Diseño de una estrategia de cuenta
Las grandes instituciones académicas deben tener en cuenta cómo se crearán las cuentas de los alumnos, educadores y otros. En esta sección se describe cómo abordar la creación de cuentas en un edu grande que abarca varios inquilinos Microsoft Entra.
Cuentas solo en la nube
Se recomienda usar identidades solo en la nube siempre que sea posible. Las identidades solo en la nube se representan mediante objetos de cuenta de usuario que se crean y mantienen en Microsoft Entra ID. Con las identidades solo en la nube, todos los usuarios, grupos y contactos se almacenan en el inquilino de Microsoft Entra.
Las identidades solo en la nube son mejores para las organizaciones que no usan Servicios de dominio de Active Directory (AD DS) para administrar identidades locales o tener otras identidades locales. Su mayor ventaja es su simplicidad, ya que no se requieren herramientas de directorio ni servidores adicionales.
Se recomienda crear cuentas solo en la nube para organizaciones educativas que:
ya han integrado sus aplicaciones SaaS con Microsoft Entra ID.
no se basan en AD DS local para administrar identidades.
le gustaría usar School Data Sync (SDS) para crear nuevas identidades solo en la nube basadas en sus sistemas de información de estudiantes en línea (SIS).
Cuentas híbridas
Las identidades híbridas se representan mediante objetos de usuario que se crean en un AD DS local y, a continuación, se sincronizan con un inquilino de Microsoft Entra. Estas cuentas crean una identidad de usuario común para la autenticación y autorización. Las cuentas híbridas se usan normalmente cuando los usuarios requieren acceso a una combinación de aplicaciones locales y en la nube.
Las identidades híbridas son mejores para las organizaciones que usan AD DS. Su mayor ventaja es que permite a los usuarios usar las mismas credenciales al acceder a recursos locales o basados en la nube.
Crear y mantener cuentas híbridas es más complejo que administrar cuentas solo en la nube y solo se recomienda para organizaciones educativas que:
necesitan acceso a recursos locales y basados en la nube.
crear y administrar cuentas de usuario mediante AD DS u otro proveedor de identidades.
Inscripción
En la mayoría de los países o regiones, no hay ninguna acción administrativa que su institución necesite realizar para inscribir a los usuarios. Puede comunicar la disponibilidad de Office 365 A1, o Office 365 A1 Plus, a sus alumnos, profesores y personal mediante el uso de contenido del kit de herramientas de marketing de Office 365 Campus. El kit de herramientas contiene correos electrónicos con plantillas, pósteres, banners web y mucho más para ayudarle a aumentar la concienciación entre los alumnos, profesores y personal. Póngase en contacto con su representante de Microsoft si tiene preguntas específicas sobre los pasos que debería tomar su escuela.
Los clientes de algunos países o regiones deben configurar el inquilino para permitir que los usuarios comprobados por correo electrónico se unan al inquilino. Los administradores pueden poner Office 365 A1 o Office 365 A1 Plus a disposición de los alumnos y profesores siguiendo estos pasos:
Si usa Windows 7, instale Microsoft Online Services Sign-In Assistant para profesionales de TI. Si usa Windows 8 o una versión más reciente, este paso no es necesario.
Instale la versión más reciente de 64 bits del módulo de Azure Active Directory para Windows PowerShell.
Escriba el comando de Windows PowerShell siguiente para permitir que los usuarios nuevos se unan de forma automática a su inquilino de Office 365:
Set-MsolCompanySettings -AllowEmailVerifiedUsers $true
Para obtener más información, consulte ¿Qué pasos debemos seguir para que esto esté disponible para los alumnos, profesores y personal?
Creación de cuentas de M365 A1
Hay varias formas de crear cuentas de Office 365 para los usuarios. La forma de crear las cuentas depende del estado actual.
