为网格准备组织
本页介绍可能需要了解推出所需的任务和建议的功能角色,但遵循组织的标准推出过程,包括更改和配置管理。
此内容涵盖 Teams 中沉浸式空间的网格实现和沉浸式空间的要求。 概括地说,这些步骤是:
规划网格实现后,了解如何在 Teams 中设置Microsoft网格和设置沉浸式空间。
收集部署团队
行政级别的赞助是强烈建议帮助解决任何跨团队阻塞问题。
你将需要访问多个管理工具:
需要 Teams 管理中心(TAC)才能配置虚拟形象和沉浸式空间管理。
需要Azure 门户来管理用于自定义网格环境的网格云脚本(如果环境可以选择使用该形式的脚本)。
允许 URL 和防火墙端口等其他任务将在组织使用的任何管理工具中完成。
网格使用 Microsoft 365 套件的其他部分。 如果组织限制对这些资源的访问,则网格的某些部分将不起作用。 与有权访问Microsoft 365 管理工具的人员交谈,以确定是否有任何限制,并测试这些限制是否会干扰网格。
例如,下表定义了特定操作所需的访问权限:
网格操作 所需的访问权限 创建网格集合 创建 Microsoft 365 组 作为成员添加到网格集合 访问Microsoft 365 组 创建网格事件 访问 Microsoft 365 日历 受邀加入网格事件 对 Outlook 邮件的访问权限 创建模板 对 SharePoint 的访问 在事件或模板上添加图像或视频 访问 SharePoint 或 OneDrive
提示
某些设置任务可能需要单个或团队外部的个人或部门合作来部署和运行网格,例如许可、安全和终结点管理。 还需要咨询支持人员和人力资源等其他利益干系人。
验证许可证和策略
对于 Teams 中的虚拟形象和沉浸式空间,用户必须拥有以下项之一的许可证:Teams Essentials、Microsoft 365 商业基础版、Microsoft 365 商业标准版、Microsoft 365 商业高级版、Microsoft 365 E3/E5 和 Office 365 E1/E3/E5。
网格中沉浸式空间的许可证要求
对于Microsoft网格,需要以下各项:
Teams 高级版租户中用于商业用途的许可证。 详细了解Microsoft Teams 高级版许可 - Microsoft Teams |Microsoft Learn。
注意
我们不支持具有全球公共部门、EDU 或 GCC 许可证的租户。
Teams 高级版的先决条件许可证,如购买Teams 高级版的要求中所述 - Microsoft Teams |Microsoft网格所有用户的 Learn。
注意
所有Teams 高级版先决条件许可证包括 Sharepoint、OneDrive 和 M365 日历。 详细了解 Teams for enterprise 和 Teams 高级版 试用版许可证。
(可选)具有存储 的 Unity 许可证和 Azure 订阅,用于开发自定义沉浸式空间,并为网格环境部署云脚本。
详细了解 网格云脚本基础结构和管理。
订阅要求
若要使用Microsoft网格,所有用户(包括开发人员、活动组织者和活动与会者/用户)都必须拥有有权访问 SharePoint、OneDrive 和 M365 日历的 M365 Office 订阅。
需要满足以下条件:
- 组创建:用于在 Web 上的网格中创建网格世界。
- SharePoint/OneDrive:用于自定义事件/模板创建。
- 邮箱/日历:用于事件创建和/或发送/接收事件邀请。
有关帮助,请参阅 网格许可中的沉浸式空间故障排除和常见问题解答。
Teams 中沉浸式空间的许可证要求
所需许可证
你的用户必须具有商业 Teams 许可证:Microsoft Teams Enterprise、Teams Essentials 或以下 M365、O365 或 Teams SKU 之一包括:Microsoft 365 商业基础版、Microsoft 365 商业标准版、Microsoft 365 商业高级版、Microsoft 365 E3/E5 和 Office 365 E1/E3/E5。
详细了解 如何在 Teams 中设置沉浸式空间。
有关帮助,请参阅 Teams 许可故障排除和常见问题解答中的沉浸式空间。
考虑要为网格预配的租户
选择要为网格预配的租户时要考虑的两个主要因素包括:
哪些用户应该能够访问沉浸式体验。
将一起参与沉浸式体验的所有用户都必须在同一Microsoft Entra ID(前为 Azure Active Directory)中拥有本机帐户 - 对租户的来宾访问不起作用。
