Progettare una strategia di account
Le grandi istituzioni accademiche devono considerare il modo in cui verranno creati gli account per studenti, docenti e altri. Questa sezione descrive come affrontare la creazione di account in un'EDU di grandi dimensioni che si estende su più tenant Microsoft Entra.
Account solo cloud
Quando possibile, è consigliabile usare identità solo cloud. Le identità solo cloud sono rappresentate da oggetti account utente creati e gestiti in Microsoft Entra ID. Con le identità solo cloud, tutti gli utenti, i gruppi e i contatti vengono archiviati nel tenant Microsoft Entra.
Le identità solo cloud sono ideali per le organizzazioni che non usano Active Directory Domain Services (AD DS) per gestire le identità locali o avere altre identità locali. Il suo più grande vantaggio è la sua semplicità poiché non sono necessari strumenti o server di directory aggiuntivi.
La creazione di account solo cloud è consigliata per le organizzazioni educative che:
hanno già integrato le applicazioni SaaS con Microsoft Entra ID.
non si basano su Servizi di dominio Active Directory locali per la gestione delle identità.
vuole usare School Data Sync (SDS) per creare nuove identità solo cloud in base ai sistemi informativi online degli studenti (SIS).
Account ibridi
Le identità ibride sono rappresentate da oggetti utente creati in servizi di dominio Active Directory locali, quindi sincronizzati con un tenant Microsoft Entra. Questi account creano un'identità utente comune per l'autenticazione e l'autorizzazione. Gli account ibridi vengono comunemente usati quando gli utenti richiedono l'accesso a una combinazione di applicazioni locali e cloud.
Le identità ibride sono ideali per le organizzazioni che usano Active Directory Domain Services. Il vantaggio principale è che consente agli utenti di usare le stesse credenziali quando accedono a risorse locali o basate sul cloud.
La creazione e la gestione di account ibridi è più complessa rispetto alla gestione degli account solo cloud ed è consigliata solo per le organizzazioni didattiche che:
devono avere accesso alle risorse locali e basate sul cloud.
creare e gestire account utente usando Active Directory Domain Services o un altro provider di identità.
Come eseguire la registrazione
Nella maggior parte dei paesi/aree geografiche non sono necessarie azioni amministrative da parte dell'istituto per registrare gli utenti. È possibile comunicare la disponibilità di Office 365 A1, o Office 365 A1 Plus, agli studenti, ai docenti e al personale usando il contenuto del toolkit Office 365 Campus Marketing. Il toolkit contiene messaggi di posta elettronica, poster, banner Web e altro ancora per aumentare la consapevolezza tra studenti, docenti e personale. Per domande specifiche sulle azioni da intraprendere, contattare un rappresentante Microsoft.
I clienti in alcuni paesi/aree geografiche devono configurare il tenant per consentire agli utenti verificati tramite posta elettronica di partecipare al tenant. Gli amministratori possono rendere Office 365 A1 o Office 365 A1 Plus disponibili per studenti e docenti seguendo questa procedura:
Se si usa Windows 7, installare Microsoft Online Services Sign-In Assistant for IT Professionals.If you using Windows 7, install Microsoft Online Services Sign-In Assistant for IT Professionals. Se si usa Windows 8 o versioni successive, questo passaggio non è necessario.
Installare la versione più recente a 64 bit del modulo Azure Active Directory per Windows PowerShell.
Digitare il comando di Windows PowerShell seguente per abilitare l'aggiunta automatica dei nuovi utenti al tenant di Office 365:
Set-MsolCompanySettings -AllowEmailVerifiedUsers $true
Per altre informazioni, vedere Quali passaggi è necessario eseguire per renderlo disponibile a studenti, docenti e personale?
Creazione di account M365 A1
Esistono diversi modi per creare account Office 365 per gli utenti. La modalità di creazione degli account dipende dallo stato corrente.
