Conceber uma estratégia de conta
As grandes instituições académicas têm de considerar a forma como serão criadas as contas para estudantes, educadores e outros. Esta secção descreve como abordar a criação de contas numa EDU grande que abrange vários inquilinos Microsoft Entra.
Contas apenas na cloud
Recomendamos a utilização de identidades apenas na cloud sempre que possível. As identidades apenas na cloud são representadas por objetos de conta de utilizador que são criados e mantidos no Microsoft Entra ID. Com identidades apenas na cloud, todos os seus utilizadores, grupos e contactos são armazenados no inquilino Microsoft Entra.
As identidades apenas na cloud são melhores para organizações que não utilizam Active Directory Domain Services (AD DS) para gerir identidades locais ou têm outras identidades no local. O seu maior benefício é a sua simplicidade, uma vez que não são necessárias ferramentas de diretório ou servidores adicionais.
A criação de contas apenas na cloud é recomendada para organizações educativas que:
já integraram as aplicações SaaS com Microsoft Entra ID.
não dependem do AD DS no local para gerir identidades.
gostaria de utilizar o School Data Sync (SDS) para criar novas identidades apenas na cloud com base nos respetivos sistemas de informação de estudantes online (SIS).
Contas híbridas
As identidades híbridas são representadas por objetos de utilizador criados num AD DS no local e, em seguida, sincronizados com um inquilino Microsoft Entra. Estas contas criam uma identidade de utilizador comum para autenticação e autorização. As contas híbridas são frequentemente utilizadas quando os utilizadores necessitam de acesso a uma mistura de aplicações no local e na cloud.
As identidades híbridas são melhores para organizações que utilizam o AD DS. O seu maior benefício é permitir que os utilizadores utilizem as mesmas credenciais quando acedem a recursos no local ou baseados na cloud.
Criar e manter contas híbridas é mais complexo do que gerir contas apenas na cloud e só é recomendado para organizações educativas que:
precisa de acesso a recursos no local e baseados na cloud.
criar e gerir contas de utilizador com o AD DS ou outro fornecedor de identidade.
Como inscrever
Na maioria dos países/regiões, não existem ações administrativas que a sua instituição precise de realizar para inscrever utilizadores. Pode comunicar a disponibilidade do Office 365 A1, ou Office 365 A1 Plus, aos seus estudantes, corpo docente e funcionários através do conteúdo do toolkit de Marketing do Campus Office 365. O toolkit contém e-mails, cartazes, faixas Web e muito mais para o ajudar a aumentar a consciencialização entre estudantes, corpo docente e funcionários. Contate o representante da Microsoft com perguntas específicas sobre as etapas que sua escola deve realizar.
Os clientes de alguns países/regiões têm de configurar o inquilino para permitir que os utilizadores verificados por e-mail se associem ao inquilino. Os administradores podem disponibilizar Office 365 A1 ou Office 365 A1 Plus aos estudantes e corpo docente ao seguir estes passos:
Se estiver a utilizar o Windows 7, instale o Assistente de Sign-In do Microsoft Online Services para Profissionais de TI. Se estiver a utilizar Windows 8 ou mais recente, este passo não é necessário.
Instale a versão mais recente de 64 bits do módulo do Azure Active Directory para Windows PowerShell.
Digite o seguinte comando do Windows PowerShell para habilitar novos usuários a ingressarem automaticamente no locatário do Office 365:
Set-MsolCompanySettings -AllowEmailVerifiedUsers $true
Para obter mais informações, consulte Que passos temos de seguir para disponibilizar isto aos estudantes, corpo docente e funcionários?
Criar contas do M365 A1
Existem várias formas de criar contas Office 365 para os utilizadores. A forma como cria as contas depende do seu estado atual.
Quando já Office 365 contas existem
Se a sua escola tiver um ambiente de Office 365 existente no qual os estudantes, corpo docente ou funcionários já têm uma conta escolar ou profissional, a Microsoft ativará e atribuirá automaticamente licenças do Office 365 EDU A1 a contas existentes. Após a ativação, os utilizadores serão automaticamente notificados dos serviços adicionais disponíveis, incluindo a capacidade de transferir Office 365 ProPlus, se aplicável. Se o utilizador já tiver uma conta do Office 365 A1 Plus ou qualquer outra licença de Office 365 ProPlus atribuída através da sua escola, será redirecionado para iniciar sessão com as credenciais existentes e receber uma notificação que inclui um aviso Instalar agora.
