作为教育机构,你可以注册Microsoft 365 教育版的免费试用版并完成资格验证向导,从而以学术价格购买订阅。

创建 Azure Active Directory 租户

当您注册 Microsoft 365 Education 的付费或试用订阅时,会创建一个 Azure Active Directory (Azure AD) 租户作为基础 Office 365 服务的一部分。同样,在注册 Azure 时会创建一个 Azure AD 租户。您还可以通过Azure 门户手动创建 Azure AD 租户,并在以后添加 Office 365 服务。

 重要的

创建 Azure AD 租户时,必须指定将确定数据中心位置的逻辑区域。这必须非常谨慎地选择,因为它在创建后无法更改。

有关详细信息,请参阅Microsoft 365 教育版部署指南

什么是 Azure AD 租户?

Azure AD 租户为组织使用的应用程序和资源提供标识和访问管理 (IAM) 功能。身份是一个目录对象,可以对其进行身份验证和授权以访问资源。身份对象存在于人类身份(例如学生和教师)以及非人类身份(例如教室和学生设备、应用程序和服务原则)。

Azure AD 租户是受组织 IT 部门控制的标识安全边界。在此安全边界内,对象(如用户对象)的管理和租户范围设置的配置由您的 IT 管理员控制。

蔚蓝租户。

租户中的资源

租户中的资源。

Azure AD 用于向代表身份的对象授予对应用程序及其基础 Azure 资源(可能包括数据库和学习管理系统 (LMS))等资源的访问权限。

访问使用 Azure AD 的应用程序

身份可以被授予访问多种类型的应用程序的权限,包括但不限于:

  • Microsoft 生产力服务,例如 Exchange Online、Microsoft Teams 和 SharePoint Online
  • Microsoft IT 服务,例如 Azure Sentinel、Microsoft Intune 和 Microsoft Defender ATP
  • Microsoft 开发人员工具,例如 Azure DevOps
  • 第三方应用程序,例如学习管理系统 (LMS)
  • 与 Azure AD 应用程序代理等混合访问功能集成的本地应用程序
  • 自定义内部开发的应用程序

使用 Azure AD 的应用程序需要在受信任的 Azure AD 租户中配置和管理目录对象。目录对象的示例包括应用程序注册、服务主体、组和架构属性扩展

虽然某些应用程序每个租户可以有多个实例,例如一个测试实例和一个生产实例,但某些 Microsoft 服务(例如 Exchange Online)每个租户只能有一个实例。

访问目录对象

身份、资源及其关系在 Azure AD 租户中表示为目录对象。目录对象的示例包括用户、组、服务主体和应用程序注册。

租户中的目录对象。

当对象位于 Azure AD 租户中时,会发生以下情况:

  • 能见度。如果具有正确的权限,身份可以发现或枚举资源、用户、组以及访问使用报告和审计日志。例如,目录的成员可以发现目录中具有默认用户权限的用户
  • 应用程序可以影响对象。应用程序可以通过 Microsoft Graph 操作目录对象作为其业务逻辑的一部分。典型示例包括读取或设置用户属性、更新用户的日历以及代表用户发送电子邮件。同意是允许应用程序影响租户所必需的。管理员可以同意所有用户。有关详细信息,请参阅Microsoft 标识平台中的权限和同意

     笔记

    使用应用程序权限时要小心。例如,对于 Exchange Online,您应该将应用程序权限范围限定为特定邮箱和权限

  • 节流和服务限制。资源的运行时行为可能会触发限制以防止过度使用或服务降级。限制可能发生在应用程序、租户或整个服务级别。最常见的是当应用程序在租户内或租户之间有大量请求时发生。

每个租户都有一个总对象限制。默认情况下,一个租户的总数限制为 50,000 个对象。添加自定义域后,限制增加到 300,000。您可以通过联系EDU 客户成功团队团队来进一步增加此对象限制。我们建议单个 Azure AD 租户不超过 100 万用户,这通常相当于大约 300 万个对象。有关 Azure AD 中服务限制的详细信息,请参阅Azure AD 服务限制和限制

租户中的配置

Azure AD 中的策略和设置通过有针对性的或租户范围的配置影响 Azure AD 租户中的资源。 租户中的配置。

租户范围的策略和设置示例包括:

