Microsoft Entra 租用戶簡介

身為教育機構，您可以註冊免費試用 Microsoft 365 教育版，並完成資格驗證精靈，以學術價格購買訂用帳戶。

建立 Microsoft Entra 租使用者

當您註冊 Microsoft 365 教育版 的付費或試用訂用帳戶時，會在基礎 Office 365 服務中建立 Microsoft Entra 租使用者。 同樣地，當您註冊 Azure 時，也會建立 Microsoft Entra 租使用者。

客戶必須擁有付費的 Microsoft 授權方案，才能建立額外的 Microsoft Entra 租使用者。

重要事項

建立 Microsoft Entra 租使用者時，您必須指定將決定數據中心位置的邏輯區域。 這必須非常小心地選擇，因為它在建立之後無法變更。

如需詳細資訊，請參閱 Microsoft 365 教育版 部署指南。

什麼是 Microsoft Entra 租使用者？

Microsoft Entra 租使用者提供身分識別與存取管理 (IAM) 功能給組織所使用的應用程式和資源。 身分識別是可驗證並授權存取資源的目錄物件。 身分識別物件適用於學生和教師等人類身分識別，以及非人類身分識別，例如教室和學生裝置、應用程式和服務原則。

Microsoft Entra 租使用者是受貴組織 IT 部門控制的身分識別安全性界限。 在此安全性界限內， (物件的管理，例如用戶物件) 和整個租用戶設定的組態，是由您的IT系統管理員控制。

租使用者中的資源

Microsoft Entra ID 用來授與代表身分識別的物件存取資源，例如應用程式及其基礎 Azure 資源，其中可能包含資料庫，以及學習管理系統 (LMS) 。

存取使用 Microsoft Entra ID

身分識別可以被授與許多應用程式類型的存取權，包括但不限於：

• Microsoft 生產力服務，例如 Exchange Online、Microsoft Teams 和 SharePoint Online

• Microsoft IT 服務，例如 Azure Sentinel、Microsoft Intune 和 Microsoft Defender ATP

• Microsoft 開發人員工具 例如 Azure DevOps

• 第三方應用程式，例如學習管理系統 (LMS)

• 與混合式存取功能整合的內部部署應用程式，例如 Microsoft Entra 應用程式 Proxy

• 自訂內部開發的應用程式

使用 Microsoft Entra ID 的應用程式需要在受信任 Microsoft Entra 租用戶中設定和管理目錄物件。 目錄物件的範例包括應用程式註冊、服務主體、群組和 架構屬性延伸。

雖然某些應用程式可以有多個每個租用戶的實例，例如測試實例和生產實例，但某些 Microsoft 服務，例如 Exchange Online 每個租使用者只能有一個實例。

存取目錄物件

身分識別、資源及其關聯性會在 Microsoft Entra 租使用者中以目錄物件表示。 目錄物件的範例包括使用者、群組、服務主體和應用程式註冊。

當對象位於 Microsoft Entra 租使用者時，會發生下列情況：

• 可見度。 如果身分識別具有正確的許可權，則可以探索或列舉資源、使用者、群組，以及存取使用量報告和稽核記錄。 例如，目錄的成員可以使用 預設用戶權力探索目錄中的使用者。

• 應用程式可能會影響物件。 應用程式可以透過 Microsoft Graph 操作目錄對象，作為其商業規則的一部分。 一般範例包括讀取或設定使用者屬性、更新使用者的行事曆，以及代表用戶傳送電子郵件。 需要同意才能允許應用程式影響租使用者。 系統管理員可以同意所有使用者。 如需詳細資訊，請參閱 Microsoft 身分識別平台 中的許可權和同意。

  注意事項

  使用應用程式許可權時請小心。 例如，使用 Exchange Online 時，您應該將應用程式許可權的範圍限定在特定信箱和許可權。

• 節流和服務限制。 資源的運行時間行為可能會觸發 節流 ，以避免過度使用或服務降低。 節流可能會在應用程式、租用戶或整個服務層級發生。 最常見的情況是當應用程式在租用戶內或跨租使用者有大量要求時。

每個租使用者都有物件總數限制。 根據預設，租用戶的物件總數限製為50,000個。 新增自定義網域之後，限制會增加到 300,000。 您可以連絡 EDU 客戶成功小組 ，進一步增加此物件限制。 我們建議單一 Microsoft Entra 租用戶不超過1百萬個使用者，這通常相當於大約3百萬個物件。 如需 Microsoft Entra ID 中服務限制的詳細資訊，請參閱 Microsoft Entra 服務限制。

