通过

Microsoft Entra租户简介

  • 项目

作为教育机构,你可以注册免费试用版Microsoft 365 教育版并完成资格验证向导,以按学术价格购买订阅。

创建Microsoft Entra租户

注册 Microsoft 365 教育版 的付费或试用订阅时,会创建一个Microsoft Entra租户,作为基础Office 365服务的一部分。 同样,注册 Azure 时会创建Microsoft Entra租户。

客户必须拥有付费的 Microsoft 许可证计划才能创建其他Microsoft Entra租户。

重要

创建Microsoft Entra租户时,必须指定一个逻辑区域来确定数据中心的位置。 必须非常谨慎地选择它,因为创建后无法更改它。

有关详细信息,请参阅Microsoft 365 教育版部署指南

什么是Microsoft Entra租户?

Microsoft Entra租户为组织使用的应用程序和资源提供标识和访问管理 (IAM) 功能。 标识是一个目录对象,可以对资源的访问权限进行身份验证和授权。 对于学生和教师等人类标识,以及课堂和学生设备、应用程序和服务原则等非人类标识,存在标识对象。

Microsoft Entra租户是一个标识安全边界,由组织的 IT 部门控制。 在此安全边界内,对象 ((例如用户对象) )的管理以及租户范围设置的配置由 IT 管理员控制。

Azure 租户。

租户中的资源

租户中的资源。

Microsoft Entra ID用于向表示标识的对象授予对应用程序及其基础 Azure 资源(可能包括数据库)和 LMS) (学习管理系统等资源的访问权限。

访问使用Microsoft Entra ID的应用

可以向标识授予对多种类型的应用程序的访问权限,包括但不限于:

  • Exchange Online、Microsoft Teams 和 SharePoint Online 等 Microsoft 生产力服务

  • Azure Sentinel、Microsoft Intune 和 Microsoft Defender ATP 等 Microsoft IT 服务

  • Azure DevOps 等 Microsoft 开发人员工具

  • 第三方应用程序,例如学习管理系统 (LMS)

  • 与混合访问功能(例如Microsoft Entra应用程序代理)集成的本地应用程序

  • 自定义内部开发的应用程序

使用Microsoft Entra ID的应用程序需要在受信任的Microsoft Entra租户中配置和管理目录对象。 目录对象的示例包括应用程序注册、服务主体、组和 架构属性扩展

虽然某些应用程序可以为每个租户提供多个实例(例如一个测试实例和一个生产实例),但某些 Microsoft 服务(如 Exchange Online)只能为每个租户提供一个实例。

对目录对象的访问

标识、资源及其关系在Microsoft Entra租户中表示为目录对象。 目录对象的示例包括用户、组、服务主体和应用注册。

租户中的目录对象。

当对象位于Microsoft Entra租户中时,会发生以下情况:

  • 可见性。 标识可以发现或枚举资源、用户、组以及访问使用情况报告和审核日志(如果它们具有适当的权限)。 例如,目录的成员可以发现目录中具有 默认用户权限的用户

  • 应用程序可能会影响对象。 应用程序可以通过 Microsoft Graph 操作目录对象,作为其业务逻辑的一部分。 典型示例包括读取或设置用户属性、更新用户的日历以及代表用户发送电子邮件。 必须同意才能允许应用程序影响租户。 管理员可以同意所有用户。 有关详细信息,请参阅Microsoft 标识平台中的权限和同意

    注意

    使用应用程序权限时请谨慎。 例如,使用 Exchange Online,应将应用程序权限限定为特定的邮箱和权限

  • 限制和服务限制。 资源的运行时行为可能会触发 限制, 以防止过度使用或服务降级。 限制可能发生在应用程序、租户或整个服务级别。 最常见的情况是,当应用程序在租户内或租户之间有大量请求时,会出现这种情况。

每个租户都有总对象限制。 默认情况下,租户的总对象数限制为 50,000 个。 添加自定义域后,限制将增加到 300,000。 可以通过联系 EDU 客户成功团队 来进一步提高此对象限制。 建议单个Microsoft Entra租户不超过 100 万用户,这通常相当于对象总数约为 300 万。 有关 Microsoft Entra ID 中的服务限制的详细信息,请参阅Microsoft Entra服务限制和限制

租户中的配置

Microsoft Entra ID中的策略和设置通过目标或租户范围的配置影响Microsoft Entra租户中的资源。 租户中的配置。

租户范围策略和设置的示例包括:

