大型学术机构需要考虑如何创建学生、教育者和其他人的账户。本节介绍如何在跨多个 Azure Active Directory (Azure AD) 租户的大型 EDU 中创建帐户。

仅云帐户

我们建议尽可能使用仅限云的身份。仅云标识由在 Azure Active Directory (Azure AD) 中创建和维护的用户帐户对象表示。使用仅限云的标识,所有用户、组和联系人都存储在 Azure AD 租户中。

仅云身份最适合不使用 Active Directory 域服务 (AD DS) 来管理本地身份或具有其他本地身份的组织。它最大的好处是它的简单性,因为不需要额外的目录工具或服务器。

建议为以下教育组织创建仅限云的帐户:

  • 已经将他们的 SaaS 应用程序与 Azure AD 集成。
  • 不要依赖本地 AD DS 来管理身份。
  • 想使用学校数据同步 (SDS)基于他们的在线学生信息系统 (SIS) 创建新的仅云身份。

混合账户

混合标识由在本地 AD DS 中创建、然后同步到 Azure AD 租户的用户对象表示。这些帐户创建用于身份验证和授权的通用用户身份。当用户需要访问本地和云应用程序的混合时,通常使用混合帐户。

混合身份最适合使用 AD DS 的组织。它们最大的好处是它使用户能够在访问本地或基于云的资源时使用相同的凭据。

创建和维护混合帐户比管理仅限云的帐户更复杂,仅推荐用于以下教育组织:

  • 需要访问本地和基于云的资源。
  • 使用 AD DS 或其他身份提供商创建和管理用户帐户。

如何报名

在大多数国家/地区,您的机构无需采取任何管理措施来注册用户。您可以使用Office 365 Campus Marketing 工具包中的内容向学生、教职员工传达 Office 365 A1 或 Office 365 A1 Plus 的可用性。该工具包包含模板化的电子邮件、海报、网页横幅等,可帮助您提高学生、教职员工的意识。如有关于您的学校应采取的步骤的具体问题,请联系您的 Microsoft 代表。

某些国家/地区的客户必须配置租户以允许通过电子邮件验证的用户加入租户。管理员可以按照以下步骤向学生和教职员工提供 Office 365 A1 或 Office 365 A1 Plus:

  1. 为 IT 专业人员安装Microsoft Online Services 登录助手
  2. 安装适用于 Windows PowerShell的最新64 位版本的 Azure Active Directory 模块
  3. 键入以下 Windows PowerShell 命令以使新用户能够自动加入您的 Office 365 租户:
    Set-MsolCompanySettings -AllowEmailVerifiedUsers $true

有关更多信息,请参阅我们需要采取哪些步骤才能向学生、教职员工提供此服务?

创建 M365 A1 账户

有多种方法可以为用户创建 Office 365 帐户。您如何创建帐户取决于您当前的状态。

图片1。

当 Office 365 帐户已存在时

如果您的学校现有 Office 365 环境,其中学生、教职员工已经拥有工作或学校帐户,Microsoft 将自动激活 Office 365 EDU A1 许可证并将其分配给现有帐户。激活后,用户将自动收到可用的附加服务通知,包括下载 Office 365 专业增强版(如果适用)的能力。如果用户已经拥有 Office 365 A1 Plus 帐户或通过您的学校分配的任何其他 Office 365 ProPlus 许可证,他们将被重定向以使用其现有凭据登录并收到包含立即安装提示的通知。

当用户只有电子邮件时

Office 365 教育版为具有学校电子邮件地址的用户提供自助服务标志。他们可以注册 Office 365 A1,其中包括每位用户 1 TB 的 OneDrive for Business 存储空间、Office 网页版、SharePoint Online 和 Yammer。注册后,用户会自动收到一个帐户,并可以访问 Office 365 A1 附带的服务。

例如,如果学生使用其学校电子邮件地址“Student@fineartsschool.edu”进行注册,Microsoft 将自动将其添加为 Fineartsschool.onmicrosoft.com Office 365 环境中的用户。将为他们的帐户激活 Office 365 A1。如果他们就读于符合学生使用权益的学校,他们将获得允许他们安装 Office 365 专业增强版的许可证。

管理员可以使用以下 Azure AD cmdlet配置这些功能

设置-MsolCompanySettings -AllowEmailVerifiedUsers $true

有关详细信息,请参阅Office 365 教育版自助注册:技术常见问题解答

当用户拥有本地帐户时

混合帐户的同步是一个两步过程,涉及两个组件:Azure AD Connect 和学校数据同步。

Azure AD Connect是 Microsoft 工具,用于将本地 Active Directory 用户、组和其他对象同步到 Azure AD。它在本地服务器上运行,检查 AD DS 中的更改,并将这些更改转发到 Azure AD。Azure aD Connect 还提供了筛选哪些帐户已同步以及是否使用密码哈希同步 (PHS)传递身份验证 (PTA)或使用联合身份验证用户的功能。