租使用者中的組態

Microsoft Entra ID 中的原則和設定會透過目標或全租用戶設定來影響 Microsoft Entra 租使用者中的資源。

全租用戶原則和設定的範例包括：

• 外部身分識別。 租使用者的全域管理員會識別並控制可在租使用者中布建的 外部 身分識別。

  • 是否允許租使用者中的外部身分識別

  • 您可以從哪個網域 () 外部身分識別

  • 使用者是否可以邀請來自其他租用戶的使用者

• 具名位置。 全域系統管理員可以建立 具名位置，然後可用來：

  • 封鎖從特定位置登入。

  • 觸發條件式存取原則，例如 MFA。

• 允許的驗證方法。 全域管理員會設定租用戶允許的 驗證方法 。

• 自助選項。 全域管理員會設定自助式選項，例如自助式密碼重設，以及在租用戶層級建立 Office 365 群組。

只要全域系統管理原則不會覆寫某些全租用戶設定的實作，就可以設定範圍。 例如：

• 如果租用戶設定為允許外部身分識別，資源管理員仍然可以排除這些身分識別存取資源。

• 如果租用戶設定為允許個人裝置註冊，資源管理員可以排除這些裝置存取特定資源。

• 如果已設定具名位置，資源管理員可以設定原則，允許或排除來自這些位置的存取。

租使用者中的系統管理

系統管理包括身分識別物件的管理，以及全租用戶設定的範圍實作。 物件包括使用者、群組和裝置，以及服務原則。 您可以針對驗證、授權、自助式選項等，將全租用戶設定的影響範圍設定為範圍。

全租用戶系統管理員或全域系統管理員可以：

• 將任何資源的存取權授與任何使用者

• 將資源角色指派給任何使用者

• 將較低範圍的系統管理員角色指派給任何使用者

目錄物件的管理

系統管理員會管理身分識別物件存取資源的方式，以及在哪些情況下。 它們也可以根據其許可權停用、刪除或修改目錄物件。 身分識別物件包括：

• 組織身分識別，如下所示，是由用戶物件表示：

  • 系統管理員

  • 組織使用者

  • 組織開發人員

  • 測試使用者 **

• 外部身分識別 代表組織外部的使用者，例如：

  • 使用組織環境本機帳戶布建的合作夥伴或其他教育機構

  • 透過 Azure B2B 共同作業佈建的合作夥伴或其他教育機構

• 群組 是由物件表示，例如：

  • 安全性群組

  • Office 365 群組

• 裝置 是由物件表示，例如：

  • Microsoft Entra 從內部部署電腦同步 (混合式聯結裝置 內部部署的 Active Directory)

  • Microsoft Entra 加入的裝置

  • Microsoft Entra 員工用來存取其工作場所應用程式的已註冊行動裝置。

注意事項

在混合式環境中，身分識別通常會使用 Microsoft Entra Connect 從 內部部署的 Active Directory 環境進行同步處理。

身分識別服務的管理

具有適當許可權的系統管理員可以管理在資源群組、安全組或應用程式層級實作全租用戶原則的方式。 考慮管理資源時，請記住下列事項。 每個都可能是讓資源保持在一起或隔離資源的原因。

• 指派驗證系統管理員角色的身分識別可能需要非系統管理員重新註冊 MFA 或 FIDO 驗證。

• 條件式存取 (CA) 系統管理員可以建立 CA 原則，要求使用者只能從組織擁有的裝置登入特定應用程式。 它們也可以設定範圍。 例如，即使租用戶中允許外部身分識別，它們也可以排除這些身分識別，使其無法存取資源。

• 雲端應用程式管理員可以代表所有使用者同意應用程式許可權。

• 全域管理員可以控制訂用帳戶。

授權

Microsoft 付費雲端服務，例如 Office 365，需要授權。 這些授權會指派給每個需要存取服務的使用者。 Microsoft Entra ID 是支援所有 Microsoft 雲端服務身分識別管理的基礎結構，並儲存使用者授權指派狀態的相關信息。 傳統上，系統管理員會使用其中一個管理入口網站 (Office 或 Azure) 和 PowerShell Cmdlet 來管理授權。 Microsoft Entra ID 支援群組型授權，可讓您將一或多個產品授權指派給一組使用者。

Microsoft 365 教育版 案例中的 Microsoft Entra ID

Microsoft Entra ID 可協助學生和教職員登入及存取中的資源和服務，包括：

• 登入和授權資源

  • 登入和電子郵件的網域已設定為在 Microsoft Entra ID 中進行雲端驗證。

  • 大部分的外部共同作業功能都使用 Microsoft Entra B2B 共同作業。

• Microsoft Office 365 功能

  • Microsoft Entra 識別會指派 Office 365 授權，這會觸發佈建。

  • 通訊組清單、新式群組、聯繫人和 Microsoft Teams 等 Office 365 物件是由 Microsoft Entra 目錄物件代表，並在 Microsoft Entra ID 中管理。

  • Office 365 服務會使用 Microsoft Entra 群組來提供授權。

  • Office 365的存取權是透過 Microsoft Entra ID 來控制。

• 治理和安全性

  • 教育 Intune 等管理和安全性功能依賴 Microsoft Entra 使用者、群組、裝置和原則。

  • Privileged Identity Management 允許 Just-in-Time (JIT) 和 Just Enough Administration (JEA) 存取特殊許可權作業。

  • 登入記錄 和稽核 活動報告。

  • 治理功能，例如 存取權檢閱。

• 混合式環境

  • Microsoft Entra ID 提供從 內部部署的 Active Directory 到 Microsoft Entra Connect 同步處理的混合式功能。

  • Microsoft Entra Connect 可讓您設定適合您組織的驗證方法，包括密碼哈希同步處理、傳遞驗證，或與 AD FS 或非 Microsoft SAML 識別提供者的同盟整合。

  • 使用學校數據同步從 SIS 布建目錄物件的 API

後續步驟

• 設計多租用戶架構

• 設計租用戶設定策略