Condividi tramite


Configurare Microsoft Entra ID

La piattaforma Microsoft per l'istruzione semplifica la gestione dei dispositivi Windows con Intune e Microsoft 365 Education. Il primo passaggio fondamentale consiste nel configurare l'infrastruttura delle identità per gestire l'accesso degli utenti e le autorizzazioni per l'istituto di istruzione.

Microsoft Entra ID, incluso nella sottoscrizione Microsoft 365 Education, fornisce l'autenticazione e l'autorizzazione a qualsiasi servizio cloud Microsoft. Gli oggetti Identity sono definiti in Microsoft Entra ID per identità umane, ad esempio studenti e insegnanti, nonché identità non umane, ad esempio dispositivi, servizi e applicazioni. Con le licenze di Microsoft 365, gli utenti possono utilizzare i servizi e accedere alle risorse all'interno del tenant. Con Microsoft 365 Education, è possibile gestire le identità per insegnanti e studenti, assegnare licenze a dispositivi e utenti e creare gruppi per le classi.

Creare un tenant di Microsoft 365

Se non si ha già un tenant di Microsoft 365, è necessario crearne uno.

Per altre informazioni, vedere Creare il tenant Office 365.

Esplorare l'interfaccia di amministrazione di Microsoft 365

Il interfaccia di amministrazione di Microsoft 365 è l'hub per tutte le console amministrative per il cloud di Microsoft 365. Per accedere al interfaccia di amministrazione di Microsoft 365, accedere con lo stesso account quando è stato creato il tenant di Microsoft 365.

Dal interfaccia di amministrazione di Microsoft 365 è possibile accedere a dashboard amministrativi diversi: Microsoft Entra ID, Microsoft Intune, Intune per Education e altri:

*Tutte le interfacce di amministrazione* pagina in *interfaccia di amministrazione di Microsoft 365*

Per altre informazioni, vedere Panoramica del interfaccia di amministrazione di Microsoft 365.

Nota

La configurazione dell'infrastruttura cloud di base dell'istituto di istruzione non richiede di completare il resto della configurazione di Microsoft 365. Per questo motivo, si salterà direttamente all'aggiunta di studenti e insegnanti come utenti nel tenant di Microsoft 365.

Configurare il dominio

È possibile configurare un dominio personalizzato in modo da poter creare utenti e gruppi con un messaggio di posta elettronica specifico dell'organizzazione. Per altre informazioni, usare i collegamenti seguenti:

Aggiungere utenti, creare gruppi e assegnare licenze

Con il tenant di Microsoft 365, è il momento di aggiungere utenti, creare gruppi e assegnare licenze. Tutti gli studenti e gli insegnanti hanno bisogno di un account utente prima di poter accedere ai diversi servizi di Microsoft 365. Esistono diversi modi per eseguire questa operazione, tra cui l'uso di School Data Sync (SDS), la sincronizzazione di un Active Directory locale, manualmente o entrambi.

Nota

La sincronizzazione di Student Information System (SIS) con School Data Sync è il modo preferito per creare studenti e insegnanti come utenti in un tenant Microsoft 365 Education. Tuttavia, se si vuole integrare una directory locale e sincronizzare gli account nel cloud, passare a Microsoft Entra Connect Sync.

School Data Sync

✅ Effettuare il provisioning di utenti e gruppi usando i dati SIS

School Data Sync (SDS) importa e sincronizza i dati SIS per creare classi in Microsoft 365, ad esempio gruppi di Microsoft 365 e team di classe in Microsoft Teams. SDS può essere usato per creare nuove identità solo cloud o per evolvere le identità esistenti. Gli utenti si evolvono in studenti o insegnanti e sono associati a un voto, a una scuola e ad altri attributi specifici dell'istruzione.

Per altre informazioni, vedere Panoramica di School Data Sync.

Consiglio

Per altre informazioni e per esercitarsi con School Data Sync, seguire la demo Microsoft School Data Sync, che fornisce passaggi dettagliati per accedere, configurare e distribuire School Data Sync nel tenant Microsoft 365 Education.

Nota

È possibile eseguire una distribuzione di test clonando o scaricando dati dell'istituto di istruzione CSV SDS di esempio dal sito GitHub di O365-EDU-Tools.

Tenere presente che in genere è necessario distribuire i dati SDS di test (utenti, gruppi e così via) in un tenant di test separato, non nell'ambiente di produzione dell'istituto di istruzione.

Microsoft Entra Connect Sync

✅Configurare la sincronizzazione tra Active Directory e Microsoft Entra ID

Per integrare una directory locale con Microsoft Entra ID, è possibile usare Microsoft Entra Connetti per sincronizzare utenti, gruppi e altri oggetti. Microsoft Entra Connect consente di configurare il metodo di autenticazione appropriato per l'istituto di istruzione, tra cui:

Per altre informazioni, vedere Configurare la sincronizzazione della directory per Microsoft 365.