Cuando ya existen cuentas de Office 365
Si su escuela tiene un entorno de Office 365 existente en el que los alumnos, profesores o personal ya tienen una cuenta profesional o educativa, Microsoft activará y asignará automáticamente Office 365 licencias EDU A1 a las cuentas existentes. Después de la activación, se notificará automáticamente a los usuarios los servicios adicionales disponibles, incluida la capacidad de descargar Office 365 ProPlus si procede. Si el usuario ya tiene una cuenta de Office 365 A1 Plus o cualquier otra licencia de Office 365 ProPlus asignada a través de su centro educativo, se le redirigirá para iniciar sesión con sus credenciales existentes y recibir una notificación que incluya un mensaje Instalar ahora.
Cuando los usuarios solo tienen correos electrónicos
Office 365 Educación proporciona un inicio de sesión de autoservicio para los usuarios con direcciones de correo electrónico de la escuela. Pueden registrarse para Office 365 A1, que incluye 1 TB de almacenamiento de OneDrive para la Empresa por usuario, Office para la Web, SharePoint Online y Yammer. Después de registrarse, los usuarios reciben automáticamente una cuenta y pueden acceder a los servicios incluidos con Office 365 A1.
Por ejemplo, si un alumno usa su dirección de correo electrónico de la escuela "Student@fineartsschool.edu" para registrarse, Microsoft los agregará automáticamente como usuario en el entorno de fineartsschool.onmicrosoft.com Office 365. Office 365 A1 se activará para su cuenta. Si asisten a una escuela que es apta para el beneficio de uso del estudiante, se les proporcionará una licencia que les permita instalar Office 365 ProPlus.
Un administrador puede configurar estas funcionalidades mediante el siguiente cmdlet de Microsoft Entra:
Set-MsolCompanySettings -AllowEmailVerifiedUsers $true
Para obtener más información, consulte Office 365 Educación Self-Sign: Preguntas más frecuentes técnicas.
Cuando los usuarios tienen cuentas locales
La sincronización de cuentas híbridas es un proceso de dos pasos que implica dos componentes: Microsoft Entra Connect y School Data Sync.
Microsoft Entra Connect es la herramienta de Microsoft que se usa para sincronizar Active Directory local usuarios, grupos y otros objetos para Microsoft Entra ID. Se ejecuta en un servidor local, comprueba si hay cambios en AD DS y reenvía esos cambios a Microsoft Entra ID. Microsoft Entra Connect también proporciona la capacidad de filtrar qué cuentas se sincronizan y si se autentican los usuarios mediante la sincronización de hash de contraseña (PHS), la autenticación de paso a través (PTA) o mediante la federación.
Nota:
Se recomienda Microsoft Entra Conectar con PHS para la autenticación, ya que es la manera más sencilla de que las cuentas híbridas se autentiquen con Microsoft Entra ID. Solo tiene que administrar un servidor y obtener un inicio de sesión único sin problemas y la autenticación multifactor en la nube. Algunas características premium de Microsoft Entra ID, como Identity Protection y Servicios de dominio de Microsoft Entra, requieren sincronización de hash de contraseña, independientemente del método de autenticación que elija.
Microsoft Entra Connect tiene dos tipos de instalación para la instalación: Express y Custom. Express es el más común y se diseñó para proporcionar una configuración que funcione para la mayoría de los escenarios de clientes. La instalación rápida supone que tiene un único bosque con menos de 100 000 objetos en el Active Directory local. PHS se habilita automáticamente con esta opción.
Si tiene más de 100 000 objetos o varios bosques, use una instalación personalizada de Microsoft Entra Connect. Use también una instalación personalizada si tiene previsto usar la federación o pta para la autenticación de usuarios.
Para obtener más información, vea Seleccionar el tipo de instalación que se va a usar para Microsoft Entra Connect.
School Data Sync (SDS) es un servicio gratuito en Microsoft 365 Educación que lee los datos del sistema de información de estudiantes (SIS) de una escuela. Crea
Teams para Educación. SDS permite la creación automática del equipo de clase en función de la Grupos Y la lista de O365 creadas por SDS.
Blocs de notas de clase de OneNote. SDS permite el aprovisionamiento automatizado de OneNote Class Notebook dentro de Teams para Educación. Cuando se habilita, cada bloc de notas de clase tendrá secciones creadas y permisos establecidos en función de los datos de la lista de clases SDS importados durante la sincronización.
