Настройка Microsoft Entra ID
Платформа Майкрософт для образовательных учреждений упрощает управление устройствами Windows с помощью Intune и Microsoft 365 для образования. Первым основным шагом является настройка инфраструктуры удостоверений для управления доступом пользователей и разрешениями для учебного заведения.
Microsoft Entra ID, которая входит в Microsoft 365 для образования подписку, обеспечивает проверку подлинности и авторизацию для любых облачных служб Майкрософт. Объекты удостоверений определяются в Microsoft Entra ID для удостоверений людей, таких как учащиеся и преподаватели, а также нечеловеческих удостоверений, таких как устройства, службы и приложения. С помощью лицензий Microsoft 365 пользователи могут использовать службы и получать доступ к ресурсам в клиенте. С помощью Microsoft 365 для образования можно управлять удостоверениями преподавателей и учащихся, назначать лицензии устройствам и пользователям, а также создавать группы для аудиторий.
Создание клиента Microsoft 365
Если у вас еще нет клиента Microsoft 365, его необходимо создать.
Дополнительные сведения см. в статье Создание клиента Office 365.
Обзор Центра администрирования Microsoft 365
Центр администрирования Microsoft 365 — это центр для всех административных консолей облака Microsoft 365. Чтобы получить доступ к Центр администрирования Microsoft 365, войдите с той же учетной записью при создании клиента Microsoft 365.
В Центр администрирования Microsoft 365 можно получить доступ к различным административным панелям мониторинга: Microsoft Entra ID, Microsoft Intune, Intune для образовательных учреждений и т. д.
Дополнительные сведения см. в разделе Обзор Центр администрирования Microsoft 365.
Примечание.
Настройка базовой облачной инфраструктуры учебного заведения не требует завершения оставшейся части настройки Microsoft 365. По этой причине мы переходим непосредственно к добавлению учащихся и преподавателей в качестве пользователей в клиенте Microsoft 365.
Настройка домена
Вы можете настроить личный домен, чтобы создавать пользователей и группы с адресом электронной почты для конкретной организации. Дополнительные сведения см. по следующим ссылкам:
- Добавление домена в Microsoft 365
- Задайте доменное имя по умолчанию в разделе Параметры Доменные>имена>личный домен
Добавление пользователей, создание групп и назначение лицензий
С помощью клиента Microsoft 365 можно добавлять пользователей, создавать группы и назначать лицензии. Всем учащимся и преподавателям требуется учетная запись пользователя, прежде чем они смогут войти в систему и получить доступ к различным службам Microsoft 365. Это можно сделать несколькими способами, в том числе использовать школьную синхронизацию данных (SDS), синхронизацию локальная служба Active Directory вручную или и то, и другое.
Примечание.
Синхронизация информационной системы учащихся (SIS) с school Data Sync — это предпочтительный способ создания учащихся и преподавателей в качестве пользователей в клиенте Microsoft 365 для образования. Однако если вы хотите интегрировать локальный каталог и синхронизировать учетные записи с облаком, перейдите к разделу Microsoft Entra Connect Sync.
School Data Sync
✅ Подготовка пользователей и групп с помощью данных SIS
School Data Sync (SDS) импортирует и синхронизирует данные SIS для создания классов в Microsoft 365, таких как группы Microsoft 365 и группы классов в Microsoft Teams. SDS можно использовать для создания новых облачных удостоверений или для развития существующих удостоверений. Пользователи развиваются до учащихся или преподавателей и связаны с классом, школой и другими атрибутами, связанными с образованием.
Дополнительные сведения см. в разделе Общие сведения о синхронизации данных учебного заведения.
Совет
Чтобы узнать больше и попрактиковаться в School Data Sync, следуйте Синхронизация сведений о школе Microsoft демонстрации, в которой содержатся подробные инструкции по доступу, настройке и развертыванию службы School Data Sync в клиенте Microsoft 365 для образования.
Примечание.
Тестовое развертывание можно выполнить, клонируя или скачивая примеры учебных данных SDS CSV с сайта GitHub O365-EDU-Tools.
Помните, что обычно следует развертывать тестовые данные SDS (пользователи, группы и т. д.) в отдельном тестовом клиенте, а не в учебной рабочей среде.
Синхронизация Microsoft Entra Connect
✅Настройка синхронизации между Active Directory и Microsoft Entra ID
Чтобы интегрировать локальный каталог с Microsoft Entra ID, можно использовать Microsoft Entra Connect для синхронизации пользователей, групп и других объектов. Microsoft Entra Connect позволяет настроить метод проверки подлинности, подходящий для учебного заведения, в том числе:
Дополнительные сведения см. в статье Настройка синхронизации каталогов для Microsoft 365.
