Разработка стратегии учетной записи
Крупные академические учреждения должны учитывать, как будут создаваться счета для учащихся, преподавателей и других лиц. В этом разделе описывается подход к созданию учетных записей в большом EDU, охватывающем несколько Microsoft Entra клиентов.
Облачные учетные записи
По возможности рекомендуется использовать только облачные удостоверения. Облачные удостоверения представлены объектами учетных записей пользователей, созданными и обслуживаемыми в Microsoft Entra ID. Благодаря облачным удостоверениям все ваши пользователи, группы и контакты хранятся в клиенте Microsoft Entra.
Облачные удостоверения лучше всего подходит для организаций, которые не используют доменные службы Active Directory (AD DS) для управления локальными удостоверениями или имеют другие локальные удостоверения. Его наибольшее преимущество заключается в простоте, так как не требуется никаких дополнительных средств каталогов или серверов.
Создание облачных учетных записей рекомендуется для образовательных организаций, которые:
уже интегрировали свои приложения SaaS с Microsoft Entra ID.
не полагаться на локальные доменные службы Active Directory для управления удостоверениями.
хотите использовать School Data Sync (SDS) для создания новых облачных удостоверений на основе своих онлайн-информационных систем учащихся (SIS).
Гибридные учетные записи
Гибридные удостоверения представлены пользовательскими объектами, которые создаются в локальной службе AD DS, а затем синхронизируются с клиентом Microsoft Entra. Эти учетные записи создают общее удостоверение пользователя для проверки подлинности и авторизации. Гибридные учетные записи обычно используются, когда пользователям требуется доступ к сочетанию локальных и облачных приложений.
Гибридные удостоверения лучше всего подходит для организаций, использующих AD DS. Их наибольшее преимущество заключается в том, что он позволяет пользователям использовать одни и те же учетные данные при доступе к локальным или облачным ресурсам.
Создание и обслуживание гибридных учетных записей сложнее, чем управление облачными учетными записями, и рекомендуется только для образовательных организаций, которые:
требуется доступ к локальным и облачным ресурсам.
создание учетных записей пользователей и управление ими с помощью AD DS или другого поставщика удостоверений.
Как зарегистрироваться
В большинстве стран и регионов нет никаких административных действий, необходимых для регистрации пользователей. Вы можете сообщить о доступности Office 365 A1 или Office 365 A1 Plus своим учащимся, преподавателям и сотрудникам с помощью содержимого из набора средств Office 365 Campus Marketing. Набор средств содержит шаблонные электронные письма, плакаты, веб-баннеры и многое другое, чтобы помочь вам повысить осведомленность среди студентов, преподавателей и сотрудников. Если у вас есть вопросы по поводу действий, которые следует предпринять учебному заведению, обратитесь к своему представителю корпорации Майкрософт.
Клиенты в некоторых странах и регионах должны настроить клиент, чтобы разрешить пользователям, проверенным по электронной почте, присоединяться к клиенту. Администраторы могут сделать Office 365 A1 или Office 365 A1 Plus доступными для учащихся и преподавателей, выполнив следующие действия.
Если вы используете Windows 7, установите Microsoft Online Services Sign-In Помощник для ИТ-специалистов. Если вы используете Windows 8 или более поздней версии, этот шаг не требуется.
Установите последнюю 64-разрядную версию модуля Azure Active Directory для Windows PowerShell.
Введите следующую команду Windows PowerShell, чтобы новые пользователи автоматически присоединились к вашему клиенту Office 365:
Set-MsolCompanySettings -AllowEmailVerifiedUsers $true
Дополнительные сведения см. в разделе Какие шаги необходимо предпринять, чтобы сделать это доступным для учащихся, преподавателей и сотрудников?
Создание учетных записей M365 A1
Существует несколько способов создания учетных записей Office 365 для пользователей. Способ создания учетных записей зависит от текущего состояния.
