使用 Microsoft 365 管理数据
为Microsoft 365 教育版设置 SDS
- Microsoft 365 教育版租户
- 需要全局管理员权限
- 访问 SDS 的全局管理员需要 SDS 计划 1 (A1) 或 SDS 计划 2 (A3/A5) 许可证
- 将数据连接到 SDS
启用使用 Microsoft 365 管理数据
提示
在定义连接数据配置后、活动首次运行期间或首次运行完成后,可以立即设置管理数据配置。
在主页上,选择“管理数据”以定义如何与 Microsoft 365 共享数据。
接下来,选择要设置的Microsoft 365 预配配置。 查看并定义配置后,选择“ 下一步 ”以继续。
配置名称:允许定义唯一的配置名称。
筛选器数据:包括全部将包含用于预配的所有活动组织关联。 选择“筛选依据”以定义要包含的组织关联。
注意
可以保留默认值“ 包括所有组织 ”,也可以选择“ 按组织筛选 ”,以便仅根据所选组织预配从连接数据引入的用户或类的子集。
警告
组织筛选器不应用作拆分数据以提高性能的尝试,因为该功能会增加同步运行时间以管理其他配置。
用户:允许自动管理Microsoft 365 个用户。
确定是否需要 创建不匹配的用户。 如果是这样,请启用切换到 “是”。 默认选择为 “否”。
警告
如果你有其他活动方法通过 Entra ID Sync 或自定义集成在Microsoft Entra ID中创建用户,则不应将创建不匹配的用户的切换开关设置为“是”。
类组:为用户提供一个空间,让用户在各种Microsoft 365 应用程序(包括 Teams)之间相互连接、通信和协作。
安全组:提供分组构造,可在 Microsoft 365 中的各种标识管理、应用程序管理和设备管理方案中使用。
管理单元:为委派的 IT 管理和作用域内的角色分配提供分组构造。 作用域内的角色分配允许管理员管理更广泛的 Microsoft 365 目录的子集。
提示
可以将学校数据同步 (SDS) 配置为仅管理要Microsoft Entra ID的用户,而无需同时管理Microsoft 365 组和 Teams,这样就可以取消选择课堂组。
重要
如果不希望 SDS 创建和管理安全组和/或管理单元,则需要取消选择 () 选项,否则在系统提示完成设置时,需要选择至少一种拆分类型。
接下来,如果选择了 “按组织筛选数据”选项,则需要为 “筛选器: 组织”定义配置。 选择筛选器和预配配置包含哪些组织, (充当选择加入) 。 查看并定义配置后,选择“ 下一步 ”以继续。
重要
如果选择在此处筛选组织,则默认情况下会筛选掉所有新组织及其关联。
警告
如果设置了多个托管数据配置,其预配类型相同,但设置不同,并且 按组织筛选 应用于所选的相同组织,则具有最早 的配置创建日期时间 的配置将应用于相应的记录。 可以在同步中查看 配置创建日期时间 |配置 |托管数据屏幕。
接下来,定义 “管理用户详细信息”的配置。 查看并定义配置后,选择“ 下一步 ”以继续。
注意
Microsoft Entra ID中的信息可由租户内的每个人查看。
创建Microsoft Entra用户对象时,你能够选择可选属性和选项。 查看并设置你的选择。
用户属性:将在Microsoft Entra组对象上显示的属性。 在处理来自 SIS/SMS 的数据时,将根据连接数据关联的数据写入属性。
默认属性:
- 用户外部 ID:在用户的 sourcedId 字段中找到的数据。
- 组织外部 ID:在关联的组织和角色的 sourcedId 字段中找到的数据。
- 组织角色:在用户和关联组织的角色字段中找到的数据。
可选属性:
- 用户成绩级别:如果为关联的组织和角色的用户提供了成绩字段。
- 用户编号:如果提供了用户的 userNumber 字段。
用户选项:管理Microsoft Entra用户对象时应考虑哪些额外设置?
