Einrichten von Microsoft Entra ID
Die Microsoft-Plattform für Bildungseinrichtungen vereinfacht die Verwaltung von Windows-Geräten mit Intune und Microsoft 365 Education. Der erste grundlegende Schritt besteht darin, die Identitätsinfrastruktur zum Verwalten des Benutzerzugriffs und der Berechtigungen für Ihre Bildungseinrichtung zu konfigurieren.
Microsoft Entra ID, das im Microsoft 365 Education-Abonnement enthalten ist, bietet Authentifizierung und Autorisierung für alle Microsoft-Clouddienste. Identitätsobjekte werden in Microsoft Entra ID für menschliche Identitäten wie Schüler und Lehrer sowie für nicht menschliche Identitäten wie Geräte, Dienste und Anwendungen definiert. Mit Microsoft 365-Lizenzen können Benutzer Dienste nutzen und auf Ressourcen innerhalb des Mandanten zugreifen. Mit Microsoft 365 Education können Sie Identitäten für Ihre Lehrer und Schüler verwalten, Geräten und Benutzern Lizenzen zuweisen und Gruppen für die Kursräume erstellen.
Erstellen eines Microsoft 365-Mandanten
Wenn Sie noch keinen Microsoft 365-Mandanten haben, müssen Sie einen erstellen.
Weitere Informationen finden Sie unter Erstellen Ihres Office 365 Mandanten.
Microsoft 365 Admin Center erkunden
Die Microsoft 365 Admin Center ist der Hub für alle Verwaltungskonsolen für die Microsoft 365-Cloud. Um auf die Microsoft 365 Admin Center zuzugreifen, melden Sie sich mit demselben Konto an, als Sie den Microsoft 365-Mandanten erstellt haben.
Im Microsoft 365 Admin Center können Sie auf verschiedene Verwaltungsdashboards zugreifen: Microsoft Entra ID, Microsoft Intune, Intune for Education und andere:
Weitere Informationen finden Sie unter Übersicht über die Microsoft 365 Admin Center.
Hinweis
Wenn Sie die grundlegende Cloudinfrastruktur Ihrer Bildungseinrichtung einrichten, müssen Sie nicht den Rest des Microsoft 365-Setups abschließen. Aus diesem Grund überspringen wir direkt das Hinzufügen von Kursteilnehmern und Lehrern als Benutzer im Microsoft 365-Mandanten.
Einrichten Ihrer Domäne
Sie können eine benutzerdefinierte Domäne konfigurieren, sodass Sie Benutzer und Gruppen mit einer organization spezifischen E-Mail erstellen können. Weitere Informationen findest du über die folgenden Links:
- Hinzufügen einer Domäne zu Microsoft 365
- Festlegen ihres Standarddomänennamens unter Einstellungen>Domänennamen>benutzerdefinierte Domäne
Hinzufügen von Benutzern, Erstellen von Gruppen und Zuweisen von Lizenzen
Wenn der Microsoft 365-Mandant eingerichtet ist, ist es an der Zeit, Benutzer hinzuzufügen, Gruppen zu erstellen und Lizenzen zuzuweisen. Alle Schüler und Lehrer benötigen ein Benutzerkonto, bevor sie sich anmelden und auf die verschiedenen Microsoft 365-Dienste zugreifen können. Es gibt mehrere Möglichkeiten, dies zu tun, z. B. die Verwendung von School Data Sync (SDS), die Synchronisierung eines lokales Active Directory, manuell oder beides.
Hinweis
Die Synchronisierung Ihres Schülerinformationssystems (STUDENT Information System, SIS) mit School Data Sync ist die bevorzugte Methode, um Schüler und Lehrer als Benutzer in einem Microsoft 365 Education Mandanten zu erstellen. Wenn Sie jedoch ein lokales Verzeichnis integrieren und Konten mit der Cloud synchronisieren möchten, fahren Sie mit Microsoft Entra Connect Sync fort.
School Data Sync
✅ Bereitstellen von Benutzern und Gruppen mithilfe Ihrer SIS-Daten
School Data Sync (SDS) importiert und synchronisiert SIS-Daten, um Kurse in Microsoft 365 zu erstellen, z. B. Microsoft 365-Gruppen und Klassenteams in Microsoft Teams. SDS kann verwendet werden, um neue, nur cloudbasierte Identitäten zu erstellen oder vorhandene Identitäten weiterzuentwickeln. Benutzer entwickeln sich zu Schülern oder Lehrern und werden mit einer Klasse, Schule und anderen bildungsspezifischen Attributen verknüpft.
