アカウント戦略を設計する

  • [アーティクル]

大規模な教育機関は、学生、教師などのアカウントを作成する方法を検討する必要があります。 このセクションでは、複数のMicrosoft Entra テナントにまたがる大規模な EDU でアカウントを作成する方法について説明します。

クラウド専用アカウント

可能な場合は、クラウドのみの ID を使用することをお勧めします。 クラウド専用 ID は、Microsoft Entra IDで作成および管理されるユーザー アカウント オブジェクトによって表されます。 クラウド専用 ID では、すべてのユーザー、グループ、連絡先がMicrosoft Entra テナントに格納されます。

クラウド専用 ID は、Active Directory Domain Services (AD DS) を使用してローカル ID を管理したり、他のオンプレミス ID を持っていない組織に最適です。 その最大の利点は、余分なディレクトリ ツールやサーバーが必要ないため、そのシンプルさです。

クラウド専用アカウントの作成は、次の教育組織に推奨されます。

  • 既に SaaS アプリケーションをMicrosoft Entra IDと統合しています。

  • ID を管理するためにオンプレミスの AD DS に依存しません。

  • School Data Sync (SDS) を使用して、オンライン学生情報システム (SIS) に基づいて新しいクラウド専用 ID を作成したいと考えています。

ハイブリッド アカウント

ハイブリッド ID は、オンプレミスの AD DS で作成された後、Microsoft Entra テナントに同期されるユーザー オブジェクトによって表されます。 これらのアカウントは、認証と承認のための共通ユーザー ID を作成します。 ハイブリッド アカウントは、ユーザーがオンプレミスアプリケーションとクラウド アプリケーションの組み合わせへのアクセスを必要とする場合に一般的に使用されます。

ハイブリッド ID は、AD DS を使用する組織に最適です。 最大の利点は、ユーザーがオンプレミスまたはクラウドベースのリソースにアクセスするときに同じ資格情報を使用できるようにすることです。

ハイブリッド アカウントの作成と管理は、クラウドのみのアカウントを管理するよりも複雑であり、次の教育組織にのみ推奨されます。

  • には、オンプレミスおよびクラウドベースのリソースへのアクセスが必要です。

  • AD DS または別の ID プロバイダーを使用してユーザー アカウントを作成および管理します。

登録方法

ほとんどの国/地域では、教育機関がユーザーを登録するために実行する必要がある管理アクションはありません。 Office 365 Campus Marketing ツールキットのコンテンツを使用して、Office 365 A1または Office 365 A1 Plus の可用性を学生、教職員に伝えることができます。 ツールキットには、学生、教職員の意識を高めるのに役立つテンプレート付きメール、ポスター、Web バナーなどが含まれています。 学校で行う必要のある手順に関する具体的な質問は、学校の Microsoft の担当者にお問い合わせください。

一部の国/地域のお客様は、電子メールで確認されたユーザーがテナントに参加できるようにテナントを構成する必要があります。 管理者は、次の手順に従って、Office 365 A1またはOffice 365 A1 Plus を学生と教職員が利用できるようにします。

  1. Windows 7 を使用している場合は、 IT プロフェッショナル向け Microsoft Online Services Sign-In Assistant をインストールします。 Windows 8以降を使用している場合、この手順は必要ありません。

  2. Windows PowerShell用の Azure Active Directory モジュールの最新の 64 ビット バージョンをインストールします。

  3. 次の Windows PowerShell コマンドを入力し、新しいユーザーが Office 365 テナントに自動的に参加できるようにします。
    Set-MsolCompanySettings -AllowEmailVerifiedUsers $true

詳細については、「これを学生、教職員が利用できるようにするために実行する必要がある手順」を参照してください。

M365 A1 アカウントの作成

ユーザーのOffice 365アカウントを作成するには、複数の方法があります。 アカウントの作成方法は、現在の状態によって異なります。

図 1.

