设计帐户策略

大型学术机构需要考虑如何为学生、教师和其他人员创建帐户。 本部分介绍如何在跨多个Microsoft Entra租户的大型 EDU 中创建帐户。

仅限云的帐户

建议尽可能使用仅限云的标识。 仅限云的标识由在 Microsoft Entra ID 中创建和维护的用户帐户对象表示。 使用仅限云的标识,所有用户、组和联系人都存储在 Microsoft Entra 租户中。

仅限云标识最适合不使用 Active Directory 域服务 (AD DS) 来管理本地标识或具有其他本地标识的组织。 它的最大好处是它的简单性,因为不需要额外的目录工具或服务器。

对于教育组织,建议创建仅限云的帐户:

  • 已将其 SaaS 应用程序与 Microsoft Entra ID 集成。

  • 不依赖于本地 AD DS 来管理标识。

  • 希望使用 学校数据同步 (SDS) 基于其在线学生信息系统 (SIS) 创建新的仅限云的标识。

混合帐户

混合标识由在本地 AD DS 中创建的用户对象表示,然后同步到Microsoft Entra租户。 这些帐户创建用于身份验证和授权的通用用户标识。 当用户需要混合访问本地和云应用程序时,通常会使用混合帐户。

混合标识最适合使用 AD DS 的组织。 其最大好处是,它允许用户在访问本地或基于云的资源时使用相同的凭据。

创建和维护混合帐户比管理仅限云的帐户更为复杂,仅建议用于以下教育组织:

  • 需要访问本地和基于云的资源。

  • 使用 AD DS 或其他标识提供者创建和管理用户帐户。

如何注册

在大多数国家/地区,你的机构无需执行任何管理操作即可注册用户。 可以使用 Office 365 Campus Marketing 工具包中的内容向学生、教职员工传达 Office 365 A1 或 Office 365 A1 Plus 的可用性。 该工具包包含模板电子邮件、海报、Web 横幅等,可帮助你提高学生、教职员工的认识。 有关学校应采取的步骤的具体问题,请与你的 Microsoft 代表联系。

某些国家/地区的客户必须配置租户,以允许通过电子邮件验证的用户加入租户。 管理员可以按照以下步骤向学生和教职员工提供Office 365 A1或Office 365 A1 Plus:

  1. 如果使用 Windows 7,请安装 Microsoft Online Services Sign-In IT 专业人员助手。 如果使用Windows 8或更高版本,则不需要此步骤。

  2. 安装用于Windows PowerShell的最新 64 位版本的 Azure Active Directory 模块

  3. 键入以下 Windows PowerShell 命令以允许新用户自动加入你的 Office 365 租户:
    Set-MsolCompanySettings -AllowEmailVerifiedUsers $true

有关详细信息,请参阅 需要采取哪些步骤才能向学生、教职员工提供此功能?

创建 M365 A1 帐户

可通过多种方式为用户创建Office 365帐户。 创建帐户的方式取决于当前状态。

图片 1.

Office 365帐户已存在时

如果学校现有Office 365环境,其中学生、教职员工已有工作或学校帐户,Microsoft将自动激活Office 365 EDU A1 许可证并将其分配给现有帐户。 激活后,将自动通知用户可用的其他服务,包括下载Office 365 专业增强版(如果适用)。 如果用户已拥有 Office 365 A1 Plus 帐户或通过学校分配的任何其他Office 365 专业增强版许可证,则会重定向他们以使用其现有凭据登录,并收到包含立即安装提示的通知。

当用户仅收到电子邮件时

Office 365 教育版使用学校电子邮件地址为用户提供自助登录。 他们可以注册Office 365 A1,其中包括每个用户 1 TB 的OneDrive for Business存储空间,Office 网页版、SharePoint Online 和 Yammer。 注册后,用户会自动收到一个帐户,并且可以访问Office 365 A1中包含的服务。

例如,如果学生使用学校电子邮件地址“”Student@fineartsschool.edu进行注册,Microsoft会自动将他们添加为 fineartsschool.onmicrosoft.com Office 365环境中的用户。 将为其帐户激活Office 365 A1。 如果他们就读的学校符合学生使用权益的条件,他们将获得一个许可证,允许他们安装Office 365 专业增强版。

管理员可以使用以下Microsoft Entra cmdlet 配置这些功能

Set-MsolCompanySettings -AllowEmailVerifiedUsers $true

有关详细信息,请参阅Office 365 教育版 Self-Sign:技术常见问题解答

当用户具有本地帐户时

混合帐户的同步是一个两步过程,涉及两个组件:Microsoft Entra连接和学校数据同步。

Microsoft Entra Connect 是用于将本地 Active Directory用户、组和其他对象同步到Microsoft Entra ID的Microsoft工具。 它在本地服务器上运行,检查 AD DS 中的更改,并将这些更改转发到Microsoft Entra ID。 Microsoft Entra Connect 还可用于筛选同步的帐户,以及是使用密码哈希同步 (PHS) 直通身份验证 (PTA) ,还是使用联合身份验证对用户进行身份验证。

