Criar uma estratégia de conta
Grandes instituições acadêmicas precisam considerar como as contas de alunos, educadores e outras serão criadas. Esta seção descreve como abordar a criação de contas em uma EDU grande que abrange vários locatários Microsoft Entra.
Contas somente na nuvem
Recomendamos usar identidades somente na nuvem quando possível. As identidades somente na nuvem são representadas por objetos de conta de usuário que são criados e mantidos em Microsoft Entra ID. Com identidades somente na nuvem, todos os usuários, grupos e contatos são armazenados no locatário Microsoft Entra.
As identidades somente na nuvem são melhores para organizações que não usam Active Directory Domain Services (AD DS) para gerenciar identidades locais ou ter outras identidades locais. Seu maior benefício é sua simplicidade, pois não há ferramentas de diretório ou servidores extras necessários.
A criação de contas somente na nuvem é recomendada para organizações educacionais que:
já integraram seus aplicativos SaaS com Microsoft Entra ID.
não dependem do AD DS local para gerenciar identidades.
gostaria de usar o SDS (Sincronização de Dados Escolares) para criar novas identidades somente na nuvem com base em seus sistemas de informações de estudante online (SIS).
Contas híbridas
As identidades híbridas são representadas por objetos de usuário criados em um AD DS local e sincronizados com um locatário Microsoft Entra. Essas contas criam uma identidade de usuário comum para autenticação e autorização. As contas híbridas são comumente usadas quando os usuários exigem acesso a uma mistura de aplicativos locais e de nuvem.
As identidades híbridas são melhores para organizações que usam o AD DS. Seu maior benefício é que ele permite que os usuários usem as mesmas credenciais ao acessar recursos locais ou baseados em nuvem.
Criar e manter contas híbridas é mais complexo do que gerenciar contas somente na nuvem e é recomendado apenas para organizações educacionais que:
precisa de acesso a recursos locais e baseados em nuvem.
criar e gerenciar contas de usuário usando o AD DS ou outro provedor de identidade.
Como se inscrever
Na maioria dos países/regiões, não há ações administrativas que sua instituição precisa tomar para registrar usuários. Você pode comunicar a disponibilidade de Office 365 A1 ou Office 365 A1 Plus para seus alunos, professores e funcionários usando conteúdo do kit de ferramentas Office 365 Campus Marketing. O kit de ferramentas contém emails, cartazes, faixas da Web e muito mais para ajudá-lo a aumentar a conscientização entre alunos, professores e funcionários. Contate o representante da Microsoft com perguntas específicas sobre as etapas que sua escola deve realizar.
Os clientes em alguns países/regiões devem configurar o locatário para permitir que usuários verificados por email se juntem ao locatário. Os administradores podem disponibilizar Office 365 A1 ou Office 365 A1 Plus para alunos e professores seguindo estas etapas:
Se você estiver usando o Windows 7, instale o Microsoft Online Services Sign-In Assistente para Profissionais de TI. Se você estiver usando Windows 8 ou mais recente, essa etapa não será necessária.
Instale a versão mais recente de 64 bits do módulo do Azure Active Directory para Windows PowerShell.
Digite o seguinte comando do Windows PowerShell para habilitar novos usuários a ingressarem automaticamente no locatário do Office 365:
Set-MsolCompanySettings -AllowEmailVerifiedUsers $true
Para obter mais informações, confira Quais etapas precisamos tomar para disponibilizar isso aos alunos, professores e funcionários?
Criando contas M365 A1
Há várias maneiras de criar contas Office 365 para usuários. A forma como você cria as contas depende do seu estado atual.
Quando Office 365 contas já existem
Se sua escola tiver um ambiente Office 365 existente no qual alunos, professores ou funcionários já tenham uma conta corporativa ou escolar, a Microsoft ativará e atribuirá automaticamente Office 365 licenças do EDU A1 a contas existentes. Após a ativação, os usuários serão notificados automaticamente dos serviços adicionais disponíveis, incluindo a capacidade de baixar Office 365 ProPlus, se aplicável. Se o usuário já tiver uma conta Office 365 A1 Plus ou qualquer outra licença de Office 365 ProPlus atribuída por meio de sua escola, ele será redirecionado para entrar com suas credenciais existentes e receber uma notificação que inclua um prompt Install now.
