设置面向一线员工的 Microsoft 365
要设置面向一线员工的 Microsoft 365,请按照以下整个过程操作:
- 识别你的方案:要为一线员工实施哪些方案? 确定所需方案后,使用下表确定要实现的每个方案所需的应用和服务。
- 设置环境和核心 Microsoft 365:按照 Microsoft 365 管理中心中的设置指南来设置 Microsoft 365。 继续阅读以了解如何访问这些指南。
- 预配用户、配置组和分配许可证:了解如何在 Microsoft Entra ID 中预配用户和创建组,然后将一线许可证分配给用户。
- 设置和配置设备:设置共享和个人设备,以便与 Microsoft 365 和 Microsoft Teams 配合使用,并允许一线员工在组织中更安全地进行通信。
- 设置方案所需的任何其他服务:设置服务,包括 Exchange、Outlook、SharePoint 和 Microsoft Viva。
- 配置安全性:了解如何创建安全策略以确保组织安全。
- 配置应用:在管理中心设置和配置所有内容后,可以按照方案指南进一步配置每个方案所需的应用。
步骤 1:确定方案
下表列出了适用于一线员工的方案。 可以在 选择方案 中阅读每个方案的摘要,并通过按照指向每个方案以及所需每个应用或服务的链接准确了解需要配置的内容。
某些服务仅包含在 F3 许可证中,例如电子邮件和 Power Platform。 查看 了解一线员工用户类型和许可 ,以确定用户所需的许可证类型。
步骤 2:设置环境和核心 Microsoft 365
Microsoft 365 管理中心提供一组 设置指南,可指导你完成在 Microsoft 365 中设置产品、安全功能和协作工具的步骤。 可从 Microsoft 365 管理中心中的“设置指南”页访问设置指南。
- 使用 准备环境 指南,为 Microsoft 365 和 Office 365 服务准备组织环境。
- 使用 Microsoft 365 设置 指南设置生产力工具、安全策略和设备管理功能。 还可以使用此顾问来设置和配置组织的设备。
步骤 3:预配用户、配置组和分配许可证
设置Microsoft 365 后,可以开始添加用户、将用户组织到组中并分配许可证。 大部分信息也位于 可下载的技术规划指南中。
预配用户
在预配一线用户之前,应创建新的管理员帐户或在 Microsoft Entra ID 中查看和更新现有管理员帐户。 详细了解 Microsoft 365 可能需要哪些Microsoft Entra管理员角色。
在此步骤中,你将为Microsoft Entra ID中的一线员工创建用户标识。 可以通过三种方式导入用户:
- 将Microsoft Entra ID与现有 Active Directory 实例集成:Microsoft Entra Connect 将 Active Directory 用户帐户复制到Microsoft Entra ID,从而允许用户拥有能够访问本地和基于云的资源的单个标识。
- 将Microsoft Entra ID与第三方标识解决方案集成:Microsoft Entra ID支持通过联合身份验证与某些第三方提供商集成。
-
从组织的 HR 系统导入用户:Microsoft Entra用户预配服务可以根据组织设置的规则自动创建、维护和删除用户标识。
- 本地 HR 系统:可以使用Microsoft Identity Manager将用户从本地 HR 系统预配到 Active Directory 或直接预配到Microsoft Entra ID。
- 基于云的 HR 系统:了解如何将 SAP SuccessFactors 和 Workday 连接到 Microsoft Entra ID。
使用此表验证 HR 驱动的用户预配。
| 测试方案 | 预期结果 |
|---|---|
| 在云 HR 应用中创建新员工 | 用户帐户在 Microsoft Entra ID 中预配,可以访问分配的云资源。 如果配置了 Microsoft Entra Connect Sync,也会在 Active Directory 中创建用户帐户。 用户可以登录到 Active Directory 域应用并执行所需的操作。 |
| 用户在云 HR 应用中被终止 | 用户帐户在 Microsoft Entra ID 以及 Active Directory(如果适用)中被禁用。 用户无法登录到分配给他们的云或本地应用和资源。 |