Quando os utilizadores têm apenas e-mails
Office 365 Education fornece um sinal de gestão personalizada para os seus utilizadores com endereços de e-mail escolares. Podem inscrever-se no Office 365 A1, que inclui 1 TB de armazenamento OneDrive for Business por utilizador, Office para a Web, SharePoint Online e Yammer. Depois de se inscreverem, os utilizadores recebem automaticamente uma conta e podem aceder a serviços incluídos com Office 365 A1.
Por exemplo, se um estudante utilizar o respetivo endereço de e-mail escolar "Student@fineartsschool.edu" para se inscrever, a Microsoft irá adicioná-lo automaticamente como utilizador no ambiente fineartsschool.onmicrosoft.com Office 365. Office 365 A1 será ativado para a conta. Se frequentarem uma escola elegível para o benefício de utilização do aluno, ser-lhes-á fornecida uma licença que lhes permite instalar Office 365 ProPlus.
Um administrador pode configurar estas capacidades com o seguinte cmdlet Microsoft Entra:
Set-MsolCompanySettings -AllowEmailVerifiedUsers $true
Para obter mais informações, consulte Office 365 Education Self-Sign up: FAQ Técnica.
Quando os utilizadores têm contas no local
A sincronização de contas híbridas é um processo de dois passos que envolve dois componentes: Microsoft Entra Connect e School Data Sync.
Microsoft Entra Connect é a ferramenta da Microsoft utilizada para sincronizar Active Directory local utilizadores, grupos e outros objetos para Microsoft Entra ID. É executado num servidor no local, verifica se há alterações no AD DS e reencaminha essas alterações para Microsoft Entra ID. Microsoft Entra Connect também fornece a capacidade de filtrar que contas são sincronizadas e se pretende autenticar os utilizadores através da sincronização do hash de palavras-passe (PHS),da autenticação pass-through (PTA) ou da utilização da federação.
Observação
Recomendamos Microsoft Entra Ligar com PHS para autenticação, uma vez que é a forma mais simples de as contas híbridas se autenticarem com Microsoft Entra ID. Só tem de gerir um servidor e obter o início de sessão único totalmente integrado e a autenticação multifator na cloud. Algumas funcionalidades premium do Microsoft Entra ID, como o Identity Protection e o Microsoft Entra Domain Services, requerem a sincronização do hash de palavras-passe, independentemente do método de autenticação que escolher.
Microsoft Entra Connect tem dois tipos de instalação para instalação: Express e Personalizado. O Express é o mais comum e foi concebido para fornecer uma configuração que funciona para a maioria dos cenários de clientes. A instalação rápida pressupõe que tem uma única floresta com menos de 100 000 objetos no seu Active Directory local. O PHS é ativado automaticamente com esta opção.
Se tiver mais de 100 000 objetos ou várias florestas, utilize uma instalação Personalizada do Microsoft Entra Connect. Utilize também uma Instalação personalizada se planear utilizar a federação ou o PTA para autenticação de utilizador.
Para obter mais informações, consulte Selecionar o tipo de instalação a utilizar para o Microsoft Entra Connect.
O School Data Sync (SDS) é um serviço gratuito no Microsoft 365 Education que lê os dados do Sistema de Informação de Estudantes (SIS) de uma escola. Cria
Teams para Educação. O SDS permite a criação automática da Equipa de Turma com base no O365 Grupos criado pelo SDS e no Rostering.
Blocos de Notas Escolares do OneNote. O SDS permite o aprovisionamento automatizado do Blocos de Notas Escolares do OneNote no Teams para Educação. Quando ativado, cada Bloco de Notas Escolar terá secções criadas e permissões definidas com base nos dados de lista da classe SDS importados durante a sincronização.
