設定 Microsoft Entra ID
Microsoft教育平台可簡化使用 Intune 和 Microsoft 365 教育版管理 Windows 裝置的作業。 第一個基本步驟是設定身分識別基礎結構,以管理您學校的使用者存取權和許可權。
Microsoft 365 教育版訂用帳戶隨附的 Entra ID 可為任何 Microsoft Microsoft雲端服務提供驗證和授權。 身分識別物件定義於Microsoft人身分識別的 Entra ID 中,例如學生和教師,以及非人類身分識別,例如裝置、服務和應用程式。 透過 Microsoft 365 授權,使用者可以取用租使用者內的服務和存取資源。 透過 Microsoft 365 教育版,您可以管理教師和學生的身分識別、將授權指派給裝置和使用者,以及建立教室的群組。
建立 Microsoft 365 租使用者
如果您還沒有Microsoft 365 租使用者,則必須建立一個租使用者。
如需詳細資訊,請 參閱建立 Office 365 租使用者。
探索 Microsoft 365 系統管理中心
Microsoft 365 系統管理中心是Microsoft 365 雲端所有系統管理控制台的中樞。 若要 存取 Microsoft 365 系統管理中心,請在 建立 Microsoft 365 租使用者時,使用相同的全域系統管理員帳戶登入。
從 Microsoft 365 系統管理中心,您可以存取不同的系統管理儀錶板:Microsoft Entra ID、Microsoft Intune、Intune 教育版等等:
如需詳細資訊,請參閱 Microsoft 365 系統管理中心概觀。
注意事項
設定學校的基本雲端基礎結構不需要您完成其餘Microsoft 365 設定。 基於這個理由,我們將直接跳到將學生和教師新增為Microsoft 365 租使用者中的使用者。
設定您的網域
您可以設定自定義網域,以便使用組織專屬的電子郵件建立使用者和群組。 如需詳細資訊,請使用下列連結:
- 將網域新增至 Microsoft 365
- 在 [設定>功能變數名稱>] 自訂網域下設定您的預設功能變數名稱
新增使用者、建立群組及指派授權
Microsoft 365 租使用者就緒之後,即可新增使用者、建立群組及指派授權。 所有學生和教師都需要用戶帳戶,才能登入和存取不同的Microsoft 365 服務。 有多種方式可以執行這項操作,包括使用學校數據同步 (SDS) 、手動或兩者同步處理內部部署 Active Directory。
注意事項
將您的學生資訊系統 (SIS) 與學校數據同步處理同步,是將學生和教師建立為Microsoft 365 教育版租用戶中使用者的慣用方式。 不過,如果您想要整合內部部署目錄並將帳戶同步處理至雲端,請跳至 Microsoft Entra Connect Sync] 。
學校資料同步處理
✅ 使用您的 SIS 資料佈建使用者和群組
學校數據同步 (SDS) 匯入和同步處理 SIS 數據,以在 Microsoft 365 中建立類別,例如Microsoft 365 群組和 Microsoft Teams 中的班級小組。 SDS 可用來建立新的僅限雲端身分識別,或演進現有的身分識別。 使用者演進至 學生 或 教師 ,並與 成績、 學校和其他教育特定屬性相關聯。
如需詳細資訊,請參閱 學校數據同步概觀。
提示
若要深入瞭解及練習學校數據同步,請遵循 Microsoft學校數據同步示範,此示範提供在您的 Microsoft 365 教育版租使用者中存取、設定及部署學校數據同步的詳細步驟。
注意事項
您可以從 O365-EDU-Tools GitHub 網站複製或下載範例 SDS CSV 學校數據,以執行測試部署。
請記住,您通常應該將測試 SDS 數據部署 (使用者、群組等) 在個別的測試租使用者中,而不是您的學校生產環境。
Microsoft Entra Connect 同步處理
✅ 設定 Active Directory 與 Microsoft Entra ID 之間的同步處理
若要整合內部部署目錄與 Microsoft Entra ID,您可以使用 Microsoft Entra Connect 來同步處理使用者、群組和其他物件。 Microsoft Entra Connect 可讓您設定適合學校的驗證方法,包括:
如需詳細資訊, 請參閱設定 Microsoft 365 的目錄同步處理。
手動建立使用者
✅ 逐一建立使用者
除了上述方法之外,您還可以手動新增使用者和群組,並透過 Microsoft 365 系統管理中心指派授權。
手動或大量新增使用者有兩個選項:
- 若要在 Microsoft 365 教育版中 個別新增學生和教師作為使用者:
- 登入 Microsoft Entra 系統管理中心。
- 選取 [Microsoft使用者][所有>>使用者>][新增使用者>] [建立新使用者]。 如需詳細資訊,請參閱 新增用戶並同時指派授權。
- 若要將 多個 使用者新增至 Microsoft 365 教育版:
- 登入 Microsoft Entra 系統管理中心。
- 選Microsoft [編碼標識>符使用者>][所有使用者>大量作業>大量建立]。
如需詳細資訊,請參閱 在 Microsoft 365 系統管理中心新增多個使用者。
建立群組
✅ 組織您的用戶和裝置
建立群組對於簡化多項工作很重要,例如指派授權、委派系統管理、部署設定、應用程式或將作業散發給學生。 若要建立群組:
- 登入 Microsoft Entra 系統管理中心。
- 選Microsoft [內含標識>符群組>][所有群組>][新增群組]。
- 在 [ 新增群組 ] 頁面上,選取 [群組類型>安全性]。
- 視需要提供組名並新增成員。
- 選取 [下一步]。
如需詳細資訊,請參閱 在 Microsoft 365 系統管理中心建立群組。
指派授權
✅ 將授權指派給使用者
指派授權的建議方式是透過群組型授權。 使用此方法,Microsoft Entra ID 可確保授權會指派給群組的所有成員。 加入群組的任何新成員都會獲指派適當的授權,而當成員離開時,就會移除其授權。
若要將授權指派給群組:
- 登入 Microsoft Entra 系統管理中心。
- 選Microsoft [內部標識>符顯示更多>賬單>授權]。
- 針對 [指派] 選取您想要指派授權的>必要產品。
- 新增應指派授權的群組。
如需詳細資訊,請參閱 使用 Microsoft Entra 系統管理中心的群組型授權。
設定學校商標
✅ 自訂您的租用戶商標
設定學校商標可為學生和教師提供更熟悉的 Autopilot 體驗。 透過自定義學校商標,您可以定義自定義標誌和歡迎訊息,這會在 OOBE) (Windows 全新體驗期間顯示。
若要設定學校的商標:
- 登入 Microsoft Entra 系統管理中心。
- 選取 [Microsoft標識>符顯示更多>用戶體驗>公司商標]。
- 您可以指定品牌設定,例如背景影像、標誌、用戶名稱提示和登入頁面文字。
- 若要調整在 OOBE 期間顯示的學校租用戶名稱,請選 取 [Microsoft Entra ID>概觀>屬性]。
- 在 [ 名稱] 欄位 中,輸入學區或組織的名稱 [ >儲存]。
如需詳細資訊,請 參閱將商標新增至您的目錄。
設定裝置設定
在本節中,您會設定 Microsoft Entra 裝置設定。
啟用 Microsoft 加入
✅ 啟用Microsoft加入和裝置限制
若要允許Microsoft加入:
- 登入 Microsoft Entra 系統管理中心。
- 選 Microsoft [Entra ID>裝置裝置>設定]。
- 在 [使用者可以將裝置加入Microsoft Entra ID] 底下,選取 [ 全部]。
注意事項
如果只有特定使用者可以加入裝置來Microsoft Entra ID,請選 取 [已選取]。 如果使用布建套件,請確定將建立布建套件的用戶帳戶包含在使用者清單中。
- 您也可以檢閱此頁面上的 [ 每位使用者的裝置數目上限 ] 值,教育版客戶通常會將此值設定為 [無限制]。
- 從 [Microsoft 管理中心] 選取 [儲存設定
![裝置設定]。](images/entra-device-settings.png)
![裝置設定]。](images/entra-device-settings.png#lightbox)
注意事項