| 在云 HR 应用中更新了监督器 | 用户使用新映射保持活动状态。 |
| HR 将员工重新雇用到新角色。 | 结果取决于云 HR 应用如何配置为生成员工 ID。 如果重新雇用旧员工 ID,连接器会为用户启用现有的 Active Directory 帐户。 如果重新雇用获得新的员工 ID,连接器会为该用户创建新的 Active Directory 帐户。 |
| HR 将员工转换为合同工,反之亦然 | 为新角色创建新的 Active Directory 帐户,并在转换生效日期禁用旧帐户。 |
配置Microsoft Entra组
在 Microsoft Entra 中配置组可以大规模创建和管理策略和许可证分配。
- 为一线员工分配唯一属性:在将组应用于一线员工或验证Microsoft Entra ID与 HR 系统之间的集成是否正常运行时,识别所有一线工作人员的能力非常有用。 组织经常使用作业 ID 属性实现此目的。 根据组织的结构,可能还需要 自定义安全属性 或 目录扩展属性。
- 创建Microsoft Entra组并分配一线用户:使用Microsoft Entra组,你可以向一组用户(而不是每个用户)授予访问权限和权限。 组用于管理需要对资源具有相同访问权限和权限的用户,例如可能受限的应用和服务。 创建一个组,将特殊权限应用于该组的每个成员,而不是向单个用户添加特殊权限。
下表包含有关在一线实现中应用组的建议。 有关组类型、成员身份类型和分配的详细信息,请参阅组和成员身份以及管理组Microsoft Entra文档。 有关安全组限制和其他Microsoft Entra服务限制的详细信息,请参阅Microsoft Entra服务限制和限制。
| 用例 | 组类型 |
|---|---|
| 自动分配许可证、策略和权限。 如果成员的属性发生更改,系统会查看目录的动态组规则,以查看该成员是否满足) 添加 (的规则要求,或者不再满足 () 删除的规则要求。 | 安全组 (限制 5,000 个组) 动态用户 |
| 管理用户的访问权限,而无需自动分配到组。 | 安全组或通讯组列表 (没有限制) |
| 创建电子邮件别名以将组消息分发给用户组,而无需自动用户管理。 | 通讯组列表或分配Microsoft 365 组 |
| 在 Microsoft Teams 中创建电子邮件别名或团队,并自动管理成员身份。 | Microsoft 365 个组,动态用户 |
| 使用 “我的员工 ”将权限委托给一线经理,以查看员工个人资料、更改电话号码和重置密码。 | 管理单元 |
详细了解可在Microsoft 365 管理中心中创建的不同类型的组。
分配一线许可证
可以将许可证添加到Microsoft Entra ID中的单个用户或用户组。 组分配是向一线员工分配许可证的最可缩放方式。 可以将一个或多个产品许可证分配给组。
如果要将某些用户从 E 许可证更改为 F 许可证,则可能需要 取消分配 许可证。 详细了解如何将特定用户从 E 许可证切换到 F 许可证。
步骤 4:设置和配置设备
请参阅以下指南:
步骤 5:设置其他服务
根据你的方案,你需要配置其他Microsoft 365 服务,例如 Exchange 和 Outlook 电子邮件或Microsoft Viva,以扩展员工体验。 请继续阅读,了解有关每个服务的信息。
使用 Exchange Online 设置电子邮件
如果希望一线经理和员工有权访问电子邮件,则需要在 Microsoft 365 中设置电子邮件。 用户必须具有 F3 许可证才能访问电子邮件。 按照 电子邮件设置指南 进行设置。
用户还可以安装 Outlook 应用以用于其电子邮件,因此你需要确保与他们共享 Outlook 应用的下载位置。
Outlook
使用基于位置、部门和角色等属性的动态组支持的共享邮箱,组织可以将目标通信发送到不需要管理员干预的动态组。
在 Microsoft 365 中使用 SharePoint 设置网站
通过 SharePoint,可以共享文档并创建网站。 使用 Microsoft 365 管理中心中的 SharePoint 安装指南 进行设置。
设置 Microsoft Teams
按照 如何为组织找到最佳一线团队解决方案中的指导进行操作。
使用 Microsoft Viva 设置员工体验
