设置Microsoft Entra ID
Microsoft教育平台通过Intune和Microsoft 365 教育版简化了 Windows 设备的管理。 第一个基本步骤是配置标识基础结构,以管理学校的用户访问权限和权限。
Microsoft Entra ID(包含在 Microsoft 365 教育版 订阅中)向任何Microsoft云服务提供身份验证和授权。 标识对象在 Microsoft Entra ID中为用户标识(如学生和教师)以及非人类标识(如设备、服务和应用程序)定义。 使用 Microsoft 365 个许可证,用户可以使用服务并访问租户中的资源。 借助Microsoft 365 教育版,你可以管理教师和学生的标识、将许可证分配给设备和用户,以及为课堂创建组。
创建Microsoft 365 租户
如果还没有 Microsoft 365 租户,则需要创建一个。
有关详细信息,请参阅创建Office 365租户。
探索 Microsoft 365 管理中心
Microsoft 365 管理中心是 Microsoft 365 云的所有管理控制台的中心。 若要访问Microsoft 365 管理中心,请在创建 Microsoft 365 租户时使用相同的帐户登录。
从Microsoft 365 管理中心,可以访问不同的管理仪表板:Microsoft Entra ID、Microsoft Intune、教育版Intune等:
有关详细信息,请参阅Microsoft 365 管理中心概述。
注意
设置学校的基本云基础结构不需要完成Microsoft 365 设置的其余部分。 因此,我们将直接跳到将学生和教师添加为 Microsoft 365 租户中的用户。
设置域
可以配置自定义域,以便可以使用特定于组织的电子邮件创建用户和组。 有关详细信息,请使用以下链接:
- 将域添加到 Microsoft 365
- 在“设置”“域名”“自定义域”>下设置默认域名>
添加用户、创建组和分配许可证
Microsoft 365 租户到位后,可以添加用户、创建组和分配许可证。 所有学生和教师都需要一个用户帐户,然后才能登录并访问不同的 Microsoft 365 服务。 有多种方法可以执行此作,包括使用学校数据同步 (SDS) 、手动同步本地 Active Directory或两者。
注意
将学生信息系统 (SIS) 与学校数据同步是将学生和教师创建为Microsoft 365 教育版租户中的用户的首选方法。 但是,如果要集成本地目录并将帐户同步到云,请跳到 Microsoft Entra Connect Sync。
学校数据同步
✅ 使用 SIS 数据预配用户和组
学校数据同步 (SDS) 导入和同步 SIS 数据,以在 Microsoft 365 中创建课堂,例如Microsoft Microsoft Teams 中的 365 个组和课堂团队。 SDS 可用于创建新的仅限云的标识或改进现有标识。 用户演变为 学生 或 教师 ,并与 年级、 学校和其他特定于教育的属性相关联。
有关详细信息,请参阅 学校数据同步概述。
提示
若要了解学校数据同步的详细信息和实践,请遵循Microsoft 学校数据同步演示,其中提供了访问、配置和部署Microsoft 365 教育版租户中的学校数据同步的详细步骤。
注意
可以通过从 O365-EDU-Tools GitHub 站点克隆或下载示例 SDS CSV 学校数据来执行测试部署。
请记住,通常应将测试 SDS 数据 (用户、组等) 部署在单独的测试租户中,而不是在学校生产环境中。
Microsoft Entra Connect Sync
✅在 Active Directory 和 Microsoft Entra ID 之间配置同步
若要将本地目录与Microsoft Entra ID集成,可以使用 Microsoft Entra Connect 同步用户、组和其他对象。 Microsoft Entra Connect 允许配置适合学校的身份验证方法,包括:
有关详细信息,请参阅 为 Microsoft 365 设置目录同步。
手动创建用户
✅ 逐个创建用户
除了上述方法,还可以手动添加用户和组,并通过Microsoft 365 管理中心分配许可证。
有两个选项可用于手动添加用户,无论是单独添加还是批量添加:
- 将学生和教师分别添加为用户Microsoft 365 教育版:
- 登录到 Microsoft Entra 管理中心。
- 选择“Microsoft Entra ID>用户>所有用户>新建用户>创建新用户”。 有关详细信息,请参阅 同时添加用户和分配许可证。
- 将多个用户添加到Microsoft 365 教育版:
- 登录到 Microsoft Entra 管理中心。
- 选择“Microsoft Entra ID>用户>所有用户>批量作>批量创建”。
有关详细信息,请参阅在Microsoft 365 管理中心中添加多个用户。
创建组
✅ 组织用户和设备
创建组对于简化多个任务非常重要,例如分配许可证、委派管理、部署设置、应用程序或将作业分发给学生。 若要创建组,请:
- 登录到 Microsoft Entra 管理中心。
- 选择“Microsoft Entra ID>组>”“所有组>”“新建组”。
- 在 “新建组 ”页上,选择“ 组类型>”“安全性”。
- 根据需要提供组名称并添加成员。
- 选择 下一步。
有关详细信息,请参阅在Microsoft 365 管理中心中创建组。
分配许可证
✅ 向用户分配许可证
分配许可证的建议方法是通过基于组的许可。 使用此方法,Microsoft Entra ID可确保将许可证分配给组的所有成员。 为加入组的任何新成员分配相应的许可证,当成员离开时,其许可证将被删除。
将许可证分配给组:
- 登录到 Microsoft Entra 管理中心。