在不受限制地控制域和最终负责安全有效地运行域之间权衡。
网格的主租户
建议为网格预配主要生产租户,因为它将提供测试的最大范围,但它可能会通过内部过程和审批创建开销工作。
网格的单独租户
如果要与生产租户外部的人员协作,可能需要为网格设置单独的租户。 对于不为该组织工作的人员,在生产租户中创建用户帐户没有技术障碍,但可能出于商业原因而无法这样做。
注意
但是,创建其他租户会增加管理员和用户管理帐户的复杂性,也可能会产生额外的许可和域管理费用,并且可能需要在组织中执行其他过程。
如果希望将 Teams 中的沉浸式空间用于 Teams 的生产版本中的用户,则绝对希望为网格预配生产租户。 虽然可以创建其他租户进行测试,但全天使用 Teams 的人员极不可能注销其主 Teams 帐户以登录到不同租户中的不同帐户。 对于网格应用而言,单独的租户更实用,可在其中更轻松地在帐户之间切换。
每个租户可以有多个Azure 存储订阅,但用于网格云脚本的Azure 存储订阅必须与将参加活动的用户和将上传和管理脚本的开发人员位于相同的 EntraID 中。
联系支持团队的所有者
若要完成运行网格的步骤,需要具有各种权限和权限,或者与组织中可以授予所需权限和权限的人员联系。 根据公司结构和策略,此过程可能非常耗时,因此有助于尽快启动外展。
以下部分列出了可能需要使用的组织角色来完成所需的部署前任务:
Teams 应用经理
沉浸式空间和虚拟形象的管理将在 Teams 管理门户中进行, admin.teams.microsoft.com。 你将需要租户全局管理员来为网格团队 分配 Teams 管理员在 Microsoft Entra 中的角色,或者你需要与当前 Teams 应用管理器密切合作才能进行所有必要的配置。
Teams 应用策略
你将使用的两个网格组件是 Teams 应用;应设置策略以确保只有已批准的用户有权访问它们。 根据需要修改全局或自定义级别的 Teams 应用策略,以允许/阻止网格应用。 如果希望指定的用户自动安装网格组件,则还必须设置 Teams 应用设置策略。 与拥有 Teams 应用管理的人员协调,以规划相应的策略。 有关 Teams 访问控制的详细信息,请参阅 https://admin.microsoft.com/Adminportal/Home#/rbac/directory。
Teams 反馈策略
Microsoft依靠用户的反馈来改进产品。 Teams 管理员可以设置用户是否可以向Microsoft发送有关 Teams 的反馈。 可以根据 Entra ID 组成员身份允许反馈。 如果 Teams 反馈已禁用,用户将无法发送有关 Teams 中内置的网格功能的反馈。 强烈建议组织允许网格用户提供此反馈,但在进行任何更改之前咨询公司策略。 有关管理反馈的详细信息,请参阅
配置服务计划以允许用户访问
重要
为了简化管理员体验,管理员不再需要在 M365 应用管理中心配置网格。 如果以前通过 M365 应用管理中心中找到的网格策略限制对组织中的用户或组的访问,则需要在 2024 年 2 月底之前切换到通过网格服务计划(MAC)限制通过网格服务计划进行访问。
有关服务计划的详细信息,请参阅 使用服务计划配置对网格的访问权限。
最终用户许可协议
用户必须直接与Microsoft签订单独的协议才能为网格体验启用空间音频。 该协议在用户首次使用网格之前向用户显示。 如果用户不希望进入该协议,则用户无法使用 Mesh。
如果管理员不同意许可协议条款,则管理员可以通过上述服务计划为用户禁用网格。
有关服务计划和最终用户许可协议的详细信息,请参阅 最终用户许可协议。
查看终结点管理器
请确保知道组织部署应用的过程。 网格应用在 Microsoft 应用商店中提供,可以使用 MDM(移动设备管理)解决方案(如 Microsoft Intune)从该处取消隔离,以部署应用并将其显示在用户的公司门户中。 如果阻止访问 Microsoft 应用商店,则可以改用 WinGet。 有关使用 Microsoft Intune 部署应用的详细信息,请参阅:
将 Microsoft Store 应用添加到 Microsoft Intune
为 Azure 配置云脚本
如果开发人员计划生成将使用 网格云脚本的自定义网格环境,则需要一个 Azure 订阅,他们可以向其部署云脚本服务。 仅使用 网格视觉脚本的环境不需要 Azure 订阅。
有关网格云脚本的先决条件的更多详细信息,请参阅 准备第一个网格云脚本项目。
