为组织准备网格
本页介绍所需的任务和建议的功能角色,这些角色可能需要了解推出,但要遵循组织的标准推出过程,包括更改和配置管理。
此内容涵盖网格中的沉浸式空间和 Teams 中沉浸式空间的网格实现要求。 概括而言,步骤如下:
规划网格实现后,了解如何在 Teams 中 设置Microsoft网格 和 设置沉浸式空间。
收集部署团队
强烈建议使用高管级赞助来帮助解决任何跨团队阻止问题。
需要访问多个管理工具:
需要 Teams 管理员 Center (TAC) 来配置头像和沉浸式空间管理。
Azure 门户管理用于自定义网格环境的网格云脚本, (如果环境可以选择使用这种形式的脚本) 。
其他任务(如允许 URL 和防火墙端口)将在组织使用的任何管理工具中完成。
网格使用 Microsoft 365 套件的其他部分。 如果组织限制对这些资源的访问,则部分网格将不起作用。 与有权访问Microsoft 365 管理工具的人员联系,以确定是否存在任何限制,并测试这些限制是否会干扰网格。
例如,下表定义了特定作所需的访问权限:
网格作 需要访问 创建网格集合 创建 Microsoft 365 组 作为成员添加到网格集合 访问Microsoft 365 个组 创建网格事件 访问 Microsoft 365 日历 受邀加入网格事件 访问 Outlook 邮件 创建模板 访问 SharePoint 在事件或模板顶部添加图像或视频 访问 SharePoint 或 OneDrive
提示
某些设置任务可能需要个人或团队以外的个人或部门合作,这些任务将部署和运行网格,例如许可、安全性和终结点管理。 可能还需要咨询技术支持和人力资源等其他利益干系人。
验证许可证和策略
对于 Teams 中的头像和沉浸式空间,用户必须拥有以下其中一项的许可证:Teams 基础版、Microsoft 365 商业基础版、Microsoft 365 商业标准版、Microsoft 365 商业高级版、Microsoft 365 E3/E5 和 Office 365 E1/E3/E5。
网格事件的许可证要求
对于Microsoft网格,需要满足以下条件:
Teams 高级版商业用途租户中的许可证 (目前仅在Teams 高级版介绍性定价或部门) Teams 高级版中提供。 详细了解Microsoft Teams 高级版许可 - Microsoft Teams |Microsoft Learn。
注意
我们不支持具有全球公共部门、EDU 或 GCC 许可证的租户。
Teams 高级版的先决条件许可证,如购买Teams 高级版的要求 - Microsoft Teams |适用于网格所有用户的 Microsoft Learn。
注意
所有Teams 高级版先决条件许可证包括 Sharepoint、OneDrive 和 M365 日历。 详细了解 Teams 企业版和Teams 高级版试用版许可证。
(可选的) Unity 许可证 () 和 Azure 订阅,用于使用网格工具包开发自定义沉浸式环境,并为网格环境部署云脚本。
详细了解 网格云脚本基础结构和管理。
订阅要求
若要使用Microsoft网格,所有用户 ((包括开发人员、活动组织者和事件与会者/用户) )都必须具有 M365 Office 订阅,有权访问 SharePoint、OneDrive 和 M365 日历。
需要满足以下条件:
- 组创建:用于在 Web 上的网格中创建网格世界。
- SharePoint/OneDrive:用于创建自定义事件/模板。
- 邮箱/日历:用于事件创建和/或发送/接收事件邀请。
有关帮助,请参阅 网格许可中的沉浸式空间故障排除和常见问题解答。
Teams 中沉浸式空间的许可证要求
所需许可证
用户必须具有商业 Teams 许可证:Microsoft Teams 企业版、Teams 基础版或以下包含 Teams 的 M365、O365 或商业 SKU 之一:Microsoft 365 商业基础版、Microsoft 365 商业标准版、Microsoft 365 商业高级版、Microsoft 365 E3/E5 和 Office 365 E1/E3/E5。
详细了解 如何在 Teams 中设置沉浸式空间。
有关帮助,请参阅 Teams 许可故障排除和常见问题解答中的沉浸式空间。
考虑要预配网格的租户
选择要为网格预配的租户 () 时,需要考虑的两个main因素是:
哪些用户应该能够访问沉浸式体验。
Microsoft Entra ID中具有本机帐户的用户将最容易地访问事件。 你可以邀请Microsoft Entra ID中具有来宾帐户的用户参加活动,但他们必须执行额外的步骤才能使用其来宾帐户登录到 Mesh。 此外,来宾用户无法创建事件或成为网格事件的共同组织者。 有关详细信息,请参阅 邀请来宾与会者参加网格事件。
对域拥有无限控制权与安全有效地运行域的最终责任之间的权衡。
网格的主租户
建议为 Mesh 预配主要生产租户,因为这样可以为你提供最大的测试范围,但这可能会通过内部过程和审批产生开销。
用于网格的单独租户
如果想要与生产租户外部的人员协作,可能需要仅为 Mesh 设置单独的租户。 对于不为该组织工作的人员,在生产租户中创建用户帐户没有技术障碍,但这样做可能有很强的业务原因。
注意
但是,创建其他租户会增加管理员和用户管理帐户的复杂性,也可能会产生额外的许可和域管理费用,并且可能需要组织内的其他流程。
如果希望为生产版本的 Teams 中的用户使用 Teams 中的沉浸式空间,则一定会希望为 Mesh 预配生产租户。 虽然可以创建其他租户进行测试,但全天使用 Teams 的用户不太可能希望注销其 main Teams 帐户以登录到不同租户中的不同帐户。 单独的租户对于网格应用更实用,其中在帐户之间切换更容易。
每个租户可以有多个 Azure 存储订阅,但用于网格云脚本的 Azure 存储订阅必须与将参加活动的用户以及将上传和管理脚本的开发人员位于同一 EntraID 中。
联系支持团队的所有者
若要完成运行网格的步骤,需要具有各种权限或与组织中可以授予所需权限的人员联系。 根据公司结构和策略,此过程可能非常耗时,因此有助于尽快开始推广。
以下部分列出了完成所需的预部署任务时可能需要使用的组织角色:
Teams 应用经理
沉浸式空间和头像的管理将在 Teams 管理门户中进行, admin.teams.microsoft.com。 你需要租户全局管理员为网格团队中的某人分配Microsoft Entra中的 Teams 管理员角色,或者需要与当前 Teams 应用管理员密切合作才能进行所有必要的配置。
Teams 应用策略
你将使用的两个网格组件是 Teams 应用;应设置策略,确保只有已批准的用户有权访问他们。 修改全局或自定义级别的 Teams 应用策略,以根据需要允许/阻止网格应用。 如果希望指定用户自动安装网格组件,还必须设置 Teams 应用设置策略。 与拥有 Teams 应用管理的人员协调,以规划适当的策略。 有关 Teams 访问控制的详细信息,请参阅 https://admin.microsoft.com/Adminportal/Home#/rbac/directory。
Teams 反馈策略
Microsoft依靠用户的反馈来制造更好的产品。 Teams 管理员可以设置用户是否可以向Microsoft发送有关 Teams 的反馈。 可以根据 Entra ID 组成员身份允许反馈。 如果禁用 Teams 反馈,用户将无法发送有关 Teams 中内置的网格功能的反馈。 我们强烈建议组织允许对网格用户提供此反馈,但在进行任何更改之前,请先咨询公司策略。 有关管理反馈的详细信息,请参阅
配置服务计划以允许用户访问
有关服务计划的详细信息,请参阅 使用服务计划配置对网格的访问。
查看终结点管理器
确保了解组织的应用部署过程。 网格应用在 Microsoft 应用商店中提供,可以使用 MDM (移动设备管理) 解决方案(例如Microsoft Intune)从该应用中除污,以部署应用并将其显示在用户的公司门户中。 如果阻止访问 Microsoft 应用商店,则可以改用 WinGet。 有关使用 Microsoft Intune 部署应用的详细信息,请参阅:
将 Microsoft 应用商店应用添加到 Microsoft Intune
配置 Azure for Cloud 脚本编写
如果开发人员计划生成将使用 网格云脚本的自定义网格环境,则需要一个 Azure 订阅,以便部署其云脚本服务。 对于仅使用 网格可视化脚本的环境,不需要 Azure 订阅。
有关网格云脚本的先决条件的更多详细信息,请参阅 准备第一个网格云脚本项目。
与组织的安全团队合作