若要建立布建套件用來執行 Entra join) 的大量註冊令牌 (,您必須具有支援的 Microsoft Entra 角色指派,且不得限於 Microsoft Entra ID 中的管理單位。 支援的角色包括:
- 全域管理員
- 雲端裝置系統管理員
- Intune 系統管理員
- 密碼管理員
如需詳細資訊,請參閱 在 Microsoft Intune 系統管理中心授與系統管理員許可權。
啟用本機系統管理員密碼的儲存 (選擇性)
✅ 啟用 Microsoft Entra 以儲存本機系統管理員密碼
Microsoft Entra 可以儲存裝置的本機系統管理員密碼。 裝置必須透過 Intune 設定,才能將密碼儲存在 Entra 中,這可讓 Entra 接受來自裝置的密碼。
若要允許 Entra 儲存本機系統管理員密碼:
| 葉片 | 組態群組 | 設定 | 值 |
|---|---|---|---|
| 所有裝置\裝置設定 | 本機系統管理員設定 | 在 LAPS) (預覽 (啟用 Microsoft Entra 本機系統管理員密碼解決方案) | 是 |
| 所有裝置\裝置設定 | 其他設定 | 限制使用者針對其擁有的裝置復原 BitLocker 金鑰 () | 否 |
如需詳細資訊,請參閱 Microsoft Entra ID 中的 Windows 本機系統管理員密碼解決方案。
設定企業狀態漫遊 (選擇性)
✅ 停用企業狀態漫遊
| 葉片 | 組態群組 | 設定 | 值 |
|---|---|---|---|
| 所有裝置\企業狀態漫遊 | 用戶可以跨裝置同步設定和應用程式數據 | 用戶可以跨裝置同步設定和應用程式數據 | 無 |
如需詳細資訊,請參閱 在 Microsoft Entra ID 中啟用企業狀態漫遊。
限制對系統管理動作的存取 (選擇性)
✅ 設定您的租用戶以減少使用者存取
Microsoft Entra 有數個控件,可讓您限制Microsoft Entra 中沒有系統管理角色之用戶的系統管理功能。
下表包含常用設定的設定清單。
| 葉片 | 組態群組 | 設定 | 值 |
|---|---|---|---|
| 使用者設定 | 默認使用者角色許可權 | 用戶可以註冊應用程式 | 否 |
| 使用者設定 | 默認使用者角色許可權 | 限制非系統管理員使用者建立租使用者 | 是 |
| 使用者設定 | 默認使用者角色許可權 | 用戶可以建立安全組 | 否 |
| 使用者設定 | 來賓使用者存取 | 來賓使用者存取限制 | 來賓使用者存取權僅限於其本身目錄對象的屬性和成員資格, (限制最嚴格的) |
| 使用者設定 | 管理入口網站 | 限制存取 Microsoft Entra ID 管理入口網站 | 是 |
| 使用者設定 | LinkedIn帳戶連線 | 允許使用者將其公司或學校帳戶與LinkedIn | 否 |
| 使用者設定 | 顯示保持使用者登入 | 顯示保持使用者登入 | 是 |
您可以使用下列文章來套用其他控制項來管理目錄的存取權:
限制對群組的存取 (選擇性)
✅ 設定您的租用戶以減少群組管理功能
Microsoft Entra 有數個控制項可讓您限制使用者的群組功能。
下表包含常用設定的設定清單。
| 葉片 | 組態群組 | 設定 | 值 |
|---|---|---|---|
| 群組設定 | 一般\自助群組管理 | 擁有者可以管理 [我的群組] 中的群組成員資格要求 | 是 |
| 群組設定 | 一般\自助群組管理 | 限制使用者存取 [我的群組] 中群組功能的能力 | 是 |
| 群組設定 | 一般\安全組 | 用戶可以在 Azure 入口網站、API 或 PowerShell 中建立安全組 | 否 |
| 群組設定 | 一般\Microsoft 365 群組 | 用戶可以在 Azure 入口網站、API 或 PowerShell 中建立Microsoft 365 個群組 | 否 |
如需詳細資訊,請 參閱瞭解 Microsoft Entra ID 中的群組和訪問許可權。
後續步驟
建立使用者和群組並授權Microsoft 365 教育版之後,您現在可以設定 Microsoft Intune。
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應