 笔记

我们推荐使用 PHS 的 Azure AD Connect 进行身份验证,因为这是混合帐户使用 Azure AD 进行身份验证的最简单方法。您只需管理一台服务器,即可获得无缝的单点登录和云多重身份验证。无论您选择哪种身份验证方法,Azure AD 的一些高级功能(例如身份保护Azure AD 域服务)都需要密码哈希同步。

Azure AD Connect 有两种安装类型供安装:快速和自定义。Express 是最常见的,旨在提供适用于大多数客户场景的配置。快速安装假定您在本地 Active Directory 中有一个包含少于 100,000 个对象的林。使用此选项会自动启用 PHS。

如果有超过 100,000 个对象或多个林,请使用 Azure AD Connect 的自定义安装。如果您计划使用联合或 PTA 进行用户身份验证,也可以使用自定义安装。

有关详细信息,请参阅选择要用于 Azure AD Connect 的安装类型

学校数据同步(SDS) 是 Microsoft 365 教育版中的一项免费服务,可从学校的学生信息系统 (SIS) 读取数据。它创建

  • 教育团队。SDS 支持基于 SDS 创建的 O365 组和名册自动创建班级团队。
  • OneNote 课堂笔记本。SDS 可在 Teams for Education 中启用自动 OneNote 课堂笔记本预配。启用后,每个课堂笔记本都将根据同步期间导入的 SDS 班级排班数据创建部分和设置权限。
  • Exchange Online 和 SharePoint Online。SDS 为在线消息传递、文件共享和协作创建 Office 365 组。
  • Intune 教育版。SDS 为精细设备策略创建基于学校的安全组,还可以为所有同步的学生和教师提供 Intune for Education 的自动批量许可。
  • SaaS 应用程序。SDS 与 Microsoft Store 中的众多应用程序集成,并支持排班和单点登录 (SSO) 应用程序集成。

SDS 通常与本地 Active Directory 和 Azure AD Connect 一起部署。您可以使用 Azure AD Connect 从本地创建用户和组,然后使用 SDS 将其他学生和教师属性从 SIS 同步到 Azure AD Connect 创建的帐户对象。

Azure AD Connect 和 SDS 永远不会发生冲突,因为 SDS 不会同步或覆盖 Azure AD Connect 管理的任何属性。您还可以创建使用 SDS。可以使用 SDS 直接从 SIS 同步和创建用户,而不是使用 Azure AD Connect。

有关详细信息,请参阅使用学校数据同步 (SDS) 同步您的 SIS

将帐户从本地 AD 同步到 Azure AD 租户

Azure 广告连接和 SDS。

使用 SDS 和 SIS 将帐户同步到 Azure 租户

SDS 和 SIS 同步。

批量创建新帐户

在具有现有本地 Active Directory 的混合环境中,使用PowerShell 脚本和 CSV 文件批量创建用户。创建后,管理员可以使用 Azure AD Connect 将帐户同步到 Azure AD。

在纯云环境中,从 SIS 数据导出或创建用于学校数据同步的 CSV 文件,设置同步配置文件,并将CSV 上传到 SDS以批量创建新的纯云 Azure AD 帐户。

挑战和局限

虽然大型 EDU 将受益于基于区域的多租户架构,但它可能会给用户带来一些您应该注意的挑战,包括:

  • 每个租户必须有自己的命名空间。例如,region1.fineartsschool.edu。
    • 用户需要知道他们的地区后缀,例如@ region1.fineartsschool.edu。
  • 除非由管理员启用和配置,否则用户将无法使用 SharePoint、OneDrive 和 Microsoft Teams 进行跨租户协作。
  • 多租户 MFA
    • 用户必须在每个租户中注册 MFA。
    • 设备状态控制(例如合规)不能跨租户应用。

许可

您不必为执行 Office 365 A1 自助注册的用户分配许可证。当用户这样做时,会自动分配 A1 或 A1 Plus 许可证。

仅当用户需要访问需要许可证的 Exchange Online 或 SharePoint Online 等服务时,才应将许可证分配给用户。

对于具有以下条件的大型 EDU 组织,建议使用基于组的许可

  • Azure AD Premium P1 及更高版本的付费或试用订阅
  • Office 365 Enterprise E3、Office 365 A3、Office 365 GCC G3、Office 365 E3 for GCCH 或 Office 365 E3 for DOD 的付费或试用版。

许可证被分配给组的所有成员,当新成员添加到组时,他们也将被分配适当的许可证。

如果您不拥有基于组的许可所需的许可证之一,则可以使用 PowerShell 分配许可证,如使用 PowerShell将 Microsoft 365 许可证分配给用户帐户中所述

另一种选择是使用 Microsoft 365管理中心手动为用户分配许可证。不建议对大型组织进行手动分配。

发表评论

您的电子邮箱地址不会被公开。 必填项已用*标注