Office 365アカウントが既に存在する場合

学生、教職員、またはスタッフが既に職場または学校アカウントを持っている既存のOffice 365環境が学校にある場合、Microsoft は自動的にライセンスをアクティブ化し、Office 365 EDU A1 ライセンスを既存のアカウントに割り当てます。 アクティブ化後、利用可能な追加サービス (該当する場合はOffice 365 ProPlusをダウンロードする機能など) がユーザーに自動的に通知されます。 ユーザーに既に Office 365 A1 Plus アカウントまたはその他のOffice 365 ProPlus ライセンスが学校を通じて割り当てられている場合は、既存の資格情報でサインインし、[今すぐインストール] プロンプトを含む通知を受け取るためにリダイレクトされます。

ユーザーがメールのみを持っている場合

Office 365 Educationは、学校のメール アドレスを使用してユーザーにセルフサービス サインを提供します。 Office 365 A1にサインアップできます。これには、ユーザー、Office for the web、SharePoint Online、Yammer あたり 1 TB のOneDrive for Business ストレージが含まれます。 サインアップ後、ユーザーは自動的にアカウントを受け取り、Office 365 A1に含まれるサービスにアクセスできます。

たとえば、学生が学校のメール アドレス "" をStudent@fineartsschool.edu使用してサインアップする場合、Microsoft は自動的に fineartsschool.onmicrosoft.com Office 365環境にユーザーとして追加します。 Office 365 A1は自分のアカウントに対してアクティブ化されます。 学生が使用特典の対象となる学校に通っている場合は、Office 365 ProPlusをインストールできるライセンスが提供されます。

管理者は、次のMicrosoft Entra コマンドレットを使用してこれらの機能を構成できます

Set-MsolCompanySettings -AllowEmailVerifiedUsers $true

詳細については、「Office 365 Education Self-Sign: 技術 FAQ」を参照してください。

ユーザーがオンプレミスアカウントを持っている場合

ハイブリッド アカウントの同期は、Microsoft Entra Connect と School Data Sync という 2 つのコンポーネントを含む 2 段階のプロセスです。

Microsoft Entra Connect は、オンプレミスの Active Directoryユーザー、グループ、およびその他のオブジェクトをMicrosoft Entra IDに同期するために使用される Microsoft ツールです。 オンプレミス サーバー上で実行され、AD DS の変更が確認され、それらの変更がMicrosoft Entra IDに転送されます。 Microsoft Entra Connect では、同期されるアカウントをフィルター処理したり、パスワード ハッシュ同期 (PHS)パススルー認証 (PTA)、またはフェデレーションを使用してユーザーを認証するかどうかをフィルター処理することもできます。

注:

ハイブリッド アカウントがMicrosoft Entra IDで認証する最も簡単な方法であるため、認証には PHS で接続Microsoft Entraすることをお勧めします。 1 つのサーバーのみを管理し、シームレスなシングル サインオンとクラウド多要素認証を取得する必要があります。 Identity Protectionや Microsoft Entra Domain Services など、Microsoft Entra IDの一部のプレミアム機能では、選択した認証方法に関係なく、パスワード ハッシュ同期が必要です。 ​

Microsoft Entra Connect には、インストール用に Express と Custom の 2 種類のインストールがあります。 Express は最も一般的であり、ほとんどの顧客シナリオに適した構成を提供するように設計されています。 高速インストールでは、オンプレミスの Active Directoryに 100,000 個未満のオブジェクトを含む単一のフォレストがあることを前提としています。 このオプションを使用すると、PHS が自動的に有効になります。

100,000 を超えるオブジェクトまたは複数のフォレストがある場合は、Microsoft Entra Connect のカスタム インストールを使用します。 ユーザー認証にフェデレーションまたは PTA を使用する予定の場合は、カスタム インストールも使用します。

詳細については、「Microsoft Entra接続に使用するインストールの種類を選択する」を参照してください。

学校データ同期 (SDS) は、学校の学生情報システム (SIS) からデータを読み取るMicrosoft 365 Educationの無料サービスです。 作成されます。

  • Microsoft Teams for Education。 SDS を使用すると、SDS で作成された O365 グループと名簿に基づいてクラス チームを自動的に作成できます。

  • OneNote クラス ノートブック。 SDS を使用すると、Microsoft Teams for Education内で自動化された OneNote Class Notebook プロビジョニングが可能になります。 有効にすると、各クラス ノートブックにセクションが作成され、同期中にインポートされた SDS クラス名簿データに基づいてアクセス許可が設定されます。