Weitere Informationen finden Sie unter Übersicht über School Data Sync.
Tipp
Weitere Informationen und Übungen mit School Data Sync finden Sie in der Microsoft School Data Sync Demo, die detaillierte Schritte zum Zugreifen auf, Konfigurieren und Bereitstellen von School Data Sync in Ihrem Microsoft 365 Education-Mandanten enthält.
Hinweis
Sie können eine Testbereitstellung durchführen, indem Sie BEISPIEL-SDS-CSV-Schuldaten von der GitHub-Website O365-EDU-Tools klonen oder herunterladen.
Denken Sie daran, dass Sie SDS-Testdaten (Benutzer, Gruppen usw.) in der Regel in einem separaten Testmandanten und nicht in ihrer Produktionsumgebung ihrer Bildungseinrichtung bereitstellen sollten.
Microsoft Entra Connect Sync
✅Konfigurieren der Synchronisierung zwischen Active Directory und Microsoft Entra ID
Um ein lokales Verzeichnis in Microsoft Entra ID zu integrieren, können Sie Microsoft Entra Connect verwenden, um Benutzer, Gruppen und andere Objekte zu synchronisieren. mit Microsoft Entra Connect können Sie die für Ihre Bildungseinrichtung geeignete Authentifizierungsmethode konfigurieren, einschließlich:
Weitere Informationen finden Sie unter Einrichten der Verzeichnissynchronisierung für Microsoft 365.
Manuelles Erstellen von Benutzern
✅ Erstellen von Benutzern nacheinander
Zusätzlich zu den oben genannten Methoden können Sie Manuell Benutzer und Gruppen hinzufügen und Lizenzen über die Microsoft 365 Admin Center zuweisen.
Es gibt zwei Optionen zum manuellen Hinzufügen von Benutzern, entweder einzeln oder als Massenvorgang:
- So fügen Sie Schüler und Lehrer einzeln in Microsoft 365 Education als Benutzer hinzu:
- Melden Sie sich beim Microsoft Entra Admin Centeran.
- Wählen Sie Microsoft Entra ID>Benutzer>Alle Benutzer>Neuer BenutzerNeuen Benutzer> erstellen aus. Weitere Informationen finden Sie unter Gleichzeitiges Hinzufügen von Benutzern und Zuweisen von Lizenzen.
- So fügen Sie mehrere Benutzer zu Microsoft 365 Education hinzu:
- Melden Sie sich beim Microsoft Entra Admin Centeran.
- Wählen Sie Microsoft Entra ID>Benutzer>Alle Benutzer>Massenvorgänge>Massenerstellung aus.
Weitere Informationen finden Sie unter Hinzufügen mehrerer Benutzer im Microsoft 365 Admin Center.
Erstellen von Gruppen
✅ Organisieren Von Benutzern und Geräten
Das Erstellen von Gruppen ist wichtig, um mehrere Aufgaben zu vereinfachen, z. B. das Zuweisen von Lizenzen, das Delegieren der Verwaltung, das Bereitstellen von Einstellungen und Anwendungen oder das Verteilen von Aufgaben an Kursteilnehmer. So erstellen Sie Gruppen:
- Melden Sie sich beim Microsoft Entra Admin Centeran.
- Wählen Sie Microsoft Entra ID>Gruppen>Alle Gruppen>Neue Gruppe aus.
- Wählen Sie auf der Seite Neue Gruppedie Option Gruppentyp>Sicherheit aus.
- Geben Sie einen Gruppennamen an, und fügen Sie nach Bedarf Mitglieder hinzu.
- Wählen Sie Weiter aus.
Weitere Informationen finden Sie unter Erstellen einer Gruppe im Microsoft 365 Admin Center.
Lizenzen zuweisen
✅ Zuweisen von Lizenzen zu Benutzern
Die empfohlene Möglichkeit zum Zuweisen von Lizenzen ist die gruppenbasierte Lizenzierung. Mit dieser Methode stellt Microsoft Entra ID sicher, dass allen Mitgliedern der Gruppe Lizenzen zugewiesen werden. Allen neuen Mitgliedern, die der Gruppe beitreten, werden die entsprechenden Lizenzen zugewiesen, und wenn Mitglieder die Gruppe verlassen, werden ihre Lizenzen entfernt.
So weisen Sie einer Gruppe eine Lizenz zu:
- Melden Sie sich beim Microsoft Entra Admin Centeran.