Quando esistono già account Office 365
Se l'istituto di istruzione ha un ambiente di Office 365 esistente in cui studenti, docenti o personale hanno già un account aziendale o dell'istituto di istruzione, Microsoft attiverà e assegnerà automaticamente Office 365 licenze EDU A1 agli account esistenti. Dopo l'attivazione, gli utenti riceveranno automaticamente una notifica dei servizi aggiuntivi disponibili, inclusa la possibilità di scaricare Office 365 ProPlus, se applicabile. Se l'utente ha già un account Office 365 A1 Plus o qualsiasi altra licenza Office 365 ProPlus assegnata tramite l'istituto di istruzione, verrà reindirizzato per accedere con le credenziali esistenti e ricevere una notifica che include un prompt Installa ora.
Quando gli utenti hanno solo messaggi di posta elettronica
Office 365 Education fornisce l'accesso self-service per gli utenti con indirizzi di posta elettronica dell'istituto di istruzione. Possono iscriversi per Office 365 A1, che include 1 TB di spazio di archiviazione OneDrive for Business per utente, Office per il web, SharePoint Online e Yammer. Dopo l'iscrizione, gli utenti ricevono automaticamente un account e possono accedere ai servizi inclusi in Office 365 A1.
Ad esempio, se uno studente usa l'indirizzo di posta elettronica dell'istituto di istruzione "Student@fineartsschool.edu" per iscriversi, Microsoft li aggiungerà automaticamente come utente nell'ambiente fineartsschool.onmicrosoft.com Office 365. Office 365 A1 verrà attivato per il proprio account. Se frequentano una scuola idonea per il vantaggio per l'uso degli studenti, gli verrà fornita una licenza che consente loro di installare Office 365 ProPlus.
Un amministratore può configurare queste funzionalità usando il cmdlet Microsoft Entra seguente:
Set-MsolCompanySettings -AllowEmailVerifiedUsers $true
Per altre informazioni, vedere Office 365 Education Self-Sign: Domande frequenti tecniche.
Quando gli utenti hanno account locali
La sincronizzazione per gli account ibridi è un processo in due passaggi che include due componenti: Microsoft Entra Connect e School Data Sync.
Microsoft Entra Connect è lo strumento Microsoft usato per sincronizzare Active Directory locale utenti, gruppi e altri oggetti da Microsoft Entra ID. Viene eseguito in un server locale, verifica la presenza di modifiche in Servizi di dominio Active Directory e inoltra tali modifiche a Microsoft Entra ID. Microsoft Entra Connect offre anche la possibilità di filtrare gli account sincronizzati e se autenticare gli utenti usando la sincronizzazione dell'hash delle password,l'autenticazione pass-through (PTA) o la federazione.
Nota
È consigliabile Microsoft Entra Connettersi a PHS per l'autenticazione perché è il modo più semplice per l'autenticazione degli account ibridi con Microsoft Entra ID. È necessario gestire un solo server e ottenere l'accesso Single Sign-On e l'autenticazione a più fattori cloud senza problemi. Alcune funzionalità Premium di Microsoft Entra ID, ad esempio Identity Protection e Microsoft Entra Domain Services, richiedono la sincronizzazione dell'hash delle password, indipendentemente dal metodo di autenticazione scelto.
Microsoft Entra Connect ha due tipi di installazione per l'installazione: Express e Custom. Express è il più comune ed è stato progettato per fornire una configurazione che funziona per la maggior parte degli scenari dei clienti. L'installazione rapida presuppone che si disponga di una singola foresta con meno di 100.000 oggetti nel Active Directory locale. PHS viene abilitato automaticamente con questa opzione.
Se sono presenti più di 100.000 oggetti o più foreste, usare un'installazione personalizzata di Microsoft Entra Connect. Usare anche un'installazione personalizzata se si prevede di usare la federazione o L'autenticazione PTA per l'autenticazione utente.
Per altre informazioni, vedere Selezionare il tipo di installazione da usare per Microsoft Entra Connect.
School Data Sync (SDS) è un servizio gratuito in Microsoft 365 Education che legge i dati da Student Information System (SIS) di un istituto di istruzione. Crea
Teams per l'istruzione. SDS consente la creazione automatica del team di classe in base ai gruppi O365 creati da SDS e al rostering.
Blocchi appunti di OneNote per la classe. SDS abilita il provisioning automatico del blocco appunti di OneNote per la classe all'interno di Teams per l'istruzione. Se abilitato, in ogni blocco appunti per la classe verranno create sezioni e verranno impostate le autorizzazioni in base ai dati di roster delle classi SDS importati durante la sincronizzazione.