Когда учетные записи Office 365 уже существуют
Если в вашем учебном заведении есть среда Office 365, в которой у учащихся, преподавателей или сотрудников уже есть рабочая или учебная учетная запись, корпорация Майкрософт автоматически активирует и назначит лицензии Office 365 EDU A1 существующим учетным записям. После активации пользователи будут автоматически уведомлены о доступных дополнительных службах, включая возможность скачивания Office 365 профессиональный плюс, если применимо. Если у пользователя уже есть учетная запись Office 365 A1 Plus или любая другая лицензия Office 365 профессиональный плюс, назначенная в вашем учебном заведении, он будет перенаправлен для входа с имеющимися учетными данными и получит уведомление, содержащее запрос установить.
Когда у пользователей есть только сообщения электронной почты
Office 365 для образования предоставляет самостоятельный знак для пользователей с учебными адресами электронной почты. Они могут зарегистрироваться для получения Office 365 A1, которая включает 1 ТБ хранилища OneDrive для бизнеса на пользователя, Office для Интернета, SharePoint Online и Yammer. После регистрации пользователи автоматически получают учетную запись и могут получать доступ к службам, включенным в Office 365 A1.
Например, если учащийся использует свой учебный адрес электронной почты "Student@fineartsschool.edu" для регистрации, корпорация Майкрософт автоматически добавит его в качестве пользователя в среде fineartsschool.onmicrosoft.com Office 365. Office 365 A1 будут активированы для учетной записи. Если они посещают учебное заведение, которое имеет право на использование учащегося, ему будет предоставлена лицензия, позволяющая установить Office 365 профессиональный плюс.
Администратор может настроить эти возможности с помощью следующего командлета Microsoft Entra:
Set-MsolCompanySettings -AllowEmailVerifiedUsers $true
Дополнительные сведения см. в разделе Office 365 для образования Self-Sign: Вопросы и ответы по техническим вопросам.
Когда у пользователей есть локальные учетные записи
Синхронизация гибридных учетных записей — это двухэтапный процесс, включающий два компонента: Microsoft Entra Connect и School Data Sync.
Microsoft Entra Connect — это средство Майкрософт, используемое для синхронизации локальная служба Active Directory пользователей, групп и других объектов с Microsoft Entra ID. Он выполняется на локальном сервере, проверяет наличие изменений в AD DS и пересылает эти изменения в Microsoft Entra ID. Microsoft Entra Connect также предоставляет возможность фильтрации синхронизированных учетных записей и проверки подлинности пользователей с помощью синхронизации хэша паролей (PHS),сквозной проверки подлинности (PTA) или федерации.
Примечание.
Для проверки подлинности рекомендуется Microsoft Entra Подключиться с помощью PHS, так как это самый простой способ проверки подлинности гибридных учетных записей с помощью Microsoft Entra ID. Вам нужно управлять только одним сервером и получить простой единый вход и облачную многофакторную проверку подлинности. Некоторые премиум-функции Microsoft Entra ID, такие как защита идентификации и Доменные службы Microsoft Entra, требуют синхронизации хэша паролей независимо от выбранного метода проверки подлинности.
Microsoft Entra Connect имеет два типа установки: Экспресс и Пользовательский. Express является наиболее распространенным и предназначен для предоставления конфигурации, которая подходит для большинства клиентских сценариев. Экспресс-установка предполагает наличие одного леса с менее чем 100 000 объектов в локальная служба Active Directory. PhS автоматически включается с помощью этого параметра.
Если у вас более 100 000 объектов или несколько лесов, используйте настраиваемую установку Microsoft Entra Connect. Также используйте настраиваемую установку, если вы планируете использовать федерацию или PTA для проверки подлинности пользователей.
Дополнительные сведения см. в разделе Выбор типа установки для Microsoft Entra Connect.
School Data Sync (SDS) — это бесплатная служба в Microsoft 365 для образования, которая считывает данные из учебной информационной системы учащихся (SIS). Он создает
Teams для образования. SDS включает автоматическое создание группы классов на основе созданных SDS групп O365 и реестра.
Записные книжки OneNote для занятий. SDS обеспечивает автоматическую подготовку записных книжек OneNote для занятий в Teams для образования. Если этот параметр включен, каждая записная книжка для занятий будет иметь созданные разделы и разрешения на основе данных списка классов SDS, импортированных во время синхронизации.