Creare utenti manualmente

✅ Creare utenti uno per uno

Oltre ai metodi precedenti, è possibile aggiungere manualmente utenti e gruppi e assegnare licenze tramite il interfaccia di amministrazione di Microsoft 365.

Sono disponibili due opzioni per l'aggiunta manuale degli utenti, singolarmente o in blocco:

  1. Per aggiungere studenti e insegnanti come utenti in Microsoft 365 Education singolarmente:
  2. Per aggiungere più utenti a Microsoft 365 Education:

Per altre informazioni, vedere Aggiungere più utenti nel interfaccia di amministrazione di Microsoft 365.

Creare gruppi

✅ Organizzare utenti e dispositivi

La creazione di gruppi è importante per semplificare più attività, ad esempio l'assegnazione di licenze, la delega dell'amministrazione, la distribuzione di impostazioni, applicazioni o la distribuzione di assegnazioni agli studenti. Per creare gruppi:

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra.
  2. Selezionare Microsoft Entra ID>Gruppi>Tutti i gruppi>Nuovo gruppo.
  3. Nella pagina Nuovo gruppo selezionare Tipo di> gruppoSicurezza.
  4. Specificare un nome di gruppo e aggiungere membri, in base alle esigenze.
  5. Seleziona Avanti.

Per altre informazioni, vedere Creare un gruppo nel interfaccia di amministrazione di Microsoft 365.

Assegnazione delle licenze

✅ Assegnare licenze agli utenti

Il modo consigliato per assegnare le licenze è tramite licenze basate su gruppi. Con questo metodo, Microsoft Entra ID garantisce che le licenze siano assegnate a tutti i membri del gruppo. A tutti i nuovi membri che fanno parte del gruppo vengono assegnate le licenze appropriate e, quando i membri lasciano, le licenze vengono rimosse.

Per assegnare una licenza a un gruppo:

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra.
  2. Selezionare Microsoft Entra ID>Mostra altre>licenzedi fatturazione>.
  3. Selezionare i prodotti necessari che si desidera assegnare licenze per >Assegna.
  4. Aggiungere i gruppi a cui devono essere assegnate le licenze. Assegnare licenze da Interfaccia di amministrazione di Microsoft Entra.

Per altre informazioni, vedere Licenze basate su gruppo con Interfaccia di amministrazione di Microsoft Entra.

Configurare la personalizzazione dell'istituto di istruzione

✅ Personalizzare la personalizzazione del tenant

La configurazione della personalizzazione dell'istituto di istruzione consente a studenti e insegnanti di un'esperienza Autopilot più familiare. Con una personalizzazione personalizzata dell'istituto di istruzione, è possibile definire un logo personalizzato e un messaggio di benvenuto, visibile durante l'esperienza predefinita di Windows (Configurazione guidata).

Per configurare la personalizzazione dell'istituto di istruzione:

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra.
  2. Selezionare Microsoft Entra ID>Mostra altre>esperienze> utentePersonalizzazione aziendale.
  3. È possibile specificare le impostazioni del marchio, ad esempio l'immagine di sfondo, il logo, l'hint per il nome utente e un testo della pagina di accesso. Configurare Microsoft Entra ID personalizzazione da Interfaccia di amministrazione di Microsoft Entra.
  4. Per modificare il nome del tenant dell'istituto di istruzione visualizzato durante la Configurazione guidata, selezionare Microsoft Entra ID>Panoramica>proprietà.
  5. Nel campo Nome immettere il nome > del distretto scolastico o dell'organizzazione Salva. Configurare Microsoft Entra nome del tenant da Interfaccia di amministrazione di Microsoft Entra.

Per altre informazioni, vedere Aggiungere personalizzazioni alla directory.

Configurare le impostazioni del dispositivo

In questa sezione vengono configurate Microsoft Entra impostazioni del dispositivo.

Abilitare Microsoft Entra join

✅Abilitare Microsoft Entra limiti per l'aggiunta e il dispositivo

Per consentire Microsoft Entra join:

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra.
  2. Selezionare Microsoft Entra ID>Impostazioni dispositivo dispositivi>.
  3. In Utenti possono aggiungere dispositivi a Microsoft Entra ID selezionare Tutto.

    Nota

    Se è necessario che solo utenti specifici possano aggiungere dispositivi a Microsoft Entra ID, selezionare Selezionato. Se si usano pacchetti di provisioning, assicurarsi che l'account utente che creerà pacchetti di provisioning sia incluso nell'elenco degli utenti.

  4. È anche possibile esaminare il valore Numero massimo di dispositivi per utente in questa pagina, che i clienti di Education in genere impostano su Illimitato.
  5. Selezionare Salva configura le impostazioni del dispositivo da Interfaccia di amministrazione di Microsoft Entra.

