设置面向一线员工的 Microsoft 365
要设置面向一线员工的 Microsoft 365,请按照以下整个过程操作:
- 识别你的方案:要为一线员工实施哪些方案? 确定所需的方案后,使用下表标识要实现的每个方案所需的应用和服务。
- 设置环境和核心 Microsoft 365:按照 Microsoft 365 管理中心中的设置指南来设置 Microsoft 365。 继续阅读以了解如何访问这些指南。
- 预配用户、配置组和分配许可证:了解如何在 Entra ID Microsoft预配用户和创建组,然后将一线许可证分配给用户。
- 配置设备注册:设置共享和个人设备,以便与 Microsoft 365 和 Microsoft Teams 配合使用,并允许一线员工在组织中更安全地进行通信。
- 设置方案所需的任何其他服务:设置服务,包括 Exchange、Outlook、SharePoint 和 Microsoft Viva。
- 配置安全性:了解如何创建安全策略以确保组织安全。
- 配置应用:在管理中心设置和配置所有内容后,可以按照方案指南进一步配置每个方案所需的应用。
步骤 1:确定方案
下表列出了适用于一线员工的方案。 可以在 选择方案 中阅读每个方案的摘要,并通过按照指向每个方案以及所需每个应用或服务的链接准确了解需要配置的内容。
某些服务仅包含在 F3 许可证中,例如电子邮件和 Power Platform。 查看 了解一线员工用户类型和许可,以确定用户所需的许可证类型。
步骤 2:设置环境和核心 Microsoft 365
Microsoft 365 管理中心提供一组 设置指南,可指导你完成在 Microsoft 365 中设置产品、安全功能和协作工具的步骤。 可从 Microsoft 365 管理中心中的“设置指南”页访问设置指南。
- 使用 准备环境 指南,为 Microsoft 365 和 Office 365 服务准备组织环境。
- 使用 Microsoft 365 设置 指南设置生产力工具、安全策略和设备管理功能。 还可以使用此顾问来设置和配置组织的设备。
步骤 3:预配用户、配置组和分配许可证
设置Microsoft 365 后,可以开始添加用户、将用户组织到组中并分配许可证。 大部分信息也位于 可下载的技术规划指南中。
预配用户
设置Microsoft 365 后,可以开始添加用户、将用户组织到组中并分配许可证。 在预配一线用户之前,应创建新的管理员帐户或查看和更新 现有管理员帐户,Microsoft Entra ID。 详细了解 Microsoft 365 可能需要哪些Microsoft Entra 管理员角色。
在此步骤中,你将在 Entra ID Microsoft为一线员工创建用户标识。 可以通过三种方式导入用户:
- 将 Microsoft Entra ID 与现有 Active Directory 实例集成:Microsoft Entra Connect 将 Active Directory 用户帐户复制到 Microsoft Entra ID,允许用户具有能够访问本地和基于云的资源的单个标识。
- 将 Microsoft Entra ID 与第三方标识解决方案集成: Microsoft Entra ID 支持通过联合身份验证与某些第三方提供商集成。
-
从组织的 HR 系统导入用户:Microsoft Entra 用户预配服务 可以根据组织设置的规则自动创建、维护和删除用户标识。
- 本地 HR 系统: 可以使用 Microsoft Identity Manager 将用户从本地 HR 系统预配到 Active Directory 或直接Microsoft Entra ID。
- 基于云的 HR 系统: 了解如何将 SAP SuccessFactors 和 Workday 连接到Microsoft Entra ID。
使用此表验证 HR 驱动的用户预配。
| 测试方案 | 预期结果 |
|---|---|
| 在云 HR 应用中创建新员工 | 用户帐户在 Entra ID Microsoft预配,可以访问分配的云资源。 如果配置了Microsoft Entra Connect Sync,也会在 Active Directory 中创建用户帐户。 用户可以登录到 Active Directory 域应用并执行所需的操作。 |
| 用户在云 HR 应用中被终止 | 用户帐户在 Microsoft Entra ID 和 Active Directory(如果适用)中被禁用。 用户无法登录到分配给它们的云或本地应用程序和资源。 |
| 在云 HR 应用中更新了监督器 | 用户使用新映射保持活动状态。 |
| HR 将员工重新雇用到新角色。 | 结果取决于云 HR 应用如何配置为生成员工 ID。 如果重新雇用旧员工 ID,连接器会为用户启用现有的 Active Directory 帐户。 如果重新雇用获得新的员工 ID,连接器会为该用户创建新的 Active Directory 帐户。 |
