設計帳戶策略

  • 發行項

大型學術機構必須考慮如何為學生、授課者和其他人員建立帳戶。 本節說明如何在跨多個 Microsoft Entra 租使用者的大型 EDU 中建立帳戶。

僅限雲端帳戶

建議您盡可能使用僅限雲端的身分識別。 僅限雲端的身分識別是由在 Microsoft Entra ID 中建立和維護的用戶帳戶物件來表示。 使用僅限雲端的身分識別時,您所有的使用者、群組和聯繫人都會儲存在 Microsoft Entra 租使用者中。

僅限雲端身分識別最適合不使用 Active Directory 網域服務 (AD DS) 來管理本機身分識別或具有其他內部部署身分識別的組織。 其最大優點是其簡單性,因為不需要額外的目錄工具或伺服器。

建議針對下列教育組織建立僅限雲端帳戶:

  • 已將其 SaaS 應用程式與 Microsoft Entra ID 整合。

  • 請勿依賴內部部署 AD DS 來管理身分識別。

  • 想要使用 學校數據同步 (SDS) ,根據其在線學生資訊系統 (SIS) 建立新的僅限雲端身分識別。

混合式帳戶

混合式身分識別是由內部部署 AD DS 中建立的用戶物件表示,然後同步至 Microsoft Entra 租使用者。 這些帳戶會建立用於驗證和授權的通用使用者身分識別。 當使用者需要內部部署和雲端應用程式的混合存取權時,通常會使用混合式帳戶。

混合式身分識別最適合使用AD DS的組織。 其最大優點是可讓使用者在存取內部部署或雲端式資源時使用相同的認證。

建立和維護混合式帳戶比管理僅限雲端帳戶更複雜,而且只建議用於下列教育組織:

  • 需要存取內部部署和雲端式資源。

  • 使用 AD DS 或其他識別提供者建立和管理用戶帳戶。

如何註冊

在大部分的國家/地區中,您的機構不需要採取任何系統管理動作來註冊使用者。 您可以使用 Office 365 Campus Marketing 工具組中的內容,將 Office 365 A1 或 Office 365 A1 Plus 的可用性傳達給學生和教職員。 此工具組包含範本化的電子郵件、海報、Web 橫幅等,可協助您提高學生、教職員和教職員的認知度。 請連絡您的 Microsoft 代表,詢問有關貴校應採取步驟的特定問題。

某些國家/地區的客戶必須設定租使用者,以允許經過電子郵件驗證的使用者加入租使用者。 系統管理員可以依照下列步驟,將 Office 365 A1 或 Office 365 A1 Plus 提供給學生和教職員使用:

  1. 如果您使用 Windows 7,請安裝 適用於 IT 專業人員的 Microsoft Online Services Sign-In Assistant。 如果您使用 Windows 8 或更新版本,則不需要此步驟。

  2. 安裝適用於 Windows PowerShell 的最新 64 位版本 Azure Active Directory 模組

  3. 輸入下列 Windows PowerShell 命令,讓新使用者能自動加入您的 Office 365 租用戶:
    Set-MsolCompanySettings -AllowEmailVerifiedUsers $true

如需詳細資訊,請 參閱我們需要採取哪些步驟,才能將此功能提供給學生、教職員?

建立 M365 A1 帳戶

有多種方式可為使用者建立 Office 365 帳戶。 建立帳戶的方式取決於您目前的狀態。

圖片 1。

當 Office 365 帳戶已存在時

如果您的學校有現有的 Office 365 環境,讓學生、教職員或教職員已經擁有公司或學校帳戶,Microsoft 將會自動啟用並指派 Office 365 EDU A1 授權給現有的帳戶。 啟用之後,用戶會自動收到其他可用服務的通知,包括在適用時下載 Office 365 專業增強版。 如果使用者已經擁有透過學校指派的 Office 365 A1 Plus 帳戶或任何其他 Office 365 專業增強版 授權,系統會將他們重新導向以使用其現有的認證登入,並收到包含 [立即安裝] 提示的通知。

當使用者只有電子郵件時

Office 365 教育版 為使用者提供具有學校電子郵件位址的自助式簽署。 他們可以註冊 Office 365 A1,包括每個使用者 1 TB 的 商務用 OneDrive 記憶體、Office 網頁版、SharePoint Online 和 Yammer。 註冊之後,用戶會自動接收帳戶,並可存取隨附於 Office 365 A1的服務。

例如,如果學生使用其學校電子郵件位址 「Student@fineartsschool.edu註冊,Microsoft 會自動將他們新增為 fineartsschool.onmicrosoft.com Office 365環境中的使用者。 系統會為其帳戶啟用 Office 365 A1。 如果他們在符合學生使用權益資格的學校就讀,將會獲得授權讓他們安裝 Office 365 專業增強版。

系統管理員可以使用下列 Microsoft Entra Cmdlet 來設定這些功能

Set-MsolCompanySettings -AllowEmailVerifiedUsers $true

如需詳細資訊,請參閱 Office 365 教育版 Self-Sign:技術常見問題

當使用者有內部部署帳戶時

混合式帳戶的同步處理是包含兩個元件的兩個步驟程式:Microsoft Entra Connect 和 School Data Sync。

Microsoft Entra Connect 是用來同步處理使用者、群組和其他物件 內部部署的 Active Directory Microsoft Entra ID 的 Microsoft 工具。 它會在內部部署伺服器上執行、檢查 AD DS 中的變更,並將這些變更轉送至 Microsoft Entra ID。 Microsoft Entra Connect 也提供篩選哪些帳戶已同步處理,以及是否要使用密碼哈希同步處理來驗證使用者 (PHS) 傳遞驗證 (PTA) 或使用同盟