- 将所有学生标记为未成年人:从规则中标识,以确定角色是否写入Microsoft Entra用户对象(如果角色是 Student)。 将用户标识为未成年人,以便Microsoft和第三方应用程序将他们标识为未成年人。 结果设置 ageGroup 和 consentProvidedForMinor 用户属性。 对于所有学生用户,我们将属性 ageGroup 更新为“Minor”,并将 consentProvidedForMinor 更新为“Granted”。 设置这两个属性的净结果是 LegalAgeGroupClassification 的属性设置为 MinorWithParentalConsent。
- 学生联系人关联:从规则中标识,以确定哪些角色写入Microsoft Entra用户对象,以及 SIS/SMS 的连接数据是否引入联系人关系 (也称为“监护人/家长) ”。 如果选项在处理数据时为“打开”,这将包括用于教师通信的Microsoft Entra用户对象的联系信息。 有关详细信息,请参阅 SDS 支持的受支持学生联系人关系角色的默认 值列表: 联系人关系角色。
重要
在用户具有多个角色的实例中,以下规则用于确定将 Role 写入到Microsoft Entra用户对象时的值。
- 如果为所有学生角色设置了 isPrimary,即使存在与教职员工角色的关联,也会基于学生角色创建角色属性值。
- 如果为任何教职员工角色设置了 isPrimary,即使存在与学生角色的关联,也会基于教职员工角色创建角色属性值。
- 如果为教职员工和学生角色都设置了 isPrimary,则基于教职员工角色设置角色属性值。
- 如果未为任何角色设置 isPrimary,尤其是教职员工和学生角色的混合角色,则角色属性值基于教职员工角色。
如果用户还与多个组织相关联,则 SDS 在将 Role 写入到Microsoft Entra用户对象时使用此规则来确定值。
- 将最高组织角色的“组织角色排序顺序”值用于设置为Microsoft Entra用户对象。
接下来,如果启用“ 创建不匹配的用户”选项,请定义 “管理用户创建”的配置。 查看并定义配置后,选择“ 下一步 ”以继续。
重要
Microsoft Entra UserPrincipalName 属性 (用户名) 值是从创建源的连接数据配置时建立的用户标识规则的选择构造的。 有关详细信息,请参阅 用户标识规则。
提示
密码构造遵循Microsoft Entra密码保护指南,并协助进行评分计算,以便接受默认值以成功创建用户。 有关详细信息,请参阅 禁止的密码逻辑和评分算法。 建议为用户设置配置,以便在首次登录时更改其密码。
提示
若要为 K-12 学生和设备提供最佳凭据体验,Microsoft建议使用 TAP + Windows Hello (或其他特定于平台的硬件绑定关键技术) 。 有关详细信息,请参阅 向学生分发防钓鱼凭据。
- 对于与 Microsoft Entra ID 不匹配且要创建的教职员工用户,必须从显示的密码值选项中选择其默认密码的值。
- 自选 对于未匹配且要创建 的员工 用户,可以选择在创建期间与用户关联的默认许可证选项。 默认选择为 “无许可证”。
- 对于与 Microsoft Entra ID 不匹配且要创建的学生用户,必须从显示的密码值选项中选择其默认密码的值。
- 自选 对于不匹配且要创建 的学生 用户,可以选择在创建期间与用户关联的默认许可证选项。 默认选择为 “无许可证”。
接下来,如果选择了 “类组”选项,请定义 “预配类组详细信息”的配置。 查看并定义配置后,选择“ 下一步 ”以继续。
提示
在 SDS (经典) 某些管理员选择在首次设置未来日期时延迟学生对课堂 Teams 的成员身份访问。 学校数据同步和Microsoft Teams 教育版改进了此过程,使教师能够控制学生访问课堂团队的时间。 使用 SDS 自动创建课堂团队时,教师可以提前访问课堂团队。 教师准备就绪后,可以选择“ 激活” 以允许学生和其他组成员访问。
在创建Microsoft Entra组对象时,你能够选择可选属性和选项。 查看并设置你的选择。
组属性:将在Microsoft Entra组对象上显示的属性。 在处理来自 SIS/SMS 的数据时,将根据连接数据关联的数据写入属性。
重要
使用所有者审查模式创建新的类组。 详细了解信息屏障模式。
默认属性
- 组织外部 ID:在节或类的 orgSourcedId 字段中找到的数据。
- 类外部 ID:在节或类的 sourcedId 字段中找到的数据。
- 类标题:在分区或类的标题字段中找到的数据。
可选属性
- 类代码:在节或类的代码字段中找到的数据。
- 课程标题:在与分区或课堂关联的课程的标题字段中找到的数据。
- 课程代码:在与分区或课堂关联的课程的代码或课程代码字段中找到的数据。
- 课程主题:在与分区或课堂关联的课程的主题或 subjectCodes 字段中找到的数据。
- 课程成绩级别:在与分区或课堂关联的课程的成绩或成绩代码字段中找到的数据。
- 课程外部 ID:在与节或类关联的课程的 sourcedId 字段中找到的数据。
- 学术会话外部 ID:在与节或类关联的学术会话的 sourcedId 代码字段中找到的数据。 如果 SIS/SMS 中未包含学术会议,并且选择此选项,则使用活动学年 externalId 值。
- 学术会议标题:在与分区/课堂关联的学术会议标题字段中找到的数据。 如果 SIS/SMS 中未包含学术会议,并且选择此选项,则使用活动学年名称值。
组选项:管理Microsoft Entra组对象时应考虑哪些额外设置?