Microsoft Viva有助于将员工与集成的员工体验联系起来,该体验将通信、知识、学习、资源和见解汇集到工作流中。 Microsoft Viva具有多个模块,可与 Microsoft Teams 配合使用来创建员工体验。
设置Viva Connections
使用Viva Connections创建一个仪表板,以帮助吸引一线员工并向其提供信息。 Viva Connections是 Microsoft Teams 中的可自定义应用,它为每个人提供了一个个性化目标,用于发现相关新闻、对话和成功所需的工具。
按照 生成员工体验设置指南 进行设置。 详细了解如何设置Viva Connections。
设置 Viva Learning
Viva Learning是 Microsoft Teams 中的一个应用,它通过将学习引入他们已使用的工具和平台的工作流,使员工能够自然地学习。 请参阅在 Teams 管理中心设置Microsoft Viva Learning,了解如何设置Viva Learning。
使用 Viva Engage 设置组织的社交网络
Viva Engage有助于连接整个公司的员工。 了解如何设置Viva Engage进行设置。
设置 Power Apps、Power Automate 和 Power BI
你可以在 Microsoft Teams 中使用所有这些应用。 有关如何设置它们的详细信息,请参阅:
- Power Apps 和 Microsoft Teams 集成
- Power Automate - 在 Microsoft Teams 中使用流
- 使用 Power BI 在 Microsoft Teams 中进行协作
- Microsoft Teams 中的 Power Virtual Agents
- Power Apps
步骤 6:配置安全性
预配用户、设置设备和配置应用后,现在可以创建策略来保护组织的基础结构资源。
- 条件访问:规划Microsoft Entra条件访问部署。
- 应用保护策略:了解 Microsoft Intune 中的应用管理。
- 多重身份验证:要求对Intune设备注册进行多重身份验证。
设置完安全策略后,请务必使用测试用户 (非管理员) 帐户来验证策略是否按预期工作,并确保最终用户体验适合一线员工的需求。 某些功能(如多重身份验证和应用保护策略)可以向设备注册或登录流添加其他步骤,对于某些一线方案来说,这些步骤可能不可接受。
步骤 7:为方案配置应用
在管理中心设置和配置所有内容后,可以按照方案指南进一步配置每个方案所需的应用。
遵循这些最佳做法,为一线员工设置Microsoft Teams。
策略包 是预定义策略和策略设置的集合,可将其分配给组织中具有类似角色的用户。 策略包在管理策略时简化、简化并帮助提供一致性。 Teams 为一线员工和经理提供 预定义的策略包 。 还可以创建自定义策略包,并在 Teams 管理中心大规模将其分配给一线员工。
在 Teams 管理中心或 PowerShell 中使用 团队模板 。 可以使用预生成的模板或 创建自己的模板。 还可以应用模板策略来控制哪些模板可供 Teams 中的用户使用。 详细了解 如何在 Teams 管理中心开始使用团队模板 , 以及如何设置和部署团队。 预生成的一线模板可从 Teams 管理中心访问,模板 ID 为“com.microsoft.teams.template.Frontline”。
下表列出了一线解决方案中常用的 Teams 应用。 Teams 移动客户端现成提供排班、审批和 Walkie 对讲机。 你可以控制哪些应用可供 Teams 管理中心的所有用户使用。
方案和应用
| 应用场景 | 审批 | 虚拟约会或Bookings | 列表 | 表扬 | 排班 | Planner | 更新 |
|---|---|---|---|---|---|---|---|
| 团队通信和协作 | ✅ | ✅ | ✅ | ✅ | ✅ | ||
| 企业通信 | |||||||
| 使用 Teams 虚拟约会 | ✅ | ✅ | |||||
| 健康和互动 | ✅ | ✅ | |||||
| 使用排班管理团队计划 | ✅ | ||||||
| 培训:载入新员工 | ✅ | ✅ | ✅ | ||||
| 持续培训 | ✅ | ✅ | ✅ | ||||
| 简化业务流程 | ✅ | ✅ | ✅ | ✅ | |||
| 管理网站、商店和项目 | ✅ | ✅ | ✅ | ✅ |