Quando os usuários têm somente emails
Office 365 Education fornece sinal de autoatendimento para seus usuários com endereços de email da escola. Eles podem se inscrever para Office 365 A1, que inclui 1 TB de armazenamento de OneDrive for Business por usuário, Office para a Web, SharePoint Online e Yammer. Depois de se inscrever, os usuários recebem automaticamente uma conta e podem acessar serviços incluídos com Office 365 A1.
Por exemplo, se um aluno usar seu endereço de email escolar "Student@fineartsschool.edu" para se inscrever, a Microsoft os adicionará automaticamente como usuário no ambiente fineartsschool.onmicrosoft.com Office 365. Office 365 A1 serão ativados para sua conta. Se eles frequentam uma escola qualificada para o benefício de uso do aluno, eles receberão uma licença que lhes permite instalar Office 365 ProPlus.
Um administrador pode configurar esses recursos usando o seguinte cmdlet Microsoft Entra:
Set-MsolCompanySettings -AllowEmailVerifiedUsers $true
Para obter mais informações, consulte Office 365 Education Self-Sign: Perguntas frequentes técnicas.
Quando os usuários têm contas locais
A sincronização de contas híbridas é um processo de duas etapas envolvendo dois componentes: Microsoft Entra Connect e School Data Sync.
Microsoft Entra Connect é a ferramenta da Microsoft usada para sincronizar Active Directory local usuários, grupos e outros objetos para Microsoft Entra ID. Ele é executado em um servidor local, verifica se há alterações no AD DS e encaminha essas alterações para Microsoft Entra ID. Microsoft Entra Connect também fornece a capacidade de filtrar quais contas estão sincronizadas e se deseja autenticar usuários usando PHS (sincronização de hash de senha),PTA (autenticação de passagem) ou usando federação.
Observação
Recomendamos Microsoft Entra Conectar com PHS para autenticação porque é a maneira mais simples de as contas híbridas se autenticarem com Microsoft Entra ID. Você só precisa gerenciar um servidor e obter logon único contínuo e autenticação multifator de nuvem. Alguns recursos premium de Microsoft Entra ID, como Proteção de Identidade e Microsoft Entra Domain Services, exigem sincronização de hash de senha, não importa qual método de autenticação você escolher.
Microsoft Entra Connect tem dois tipos de instalação para instalação: Express e Custom. O Express é o mais comum e foi projetado para fornecer uma configuração que funciona para a maioria dos cenários do cliente. A instalação expressa pressupõe que você tenha uma única floresta com menos de 100.000 objetos em seu Active Directory local. O PHS está habilitado automaticamente com essa opção.
Se você tiver mais de 100.000 objetos ou várias florestas, use uma instalação personalizada do Microsoft Entra Connect. Use também uma instalação personalizada se você planeja usar federação ou PTA para autenticação de usuário.
Para obter mais informações, confira Selecionar qual tipo de instalação usar para Microsoft Entra Conectar.
O SDS (Sincronização de Dados Escolares) é um serviço gratuito no Microsoft 365 Education que lê os dados do SIS (Sistema de Informações do Aluno) de uma escola. Ele cria
Teams para Educação. O SDS habilita a criação automática da Equipe de Classe com base em Grupos O365 criados pelo SDS e listagem.
Blocos de Anotações da Classe OneNote. O SDS habilita o provisionamento automatizado do Notebook de Classe do OneNote no Teams para Educação. Quando habilitado, cada Bloco de Anotações de Classe terá seções criadas e permissões definidas com base em dados de listagem de classe SDS importados durante a sincronização.