与组织的安全团队协作
在部署任何新应用或服务之前,必须考虑安全隐患,并与安全团队密切合作,以确保符合所有标准安全策略。 与适当的安全所有者提前讨论以下网格要求。
终结点和防火墙配置
与所有Microsoft产品一样,必须允许网格体验所需的终结点和端口来实现用户的完整功能和最佳性能。 如何使用网格的网络配置要求取决于企业组织网络体系结构。
Teams 中网格体验的终结点和防火墙端口
本部分概述了 Teams 和虚拟形象应用中网格应用的特定终结点和防火墙要求,该应用允许用户在 Teams 会议中加入沉浸式空间(3D),并在会议中使用虚拟形象。
注意
目前,Teams 中沉浸式空间需要额外的防火墙端口,超出标准Microsoft 365 要求集。 我们正在努力与 Microsoft M365 URL 和 IP 地址范围中所述的标准保持一致,并在进行此基础结构更改时欣赏你的耐心。
Teams 中的头像
配置企业防火墙设置,使其符合 Microsoft M365 URL 和 IP 地址范围中概述的标准Microsoft 365 要求集。
Teams 中的沉浸式空间
首先,请确保已将企业防火墙设置配置为符合 Microsoft M365 URL 和 IP 地址范围中概述的标准Microsoft 365 要求集。
除了上面列出的终结点之外,Teams 中的网格沉浸式空间当前还要求通过以下协议和端口允许传出流量到“AzureCloud”服务标记中的 IP 地址:
- TCP:443、80
- TCP 和 UDP:30,000-30,499
- UDP:3478-3481
如果需要将服务标记解析为 IP 范围列表,可以定期使用 服务标记 API 或 下载快照。
有关服务标记的详细信息,请参阅 Azure 服务标记概述。
网格中沉浸式空间的终结点和防火墙要求
本部分概述了网格中沉浸式体验的特定终结点和防火墙要求,包括网格应用程序及其组织可用于创建动态公司事件的功能。
一般情况下,Microsoft M365 URL 和 IP 地址范围中概述的标准Microsoft 365 要求集适用于所有网格体验,其中包含一些额外的步骤,以启用其他网格功能,例如更大的多室事件、云脚本和嵌入式内容(WebSlate、视频/图像对象)。
步骤 1:根据 Microsoft M365 要求进行配置
首先,将企业防火墙设置配置为符合 Microsoft M365 URL 和 IP 地址范围中概述的标准Microsoft 365 要求集。
步骤 2:配置其他网格功能
大型事件 (多会议室)
注意
目前,当网格应用中的事件包含超过 16 人时,需要额外的防火墙端口。 我们目前正在努力与 Microsoft M365 URL 和 IP 地址范围中所述的标准保持一致。 我们感谢你在进行此基础结构更改时耐心。
重要
我们目前正在推出更新,以在电脑上的网格应用中转换多会议室事件,并寻求使用与 Teams 相同的后端基础结构进行空间音频。 在推出期间,你可能会发现,可能不需要多会议室的其他终结点和防火墙要求。 此推出应在 2024 年 7 月底之前完成。
为了防止服务中断,我们建议继续支持本页中列出的整套 URL/端口。 一旦基础结构转换完成,我们将更新此页面,其中包含一组简化的 URL/端口要求。
有关详细信息,请参阅管理门户消息中心帖子。https://portal.office.com/adminportal/home?ref=MessageCenter/:/messages/MC807460
组织多会议室事件时,网格还要求允许传出流量通过以下协议和端口发送到“AzureCloud”服务标记中的 IP 地址:
- TCP:443、80
- TCP 和 UDP:30,000-30,499
- UDP:3478-3481
如果需要将服务标记解析为 IP 范围列表,可以定期使用 服务标记 API 或 下载快照。
有关服务标记的详细信息,请参阅 Azure 服务标记概述。
若要了解有关单会议室事件与多会议室事件的详细信息,请参阅 在网格中创建事件。
步骤 3:允许与会者随着时间的推移访问脚本和内容
云脚本
如果你或你的开发团队计划通过与 Azure 交互,使用 云脚本 在网格环境中显示动态和丰富的数据,则需要允许流量流向企业托管的用于云脚本的 Azure 资源。
可以使用云脚本发布新环境,方法是允许 TCP 端口 443 (HTTPS) 上的流量流向该环境的托管应用: <app>.azurewebsites.net
