保护学生个人数据

  • 项目

学区可以在Office 365和Microsoft Entra ID中使用 Microsoft 的学校数据同步对学生个人数据实施访问限制和其他保护。 使用 SDS,你可以从 SIS 或 MIS 导入学生列表,并自动将他们标记为未成年人,以便 Microsoft 和第三方应用程序可以这样对待他们。 甚至可以配置Microsoft Entra ID,以防止学生使用第三方应用程序。

选项 A:使用学校数据同步简化解决方案

Office 365教育版的 IT 管理员可按照以下步骤使用简化的解决方案将保护应用于 SDS 同步的所有学生:

步骤 A1:学生个人数据保护

打开学校数据同步并转到“设置 -> 学生个人数据保护”

打开“学校数据同步”并转到“设置 -> 学生个人数据保护”。

如果要将学生标记为未成年人,请选择“将所有学生标记为未成年人”。此设置将 SDS 同步的所有学生的法定年龄组分类属性设置为 MinorWithParentalConsent,即家长/法定监护人已授权你与 Microsoft 联机服务 一起使用的未成年人。 有关法定年龄组分类属性的详细信息,请参阅 此处

如果要阻止学生使用第三方应用程序,请选择“ 阻止学生使用第三方应用”。 此设置将创建一个“所有学生”安全组,以及一个Microsoft Entra条件访问策略,该策略阻止所有学生使用不是由 Microsoft 创建的任何应用。

可以自定义此策略,以允许学生使用Microsoft Entra 管理中心条件访问策略编辑器中的特定第三方应用程序。

选项 B:为部分学生应用保护

上述说明适用于与 SDS 同步的每个学生。 如果希望将这些保护应用于一部分学生,请使用 PowerShell 并Microsoft Entra ID:

步骤 B1:创建要标记为未成年人的学生列表

可以使用任何方法来创建此列表。 为方便起见,Microsoft 按许可证为学生提供了 SDS 年龄限制的脚本,该脚本将创建具有学生许可证Office 365 教育版的所有用户的列表。

步骤 B2:将这些学生标记为未成年人

你可以将这些学生标记为未成年人,以便 Microsoft 和第三方应用程序可以这样对待他们。 使用 具有家长同意的 SDS 年龄限制 ,将步骤 4 中生成的学生列表标记为未成年人。

步骤 B3:创建要阻止学生登录第三方应用的列表

可以使用任何方法创建此列表,包括步骤 B1 中列出的脚本。

步骤 B4:创建这些学生的安全组

可以使用任何方法来创建此组,包括使用步骤 B1 中脚本提供的学生列表。

步骤 B5:创建条件访问策略以阻止学生使用第三方应用

转到Microsoft Entra 管理中心条件访问策略编辑器并创建条件访问策略:

  • 对于“分配->用户和组”,请选择在步骤 B4 中创建的安全组。

    对于“分配->用户和组”,请选择在步骤 B4 中创建的安全组。

  • 对于 Assignments-Cloud> Apps,请包括“所有云应用”并排除“Microsoft 应用程序”

    对于 Assignments-Cloud> Apps,请包括“所有云应用”,并排除“Microsoft 应用程序”。

    对于 Assignments-Cloud> Apps,请包括“所有云应用”,并排除“Microsoft 应用程序”-第 2 部分。

  • 对于“访问控制条件>”,请选择“阻止访问”

  • 选择“启用策略”

  • 选择“保存”

  • 可以自定义此条件访问策略,以允许学生组也使用特定的第三方应用程序。 为此,请转到“分配->云应用->排除”,选择要允许的第三方应用程序,然后保存策略。