Exchange Online e SharePoint Online. O SDS cria grupos de Office 365 para mensagens online, compartilhamento de arquivos e colaboração.
Intune para Educação. O SDS cria grupos de segurança baseados em escolas para política de dispositivo granular e também pode fornecer licenciamento automatizado em massa de Intune para Educação para todos os alunos e professores sincronizados.
Aplicativos SaaS. O SDS se integra a vários aplicativos na Microsoft Store e habilita a integração de aplicativos SSO (Listing e Sign-On Único).
O SDS geralmente é implantado ao lado de Active Directory local e Microsoft Entra Connect. Você pode usar Microsoft Entra Conectar para criar usuários e grupos do local e, em seguida, usar o SDS para sincronizar atributos adicionais de alunos e professores do SIS com os objetos de conta criados pelo Microsoft Entra Connect.
Microsoft Entra Connect e SDS nunca entrarão em conflito, pois o SDS não sincronizará nem substituirá nenhum atributo gerenciado pelo Microsoft Entra Connect. Você também pode criar o SDS de uso. Em vez de usar Microsoft Entra Connect, você pode usar o SDS para sincronizar e criar usuários diretamente do SIS.
Para obter mais informações, confira Sincronizar seu SIS usando sDS (Sincronização de Dados Escolares).
Sincronizar contas do AD local para locatários Microsoft Entra
Sincronizando contas com locatários do Azure com SDS e SIS
Criar novas contas em massa
Em ambientes híbridos com Active Directory local existentes, use um script do PowerShell e um arquivo CSV para criar usuários em massa. Depois de criados, os administradores podem sincronizar as contas para Microsoft Entra ID usando Microsoft Entra Connect.
Em ambientes somente na nuvem, exporte ou crie arquivos CSV para Sincronização de Dados Escolares de seus dados do SIS, configure um perfil de sincronização e carregue os CSVs no SDS para criar novas contas de Microsoft Entra somente na nuvem em massa.
Desafios e limitações
Embora as EDUs grandes se beneficiem de uma arquitetura multilocatário baseada em região, ela pode apresentar alguns desafios para os usuários que você deve estar ciente, incluindo:
Cada locatário deve ter seu próprio namespace. Por exemplo, region1.fineartsschool.edu.
- Os usuários precisarão estar cientes de seu sufixo regional, por exemplo, @ region1.fineartsschool.edu.
Os usuários não poderão colaborar entre locatários usando o SharePoint, o OneDrive e o Microsoft Teams, a menos que sejam habilitados e configurados por um administrador.
MFA multilocatário
- Os usuários devem se registrar para MFA em cada locatário.
- Os controles de estado do dispositivo (por exemplo, compatíveis) não podem ser aplicados entre locatários.
Licenciamento
Você não precisa atribuir licenças a usuários que executam a inscrição de autoatendimento para Office 365 A1. Quando os usuários fazem isso, as licenças A1 ou A1 Plus são atribuídas automaticamente.
As licenças só devem ser atribuídas aos usuários quando forem necessárias para acessar um serviço como Exchange Online ou SharePoint Online que exija uma licença.
O licenciamento baseado em grupo é recomendado para grandes organizações EDU que têm:
Assinatura paga ou de avaliação para Microsoft Entra ID P1 e superior
Edição paga ou de avaliação de Office 365 Enterprise E3, Office 365 A3, Office 365 GCC G3, Office 365 E3 para GCCH ou Office 365 E3 para DOD.
As licenças são atribuídas a todos os membros de um grupo e, quando novos membros forem adicionados ao grupo, elas também receberão as licenças apropriadas.
Se você não possui uma das licenças necessárias para licenciamento baseado em grupo, poderá usar o PowerShell para atribuir licenças conforme descrito em Atribuir licenças do Microsoft 365 a contas de usuário com o PowerShell.
Outra opção é usar o centro de administração do Microsoft 365 para atribuir manualmente licenças aos usuários. A atribuição manual não é recomendada para organizações grandes.