| HR 将员工转换为合同工,反之亦然 | 为新角色创建新的 Active Directory 帐户,并在转换生效日期禁用旧帐户。 |
配置Microsoft Entra 组
通过配置 Azure AD 中的组,可以大规模创建和管理策略和许可证分配。
- 为一线员工分配唯一属性: 将组应用于一线员工或验证Microsoft Entra ID 和 HR 系统之间的集成是否正常运行时,识别所有一线工作人员的功能非常有用。 组织经常使用作业 ID 属性实现此目的。 根据组织的结构,可能还需要 自定义安全属性 或 目录扩展属性。
- 创建Microsoft Entra 组并分配一线用户: 使用 Microsoft Entra 组,可以向一组用户而不是每个用户授予访问权限和权限。 组用于管理需要对资源具有相同访问权限和权限的用户,例如可能受限的应用和服务。 创建一个组,将特殊权限应用于该组的每个成员,而不是向单个用户添加特殊权限。
下表包含有关在一线实现中应用组的建议。 有关组类型、成员身份类型和分配的详细信息,请参阅Microsoft Entra 文档,了解组和成员身份和管理组。 有关安全组限制和其他Microsoft Entra 服务限制的详细信息,请参阅 Microsoft Entra 服务限制和限制。
| 用例 | 组类型 |
|---|---|
| 自动分配许可证、策略和权限。 如果成员的属性发生更改,系统会查看目录的动态组规则,以查看该成员是否满足) 添加 (的规则要求,或者不再满足 () 删除的规则要求。 | 安全组 (限制 5,000 个组) 动态用户 |
| 管理用户的访问权限,而无需自动分配到组。 | 安全组或通讯组列表 (没有限制) |
| 创建电子邮件别名以将组消息分发给用户组,而无需自动用户管理。 | 通讯组列表或分配Microsoft 365 组 |
| 在 Microsoft Teams 中创建电子邮件别名或团队,并自动管理成员身份。 | Microsoft 365 个组,动态用户 |
| 使用 “我的员工 ”将权限委托给一线经理,以查看员工个人资料、更改电话号码和重置密码。 | 管理单元 |
详细了解可在 Microsoft 365 管理中心中创建的不同类型的组。
分配一线许可证
可以在 Entra ID 中将许可证添加到单个用户或用户组Microsoft。 组分配是向一线员工分配许可证的最可缩放方式。 可以将一个或多个产品许可证分配给组。
如果要将某些用户从 E 许可证更改为 F 许可证,则可能需要 取消分配 许可证。 详细了解如何将特定用户从 E 许可证切换到 F 许可证。
步骤 4:配置设备注册
在 Microsoft Entra ID 中注册设备会创建可用于保护和管理设备的唯一标识。 详细了解Microsoft Entra 设备标识。
使用 Intune 进行共享设备注册
人造人: 使用 Microsoft Intune 自动将 Android 设备注册到共享设备模式。 详细了解如何在 Intune 中注册共享设备。
iOS: 当前不可用。
使用 Intune 进行 BYOD 设备注册
使用 Microsoft Intune 确保一线员工设备的安全和保护。 详细了解如何在 Intune 中注册不同类型的 BYOD 设备:
使用第三方移动设备管理为共享设备模式配置设备
第三方移动设备管理 (MDM) 解决方案当前不支持共享设备模式的零接触预配。 但是,可以为第三方 MDM 解决方案中管理的 Android 和 iOS 设备 手动配置共享设备模式 。
注意
虽然这些步骤在 Microsoft Entra ID 中注册设备,但它们不会将Microsoft Entra ID 连接到 MDM 解决方案。 条件访问不适用于这些设备。
详细了解 VMware Workspace ONE 和 SOTI 的配置。
如果选择在共享设备模式下手动配置设备,则当第三方 MDM 支持可用时,需要通过从设备卸载并重新安装 Authenticator 来采取更多步骤在共享设备模式下重新注册 Android 设备。
若要设置共享和个人设备以使用 Microsoft 365 和 Microsoft Teams,并允许一线员工在组织中更安全地进行通信,请参阅 一线工作人员的设备管理概述。
步骤 5:设置其他服务
根据你的方案,你需要配置其他Microsoft 365 服务,例如 Exchange 和 Outlook 电子邮件或 Microsoft Viva,以扩展员工体验。 请继续阅读,了解有关每个服务的信息。
使用 Exchange Online 设置电子邮件
如果希望一线经理和员工有权访问电子邮件,则需要在 Microsoft 365 中设置电子邮件。 用户必须具有 F3 许可证才能访问电子邮件。 按照 电子邮件设置指南 进行设置。
用户还可以安装 Outlook 应用以用于其电子邮件,因此你需要确保与他们共享 Outlook 应用的下载位置。
Outlook
使用基于位置、部门和角色等属性的动态组支持的共享邮箱,组织可以将目标通信发送到不需要管理员干预的动态组。