  • 外部身份。租户的全局管理员识别和控制可以在租户中配置的外部身份
    • 是否允许租户中的外部身份
    • 可以从哪些域添加外部身份
    • 用户是否可以邀请其他租户的用户
  • 命名位置。全局管理员可以创建命名位置,然后可以用于:
    • 阻止从特定位置登录。
    • 触发条件访问策略,例如 MFA。
  • 允许的身份验证方法。全局管理员设置租户允许的身份验证方法
  • 自助服务选项。全局管理员设置自助服务选项,例如自助服务密码重置并在租户级别创建 Office 365 组

某些租户范围的配置的实现可以限定范围,只要它们不会被全局管理策略覆盖。例如:

  • 如果租户配置为允许外部身份,资源管理员仍然可以从访问资源中排除这些身份。
  • 如果租户配置为允许个人设备注册,资源管理员可以排除这些设备访问特定资源。
  • 如果配置了命名位置,资源管理员可以配置允许或排除来自这些位置的访问的策略。

租户管理

管理包括身份对象的管理和租户范围配置的范围实施。对象包括用户、组和设备以及服务原则。您可以确定租户范围配置对身份验证、授权、自助服务选项等的影响。

在租户中管理。

租户范围的管理员或全局管理员可以:

  • 向任何用户授予对任何资源的访问权限
  • 将资源角色分配给任何用户
  • 为任何用户分配范围较小的管理员角色

目录对象的管理

管理员管理身份对象如何访问资源以及在什么情况下访问资源。他们还可以根据自己的权限禁用、删除或修改目录对象。身份对象包括:

  • 组织身份,例如以下,由用户对象表示:
    • 管理员
    • 组织用户
    • 组织开发人员
    • 测试用户**
  • 外部身份代表来自组织外部的用户,例如:
    • 为组织环境提供本地帐户的合作伙伴或其他教育机构
    • 通过 Azure B2B 协作提供的合作伙伴或其他教育机构
  • 由对象表示,例如:
    • 安全组
    • Office 365 组
  • 设备由对象表示,例如:
    • 混合 Azure AD 加入的设备(从本地 Active Directory 同步的本地计算机)
    • Azure AD 加入的设备
    • 员工用于访问其工作场所应用程序的 Azure AD 注册移动设备。

 笔记

在混合环境中,身份通常使用Azure AD Connect从本地 Active Directory 环境同步。

身份服务管理

具有适当权限的管理员可以管理如何在资源组、安全组或应用程序级别实施租户范围的策略。在考虑资源管理时,请记住以下几点。每个都可以成为将资源保持在一起或隔离它们的原因。

  • 分配了身份验证管理员角色的身份可能需要非管理员重新注册 MFA 或 FIDO 身份验证。
  • 条件访问 (CA) 管理员可以创建 CA 策略,要求用户仅从组织拥有的设备登录特定应用程序。他们还可以确定配置范围。例如,即使租户中允许使用外部身份,他们也可以将这些身份排除在访问资源之外。
  • 云应用程序管理员可以代表所有用户同意应用程序权限。
  • 全局管理员可以控制订阅。

许可

Microsoft 付费云服务(例如 Office 365)需要许可证。这些许可证分配给需要访问服务的每个用户。Azure AD 是支持所有 Microsoft 云服务的身份管理并为用户存储有关许可证分配状态的信息的底层基础结构。传统上,管理员会使用其中一个管理门户(Office 或 Azure)和 PowerShell cmdlet 来管理许可证。Azure AD 支持基于组的许可,这使您可以将一个或多个产品许可证分配给一组用户。

Microsoft 365 教育方案中的 Azure AD

Azure AD 可帮助学生和教职员工登录并访问资源和服务,包括:

  • 登录和授权资源
    • 用于登录和电子邮件的域配置为 Azure AD 中的云身份验证。
    • 大多数外部协作功能使用Azure AD B2B 协作
  • Microsoft Office 365 功能
    • Azure AD 标识分配有 Office 365 许可证,这会触发预配。
    • Office 365 对象(例如通讯组列表、现代组、联系人和 Microsoft 团队)由 Azure AD 目录对象表示,并在 Azure AD 中进行管理。
    • Office 365 服务使用 Azure AD 组提供授权。
    • 通过 Azure AD 控制对 Office 365 的访问。
  • 治理与安全
  • 混合环境

 

发表评论

您的电子邮箱地址不会被公开。 必填项已用*标注