在部署任何新应用或服务之前,必须考虑安全隐患,并与安全团队密切合作,以确保遵守所有标准安全策略。 提前与相应的安全所有者讨论以下网格要求。
终结点和防火墙配置
与所有Microsoft产品一样,必须允许网格体验所需的终结点和端口,才能为用户提供完整的功能和最佳性能。 如何使用网格的网络配置要求取决于企业组织网络体系结构。
Teams 中网格体验的终结点和防火墙端口
本部分概述了 Teams 中网格应用和 虚拟形象 应用的特定终结点和防火墙要求,这些要求允许用户在 Teams 会议中加入沉浸式空间 (3D) ,并在会议中使用虚拟形象。
Teams 中的虚拟形象
配置企业防火墙设置,使其符合Microsoft M365 URL 和 IP 地址范围中概述的标准Microsoft 365 要求集。
Teams 中的沉浸式空间
将企业防火墙设置配置为符合 Microsoft Teams 的标准Microsoft 365 要求集,Microsoft Microsoft M365 URL 和 IP 地址范围中所述的 365通用。
为此,请确保已将防火墙配置为允许流向 *.cloud.microsoft.com
、*.office.com
、 *.graph.microsoft.com
*.substrate.office.com
和*.microsoft.com
超过 TCP 443
的80
流量。
网格还需要防火墙配置中详述的 IP 地址和端口范围,用于Azure 通信服务媒体功能(例如音频、视频和屏幕共享)。
如果没有对这些属性的访问权限,网格将无法对组织中的用户正常工作。
网格中沉浸式空间的终结点和防火墙要求
本部分概述了 网格中沉浸式体验的特定终结点和防火墙要求,包括网格应用程序及其可用于创建动态公司事件的功能。
通常, Microsoft M365 URL 和 IP 地址范围中概述的标准Microsoft 365 要求集适用于所有网格体验,只需执行一些额外的步骤即可启用其他网格功能,例如大型多房间事件、云脚本和嵌入内容 (WebSlate、视频/图像对象) 。
步骤 1:根据Microsoft M365 要求进行配置
将企业防火墙设置配置为符合 Microsoft Teams 的标准Microsoft 365 要求集,Microsoft Microsoft M365 URL 和 IP 地址范围中所述的 365通用。
在此过程中,请确保已将防火墙配置为允许流向 *.cloud.microsoft.com
、、*.office.com
、 *.graph.microsoft.com
*.substrate.office.com
和*.microsoft.com
超过 TCP 443
的80
流量。
网格还需要防火墙配置中详述的 IP 地址和端口范围,用于Azure 通信服务媒体功能(例如音频、视频和屏幕共享)。
如果没有对这些属性的访问权限,网格将无法对组织中的用户正常工作。
步骤 2:允许与会者随时间推移访问脚本和内容
云脚本编写
如果你或你的开发团队计划通过与 Azure 交互,使用 云脚本 在网格环境中显示动态和丰富的数据,则需要允许流量流向企业托管的 Azure 资源进行云脚本编写。
在发布使用云脚本的新环境时,可以通过允许 TCP 端口 443 上的流量 (HTTPS) 到该环境的托管应用来执行此作: <app>.azurewebsites.net
。
嵌入内容 (WebSlate、视频/图像)
网格应用利用 Web 和 Azure 实现动态内容体验。 这让活动组织者能够使用无代码事件自定义体验放置视频和图像对象,开发人员可以添加与 WebSlates 的 Web 交互性。
动态加载的嵌入式内容对沉浸式体验有独特的要求,因为需要独特的权限才能在网格体验中访问资源。
重要
若要确保嵌入内容可在网格中的沉浸式空间中访问,有两个注意事项:
- 如果存储在 SharePoint 中,则内容将遵循 M365 要求:组织者必须确保与会者有权访问 URL。 与会者必须具有对指定文件或共享链接的权限。
- 如果不在 SharePoint 中,内容将遵循防火墙规则:组织者必须确保 URL 域位于 TCP 端口 443 的防火墙/允许列表中, (HTTPS) 。 与会者客户端设备将直接从此 URL 下载。
内容类型 | 运作方式 |
---|---|
WebSlate 在网格环境或模板中嵌入交互式 Web 内容。 |
