Configurare Microsoft Entra ID
La piattaforma Microsoft per l'istruzione semplifica la gestione dei dispositivi Windows con Intune e Microsoft 365 Education. Il primo passaggio fondamentale consiste nel configurare l'infrastruttura delle identità per gestire l'accesso degli utenti e le autorizzazioni per l'istituto di istruzione.
Microsoft Entra ID, incluso nella sottoscrizione Microsoft 365 Education, fornisce l'autenticazione e l'autorizzazione a qualsiasi servizio cloud Microsoft. Gli oggetti Identity sono definiti in Microsoft Entra ID per identità umane, ad esempio studenti e insegnanti, nonché identità non umane, ad esempio dispositivi, servizi e applicazioni. Con le licenze di Microsoft 365, gli utenti possono utilizzare i servizi e accedere alle risorse all'interno del tenant. Con Microsoft 365 Education, è possibile gestire le identità per insegnanti e studenti, assegnare licenze a dispositivi e utenti e creare gruppi per le classi.
Creare un tenant di Microsoft 365
Se non si ha già un tenant di Microsoft 365, è necessario crearne uno.
Per altre informazioni, vedere Creare il tenant Office 365.
Esplorare l'interfaccia di amministrazione di Microsoft 365
Il interfaccia di amministrazione di Microsoft 365 è l'hub per tutte le console amministrative per il cloud di Microsoft 365. Per accedere al interfaccia di amministrazione di Microsoft 365, accedere con lo stesso account quando è stato creato il tenant di Microsoft 365.
Dal interfaccia di amministrazione di Microsoft 365 è possibile accedere a dashboard amministrativi diversi: Microsoft Entra ID, Microsoft Intune, Intune per Education e altri:
Per altre informazioni, vedere Panoramica del interfaccia di amministrazione di Microsoft 365.
Nota
La configurazione dell'infrastruttura cloud di base dell'istituto di istruzione non richiede di completare il resto della configurazione di Microsoft 365. Per questo motivo, si salterà direttamente all'aggiunta di studenti e insegnanti come utenti nel tenant di Microsoft 365.
Configurare il dominio
È possibile configurare un dominio personalizzato in modo da poter creare utenti e gruppi con un messaggio di posta elettronica specifico dell'organizzazione. Per altre informazioni, usare i collegamenti seguenti:
- Aggiunta di un dominio a Microsoft 365
- Impostare il nome di dominio predefinito in Impostazioni>Dominio personalizzato dei nomi>di dominio
Aggiungere utenti, creare gruppi e assegnare licenze
Con il tenant di Microsoft 365, è il momento di aggiungere utenti, creare gruppi e assegnare licenze. Tutti gli studenti e gli insegnanti hanno bisogno di un account utente prima di poter accedere ai diversi servizi di Microsoft 365. Esistono diversi modi per eseguire questa operazione, tra cui l'uso di School Data Sync (SDS), la sincronizzazione di un Active Directory locale, manualmente o entrambi.
Nota
La sincronizzazione di Student Information System (SIS) con School Data Sync è il modo preferito per creare studenti e insegnanti come utenti in un tenant Microsoft 365 Education. Tuttavia, se si vuole integrare una directory locale e sincronizzare gli account nel cloud, passare a Microsoft Entra Connect Sync.
School Data Sync
✅ Effettuare il provisioning di utenti e gruppi usando i dati SIS
School Data Sync (SDS) importa e sincronizza i dati SIS per creare classi in Microsoft 365, ad esempio gruppi di Microsoft 365 e team di classe in Microsoft Teams. SDS può essere usato per creare nuove identità solo cloud o per evolvere le identità esistenti. Gli utenti si evolvono in studenti o insegnanti e sono associati a un voto, a una scuola e ad altri attributi specifici dell'istruzione.
Per altre informazioni, vedere Panoramica di School Data Sync.
Consiglio
Per altre informazioni e per esercitarsi con School Data Sync, seguire la demo Microsoft School Data Sync, che fornisce passaggi dettagliati per accedere, configurare e distribuire School Data Sync nel tenant Microsoft 365 Education.
Nota
È possibile eseguire una distribuzione di test clonando o scaricando dati dell'istituto di istruzione CSV SDS di esempio dal sito GitHub di O365-EDU-Tools.
Tenere presente che in genere è necessario distribuire i dati SDS di test (utenti, gruppi e così via) in un tenant di test separato, non nell'ambiente di produzione dell'istituto di istruzione.
Microsoft Entra Connect Sync
✅Configurare la sincronizzazione tra Active Directory e Microsoft Entra ID
Per integrare una directory locale con Microsoft Entra ID, è possibile usare Microsoft Entra Connetti per sincronizzare utenti, gruppi e altri oggetti. Microsoft Entra Connect consente di configurare il metodo di autenticazione appropriato per l'istituto di istruzione, tra cui:
Per altre informazioni, vedere Configurare la sincronizzazione della directory per Microsoft 365.
Creare utenti manualmente
✅ Creare utenti uno per uno
Oltre ai metodi precedenti, è possibile aggiungere manualmente utenti e gruppi e assegnare licenze tramite il interfaccia di amministrazione di Microsoft 365.