Nota

Per creare un token di registrazione bulk (usato da un pacchetto di provisioning per eseguire l'aggiunta a Entra), è necessario disporre di un'assegnazione di ruolo Microsoft Entra supportata e non deve essere limitato a un'unità amministrativa in Microsoft Entra ID. I ruoli supportati sono:

  • Amministratore globale
  • Amministratore del dispositivo cloud
  • Amministratore Intune
  • Amministratore password

Per altre informazioni, vedere Concedere autorizzazioni di amministratore nell'interfaccia di amministrazione Microsoft Intune.

Abilitare l'archiviazione delle password dell'amministratore locale (facoltativo)

✅Abilitare Microsoft Entra per archiviare le password dell'amministratore locale

Microsoft Entra possibile archiviare le password dell'amministratore locale per i dispositivi. I dispositivi devono essere configurati tramite Intune per archiviare la password in Entra, consentendo a Entra di accettare la password dai dispositivi.

Per consentire a Entra di archiviare la password dell'amministratore locale:

Lama Gruppo di configurazione Impostazione Valore
Tutti i dispositivi\Impostazioni del dispositivo Impostazioni dell'amministratore locale Abilitare Microsoft Entra soluzione LAPS (Local Administrator Password Solution) (anteprima)
Tutti i dispositivi\Impostazioni del dispositivo Altre impostazioni Impedire agli utenti di ripristinare le chiavi BitLocker per i dispositivi di proprietà No

Per altre informazioni, vedere Soluzione password amministratore locale di Windows in Microsoft Entra ID.

Configurare Enterprise State Roaming (facoltativo)

✅ Disabilitare il roaming dello stato dell'organizzazione

Lama Gruppo di configurazione Impostazione Valore
Tutti i dispositivi\Enterprise State Roaming Gli utenti possono sincronizzare le impostazioni e i dati dell'app tra dispositivi Gli utenti possono sincronizzare le impostazioni e i dati dell'app tra dispositivi Nessuno

Per altre informazioni, vedere Enable Enterprise State Roaming in Microsoft Entra ID.For more information, see Enable Enterprise State Roaming in Microsoft Entra ID.

Limitare l'accesso alle azioni amministrative (facoltativo)

✅ Configurare il tenant per ridurre l'accesso degli utenti

Microsoft Entra dispone di diversi controlli che consentono di limitare le funzionalità amministrative per gli utenti senza ruolo amministrativo in Microsoft Entra.

Questa tabella contiene un elenco di impostazioni configurate comunemente.

Lama Gruppo di configurazione Impostazione Valore
Impostazioni utente Autorizzazioni predefinite per i ruoli utente Gli utenti possono registrare applicazioni No
Impostazioni utente Autorizzazioni predefinite per i ruoli utente Impedire agli utenti non amministratori di creare tenant
Impostazioni utente Autorizzazioni predefinite per i ruoli utente Gli utenti possono creare gruppi di sicurezza No
Impostazioni utente Accesso degli utenti guest Restrizioni di accesso utente guest L'accesso utente guest è limitato alle proprietà e alle appartenenze dei propri oggetti directory (più restrittivo)
Impostazioni utente Portale di amministrazione Limitare l'accesso al portale di amministrazione Microsoft Entra ID
Impostazioni utente Connessioni all'account LinkedIn Consentire agli utenti di connettere l'account aziendale o dell'istituto di istruzione a LinkedIn No
Impostazioni utente Mostra mantieni l'accesso dell'utente Mostra mantieni l'accesso dell'utente

È possibile applicare controlli aggiuntivi per gestire l'accesso alla directory con questi articoli:

Limitare l'accesso a Gruppi (facoltativo)

✅ Configurare il tenant per ridurre le funzionalità di gestione dei gruppi

Microsoft Entra dispone di diversi controlli che consentono di limitare le funzionalità del gruppo per gli utenti.

Questa tabella contiene un elenco di impostazioni configurate comunemente.

Lama Gruppo di configurazione Impostazione Valore
Impostazioni di gruppo Generale\Gestione gruppi self-service I proprietari possono gestire le richieste di appartenenza ai gruppi in My Gruppi
Impostazioni di gruppo Generale\Gestione gruppi self-service Limitare la possibilità dell'utente di accedere alle funzionalità dei gruppi in My Gruppi
Impostazioni di gruppo Generale\Sicurezza Gruppi Gli utenti possono creare gruppi di sicurezza in portali di Azure, API o PowerShell No
Impostazioni di gruppo Generale\Gruppi di Microsoft 365 Gli utenti possono creare gruppi di Microsoft 365 in portali di Azure, API o PowerShell No

Per altre informazioni, vedere Informazioni sui gruppi e sui diritti di accesso in Microsoft Entra ID.


Passaggi successivi

Con gli utenti e i gruppi creati e concessi in licenza per Microsoft 365 Education, è ora possibile configurare Microsoft Intune.