  • Exchange Onlineと SharePoint Online。 SDS では、オンライン メッセージング、ファイル共有、コラボレーション用のOffice 365 グループが作成されます。

  • 教育のためのIntune。 SDS では、きめ細かいデバイス ポリシー用の学校ベースのセキュリティ グループが作成され、同期されているすべての学生と教師に対して、education 用のIntuneの自動一括ライセンスを提供することもできます。

  • SaaS アプリ。 SDS は Microsoft Store 内の多数のアプリと統合され、名簿とシングル Sign-On (SSO) アプリの統合が可能になります。

SDS は、多くの場合、オンプレミスの Active Directoryと Microsoft Entra Connect と共にデプロイされます。 Microsoft Entra Connect を使用してオンプレミスからユーザーとグループを作成し、SDS を使用して SIS から追加の学生および教師の属性を、Microsoft Entra Connect によって作成されたアカウント オブジェクトに同期できます。

Microsoft Entra Connect と SDS は競合しません。SDS は、Microsoft Entra Connect によって管理される属性を同期または上書きしません。 使用 SDS を作成することもできます。 Microsoft Entra Connect を使用する代わりに、SDS を使用して SIS から直接ユーザーを同期および作成できます。

詳細については、「 School Data Sync (SDS) を使用して SIS を同期する」を参照してください。

オンプレミス AD から Microsoft Entra テナントへのアカウントの同期

Azure Ad Connect と SDS。

SDS と SIS を使用した Azure テナントへのアカウントの同期

SDS と SIS 同期。

新しいアカウントを一括で作成する

既存のオンプレミスの Active Directoryを持つハイブリッド環境では、PowerShell スクリプトと CSV ファイルを使用してユーザーを一括で作成します。 管理者は、作成後、Microsoft Entra Connect を使用してアカウントをMicrosoft Entra IDに同期できます。

クラウドのみの環境では、SIS データから School Data Sync 用の CSV ファイルをエクスポートまたは作成し、同期プロファイルを設定し、CSV を SDS にアップロードして、新しいクラウド専用Microsoft Entra アカウントを一括で作成します。

課題と制限事項

大規模な EDU はリージョンベースのマルチテナント アーキテクチャの恩恵を受けますが、次のようなユーザーに対していくつかの課題が発生する可能性があります。

  • 各テナントには、独自の名前空間が必要です。 たとえば、region1.fineartsschool.edu。

    • ユーザーは、地域のサフィックス (@region1.fineartsschool.edu など) を認識する必要があります。

  • ユーザーは、管理者によって有効および構成されていない限り、SharePoint、OneDrive、Microsoft Teams を使用してテナント間で共同作業を行うことができません。

  • マルチテナント MFA

    • ユーザーは、各テナントで MFA に登録する必要があります。
    • デバイス状態コントロール (準拠など) は、テナント間では適用できません。

ライセンス

Office 365 A1のセルフサービス サインアップを実行するユーザーにライセンスを割り当てる必要はありません。 ユーザーがそうすると、A1 または A1 Plus ライセンスが自動的に割り当てられます。

ライセンスは、ライセンスを必要とするExchange Onlineや SharePoint Online などのサービスにアクセスする必要がある場合にのみ、ユーザーに割り当てる必要があります。

グループベースのライセンスは、次を持つ大規模な EDU 組織に推奨されます。

  • Microsoft Entra ID P1 以降の有料または試用版サブスクリプション

  • Office 365 Enterprise E3、Office 365 A3、Office 365 GCC G3、GCCH のOffice 365 E3、DOD のOffice 365 E3の有料または試用版。

ライセンスはグループのすべてのメンバーに割り当てられ、新しいメンバーがグループに追加されると、適切なライセンスも割り当てられます。 ​

グループベースのライセンスに必要なライセンスのいずれかを所有していない場合は、「PowerShell を使用して Microsoft 365 ライセンスをユーザー アカウントに割り当てる」の説明に従って、PowerShell を使用してライセンスを割り当てることができます

もう 1 つのオプションは、Microsoft 365 管理センター を使用してユーザーにライセンスを手動で割り当てることです。 大規模な組織では、手動割り当ては推奨されません。

次の手順