- 选择“Microsoft Entra ID>显示更多>计费>许可证”。
- 选择要为 >Assign 分配许可证的必需产品。
- 添加应向其分配许可证的组。
有关详细信息,请参阅使用 Microsoft Entra 管理中心 的基于组的许可。
配置学校品牌
✅ 自定义租户品牌
配置学校品牌可为学生和教师提供更熟悉的 Autopilot 体验。 使用自定义学校品牌,可以定义自定义徽标和欢迎消息,这些徽标和欢迎消息在 Windows 全新体验 (OOBE) 期间可见。
若要配置学校的品牌::
- 登录到 Microsoft Entra 管理中心。
- 选择“Microsoft Entra ID>”显示更多>用户体验>公司品牌”。
- 可以指定品牌设置,例如背景图像、徽标、用户名提示和登录页面文本。
- 若要调整 OOBE 期间显示的学校租户名称,请选择“Microsoft Entra ID>概述>属性”。
- 在 “名称” 字段中,输入学区或组织的名称 >“保存”。
有关详细信息,请参阅 将品牌添加到目录。
配置设备设置
在本部分中,将配置Microsoft Entra设备设置。
启用Microsoft Entra联接
✅启用Microsoft Entra联接和设备限制
若要允许Microsoft Entra加入,请:
- 登录到 Microsoft Entra 管理中心。
- 选择“Microsoft Entra ID>”>设备设置”。
- 在“用户可以将设备加入到Microsoft Entra ID”下,选择“全部”。
注意
如果需要只有特定用户才能将设备加入Microsoft Entra ID,请选择“已选择”。 如果使用预配包,请确保将创建预配包的用户帐户包含在用户列表中。
- 你可能还想要查看此页面上 的“每个用户的最大设备数 ”值,教育版客户通常将此值设置为 “无限制”。
- 从Microsoft Entra 管理中心选择“保存
注意
若要创建批量注册令牌 (由预配包用来执行 Entra 联接) ,必须具有受支持的Microsoft Entra角色分配,并且不能限定为 Microsoft Entra ID 中的管理单元。 支持的角色包括:
- 全局管理员
- 云设备管理员
- Intune管理员
- 密码管理员
有关详细信息,请参阅在管理中心Microsoft Intune授予管理员权限。
启用本地管理员密码存储 (可选)
✅启用Microsoft Entra以存储本地管理员密码
Microsoft Entra可以存储设备的本地管理员密码。 必须通过 Intune配置设备才能将密码存储在 Entra 中,这样 Entra 就可以接受来自设备的密码。
若要允许 Entra 存储本地管理员密码,请执行以下作:
| 叶片 | 配置组 | 设置 | 值 |
|---|---|---|---|
| 所有设备\设备设置 | 本地管理员设置 | 启用Microsoft Entra本地管理员密码解决方案 (LAPS) (预览版) | 是 |
| 所有设备\设备设置 | 其他设置 | 限制用户恢复其自有设备的 BitLocker 密钥 () | 否 |
有关详细信息,请参阅 Microsoft Entra ID 中的 Windows 本地管理员密码解决方案。
配置企业状态漫游 (可选)
✅ 禁用企业状态漫游
| 叶片 | 配置组 | 设置 | 值 |
|---|---|---|---|
| 所有设备\企业状态漫游 | 用户可以跨设备同步设置和应用数据 | 用户可以跨设备同步设置和应用数据 | None |
有关详细信息,请参阅在 Microsoft Entra ID 中启用企业状态漫游。
限制对管理作的访问 (可选)
✅ 配置租户以减少用户访问
Microsoft Entra具有多个控件,可用于限制Microsoft Entra中没有管理角色的用户的管理功能。
此表包含常用配置设置的列表。
| 叶片 | 配置组 | 设置 | 值 |
|---|---|---|---|
| 用户设置 | 默认用户角色权限 | 用户可以注册应用程序 | 否 |
| 用户设置 | 默认用户角色权限 | 限制非管理员用户创建租户 | 是 |
| 用户设置 | 默认用户角色权限 | 用户可以创建安全组 | 否 |
| 用户设置 | 来宾用户访问 | 来宾用户访问限制 | 来宾用户访问仅限于其自己的目录对象的属性和成员身份, (限制最严格的) |
| 用户设置 | 管理门户 | 限制对Microsoft Entra ID管理门户的访问 | 是 |
| 用户设置 | LinkedIn帐户连接 | 允许用户将其工作或学校帐户与LinkedIn | 否 |
| 用户设置 | 显示保持用户登录状态 | 显示保持用户登录状态 | 是 |
可使用以下文章应用其他控件来管理对目录的访问:
限制对组的访问 (可选)
✅ 配置租户以减少组管理功能
Microsoft Entra具有多个控件,可用于限制用户的组功能。
此表包含常用配置设置的列表。
| 叶片 | 配置组 | 设置 | 值 |
|---|---|---|---|
| 组设置 | 常规\自助服务组管理 | 所有者可以在“我的组”中管理组成员身份请求 | 是 |
| 组设置 | 常规\自助服务组管理 | 限制用户访问“我的组”中的组功能的能力 | 是 |
| 组设置 | 常规\安全组 | 用户可以在 Azure 门户、API 或 PowerShell 中创建安全组 | 否 |
| 组设置 | 常规\Microsoft 365 组 | 用户可以在 Azure 门户、API 或 PowerShell 中创建Microsoft 365 个组 | 否 |
有关详细信息,请参阅了解Microsoft Entra ID中的组和访问权限。
后续步骤
创建用户和组并为其授予Microsoft 365 教育版许可后,现在可以配置Microsoft Intune。