Exchange Online e SharePoint Online. O SDS cria Office 365 Grupos para mensagens online, partilha de ficheiros e colaboração.
Intune para Educação. O SDS cria Grupos de Segurança baseados em escolas para a política granular de dispositivos e também pode fornecer licenciamento automatizado em massa de Intune para Educação para todos os estudantes e professores sincronizados.
Aplicações SaaS. O SDS integra-se em várias aplicações na Microsoft Store e permite a integração de aplicações de Sign-On Único (SSO) e Lista.
O SDS é frequentemente implementado juntamente com Active Directory local e Microsoft Entra Connect. Pode utilizar o Microsoft Entra Ligar para criar utilizadores e grupos a partir do local e, em seguida, utilizar o SDS para sincronizar atributos adicionais de estudantes e professores do SIS para os objetos de conta criados pelo Microsoft Entra Connect.
Microsoft Entra Connect e SDS nunca entrarão em conflito, uma vez que o SDS não sincronizará nem substituirá nenhum atributo gerido pelo Microsoft Entra Connect. Também pode criar utilizar o SDS. Em vez de utilizar o Microsoft Entra Connect, pode utilizar o SDS para sincronizar e criar utilizadores diretamente a partir do SIS.
Para obter mais informações, veja Sincronizar o SIS com o School Data Sync (SDS).
Sincronizar contas do AD no local para Microsoft Entra inquilinos
Sincronizar contas com inquilinos do Azure com o SDS e o SIS
Criar novas contas em massa
Em ambientes híbridos com Active Directory local existentes, utilize um script do PowerShell e um ficheiro CSV para criar utilizadores em massa. Depois de criadas, os administradores podem sincronizar as contas para Microsoft Entra ID com o Microsoft Entra Connect.
Em ambientes apenas na cloud, exporte ou crie ficheiros CSV para o School Data Sync a partir dos seus dados do SIS, configure um perfil de sincronização e carregue os CSVs para o SDS para criar novas contas de Microsoft Entra apenas na cloud em massa.
Desafios e limitações
Embora grandes EDUs beneficiem de uma arquitetura multi-inquilino baseada na região, pode apresentar alguns desafios para os utilizadores de que deve estar ciente, incluindo:
Cada inquilino tem de ter o seu próprio espaço de nomes. Por exemplo, region1.fineartsschool.edu.
- Os utilizadores terão de estar cientes do sufixo regional, por exemplo, @ region1.fineartsschool.edu.
Os utilizadores não poderão colaborar entre inquilinos com o SharePoint, o OneDrive e o Microsoft Teams, a menos que sejam ativados e configurados por um administrador.
MFA multi-inquilino
- Os utilizadores têm de se registar na MFA em cada inquilino.
- Os controlos de estado do dispositivo (por exemplo, conformes) não podem ser aplicados entre inquilinos.
Licenciamento
Não tem de atribuir licenças a utilizadores que efetuem a inscrição self-service para Office 365 A1. Quando os utilizadores o fazem, as licenças A1 ou A1 Plus são automaticamente atribuídas.
As licenças só devem ser atribuídas aos utilizadores quando precisarem de aceder a um serviço como o Exchange Online ou o SharePoint Online que necessitem de uma licença.
O licenciamento baseado em grupos é recomendado para grandes organizações EDU que tenham:
Subscrição paga ou de avaliação para Microsoft Entra ID P1 e superior
Edição paga ou de avaliação do Office 365 Enterprise E3, Office 365 A3, Office 365 GCC G3, Office 365 E3 para GCCH ou Office 365 E3 para DOD.
As licenças são atribuídas a todos os membros de um grupo e, quando forem adicionados novos membros ao grupo, também lhes serão atribuídas as licenças adequadas.
Se não tiver uma das licenças necessárias para o licenciamento baseado em grupos, pode utilizar o PowerShell para atribuir licenças conforme descrito em Atribuir licenças do Microsoft 365 a contas de utilizador com o PowerShell.
Outra opção é utilizar o centro de administração do Microsoft 365 para atribuir manualmente licenças aos utilizadores. A atribuição manual não é recomendada para grandes organizações.