Exchange Online y SharePoint Online. SDS crea Office 365 Grupos para la mensajería en línea, el uso compartido de archivos y la colaboración.
Intune para educación. SDS crea Grupos de seguridad basadas en escuelas para directivas de dispositivos pormenorizadas y también puede proporcionar licencias masivas automatizadas de Intune para Educación para todos los alumnos y profesores sincronizados.
Aplicaciones SaaS. SDS se integra con numerosas aplicaciones dentro de Microsoft Store y permite la integración de aplicaciones de Rostering y Single Sign-On (SSO).
SDS a menudo se implementa junto con Active Directory local y Microsoft Entra Connect. Puede usar Microsoft Entra Conectar para crear usuarios y grupos desde el entorno local y, a continuación, usar SDS para sincronizar atributos de alumnos y profesores adicionales de SIS con los objetos de cuenta creados por Microsoft Entra Connect.
Microsoft Entra Connect y SDS nunca entrarán en conflicto, ya que SDS no sincronizará ni sobrescribirá ningún atributo administrado por Microsoft Entra Connect. También puede crear sds de uso. En lugar de usar Microsoft Entra Connect, puede usar SDS para sincronizar y crear usuarios directamente desde el SIS.
Para obtener más información, consulte Sincronización del SIS mediante School Data Sync (SDS).
Sincronización de cuentas de AD local con inquilinos de Microsoft Entra
Sincronización de cuentas con inquilinos de Azure con SDS y SIS
Creación masiva de nuevas cuentas
En entornos híbridos con Active Directory local existentes, use un script de PowerShell y un archivo CSV para crear usuarios de forma masiva. Una vez creados, los administradores pueden sincronizar las cuentas con Microsoft Entra ID mediante Microsoft Entra Connect.
En entornos solo en la nube, exporte o cree archivos CSV para School Data Sync a partir de los datos del SIS, configure un perfil de sincronización y cargue los CSP en SDS para crear nuevas cuentas de Microsoft Entra solo en la nube de forma masiva.
Desafíos y limitaciones
Aunque las EDU de gran tamaño se beneficiarán de una arquitectura multiinquilino basada en la región, puede presentar algunos desafíos para los usuarios que debe tener en cuenta, entre los que se incluyen:
Cada inquilino debe tener su propio espacio de nombres. Por ejemplo, region1.fineartsschool.edu.
- Los usuarios deberán tener en cuenta su sufijo regional, por ejemplo, @ region1.fineartsschool.edu.
Los usuarios no podrán colaborar entre inquilinos mediante SharePoint, OneDrive y Microsoft Teams a menos que lo habilite y configure un administrador.
MFA multiinquilino
- Los usuarios deben registrarse para MFA en cada inquilino.
- Los controles de estado del dispositivo (por ejemplo, conformes) no se pueden aplicar entre inquilinos.
Licencias
No es necesario asignar licencias a los usuarios que realizan el registro de autoservicio para Office 365 A1. Cuando los usuarios lo hacen, las licencias A1 o A1 Plus se asignan automáticamente.
Las licencias solo deben asignarse a los usuarios cuando sean necesarias para acceder a un servicio como Exchange Online o SharePoint Online que requieran una licencia.
Las licencias basadas en grupos se recomiendan para grandes organizaciones EDU que tienen:
Suscripción de pago o de prueba para Microsoft Entra ID P1 y versiones posteriores
Edición de pago o prueba de Office 365 Enterprise E3, Office 365 A3, Office 365 GCC G3, Office 365 E3 para GCCH o Office 365 E3 para DOD.
Las licencias se asignan a todos los miembros de un grupo y, cuando se agregan nuevos miembros al grupo, también se les asignarán las licencias adecuadas.
Si no posee una de las licencias necesarias para las licencias basadas en grupos, puede usar PowerShell para asignar licencias como se describe en Asignación de licencias de Microsoft 365 a cuentas de usuario con PowerShell.
Otra opción es usar el Centro de administración de Microsoft 365 para asignar licencias manualmente a los usuarios. La asignación manual no se recomienda para organizaciones grandes.