保护学生个人数据
学区可以在Office 365和Microsoft Entra ID中使用 Microsoft 的学校数据同步对学生个人数据实施访问限制和其他保护。 使用 SDS,你可以从 SIS 或 MIS 导入学生列表,并自动将他们标记为未成年人,以便 Microsoft 和第三方应用程序可以这样对待他们。 甚至可以配置Microsoft Entra ID,以防止学生使用第三方应用程序。
选项 A:使用学校数据同步简化解决方案
Office 365教育版的 IT 管理员可按照以下步骤使用简化的解决方案将保护应用于 SDS 同步的所有学生:
步骤 A1:学生个人数据保护
打开学校数据同步并转到“设置 -> 学生个人数据保护”
如果要将学生标记为未成年人,请选择“将所有学生标记为未成年人”。此设置将 SDS 同步的所有学生的法定年龄组分类属性设置为 MinorWithParentalConsent,即家长/法定监护人已授权你与 Microsoft 联机服务 一起使用的未成年人。 有关法定年龄组分类属性的详细信息,请参阅 此处。
如果要阻止学生使用第三方应用程序,请选择“ 阻止学生使用第三方应用”。 此设置将创建一个“所有学生”安全组,以及一个Microsoft Entra条件访问策略,该策略阻止所有学生使用不是由 Microsoft 创建的任何应用。
可以自定义此策略,以允许学生使用Microsoft Entra 管理中心条件访问策略编辑器中的特定第三方应用程序。
选项 B:为部分学生应用保护
上述说明适用于与 SDS 同步的每个学生。 如果希望将这些保护应用于一部分学生,请使用 PowerShell 并Microsoft Entra ID:
步骤 B1:创建要标记为未成年人的学生列表
可以使用任何方法来创建此列表。 为方便起见,Microsoft 按许可证为学生提供了 SDS 年龄限制的脚本,该脚本将创建具有学生许可证Office 365 教育版的所有用户的列表。
步骤 B2:将这些学生标记为未成年人
你可以将这些学生标记为未成年人,以便 Microsoft 和第三方应用程序可以这样对待他们。 使用 具有家长同意的 SDS 年龄限制 ,将步骤 4 中生成的学生列表标记为未成年人。
步骤 B3:创建要阻止学生登录第三方应用的列表
可以使用任何方法创建此列表,包括步骤 B1 中列出的脚本。
步骤 B4:创建这些学生的安全组
可以使用任何方法来创建此组,包括使用步骤 B1 中脚本提供的学生列表。
步骤 B5:创建条件访问策略以阻止学生使用第三方应用
转到Microsoft Entra 管理中心条件访问策略编辑器并创建条件访问策略:
对于“分配->用户和组”,请选择在步骤 B4 中创建的安全组。
对于 Assignments-Cloud> Apps,请包括“所有云应用”并排除“Microsoft 应用程序”
对于“访问控制条件>”,请选择“阻止访问”
选择“启用策略”
选择“保存”
可以自定义此条件访问策略,以允许学生组也使用特定的第三方应用程序。 为此,请转到“分配->云应用->排除”,选择要允许的第三方应用程序,然后保存策略。