Создание пользователей вручную
✅ Создание пользователей по одному
В дополнение к приведенным выше методам можно вручную добавлять пользователей и группы и назначать лицензии с помощью Центр администрирования Microsoft 365.
Существует два варианта добавления пользователей вручную( по отдельности или в массовом порядке):
- Чтобы добавить учащихся и преподавателей в качестве пользователей в Microsoft 365 для образования по отдельности:
- Войдите в центр администрирования Microsoft Entra .
- Выберите Microsoft Entra ID>Пользователи>Все пользователи>Новый пользователь>Создать пользователя. Дополнительные сведения см. в статье Добавление пользователей и назначение лицензий одновременно.
- Добавление нескольких пользователей в Microsoft 365 для образования:
- Войдите в центр администрирования Microsoft Entra .
- Выберите Microsoft Entra ID>Пользователи>Все пользователи>Массовые операции>Массовое создание.
Дополнительные сведения см. в разделе Добавление нескольких пользователей в Центр администрирования Microsoft 365.
Создание групп
✅ Организация пользователей и устройств
Создание групп важно для упрощения нескольких задач, таких как назначение лицензий, делегирование администрирования, развертывание параметров, приложений или распространение заданий среди учащихся. Чтобы создать группы, выполните следующие действия.
- Войдите в центр администрирования Microsoft Entra .
- Выберите Microsoft Entra ID>Группы>Все группы>Новая группа.
- На странице Новая группа выберите Тип> группыБезопасность.
- Укажите имя группы и при необходимости добавьте участников.
- Нажмите кнопку Далее.
Дополнительные сведения см. в разделе Создание группы в Центр администрирования Microsoft 365.
Назначение лицензий
✅ Назначение лицензий пользователям
Рекомендуемый способ назначения лицензий — лицензирование на основе групп. С помощью этого метода Microsoft Entra ID гарантирует, что лицензии назначаются всем членам группы. Всем новым участникам, присоединившимся к группе, назначаются соответствующие лицензии, а при выходе из группы их лицензии удаляются.
Чтобы назначить лицензию группе, выполните приведенные далее действия.
- Войдите в центр администрирования Microsoft Entra .
- Выберите Microsoft Entra ID>Показать дополнительные>лицензии для выставлениясчетов>.
- Выберите необходимые продукты для назначения лицензий>.
- Добавьте группы, которым должны быть назначены лицензии.
Дополнительные сведения см. в статье Лицензирование на основе групп с помощью Центр администрирования Microsoft Entra.
Настройка фирменной символики учебного заведения
✅ Настройка фирменной символики клиента
Настройка фирменной символики учебного заведения обеспечивает более привычный интерфейс Autopilot для учащихся и учителей. С помощью пользовательской фирменной символики учебного заведения можно определить настраиваемый логотип и приветственное сообщение, которое отображается во время запуска windows (OOBE).
Чтобы настроить фирменную символику учебного заведения, выполните следующие действия:
- Войдите в центр администрирования Microsoft Entra .
- Выберите Microsoft Entra ID>Показать дополнительные>возможности для пользователей>Фирменная символика компании.
- Вы можете указать параметры фирменной символики, такие как фоновое изображение, логотип, указание имени пользователя и текст страницы входа.
- Чтобы изменить имя учебного клиента, отображаемое во время запуска запуска, выберите Microsoft Entra ID>Обзор>свойства.
- В поле Имя введите название > учебного округа или организации Сохранить.
Дополнительные сведения см. в статье Добавление фирменной символики в каталог.
Настройка параметров устройства
В этом разделе описана настройка Microsoft Entra параметров устройства.
Включение Microsoft Entra присоединения
✅Включение ограничений для присоединения к Microsoft Entra и устройств
Чтобы разрешить Microsoft Entra присоединения, выполните приведенные далее действия.
- Войдите в центр администрирования Microsoft Entra .
- Выберите Microsoft Entra ID>Параметры>устройства.
- В разделе Пользователи могут присоединять устройства к Microsoft Entra ID выберите Все.
Примечание.
Если требуется, чтобы только определенные пользователи могли присоединять устройства к Microsoft Entra ID, выберите Выбрано. При использовании пакетов подготовки убедитесь, что учетная запись пользователя, которая будет создавать пакеты подготовки, включена в список пользователей.
- Кроме того, на этой странице может потребоваться просмотреть значение Максимальное количество устройств на пользователя , для которого для пользователей образовательных учреждений обычно устанавливается значение Без ограничений.
- Выберите Сохранить
Примечание.
