls zutreffend. Wenn der Benutzer bereits über ein Office 365 A1 Plus-Konto oder eine andere Office 365 ProPlus Lizenz verfügt, die über Ihre Bildungseinrichtung zugewiesen wurde, wird er zur Anmeldung mit seinen vorhandenen Anmeldeinformationen umgeleitet und erhält eine Benachrichtigung mit der Aufforderung Jetzt installieren.
Wenn Benutzer nur E-Mails haben
Office 365 Education bietet Self-Service-Anmeldungen für Ihre Benutzer mit Schul-E-Mail-Adressen. Sie können sich für Office 365 A1 registrieren, die 1 TB OneDrive for Business Speicher pro Benutzer, Office für das Web, SharePoint Online und Yammer umfasst. Nach der Registrierung erhalten Benutzer automatisch ein Konto und können auf dienste zugreifen, die in Office 365 A1 enthalten sind.
Wenn ein Schüler beispielsweise seine Schul-E-Mail-Adresse "Student@fineartsschool.edu" für die Registrierung verwendet, fügt Microsoft sie automatisch als Benutzer in der fineartsschool.onmicrosoft.com Office 365-Umgebung hinzu. Office 365 A1 werden für ihr Konto aktiviert. Wenn sie eine Schule besuchen, die für den Nutzungsvorteil von Schülern berechtigt ist, erhalten sie eine Lizenz, mit der sie Office 365 ProPlus installieren können.
Ein Administrator kann diese Funktionen mithilfe des folgenden Microsoft Entra-Cmdlets konfigurieren:
Set-MsolCompanySettings -AllowEmailVerifiedUsers $true
Weitere Informationen finden Sie unter Office 365 Education Self-Sign: Technische Faq.
Wenn Benutzer über lokale Konten verfügen
Die Synchronisierung für Hybridkonten ist ein zweistufiger Prozess, der zwei Komponenten umfasst: Microsoft Entra Connect und School Data Sync.
Microsoft Entra Connect ist das Microsoft-Tool, mit dem lokales Active Directory Benutzer, Gruppen und andere Objekte mit Microsoft Entra ID synchronisiert werden. Sie wird auf einem lokalen Server ausgeführt, überprüft, ob Änderungen im AD DS vorgenommen wurden, und leitet diese Änderungen an Microsoft Entra ID weiter. Microsoft Entra Connect bietet auch die Möglichkeit, zu filtern, welche Konten synchronisiert werden und ob Benutzer mithilfe der Kennworthashsynchronisierung (Password Hash Synchronization, PHS),der Passthrough-Authentifizierung (PTA) oder des Verbunds authentifiziert werden sollen.
Hinweis
Wir empfehlen Microsoft Entra Verbindung mit PHS für die Authentifizierung herstellen, da dies die einfachste Möglichkeit für Hybridkonten ist, sich mit Microsoft Entra ID zu authentifizieren. Sie müssen nur einen Server verwalten und erhalten nahtloses einmaliges Anmelden und mehrstufige Cloudauthentifizierung. Einige Premium-Features von Microsoft Entra ID, z. B. Identity Protection und Microsoft Entra Domain Services, erfordern eine Kennworthashsynchronisierung, unabhängig davon, welche Authentifizierungsmethode Sie auswählen.
Microsoft Entra Connect verfügt über zwei Installationstypen: Express und Benutzerdefiniert. Express ist am häufigsten und wurde entwickelt, um eine Konfiguration bereitzustellen, die für die meisten Kundenszenarien geeignet ist. Bei der Expressinstallation wird davon ausgegangen, dass Sie über eine einzelne Gesamtstruktur mit weniger als 100.000 Objekten in Ihrem lokales Active Directory verfügen. PHS wird mit dieser Option automatisch aktiviert.
Wenn Sie über mehr als 100.000 Objekte oder mehrere Gesamtstrukturen verfügen, verwenden Sie eine benutzerdefinierte Installation von Microsoft Entra Connect. Verwenden Sie auch eine benutzerdefinierte Installation, wenn Sie einen Verbund oder PTA für die Benutzerauthentifizierung verwenden möchten.
Weitere Informationen finden Sie unter Auswählen des installationstyps, der für Microsoft Entra Connect verwendet werden soll.
School Data Sync (SDS) ist ein kostenloser Dienst in Microsoft 365 Education, der die Daten aus dem Student Information System (SIS) einer Schule liest. Es erstellt
Teams für Education. SDS ermöglicht die automatische Erstellung von Klassenteams basierend auf von SDS erstellten O365-Gruppen und der Liste.
OneNote-Kursnotizbücher. SDS ermöglicht die automatisierte Bereitstellung von OneNote-Kursnotizbüchern in Teams für Education. Wenn diese Option aktiviert ist, werden für jedes Kursnotizbuch Abschnitte erstellt und Berechtigungen basierend auf den während der Synchronisierung importierten DATEN der SDS-Klassenliste festgelegt.