Sono disponibili due opzioni per l'aggiunta manuale degli utenti, singolarmente o in blocco:
- Per aggiungere studenti e insegnanti come utenti in Microsoft 365 Education singolarmente:
- Accedere all'interfaccia di amministrazione di Microsoft Entra.
- Selezionare Microsoft Entra ID>Utenti>Tutti gli utenti>Nuovo utente>Crea nuovo utente. Per altre informazioni, vedere Aggiungere utenti e assegnare licenze contemporaneamente.
- Per aggiungere più utenti a Microsoft 365 Education:
- Accedere all'interfaccia di amministrazione di Microsoft Entra.
- Selezionare Microsoft Entra ID>Utenti>Tutti gli utenti>Operazioni> bulkcreate in blocco.
Per altre informazioni, vedere Aggiungere più utenti nel interfaccia di amministrazione di Microsoft 365.
Creare gruppi
✅ Organizzare utenti e dispositivi
La creazione di gruppi è importante per semplificare più attività, ad esempio l'assegnazione di licenze, la delega dell'amministrazione, la distribuzione di impostazioni, applicazioni o la distribuzione di assegnazioni agli studenti. Per creare gruppi:
- Accedere all'interfaccia di amministrazione di Microsoft Entra.
- Selezionare Microsoft Entra ID>Gruppi>Tutti i gruppi>Nuovo gruppo.
- Nella pagina Nuovo gruppo selezionare Tipo di> gruppoSicurezza.
- Specificare un nome di gruppo e aggiungere membri, in base alle esigenze.
- Seleziona Avanti.
Per altre informazioni, vedere Creare un gruppo nel interfaccia di amministrazione di Microsoft 365.
Assegnazione delle licenze
✅ Assegnare licenze agli utenti
Il modo consigliato per assegnare le licenze è tramite licenze basate su gruppi. Con questo metodo, Microsoft Entra ID garantisce che le licenze siano assegnate a tutti i membri del gruppo. A tutti i nuovi membri che fanno parte del gruppo vengono assegnate le licenze appropriate e, quando i membri lasciano, le licenze vengono rimosse.
Per assegnare una licenza a un gruppo:
- Accedere all'interfaccia di amministrazione di Microsoft Entra.
- Selezionare Microsoft Entra ID>Mostra altre>licenzedi fatturazione>.
- Selezionare i prodotti necessari che si desidera assegnare licenze per >Assegna.
- Aggiungere i gruppi a cui devono essere assegnate le licenze.
Per altre informazioni, vedere Licenze basate su gruppo con Interfaccia di amministrazione di Microsoft Entra.
Configurare la personalizzazione dell'istituto di istruzione
✅ Personalizzare la personalizzazione del tenant
La configurazione della personalizzazione dell'istituto di istruzione consente a studenti e insegnanti di un'esperienza Autopilot più familiare. Con una personalizzazione personalizzata dell'istituto di istruzione, è possibile definire un logo personalizzato e un messaggio di benvenuto, visibile durante l'esperienza predefinita di Windows (Configurazione guidata).
Per configurare la personalizzazione dell'istituto di istruzione:
- Accedere all'interfaccia di amministrazione di Microsoft Entra.
- Selezionare Microsoft Entra ID>Mostra altre>esperienze> utentePersonalizzazione aziendale.
- È possibile specificare le impostazioni del marchio, ad esempio l'immagine di sfondo, il logo, l'hint per il nome utente e un testo della pagina di accesso.
- Per modificare il nome del tenant dell'istituto di istruzione visualizzato durante la Configurazione guidata, selezionare Microsoft Entra ID>Panoramica>proprietà.
- Nel campo Nome immettere il nome > del distretto scolastico o dell'organizzazione Salva.
Per altre informazioni, vedere Aggiungere personalizzazioni alla directory.
Configurare le impostazioni del dispositivo
In questa sezione vengono configurate Microsoft Entra impostazioni del dispositivo.
Abilitare Microsoft Entra join
✅Abilitare Microsoft Entra limiti per l'aggiunta e il dispositivo
Per consentire Microsoft Entra join:
- Accedere all'interfaccia di amministrazione di Microsoft Entra.
- Selezionare Microsoft Entra ID>Impostazioni dispositivo dispositivi>.
- In Utenti possono aggiungere dispositivi a Microsoft Entra ID selezionare Tutto.
Nota
Se è necessario che solo utenti specifici possano aggiungere dispositivi a Microsoft Entra ID, selezionare Selezionato. Se si usano pacchetti di provisioning, assicurarsi che l'account utente che creerà pacchetti di provisioning sia incluso nell'elenco degli utenti.
- È anche possibile esaminare il valore Numero massimo di dispositivi per utente in questa pagina, che i clienti di Education in genere impostano su Illimitato.