- Wählen Sie Microsoft Entra ID>Weitere>Abrechnungslizenzen>anzeigen aus.
- Wählen Sie die erforderlichen Produkte aus, die Sie Lizenzen für >Zuweisen zuweisen möchten.
- Fügen Sie die Gruppen hinzu, denen die Lizenzen zugewiesen werden sollen.
Weitere Informationen finden Sie unter Gruppenbasierte Lizenzierung mit Microsoft Entra Admin Center.
Konfigurieren des Schulbrandings
✅ Anpassen des Mandantenbrandings
Die Konfiguration ihres Schulbrandings ermöglicht Schülern und Lehrern eine vertrautere Autopilot-Erfahrung. Mit einem benutzerdefinierten Schulbranding können Sie ein benutzerdefiniertes Logo und eine Begrüßungsnachricht definieren, die während der Windows-Willkommensseite (Windows Out-of-Box Experience, OOBE) sichtbar ist.
So konfigurieren Sie das Branding Ihrer Bildungseinrichtung:
- Melden Sie sich beim Microsoft Entra Admin Centeran.
- Wählen Sie Microsoft Entra ID>Weitere>Benutzeroberflächen>anzeigen Unternehmensbranding aus.
- Sie können Markeneinstellungen wie Hintergrundbild, Logo, Benutzernamenhinweis und Anmeldeseitentext angeben.
- Um den Während der OOBE angezeigten Namen des Schulmandanten anzupassen, wählen Sie Microsoft Entra ID>Übersichtseigenschaften> aus.
- Geben Sie im Feld Name den Schulbezirk oder organization Namen >Speichern ein.
Weitere Informationen finden Sie unter Hinzufügen von Branding zu Ihrem Verzeichnis.
Konfigurieren von Geräteeinstellungen
In diesem Abschnitt konfigurieren Sie Microsoft Entra Geräteeinstellungen.
Aktivieren Microsoft Entra Joins
✅Aktivieren von Microsoft Entra Join- und Gerätegrenzwerten
So lassen Sie Microsoft Entra Join zu:
- Melden Sie sich beim Microsoft Entra Admin Centeran.
- Wählen Sie Microsoft Entra ID>Gerätegeräteeinstellungen> aus.
- Wählen Sie unter Benutzer dürfen Geräte in Microsoft Entra ID einbinden die Option Alle aus.
Hinweis
Wenn es erforderlich ist, dass nur bestimmte Benutzer Geräte mit Microsoft Entra ID verbinden können, wählen Sie Ausgewählt aus. Wenn Sie Bereitstellungspakete verwenden, stellen Sie sicher, dass das Benutzerkonto, mit dem Bereitstellungspakete erstellt werden, in der Liste der Benutzer enthalten ist.
- Sie können auch den Wert Maximale Anzahl von Geräten pro Benutzer auf dieser Seite überprüfen, den Education-Kunden häufig auf Unbegrenzt festlegen.
- Wählen Sie Speichern
Hinweis
Zum Erstellen eines Massenregistrierungstokens (das von einem Bereitstellungspaket zum Durchführen der Entra-Einbindung verwendet wird) benötigen Sie eine unterstützte Microsoft Entra Rollenzuweisung und dürfen nicht auf eine Verwaltungseinheit in Microsoft Entra ID. Folgende Rollen werden unterstützt:
- Globaler Administrator
- Cloudgeräteadministrator
- Intune Administrator
- Kennwortadministrator
Weitere Informationen finden Sie unter Erteilen von Administratorberechtigungen im Microsoft Intune Admin Center.
Aktivieren der Speicherung von lokalen Administratorkennwörtern (optional)
✅Aktivieren von Microsoft Entra zum Speichern lokaler Administratorkennwörter
Microsoft Entra können die lokalen Administratorkennwörter für Geräte speichern. Geräte müssen über Intune konfiguriert werden, um das Kennwort in Entra zu speichern. Dadurch kann Entra das Kennwort von Geräten akzeptieren.
So lassen Sie zu, dass Entra das lokale Administratorkennwort speichern kann:
| Klinge | Konfigurationsgruppe | Einstellung | Wert |
|---|---|---|---|
| Alle Geräte\Geräteeinstellungen | Lokale Administratoreinstellungen | Aktivieren Microsoft Entra Lokalen Administratorkennwortlösung (LAPS) (Vorschau) | Ja |
| Alle Geräte\Geräteeinstellungen | Weitere Einstellungen | Einschränken, dass Benutzer die BitLocker-Schlüssel für ihre eigenen Geräte wiederherstellen | Nein |
Weitere Informationen finden Sie unter Windows Local Administrator Password Solution in Microsoft Entra ID.