Exchange Online und SharePoint Online. SDS erstellt Office 365-Gruppen für Onlinemessaging, Dateifreigabe und Zusammenarbeit.
Intune für Bildungseinrichtungen. SDS erstellt auf Schulen basierende Sicherheitsgruppen für präzise Geräterichtlinien und kann auch eine automatisierte Massenlizenzierung von Intune für Bildungseinrichtungen für alle synchronisierten Schüler und Lehrer bereitstellen.
SaaS-Apps. SDS lässt sich in zahlreiche Apps im Microsoft Store integrieren und ermöglicht die Integration von Listen und Single Sign-On -Apps (Single Sign-On, SSO).
SDS wird häufig zusammen mit lokales Active Directory und Microsoft Entra Connect bereitgestellt. Sie können Microsoft Entra Connect verwenden, um Benutzer und Gruppen lokal zu erstellen, und dann SDS verwenden, um zusätzliche Schüler- und Lehrerattribute aus SIS mit den von Microsoft Entra Connect erstellten Kontoobjekten zu synchronisieren.
Microsoft Entra Connect und SDS treten niemals in Konflikt, da SDS keine attribute synchronisiert oder überschreibt, die von Microsoft Entra Connect verwaltet werden. Sie können auch use SDS erstellen. Anstatt Microsoft Entra Connect zu verwenden, können Sie SDS verwenden, um Benutzer direkt aus Ihrem SIS zu synchronisieren und zu erstellen.
Weitere Informationen finden Sie unter Synchronisieren Ihres SIS mithilfe von School Data Sync (SDS).For more information, see Sync your SIS using School Data Sync (SDS).
Synchronisieren von Konten aus dem lokalen AD mit Microsoft Entra Mandanten
Synchronisieren von Konten mit Azure-Mandanten mit SDS und SIS
Erstellen neuer Konten in einem Massenvorgang
Verwenden Sie in Hybridumgebungen mit vorhandenen lokales Active Directory ein PowerShell-Skript und eine CSV-Datei, um Benutzer in einem Massenvorgang zu erstellen. Nach der Erstellung können Administratoren die Konten mithilfe von Microsoft Entra Connect mit Microsoft Entra ID synchronisieren.
Exportieren oder erstellen Sie in reinen Cloudumgebungen CSV-Dateien für School Data Sync aus Ihren SIS-Daten, richten Sie ein Synchronisierungsprofil ein, und laden Sie die CSVs in SDS hoch, um massenweise neue cloudbasierte Microsoft Entra-Konten zu erstellen.
Herausforderungen und Einschränkungen
Während große EDUs von einer regionsbasierten mehrinstanzenfähigen Architektur profitieren, kann sie einige Herausforderungen für Benutzer darstellen, die Sie beachten sollten, einschließlich:
Jeder Mandant muss über einen eigenen Namespace verfügen. Beispiel: region1.fineartsschool.edu.
- Benutzer müssen ihr regionales Suffix kennen, z. B. @region1.fineartsschool.edu.
Benutzer können mithilfe von SharePoint, OneDrive und Microsoft Teams nur dann mandantenübergreifend zusammenarbeiten, wenn sie von einem Administrator aktiviert und konfiguriert wurden.
Mehrinstanzenfähige MFA
- Benutzer müssen sich für MFA in jedem Mandanten registrieren.
- Gerätezustandssteuerelemente (z. B. konform) können nicht mandantenübergreifend angewendet werden.
Lizenzierung
Sie müssen Benutzern, die die Self-Service-Registrierung für Office 365 A1 durchführen, keine Lizenzen zuweisen. Wenn Benutzer dies tun, werden die A1- oder A1 Plus-Lizenzen automatisch zugewiesen.
Lizenzen sollten Benutzern nur zugewiesen werden, wenn sie auf einen Dienst wie Exchange Online oder SharePoint Online zugreifen müssen, für den eine Lizenz erforderlich ist.
Die gruppenbasierte Lizenzierung wird für große EDU-Organisationen empfohlen, die über Folgendes verfügen:
Kostenpflichtiges oder Testabonnement für Microsoft Entra ID P1 und höher
Kostenpflichtige oder Testversion von Office 365 Enterprise E3, Office 365 A3, Office 365 GCC G3, Office 365 E3 für GCCH oder Office 365 E3 für DOD.
Lizenzen werden allen Mitgliedern einer Gruppe zugewiesen, und wenn der Gruppe neue Mitglieder hinzugefügt werden, werden ihnen auch die entsprechenden Lizenzen zugewiesen.
Wenn Sie keine der erforderlichen Lizenzen für die gruppenbasierte Lizenzierung besitzen, können Sie Mithilfe von PowerShell Lizenzen zuweisen, wie unter Zuweisen von Microsoft 365-Lizenzen zu Benutzerkonten mit PowerShell beschrieben.
Eine weitere Möglichkeit besteht darin, das Microsoft 365 Admin Center zu verwenden, um Benutzern Manuell Lizenzen zuzuweisen. Die manuelle Zuweisung wird für große Organisationen nicht empfohlen.