Exchange Online и SharePoint Online. SDS создает группы Office 365 для обмена сообщениями через Интернет, обмена файлами и совместной работы.
Intune для образования. SDS создает группы безопасности на основе учебных заведений для детализированной политики устройств, а также может обеспечить автоматическое массовое лицензирование Intune для образовательных учреждений для всех учащихся и преподавателей, синхронизированных.
Приложения SaaS. SDS интегрируется с множеством приложений в Microsoft Store и обеспечивает интеграцию приложений с реестром и единым Sign-On (SSO).
SDS часто развертывается вместе с локальная служба Active Directory и Microsoft Entra Connect. Вы можете использовать Microsoft Entra Connect для создания пользователей и групп из локальной среды, а затем использовать SDS для синхронизации дополнительных атрибутов учащихся и преподавателей из SIS с объектами учетной записи, созданными Microsoft Entra Connect.
Microsoft Entra Connect и SDS никогда не будут конфликтовать, так как SDS не будет синхронизировать или перезаписывать атрибуты, управляемые Microsoft Entra Connect. Вы также можете создать использование SDS. Вместо Microsoft Entra Connect можно использовать SDS для синхронизации и создания пользователей непосредственно из SIS.
Дополнительные сведения см. в статье Синхронизация SIS с помощью school data Sync (SDS).
Синхронизация учетных записей из локальной службы AD в клиенты Microsoft Entra
Синхронизация учетных записей с клиентами Azure с помощью SDS и SIS
Массовое создание новых учетных записей
В гибридных средах с существующими локальная служба Active Directory используйте сценарий PowerShell и CSV-файл для массового создания пользователей. После создания администраторы могут синхронизировать учетные записи с Microsoft Entra ID с помощью Microsoft Entra Connect.
В облачных средах экспортируйте или создайте CSV-файлы для school Data Sync из данных SIS, настройте профиль синхронизации и отправьте csv в SDS, чтобы массово создавать новые облачные Microsoft Entra учетные записи.
Проблемы и ограничения
Хотя крупные EDU выиграют от архитектуры с несколькими клиентами на основе региона, она может представлять некоторые проблемы для пользователей, о которых следует знать, в том числе:
Каждый клиент должен иметь собственное пространство имен. Например, region1.fineartsschool.edu.
- Пользователям потребуется знать о своем региональном суффиксе, например @ region1.fineartsschool.edu.
Пользователи не смогут совместно работать между клиентами с помощью SharePoint, OneDrive и Microsoft Teams, если только они не включены и не настроены администратором.
Многотенантная многофакторная проверка подлинности
- Пользователи должны зарегистрироваться для MFA в каждом клиенте.
- Элементы управления состоянием устройства (например, соответствующие требованиям) не могут применяться между клиентами.
Лицензирование
Вам не нужно назначать лицензии пользователям, которые выполняют самостоятельную регистрацию для Office 365 A1. Когда пользователи это делают, лицензии A1 или A1 Plus назначаются автоматически.
Лицензии должны назначаться пользователям только в том случае, если им требуется доступ к такой службе, как Exchange Online или SharePoint Online, для которых требуется лицензия.
Лицензирование на основе групп рекомендуется для крупных организаций EDU с:
Платная или пробная подписка для Microsoft Entra ID P1 и выше
Платный или пробный выпуск Office 365 корпоративный E3, Office 365 A3, Office 365 GCC G3, Office 365 E3 для GCCH или Office 365 E3 для DOD.
Лицензии назначаются всем участникам группы, и при добавлении новых участников в группу им также будут назначены соответствующие лицензии.
Если вы не являетесь владельцем одной из необходимых лицензий для группового лицензирования, можно использовать PowerShell для назначения лицензий, как описано в разделе Назначение лицензий Microsoft 365 учетным записям пользователей с помощью PowerShell.
Другой вариант — использовать Центр администрирования Microsoft 365 для назначения лицензий пользователям вручную. Назначение вручную не рекомендуется для крупных организаций.