Чтобы создать маркер массовой регистрации (используемый пакетом подготовки для присоединения к Entra), необходимо иметь поддерживаемый Microsoft Entra назначения ролей и не должен быть ограничен административной единицей в Microsoft Entra ID. Поддерживаемые роли:
- Глобальный администратор
- Администратор облачных устройств
- Администратор Intune
- Администратор паролей
Дополнительные сведения см. в разделе Предоставление разрешений администратора в центре администрирования Microsoft Intune.
Включение хранения паролей локального администратора (необязательно)
✅Включение Microsoft Entra для хранения паролей локального администратора
Microsoft Entra могут хранить пароли локального администратора для устройств. Устройства должны быть настроены с помощью Intune для хранения пароля в Entra, что позволяет Entra принимать пароль с устройств.
Чтобы разрешить Entra хранить пароль локального администратора, выполните следующие действия:
| Лезвие | Группа конфигурации | Параметр | Значение |
|---|---|---|---|
| Все устройства\Параметры устройства | Параметры локального администратора | Включение Microsoft Entra решения для паролей локального администратора (LAPS) (предварительная версия) | Да |
| Все устройства\Параметры устройства | Другие параметры | Запретить пользователям восстанавливать ключи BitLocker для принадлежащих им устройств | Нет |
Дополнительные сведения см. в статье Решение паролей локального администратора Windows в Microsoft Entra ID.
Настройка enterprise State Roaming (необязательно)
✅ Отключение роуминга состояния предприятия
| Лезвие | Группа конфигурации | Параметр | Значение |
|---|---|---|---|
| Все устройства\Enterprise State Roaming | Пользователи могут синхронизировать параметры и данные приложений на разных устройствах | Пользователи могут синхронизировать параметры и данные приложений на разных устройствах | Нет |
Дополнительные сведения см. в разделе Включение корпоративного государственного роуминга в Microsoft Entra ID.
Ограничение доступа к административным действиям (необязательно)
✅ Настройка клиента для сокращения доступа пользователей
Microsoft Entra имеет несколько элементов управления, которые позволяют ограничить функциональность администрирования для пользователей без роли администратора в Microsoft Entra.
Эта таблица содержит список часто настроенных параметров.
| Лезвие | Группа конфигурации | Параметр | Значение |
|---|---|---|---|
| Параметры пользователя | Разрешения роли пользователя по умолчанию | Пользователи могут регистрировать приложения | Нет |
| Параметры пользователя | Разрешения роли пользователя по умолчанию | Запретить пользователям, не неадминным пользователям создавать клиенты | Да |
| Параметры пользователя | Разрешения роли пользователя по умолчанию | Пользователи могут создавать группы безопасности | Нет |
| Параметры пользователя | Гостевой доступ для пользователя | Ограничения доступа гостевых пользователей | Доступ гостевых пользователей ограничен свойствами и членством в собственных объектах каталога (наиболее строгий) |
| Параметры пользователя | Портал администрирования | Ограничение доступа к порталу администрирования Microsoft Entra ID | Да |
| Параметры пользователя | Подключения учетных записей LinkedIn | Разрешить пользователям подключать свою рабочую или учебную учетную запись к LinkedIn | Нет |
| Параметры пользователя | Показать сохранение входа пользователя | Показать сохранение входа пользователя | Да |
Вы можете применить дополнительные элементы управления для управления доступом к каталогу с помощью следующих статей:
- Ограничение разрешений пользователей-участников по умолчанию
- Управление доступом к каталогу
- Блокировка PowerShell в клиентах образовательных учреждений
Ограничение доступа к Группы (необязательно)
✅ Настройка клиента для сокращения возможностей управления группами
Microsoft Entra имеет несколько элементов управления, которые позволяют ограничить функциональность групп для пользователей.
Эта таблица содержит список часто настроенных параметров.
| Лезвие | Группа конфигурации | Параметр | Значение |
|---|---|---|---|
| Параметры группы | Общие\Самостоятельное управление группами | Владельцы могут управлять запросами на членство в группах в my Группы | Да |
| Параметры группы | Общие\Самостоятельное управление группами | Ограничение доступа пользователей к функциям групп в разделе "Моя Группы | Да |
| Параметры группы | General\Security Группы | Пользователи могут создавать группы безопасности на порталах Azure, API или PowerShell. | Нет |
| Параметры группы | Общие\Группы Microsoft 365 | Пользователи могут создавать группы Microsoft 365 на порталах Azure, API или PowerShell. | Нет |
Дополнительные сведения см. в статье Сведения о группах и правах доступа в Microsoft Entra ID.
Дальнейшие действия
Пользователи и группы, созданные и лицензированные для Microsoft 365 для образования, теперь можно настроить Microsoft Intune.