WebSlate 在每个与会者的设备上使用客户端 WebView 显示 Web 内容。 如果在浏览器中阻止与会者的目标 URL,则它们也会在网格中被阻止。 |
视频 & 图像对象 将视频和图像嵌入网格环境。 | 利用网格应用,组织者可以通过引用图像和视频 URL 来自定义其网格事件的体验。 如果在浏览器中为与会者阻止了这些 URL,则它们也会在网格中被阻止。 |
提示
除了防火墙允许列表外,WebSlates 还要求环境开发人员将 URL 的域添加到 Unity WebSlate 组件的允许列表。
有关 WebSlate 安全性和允许列表的详细信息,请参阅 WebSlate 性能和安全性。
网络带宽要求
网格事件的带宽要求
以下网络带宽要求旨在帮助组织中的用户获得网格沉浸式体验的最佳体验。
尽管我们一直在努力改进网格在恶劣网络条件下的工作方式,但如果组织中的用户报告音频质量不佳、音频切断或虚拟形象移动延迟或混蛋,则可能需要进一步优化网络。
网格沉浸式体验基于 Microsoft Teams 对屏幕共享等功能 的网络带宽要求 ,以及沉浸式功能(如虚拟形象移动和空间音频)所需的额外带宽,以及能够可视化其他会议室中的用户。
所有事件的带宽要求
形态 | 最小 (kbps) | 建议 (kbps) | 最佳性能 (kbps) |
---|---|---|---|
虚拟形象移动 & 音频 | 30/370 | 80/700 | 100/850 |
屏幕共享 (与 Teams) 相同 | 250/250 | 2,500/2,500 | 4,000/4,000 |
多会议室事件的其他带宽要求
形态 | 最小 (kbps) | 建议 (kbps) | 最佳性能 (kbps) |
---|---|---|---|
广播演示者 | 30/110 | 80/160 | 100/180 |
在其他聊天室中可视化用户 | 65/65 | - | - |
例如,多会议室事件(例如团队全手共享屏幕、广播演示者和其他会议室中的用户可视化效果)需要下游至少 375 kbps,上游 795 kbps,下游最多需要 4,265 kbps,上游最多 5,095 kbps。
注意:这些指标是根据 网格限制和规范中所述的最大会议室、演示者和事件容量来计算的,以帮助你最好地准备组织的网格网络。 较小的事件大小将具有较低的网络要求,例如,由于头像、演讲者和会议室较少。
自定义内容(如 通过网格事件自定义 添加的视频)可能需要更多带宽。 对于具有自定义内容的事件,我们建议事先使用具有代表性的网络连接测试事件,以确保内容正确加载并体验到足够的性能。
Teams 中沉浸式空间的带宽要求
以下网络带宽要求旨在帮助组织中的用户获得网格沉浸式体验的最佳体验。
尽管我们一直在努力改进网格在恶劣网络条件下的工作方式,但如果组织中的用户报告音频质量不佳、音频切断或虚拟形象移动延迟或混蛋,则可能需要进一步优化网络。
网格沉浸式体验基于Microsoft Teams 对视频和屏幕共享等功能 的网络带宽要求 ,以及沉浸式功能(如虚拟形象移动和空间音频)所需的额外带宽。
沉浸式参与者
形态 | 最小 (kbps) | 建议 (kbps) | 最佳性能 (kbps) |
---|---|---|---|
虚拟形象移动 & 音频 | 30/370 | 80/700 | 100/850 |
非沉浸式参与者
形态 | 最小 (kbps) | 建议 (kbps) | 最佳性能 (kbps) |
---|---|---|---|
音频 (与 Teams) 相同 | 30/370 | 80/700 | 100/850 |
视频 (与 Teams) 相同 | 150/200 | 2,500/4,000 | 4,000/4,000 |
屏幕共享 (与 Teams) 相同 | 250/250 | 2,500/2,500 | 4,000/4,000 |
例如,与一些参与者进行沉浸式会议、一些参与者未在视频打开和屏幕共享时,下游至少需要 440 kbps,上游 830 kbps,下游最多需要 8,176 kbps,上游最多需要 8,926 kbps。
注意:这些指标是根据 16 人容量的沉浸式空间来计算的,以帮助你最好地为组织的网络准备网格。 较小的事件大小将具有较低的网络要求,例如,由于头像和演讲者较少。
条件访问 & 任务
注意
条件访问策略只能由组织中明确了解更改影响的人员修改。 在进行任何更改之前,请咨询安全团队或公司安全策略中的其他专家。