嵌入内容(WebSlate、视频/图像)
网格应用支持利用 Web 和 Azure 的动态内容体验。 这样,事件组织者可以使用无代码事件自定义体验来放置视频和图像对象,开发人员可以使用 WebSlates 添加 Web 交互。
由于在网格体验中访问资源所需的唯一权限,嵌入式内容对沉浸式体验具有独特的要求。
重要
有两个注意事项可确保嵌入式内容在网格中的沉浸式空间中可访问:
- 如果存储在 SharePoint 中,内容将遵循 M365 要求:组织者必须确保与会者有权访问 URL。 与会者必须具有指定文件或共享链接的权限。
- 如果未在 SharePoint 中,内容将遵循防火墙规则:组织者必须确保 URL 域位于 TCP 端口 443(HTTPS)的防火墙/允许列表中。 与会者客户端设备将直接从此 URL 下载。
| 内容类型 | 工作原理 |
|---|---|
| WebSlate 在网格环境或模板中嵌入交互式 Web 内容。 |
WebSlates 在每个与会者的设备上使用客户端 WebView 显示 Web 内容。 如果浏览器中的与会者阻止了其目标 URL,则也会在网格中阻止这些 URL。 |
| 视频和图像对象 将视频和图像嵌入网格环境。 | 网格应用允许组织者通过引用图像和视频 URL 来自定义其网格事件的体验。 如果浏览器中的与会者阻止了这些 URL,则也会在网格中阻止这些 URL。 |
提示
除了防火墙允许列表之外,WebSlate 还要求环境开发人员将 URL 域添加到 Unity WebSlate 组件的允许列表。
有关 WebSlate 安全性和允许列表的详细信息,请参阅如何在 Microsoft网格中显示 Web 内容并与之交互 |Microsoft Learn。
条件访问和 Quest
注意
条件访问策略应仅由组织中的某人修改,并清楚地了解更改的含义。 在进行任何更改之前,请在公司安全策略中咨询安全团队或其他专家。
注意
网格目前不支持移动应用程序管理(MAM),在组织支持使用个人 Quest 设备(BYOD)的情况下,需要这样做。
条件访问是零信任方法帮助保护网络和资源的重要部分。 作为零信任的一部分,许多公司使用条件访问功能策略与 Microsoft Entra 和 Microsoft Intune 来限制允许访问公司资源的设备类型,甚至这些设备上的操作系统版本和配置;允许使用符合已定义配置文件的设备,并且未指定的任何其他设备均被拒绝访问。 Meta 已发布适用于 Intune 的 Quest 的 beta GA 版本 MDM 支持。 在预发行版中使用网格的每个公司都必须与其安全和终结点管理团队合作,以确定是否可以构造一个策略,该策略对于公司的风险配置文件是可接受的,同时仍允许访问 Quest 设备。
目前有一个解决方案:若要使用条件访问策略访问 Quest 上的网格,可能会阻止 Quest 上的网格,解决方案是在 Microsoft Entra 中创建自定义条件访问策略,以排除Microsoft网格服务和 Office 365。
有关条件访问的详细信息,请参阅:
与沟通更改的利益干系人合作
上面列出的利益干系人都有影响网格环境设置的活动步骤,但组织的其他部分可能会受到部署的影响,或者可能有需要在规划过程中尽早考虑的策略或指南。 以下是在部署之前可能需要联系的组织的某些区域。
更改通信:如果你有一个标准流程来联系用户有关挂起的更改,请确保网格是这些通信的一部分。
技术支持:为使用网格遇到问题的用户制定支持计划。 确保网格管理员能够查看用户遇到的问题,以便根据需要将其传达给Microsoft。
人力资源:虽然网格不需要人力资源的任何特定操作进行部署或操作,但 HR 可能会对网格为用户创建沉浸式体验感兴趣。 请咨询人力资源部门,了解可能影响网格会议体验的任何策略。
公司品牌:如果你决定为用户创建自定义会议体验,则应与公司品牌专家联系,以确保任何会议资产符合品牌标准。
为网格虚拟形象准备用户
首次在 Teams 中推出虚拟形象功能时,某些用户可能需要有关何时使用虚拟形象功能的指导,并且不适合使用它们。 Microsoft发布了一篇关于阿凡达礼仪的博客: Microsoft 员工如何在Microsoft Teams 的会议上使用虚拟形象。 此文档可帮助告知你可能希望与用户共享的材料。
总结
Microsoft网格提供了许多强大的功能,可增强远程和混合工作场所中的通信和协作。 由于此服务提供跨服务的体验,因此请确保计划所有必需的利益干系人提供输入,包括此处提到的内容以及特定于组织的其他人员。