在 Microsoft 365 中使用 SharePoint 设置网站
通过 SharePoint,可以共享文档并创建网站。 使用 Microsoft 365 管理中心中的 SharePoint 安装指南 进行设置。
设置 Microsoft Teams
按照 为一线员工大规模部署 Teams 中的指南进行操作。
使用 Microsoft Viva 设置员工体验
Microsoft Viva 有助于将员工与集成的员工体验联系起来,该体验将通信、知识、学习、资源和见解汇集到工作流中。 Microsoft Viva 具有多个模块,可与 Microsoft Teams 配合使用,以创建员工体验。
设置 Viva Connections
使用 Viva Connections 创建仪表板,帮助吸引一线员工并向其提供信息。 Viva Connections 是 Microsoft Teams 中的可自定义应用,它为每个人提供了一个个性化目标,用于发现相关新闻、对话和成功所需的工具。
按照 生成员工体验设置指南 进行设置。 详细了解 如何设置 Viva Connections。
设置 Viva Learning
Viva Learning 是 Microsoft Teams 中的一个应用,它通过将学习引入到他们已使用的工具和平台的工作流中,使员工能够自然地学习。 若要了解如何 设置 Viva Learning,请参阅在 Teams 管理中心设置 Microsoft Viva Learning。
使用 Viva Engage 设置组织的社交网络
Viva Engage 可帮助连接整个公司的员工。 了解如何 设置 Viva Engage 进行设置。
设置 Power Apps、Power Automate 和 Power BI
你可以在 Microsoft Teams 中使用所有这些应用。 有关如何设置它们的详细信息,请参阅:
- Power Apps 和 Microsoft Teams 集成
- Power Automate - 在 Microsoft Teams 中使用流
- 使用 Power BI 在 Microsoft Teams 中进行协作
- Microsoft Teams 中的 Power Virtual Agents
- Power Apps
步骤 6:配置安全性
预配用户、注册设备并配置应用程序后,现在可以创建策略来保护组织的基础结构资源。
- 条件访问: 规划 Microsoft Entra 条件访问部署。
- 应用保护策略:了解 Microsoft Intune 中的应用管理。
- 多重身份验证: 需要 对 Intune 设备注册进行多重身份验证。
设置完安全策略后,请务必使用测试用户 (非管理员) 帐户来验证策略是否按预期工作,并确保最终用户体验适合一线员工的需求。 某些功能(如多重身份验证和应用保护策略)可能会向设备注册或登录流添加其他步骤,对于某些一线方案而言,这些步骤可能不可接受。
步骤 7:为方案配置应用
在管理中心设置和配置所有内容后,可以按照方案指南进一步配置每个方案所需的应用。
遵循这些最佳做法,为一线员工设置Microsoft Teams。
策略包 是预定义策略和策略设置的集合,可将其分配给组织中具有类似角色的用户。 策略包在管理策略时简化、简化并帮助提供一致性。 Teams 为一线员工和经理提供 预定义的策略包 。 还可以创建自定义策略包,并在 Teams 管理中心大规模将其分配给一线员工。
在 Teams 管理中心或 PowerShell 中使用 团队模板 。 可以使用预生成的模板或 创建自己的模板。 还可以应用模板策略来控制哪些模板可供 Teams 中的用户使用。 详细了解 如何在 Teams 管理中心开始使用团队模板 , 以及如何设置和部署团队。 预生成的一线模板可从 Teams 管理中心访问,模板 ID 为“com.microsoft.teams.template.Frontline”。
下表显示了一线解决方案中常用的 Teams 应用程序。 Teams 移动客户端现成提供排班、审批和 Walkie 对讲机。 你可以控制哪些应用程序可供 Teams 管理中心的所有用户使用。
方案和应用
| 应用场景 | 审批 | 虚拟约会或预订 | 列表 | 表扬 | 排班 | Planner | 更新 |
|---|---|---|---|---|---|---|---|
| 团队通信和协作 | ✅ | ✅ | ✅ | ✅ | ✅ | ||
| 企业通信 | |||||||
| 使用 Microsoft Teams 进行虚拟约会 | ✅ | ✅ | |||||
| 健康和互动 | ✅ | ✅ | |||||
| 使用 Shifts 安排团队 | ✅ | ✅ | ✅ | ✅ | |||
| 培训:载入新员工 | ✅ | ✅ | ✅ | ||||
| 持续培训 | ✅ | ✅ | ✅ | ||||
| 简化业务流程 | ✅ | ✅ | ✅ | ✅ | |||
| 管理网站、商店和项目 | ✅ | ✅ | ✅ | ✅ |