网格当前不支持移动应用程序管理 (MAM) 在组织支持使用个人任务设备 (BYOD) 的情况下是必需的。 从版本 24.18 开始,网格现在通过 Quest 上的新和改进的本机身份验证流支持条件访问策略。
警告
活动已知问题: 强制实施条件访问策略的组织在 Quest 上无法登录。 用户将看到错误“将设备设置为获取访问权限”,并且无法登录。 我们目前正在研究自 2025 年 1 月起的修补程序。
条件访问是零信任策略的关键组成部分,用于保护网络和资源。 许多公司使用Microsoft Entra和Microsoft Intune实施条件访问策略,以控制允许哪些设备访问公司资源。 这些策略可以根据设备类型、作系统版本和配置来限制访问。 仅向符合指定条件的设备授予访问权限;所有其他内容均被拒绝。
借助对 Quest 上的 Mesh 的本机身份验证支持,组织可以使用 Quest for Business 实现托管设备,并使用Intune来管理设备配置文件、条件访问策略等。
每个使用网格的公司必须与其安全和终结点管理团队合作,以决定以下事项:我们是否需要一个托管的 Quest 设备群? 这样做可以确保符合公司策略,并且需要满足以下条件:
如果组织选择使用托管 Quest 设备: 你需要确保 Quest 设备群通过 Quest for Business 和 MDM 提供商进行管理。
在此处的 Meta for Work 帮助中心了解详细信息并开始使用 Quest for Business。
对于 Quest 注册入门的用户,检查Microsoft Intune注册指南。
注册并配置后,创建 基于设备的条件访问策略 ,以创建特定于组织的设备使用方案的登录条件。 目前不支持 (MAM) 应用保护策略。
如果组织想要对 Quest 提出例外: 创建公司风险配置文件可接受的条件访问策略,同时仍允许访问 Quest 设备。 为此,IT 管理员必须在 Intune 管理员 中心配置以下 MDM 和 MAM 排除项:
通过筛选新条件访问策略或现有条件访问策略上的 设备 来排除 Quest 设备。 若要排除未在 Entra ID 中注册的已筛选设备(如 Quest 模型和元制造商),可以使用负运算符设置条件访问策略。 若要应用负运算符,请使用 设备筛选器引用策略行为。 如果使用正运算符,则仅当目录中存在设备且配置的规则与设备上的 属性匹配时,才适用筛选器规则。
从新的或现有的 Android 应用保护策略中排除网格应用程序
这两个选项都允许使用网格。 但是,建议组织管理其 Quest 设备,以确保安全性和合规性。 如果未采取这两项作,并且组织中的用户尝试为应用条件访问策略的非托管设备启动 Mesh on Quest,则他们将收到 错误AADSTS50199 和/或 AADSTS53003。
有关条件访问的详细信息,请参阅:
与传达变革的利益干系人合作
上面列出的利益干系人都有影响网格环境设置的活动步骤,但组织的其他部分可能会受到部署的影响,或者可能需要在规划过程中尽早考虑的策略或准则。 在部署之前,组织的某些区域可能需要联系。
更改通信:如果有一个标准流程来联系用户有关挂起的更改,请确保网格是这些通信的一部分。
支持人员:为遇到使用网格问题的用户制定支持计划。 确保网格管理员能够查看用户遇到的问题,以便根据需要将其传达给Microsoft。
人力资源:虽然网格不需要人力资源部门执行任何特定作来部署或作,但 HR 可能有兴趣了解 Mesh 是关于为用户创建沉浸式体验。 请与人力资源部门联系,了解可能影响网格会议体验的任何策略。
公司品牌打造:如果你决定为用户创建自定义会议体验,则应与公司品牌专家检查,以确保任何会议资产都符合品牌标准。
为用户准备网格虚拟形象
首次在 Teams 中推出头像功能时,某些用户可能需要有关何时使用头像功能以及何时使用它们不好的指导。 Microsoft发布了一篇关于 Avatar 礼仪的博客: Microsoft员工如何在会议中使用 Microsoft Teams 中的头像。 此文档可帮助通知你可能想要与用户共享的材料。
摘要
Microsoft网格提供了许多强大的功能,可增强远程和混合工作区中的通信和协作。 由于此服务提供跨服务的体验,因此请确保规划所有必要的利益干系人提供输入,包括此处提到的内容以及特定于组织的其他内容。