注意

建议Microsoft Entra连接 PHS 进行身份验证,因为这是混合帐户使用 Microsoft Entra ID 进行身份验证的最简单方法。 只需管理一台服务器,即可获得无缝单一登录和云多重身份验证。 Microsoft Entra ID的某些高级功能(如标识保护和Microsoft Entra 域服务)需要密码哈希同步,无论你选择哪种身份验证方法。 ​

Microsoft Entra Connect 有两种安装类型:Express 和 Custom。 Express 是最常见的,旨在提供适用于大多数客户方案的配置。 快速安装假定你有一个林,本地 Active Directory中对象少于 100,000 个。 使用此选项自动启用 PHS。

如果对象数超过 100,000 个或多个林,请使用 Microsoft Entra Connect 的自定义安装。 如果计划使用联合身份验证或 PTA 进行用户身份验证,请使用自定义安装。

有关详细信息,请参阅选择要用于 Microsoft Entra Connect 的安装类型

学校数据同步 (SDS) 是 Microsoft 365 教育版 中的一项免费服务,可从学校的学生信息系统 (SIS) 读取数据。 它创建

  • Teams 教育版。 SDS 支持基于 SDS 创建的 O365 组和名册自动创建课堂团队。

  • OneNote 课堂笔记本。 SDS 在 Teams 教育版 内启用自动 OneNote 课堂笔记本预配。 启用后,每个课堂笔记本都将根据同步期间导入的 SDS 课堂名单数据创建分区并设置权限。

  • Exchange Online 和 SharePoint Online。 SDS 为联机消息传送、文件共享和协作创建Office 365 组。

  • Intune教育版。 SDS 为精细设备策略创建基于学校的安全组,还可以为同步的所有学生和教师提供Intune的自动批量许可。

  • SaaS 应用。 SDS 与 Microsoft Store 中的众多应用集成,并启用花名册和单 Sign-On (SSO) 应用集成。

SDS 通常与 本地 Active Directory 和 Microsoft Entra Connect 一起部署。 可以使用 Microsoft Entra Connect 从本地创建用户和组,然后使用 SDS 将其他学生和教师属性从 SIS 同步到 Microsoft Entra Connect 创建的帐户对象。

Microsoft Entra Connect 和 SDS 永远不会发生冲突,因为 SDS 不会同步或覆盖由 Microsoft Entra Connect 管理的任何属性。 还可以创建使用 SDS。 可以使用 SDS 直接从 SIS 同步和创建用户,而不是使用 Microsoft Entra Connect。

有关详细信息,请参阅 使用学校数据同步 (SDS) 同步 SIS

将帐户从本地 AD 同步到Microsoft Entra租户

Azure Ad Connect 和 SDS。

使用 SDS 和 SIS 将帐户同步到 Azure 租户

SDS 和 SIS 同步。

批量创建新帐户

在具有现有本地 Active Directory的混合环境中,使用 PowerShell 脚本和 CSV 文件批量创建用户。 创建后,管理员可以使用 Microsoft Entra Connect 将帐户同步到Microsoft Entra ID。

在仅限云的环境中,从 SIS 数据导出或创建用于学校数据同步的 CSV 文件,设置同步配置文件,并将 CSV 上传到 SDS,以批量创建新的仅限云Microsoft Entra帐户。

挑战和限制

虽然大型 EDU 将受益于基于区域的多租户体系结构,但它可能会给用户带来一些应注意的挑战,包括:

  • 每个租户必须有自己的命名空间。 例如,region1.fineartsschool.edu。

    • 用户需要知道其区域后缀,例如@ region1.fineartsschool.edu。
  • 除非管理员启用和配置,否则用户将无法使用 SharePoint、OneDrive 和 Microsoft Teams 跨租户进行协作。

  • 多租户 MFA

    • 用户必须在每个租户中注册 MFA。
    • 设备状态控制 (例如,合规) 不能跨租户应用。

授权

无需将许可证分配给执行自助注册Office 365 A1的用户。 当用户执行此操作时,会自动分配 A1 或 A1 Plus 许可证。

仅当需要用户访问需要许可证的服务(如 Exchange Online 或 SharePoint Online)时,才应向用户分配许可证。

对于具有以下功能的大型 EDU 组织,建议使用基于组的许可

  • Microsoft Entra ID P1 及更高版本的付费或试用版订阅

  • Office 365 企业版 E3、Office 365 A3、Office 365 GCC G3、GCCH Office 365 E3或 DOD Office 365 E3 的付费或试用版。

许可证将分配给组的所有成员,当新成员添加到组时,还将为这些成员分配相应的许可证。 ​

如果你没有基于组的许可所需的许可证之一,可以使用 PowerShell 分配许可证,如 使用 PowerShell 将 Microsoft 365 个许可证分配给用户帐户中所述。

另一个选项是使用 Microsoft 365 管理中心 手动向用户分配许可证。 对于大型组织,不建议手动分配。

后续步骤