Exchange Online e SharePoint Online. SDS crea gruppi Office 365 per la messaggistica online, la condivisione di file e la collaborazione.
Intune per l'istruzione. SDS crea gruppi di sicurezza basati su scuole per criteri granulari per i dispositivi e può anche fornire licenze bulk automatizzate di Intune per l'istruzione per tutti gli studenti e gli insegnanti sincronizzati.
App SaaS. SDS si integra con numerose app all'interno di Microsoft Store e consente l'integrazione delle app Rostering e Single Sign-On (SSO).
SDS viene spesso distribuito insieme a Active Directory locale e Microsoft Entra Connect. È possibile usare Microsoft Entra Connect per creare utenti e gruppi da locale, quindi usare SDS per sincronizzare attributi aggiuntivi per studenti e docenti da SIS agli oggetti account creati da Microsoft Entra Connect.
Microsoft Entra Connect e SDS non saranno mai in conflitto, poiché SDS non sincronizza o sovrascrive alcun attributo gestito da Microsoft Entra Connect. È anche possibile creare usando SDS. Anziché usare Microsoft Entra Connect, è possibile usare SDS per sincronizzare e creare utenti direttamente dal SIS.
Per altre informazioni, vedere Sincronizzare il SIS usando School Data Sync (SDS).
Sincronizzazione di account da ACTIVE Directory locale a tenant Microsoft Entra
Sincronizzazione degli account con i tenant di Azure con SDS e SIS
Creare nuovi account in blocco
Negli ambienti ibridi con Active Directory locale esistenti usare uno script di PowerShell e un file CSV per creare utenti in blocco. Dopo la creazione, gli amministratori possono sincronizzare gli account con Microsoft Entra ID usando Microsoft Entra Connect.
Negli ambienti solo cloud esportare o creare file CSV per School Data Sync dai dati SIS, configurare un profilo di sincronizzazione e caricare i csv in SDS per creare nuovi account Microsoft Entra solo cloud in blocco.
Sfide e limitazioni
Anche se le EDU di grandi dimensioni trarranno vantaggio da un'architettura multi-tenant basata sull'area, possono presentare alcune sfide per gli utenti di cui tenere conto, tra cui:
Ogni tenant deve avere il proprio spazio dei nomi. Ad esempio, region1.fineartsschool.edu.
- Gli utenti dovranno essere a conoscenza del suffisso a livello di area, ad esempio @ region1.fineartsschool.edu.
Gli utenti non potranno collaborare tra tenant usando SharePoint, OneDrive e Microsoft Teams, a meno che non siano abilitati e configurati da un amministratore.
Multi-tenant MFA
- Gli utenti devono registrarsi per l'autenticazione a più fattori in ogni tenant.
- I controlli dello stato del dispositivo (ad esempio conformi) non possono essere applicati tra tenant.
Licenze
Non è necessario assegnare licenze agli utenti che eseguono l'iscrizione self-service per Office 365 A1. Quando gli utenti lo fanno, le licenze A1 o A1 Plus vengono assegnate automaticamente.
Le licenze devono essere assegnate agli utenti solo quando è necessario accedere a un servizio come Exchange Online o SharePoint Online che richiedono una licenza.
Le licenze basate su gruppo sono consigliate per le organizzazioni EDU di grandi dimensioni che dispongono di:
Sottoscrizione a pagamento o di valutazione per Microsoft Entra ID P1 e versioni successive
Edizione a pagamento o di valutazione di Office 365 Enterprise E3, Office 365 A3, Office 365 GCC G3, Office 365 E3 per GCCH o Office 365 E3 per DOD.
Le licenze vengono assegnate a tutti i membri di un gruppo e, quando vengono aggiunti nuovi membri al gruppo, verranno assegnate anche le licenze appropriate.
Se non si possiede una delle licenze necessarie per le licenze basate su gruppo, è possibile usare PowerShell per assegnare le licenze come descritto in Assegnare licenze di Microsoft 365 agli account utente con PowerShell.
Un'altra opzione consiste nell'usare l'interfaccia di amministrazione di Microsoft 365 per assegnare manualmente le licenze agli utenti. L'assegnazione manuale non è consigliata per le organizzazioni di grandi dimensioni.