注意事項

建議您 Microsoft Entra 使用 PHS 進行驗證,因為這是混合式帳戶使用 Microsoft Entra ID 進行驗證的最簡單方式。 您只需要管理一部伺服器,並取得順暢的單一登錄和雲端多重要素驗證。 不論您選擇哪種驗證方法,Microsoft Entra ID 的某些進階功能,例如 Identity ProtectionMicrosoft Entra Domain Services,都需要密碼哈希同步處理。 ​

Microsoft Entra Connect 有兩種安裝類型:Express 和 Custom。 Express 是最常用的,其設計目的是要提供適用於大部分客戶案例的設定。 快速安裝假設您的單一樹系在 內部部署的 Active Directory 中具有少於 100,000 個物件。 PHS 會使用此選項自動啟用。

如果您有超過 100,000 個物件或多個樹系,請使用 Microsoft Entra Connect 的自定義安裝。 如果您打算使用同盟或 PTA 進行使用者驗證,也請使用自定義安裝。

如需詳細資訊,請參閱選取要用於 Microsoft Entra Connect 的安裝類型

學校數據同步 (SDS) 是 Microsoft 365 教育版 中的免費服務,可從學校的學生資訊系統 (SIS) 讀取數據。 它會建立

  • Teams 教育版。 SDS 可根據 SDS 建立的 O365 群組和名冊,自動建立班級小組。

  • OneNote 課程筆記本。 SDS 可在 Teams 教育版 內啟用自動化 OneNote 課程筆記本布建。 啟用時,每個課程筆記本都會建立區段,並根據同步期間匯入的SDS 類別名冊數據設定許可權。

  • Exchange Online 和 SharePoint Online。 SDS 會建立 Office 365 群組以進行在線傳訊、檔案共用和共同作業。

  • Intune 教育版。 SDS 會針對細微的裝置原則建立以學校為基礎的安全組,也可以為所有同步的學生和教師提供教育用 Intune 的自動化大量授權。

  • SaaS 應用程式。 SDS 與 Microsoft Store 內的許多應用程式整合,並啟用名冊和單一 Sign-On (SSO) 應用程式整合。

SDS 通常會與 內部部署的 Active Directory 和 Microsoft Entra Connect 一起部署。 您可以使用 Microsoft Entra Connect 從內部部署建立使用者和群組,然後使用 SDS 將其他學生和教師屬性從 SIS 同步至 Microsoft Entra Connect 所建立的帳戶物件。

Microsoft Entra Connect 和 SDS 永遠不會發生衝突,因為 SDS 不會同步或覆寫由 Microsoft Entra Connect 管理的任何屬性。 您也可以建立使用 SDS。 您可以使用 SDS 直接從 SIS 同步處理和建立使用者,而不是使用 Microsoft Entra Connect。

如需詳細資訊,請參閱 使用學校數據同步 (SDS) 同步處理您的 SIS

將帳戶從內部部署 AD 同步至 Microsoft Entra 租使用者

Azure Ad Connect 和 SDS。

使用 SDS 和 SIS 將帳戶同步至 Azure 租使用者

SDS 和 SIS 同步處理。

大量建立新帳戶

在具有現有 內部部署的 Active Directory 的混合式環境中,使用 PowerShell 腳本和 CSV 檔案來大量建立使用者。 建立之後,系統管理員可以使用 Microsoft Entra Connect 將帳戶同步至 Microsoft Entra ID。

在僅限雲端的環境中,從 SIS 數據匯出或建立學校數據同步的 CSV 檔案、設定同步處理配置檔,並將 CSV 上傳至 SDS,以大量建立新的僅限雲端 Microsoft Entra 帳戶。

挑戰和限制

雖然大型EDUS將受益於區域型多租用戶架構,但可能會對您應該注意的用戶帶來一些挑戰,包括:

  • 每個租用戶都必須有自己的命名空間。 例如,region1.fineartsschool.edu。

    • 用戶必須留意其區域後綴,例如 @ region1.fineartsschool.edu。

  • 除非系統管理員啟用並設定,否則使用者將無法使用 SharePoint、OneDrive 和 Microsoft Teams 跨租使用者共同作業。

  • 多租使用者 MFA

    • 用戶必須在每個租用戶中註冊 MFA。
    • 裝置狀態控制件 (例如,) 無法跨租使用者套用。

授權

您不需要將授權指派給執行 Office 365 A1 自助式註冊的使用者。 當用戶這麼做時,會自動指派 A1 或 A1 Plus 授權。

只有在使用者需要存取需要授權的服務時,才應將授權指派給使用者,例如 Exchange Online 或 SharePoint Online。

針對具有下列專案的大型EDU組織,建議使用群組型授權

  • Microsoft Entra ID P1 和更新版本的付費或試用訂用帳戶

  • Office 365 企業版 E3、Office 365 A3、Office 365 GCC G3、GCCH Office 365 E3 或 DOD Office 365 E3 的付費或試用版。

授權會指派給群組的所有成員,而當新成員新增至群組時,他們也會獲指派適當的授權。 ​

如果您沒有群組型授權的其中一個必要授權,您可以使用PowerShell來指派授權,如使用 PowerShell將 Microsoft 365 授權指派給用戶帳戶中所述。

另一個選項是使用 Microsoft 365 系統管理中心 ,手動將授權指派給使用者。 不建議大型組織使用手動指派。

後續步驟