- Selezionare Salva
Nota
Per creare un token di registrazione bulk (usato da un pacchetto di provisioning per eseguire l'aggiunta a Entra), è necessario disporre di un'assegnazione di ruolo Microsoft Entra supportata e non deve essere limitato a un'unità amministrativa in Microsoft Entra ID. I ruoli supportati sono:
- Amministratore globale
- Amministratore del dispositivo cloud
- Amministratore Intune
- Amministratore password
Per altre informazioni, vedere Concedere autorizzazioni di amministratore nell'interfaccia di amministrazione Microsoft Intune.
Abilitare l'archiviazione delle password dell'amministratore locale (facoltativo)
✅Abilitare Microsoft Entra per archiviare le password dell'amministratore locale
Microsoft Entra possibile archiviare le password dell'amministratore locale per i dispositivi. I dispositivi devono essere configurati tramite Intune per archiviare la password in Entra, consentendo a Entra di accettare la password dai dispositivi.
Per consentire a Entra di archiviare la password dell'amministratore locale:
Lama | Gruppo di configurazione | Impostazione | Valore |
---|---|---|---|
Tutti i dispositivi\Impostazioni del dispositivo | Impostazioni dell'amministratore locale | Abilitare Microsoft Entra soluzione LAPS (Local Administrator Password Solution) (anteprima) | Sì |
Tutti i dispositivi\Impostazioni del dispositivo | Altre impostazioni | Impedire agli utenti di ripristinare le chiavi BitLocker per i dispositivi di proprietà | No |
Per altre informazioni, vedere Soluzione password amministratore locale di Windows in Microsoft Entra ID.
Configurare Enterprise State Roaming (facoltativo)
✅ Disabilitare il roaming dello stato dell'organizzazione
Lama | Gruppo di configurazione | Impostazione | Valore |
---|---|---|---|
Tutti i dispositivi\Enterprise State Roaming | Gli utenti possono sincronizzare le impostazioni e i dati dell'app tra dispositivi | Gli utenti possono sincronizzare le impostazioni e i dati dell'app tra dispositivi | Nessuno |
Per altre informazioni, vedere Enable Enterprise State Roaming in Microsoft Entra ID.For more information, see Enable Enterprise State Roaming in Microsoft Entra ID.
Limitare l'accesso alle azioni amministrative (facoltativo)
✅ Configurare il tenant per ridurre l'accesso degli utenti
Microsoft Entra dispone di diversi controlli che consentono di limitare le funzionalità amministrative per gli utenti senza ruolo amministrativo in Microsoft Entra.
Questa tabella contiene un elenco di impostazioni configurate comunemente.
Lama | Gruppo di configurazione | Impostazione | Valore |
---|---|---|---|
Impostazioni utente | Autorizzazioni predefinite per i ruoli utente | Gli utenti possono registrare applicazioni | No |
Impostazioni utente | Autorizzazioni predefinite per i ruoli utente | Impedire agli utenti non amministratori di creare tenant | Sì |
Impostazioni utente | Autorizzazioni predefinite per i ruoli utente | Gli utenti possono creare gruppi di sicurezza | No |
Impostazioni utente | Accesso degli utenti guest | Restrizioni di accesso utente guest | L'accesso utente guest è limitato alle proprietà e alle appartenenze dei propri oggetti directory (più restrittivo) |
Impostazioni utente | Portale di amministrazione | Limitare l'accesso al portale di amministrazione Microsoft Entra ID | Sì |
Impostazioni utente | Connessioni all'account LinkedIn | Consentire agli utenti di connettere l'account aziendale o dell'istituto di istruzione a LinkedIn | No |
Impostazioni utente | Mostra mantieni l'accesso dell'utente | Mostra mantieni l'accesso dell'utente | Sì |
È possibile applicare controlli aggiuntivi per gestire l'accesso alla directory con questi articoli:
- Limitare le autorizzazioni predefinite degli utenti membri
- Gestione dell'accesso alla directory
- Blocco di PowerShell per i tenant EDU
Limitare l'accesso a Gruppi (facoltativo)
✅ Configurare il tenant per ridurre le funzionalità di gestione dei gruppi
Microsoft Entra dispone di diversi controlli che consentono di limitare le funzionalità del gruppo per gli utenti.
Questa tabella contiene un elenco di impostazioni configurate comunemente.
Lama | Gruppo di configurazione | Impostazione | Valore |
---|---|---|---|
Impostazioni di gruppo | Generale\Gestione gruppi self-service | I proprietari possono gestire le richieste di appartenenza ai gruppi in My Gruppi | Sì |
Impostazioni di gruppo | Generale\Gestione gruppi self-service | Limitare la possibilità dell'utente di accedere alle funzionalità dei gruppi in My Gruppi | Sì |
Impostazioni di gruppo | Generale\Sicurezza Gruppi | Gli utenti possono creare gruppi di sicurezza in portali di Azure, API o PowerShell | No |
Impostazioni di gruppo | Generale\Gruppi di Microsoft 365 | Gli utenti possono creare gruppi di Microsoft 365 in portali di Azure, API o PowerShell | No |
Per altre informazioni, vedere Informazioni sui gruppi e sui diritti di accesso in Microsoft Entra ID.
Passaggi successivi
Con gli utenti e i gruppi creati e concessi in licenza per Microsoft 365 Education, è ora possibile configurare Microsoft Intune.