  • 外部标识。 租户的全局管理员标识和控制可在租户中预配 的外部标识

    • 是否允许租户中的外部标识

    • 可以从哪些域 () 外部标识添加

    • 用户是否可以从其他租户邀请用户

  • 命名位置。 全局管理员可以创建 命名位置,然后可用于:

    • 阻止从特定位置登录。

    • 触发条件访问策略,例如 MFA。

  • 允许的身份验证方法。 全局管理员设置租户允许的 身份验证方法

  • 自助服务选项。 全局管理员设置自助服务选项(例如自助服务密码重置),并在租户级别创建Office 365组

某些租户范围的配置的实现范围可以限定为,只要它们不会被全局管理策略覆盖。 例如:

  • 如果租户配置为允许外部标识,资源管理员仍可排除这些标识访问资源。

  • 如果租户配置为允许个人设备注册,资源管理员可以排除这些设备访问特定资源。

  • 如果配置了命名位置,资源管理员可以配置允许或排除从这些位置进行访问的策略。

租户中的管理

管理包括标识对象的管理和租户范围的配置的范围实现。 对象包括用户、组、设备以及服务原则。 可以限定租户范围配置对身份验证、授权、自助服务选项等的影响。

租户中的管理。

租户范围的管理员或全局管理员可以:

  • 向任何用户授予对任何资源的访问权限

  • 将资源角色分配给任何用户

  • 将范围较低的管理员角色分配给任何用户

目录对象的管理

管理员管理标识对象访问资源的方式和在什么情况下。 他们还可以根据其特权禁用、删除或修改目录对象。 标识对象包括:

  • 组织标识(如下所示)由用户对象表示:

    • 管理员

    • 组织用户

    • 组织开发人员

    • 测试用户 **

  • 外部标识 表示组织外部的用户,例如:

    • 使用组织环境本地帐户预配的合作伙伴或其他教育机构

    • 通过 Azure B2B 协作预配的合作伙伴或其他教育机构

  • 由对象表示,例如:

    • 安全组

    • Office 365 组

  • 设备 由对象表示,例如:

    • Microsoft Entra混合联接设备 (从本地 Active Directory) 同步的本地计算机

    • 已加入Microsoft Entra设备

    • Microsoft Entra员工用来访问其工作区应用程序的已注册移动设备。

注意

在混合环境中,标识通常使用 Microsoft Entra Connect 从 本地 Active Directory 环境中同步。

标识服务的管理

具有适当权限的管理员可以管理如何在资源组、安全组或应用程序级别实施租户范围策略。 考虑管理资源时,请记住以下几点。 每个都可以成为将资源放在一起或隔离它们的原因。

  • 分配有身份验证管理员角色的标识可能要求非管理员重新注册 MFA 或 FIDO 身份验证。

  • 条件访问 (CA) 管理员可以创建 CA 策略,要求用户仅从组织拥有的设备登录到特定应用。 它们还可以限定配置范围。 例如,即使租户中允许外部标识,它们也可以排除这些标识访问资源。

  • 云应用程序管理员可以代表所有用户同意应用程序权限。

  • 全局管理员可以控制订阅。

授权

Microsoft 付费云服务(如Office 365)需要许可证。 这些许可证分配给需要访问服务的每个用户。 Microsoft Entra ID是支持所有 Microsoft 云服务的标识管理的底层基础结构,并存储有关用户许可证分配状态的信息。 传统上,管理员将使用 Office 或 Azure) 和 PowerShell cmdlet (管理门户之一来管理许可证。 Microsoft Entra ID支持基于组的许可,这使你可以将一个或多个产品许可证分配给一组用户。

Microsoft 365 教育版方案中的Microsoft Entra ID

Microsoft Entra ID可帮助学生和教职员工登录并访问其中的资源和服务,包括:

  • 登录和授权资源

    • 在 Microsoft Entra ID 中配置用于登录和电子邮件的域进行云身份验证。

    • 大多数外部协作功能使用 Microsoft Entra B2B 协作

  • Microsoft Office 365 功能

    • Microsoft Entra标识Office 365许可证分配,这会触发预配。

    • 通讯组列表、新式组、联系人和 Microsoft Teams 等Office 365对象由 Microsoft Entra 目录对象表示,并在 Microsoft Entra ID 中管理。

    • Office 365服务使用Microsoft Entra组提供授权。

    • 通过Microsoft Entra ID控制对Office 365的访问。

  • 治理和安全性

  • 混合环境

后续步骤