Konfigurieren von Enterprise State Roaming (optional)
✅ Deaktivieren von Enterprise State Roaming
| Klinge | Konfigurationsgruppe | Einstellung | Wert |
|---|---|---|---|
| Alle Geräte\Enterprise State Roaming | Benutzer können Einstellungen und App-Daten geräteübergreifend synchronisieren | Benutzer können Einstellungen und App-Daten geräteübergreifend synchronisieren | Keine |
Weitere Informationen finden Sie unter Aktivieren von Enterprise State Roaming in Microsoft Entra ID.
Einschränken des Zugriffs auf administrative Aktionen (optional)
✅ Konfigurieren Ihres Mandanten zur Verringerung des Benutzerzugriffs
Microsoft Entra verfügt über mehrere Steuerelemente, mit denen Sie die Administrative Funktionalität für Benutzer ohne Administratorrolle in Microsoft Entra einschränken können.
Diese Tabelle enthält eine Liste häufig konfigurierter Einstellungen.
| Klinge | Konfigurationsgruppe | Einstellung | Wert |
|---|---|---|---|
| Benutzereinstellungen | Standardberechtigungen für Benutzerrollen | Benutzer können Anwendungen registrieren | Nein |
| Benutzereinstellungen | Standardberechtigungen für Benutzerrollen | Einschränken der Erstellung von Mandanten durch Benutzer ohne Administratorrechte | Ja |
| Benutzereinstellungen | Standardberechtigungen für Benutzerrollen | Benutzer können Sicherheitsgruppen erstellen | Nein |
| Benutzereinstellungen | Gastbenutzerzugriff | Zugriffsbeschränkungen für Gastbenutzer | Der Gastbenutzerzugriff ist auf Eigenschaften und Mitgliedschaften eigener Verzeichnisobjekte beschränkt (restriktiv) |
| Benutzereinstellungen | Verwaltungsportal | Einschränken des Zugriffs auf Microsoft Entra ID-Verwaltungsportal | Ja |
| Benutzereinstellungen | LinkedIn-Kontoverbindungen | Benutzern erlauben, ihr Geschäfts-, Schul- oder Unikonto mit LinkedIn zu verbinden | Nein |
| Benutzereinstellungen | Benutzer angemeldet bleiben anzeigen | Benutzer angemeldet bleiben anzeigen | Ja |
Mit den folgenden Artikeln können Sie zusätzliche Steuerelemente anwenden, um den Zugriff auf Ihr Verzeichnis zu verwalten:
- Einschränken der Standardberechtigungen von Mitgliedsbenutzern
- Verwalten des Verzeichniszugriffs
- PowerShell für EDU-Mandanten blockieren
Einschränken des Zugriffs auf Gruppen (optional)
✅ Konfigurieren Ihres Mandanten zum Reduzieren der Gruppenverwaltungsfunktionen
Microsoft Entra verfügt über mehrere Steuerelemente, mit denen Sie die Gruppenfunktionalität für Benutzer einschränken können.
Diese Tabelle enthält eine Liste häufig konfigurierter Einstellungen.
| Klinge | Konfigurationsgruppe | Einstellung | Wert |
|---|---|---|---|
| Gruppeneinstellungen | Allgemein\Self-Service-Gruppenverwaltung | Besitzer können Gruppenmitgliedschaftsanforderungen in "Meine Gruppen" verwalten. | Ja |
| Gruppeneinstellungen | Allgemein\Self-Service-Gruppenverwaltung | Einschränken der Benutzerberechtigung für den Zugriff auf Gruppenfeatures in "Meine Gruppen" | Ja |
| Gruppeneinstellungen | Allgemein\Sicherheitsgruppen | Benutzer können Sicherheitsgruppen in Azure-Portalen, in der API oder in PowerShell erstellen. | Nein |
| Gruppeneinstellungen | Allgemein\Microsoft 365-Gruppen | Benutzer können Microsoft 365-Gruppen in Azure-Portalen, in der API oder in PowerShell erstellen. | Nein |
Weitere Informationen finden Sie unter Informationen zu Gruppen und Zugriffsrechten in Microsoft Entra ID.
Nächste Schritte
Nachdem Benutzer und Gruppen erstellt und für Microsoft 365 Education lizenziert wurden, können Sie jetzt Microsoft Intune konfigurieren.