-
团队创建:如果 选中,在创建课堂组时,将发送一个请求,供 Teams 基于课堂组创建课堂团队。
- 如果选项为 “选中”:
- 对于使用从 SDS 创建的课堂团队的教师或组所有者,他们先于学生和其他组成员拥有访问权限。 教师准备就绪后,可以选择“ 激活” 以允许学生和其他组成员访问。
- 如果选项为 “未选中”:
- 对于 SDS 未创建课堂团队的教师或组所有者,他们可以从 SDS 组创建课堂团队。 教师准备就绪后,可以选择“ 激活” 以允许学生和其他组成员访问。
- 如果选项为 “选中”:
- 类组显示名称:仅在初始创建期间写入组显示名称。 此选项将允许 IT 和组所有者更新组和类团队显示名称,并在将来的运行中保留更改。
-
团队创建:如果 选中,在创建课堂组时,将发送一个请求,供 Teams 基于课堂组创建课堂团队。
接下来,如果选择了 “类组”选项,请定义 注册角色的配置。 查看并定义配置后,选择“ 下一步 ”以继续。
- 对于每个组,我们需要知道要与所有者和成员关联的人员。
- 用户与组的关联基于与分区或类关联的注册角色。
- 选择角色意味着,对于具有关联组角色的任何用户,该用户将包含在该部分或类中。
- 组的权限基于关联的角色以及该角色是否在“所有者”或“成员”列表中选择。
- 对于任何未选择的角色,他们无权访问相应的组、分区或类,即使组中有用户具有角色也是如此。
- 所有者具有编辑权限来管理其组、更改组名称以及添加或删除组成员。
- 所有者也是组的成员,这使他们能够查看Microsoft应用程序中的 节或类。
- 成员对其组具有只读权限。
接下来,如果选择了 “安全组”选项,则定义 安全组的配置。 查看并定义配置后,选择“ 下一步 ”以继续。
重要
SDS (经典) 转换客户:根据所选组拆分,SDS 不能绑定到 (经典) 安全组和关联成员身份。 可能需要根据以前的 (经典) 安全组查看任何配置设置,并将其应用于 SDS 创建的新配置设置。 在安全组流的首次运行完成之后,需要执行检查和更新,作为转换步骤的一部分。
定义希望如何拆分安全组。 可以选择按以下方式拆分组:
角色组:按用户角色组创建安全组。 示例:一个用于所有学生,另一个用于所有教职员工
- 创建所有学生安全组,并在“学生”角色组中管理具有角色的用户
- 创建所有教职员工安全组并管理具有“教职员工”角色组中角色的用户
组织、组织 + 角色组:按组织 + 角色组组合创建安全组。 示例:包含学生的 Contoso 学校 - Contoso 学校和教职员工 - Contoso 学校
SDS 安全组可用于 Microsoft Entra ID 和 Microsoft 365 中的各种管理功能。 以下是 SDS 安全组的一些最常见用途:
- Intune教育设备策略 - 什么是教育版Intune?
- 移动设备管理 - 创建和部署设备安全策略
- 基于组的许可 - 在 Microsoft Entra ID 按组成员身份向用户分配许可证
- 条件访问 - 什么是条件访问?
- 组和团队创建策略 - 管理组的创建
- 自助服务密码重置 - 允许用户重置密码
- 若要将“密码重置”的安全组作为目标,请在步骤 5 中选择“已选择”而不是“全部”。
接下来,如果选择了 “管理单元”选项,则为 “管理单元”定义配置。 查看并定义配置后,选择“ 下一步 ”以继续。
重要
SDS (经典) 转换客户:根据所选组拆分,SDS 不能绑定到 (经典) 管理单元和关联成员身份。 可能需要根据以前的 (经典) 管理单元查看任何配置设置,并将其应用于 SDS 创建的新设置。 在过渡步骤中完成管理单元流的第一次运行后,需要执行检查和更新。
定义希望如何拆分管理单元。 可以选择按以下方式拆分组:
组织:按组织创建管理单元,并链接组织用户、组织类组和组织安全组。 该选择为组织提供类型“school”,可在 EDU Graph Schools 终结点中使用。 示例:包含 Contoso 学校用户 + 课堂组 + 安全组的 Contoso 学校
组织 + 角色组:按组织 + 角色组组合创建管理单元。 SDS 允许允许教职员工为学校管理单元的学生执行委派的 IT 管理。 示例:学生 - Contoso 学校、教职员工 - Contoso 学校
查看“审阅”上显示的信息。 如果一切正常,请选择“ 提交”。 否则,请导航回以更新配置选择。
已发送更新同步配置的请求。 等待后续同步运行完成以查看结果。 选择“ 返回到仪表板”。
在为下一次运行留出时间后,导航回到主页仪表板。
如果数据没有问题,则会看到“找不到数据错误或警告。 在上次同步期间,我们没有遇到任何数据错误或警告。继续伟大的工作!
如果发现数据存在问题,则会看到“我们发现你的数据存在一些问题。 建议查看同步运行状况。”有关详细信息,请参阅 调查同步运行状况。
编辑 管理数据配置
重要
除非被调出,否则交互是在前面描述的初始设置过程中遇到的相同体验,即在相应屏幕上为预配类型定义配置时遇到的体验。
导航到“同步” |配置。 默认情况下,你使用的是“已连接”数据。 选择“ 托管数据 ”,然后选择“ 编辑预配设置”。
接下来,查看 Microsoft 365 预配选项。 查看或更新选项后,选择“ 下一步 ”继续。
- 当前配置处于活动状态的预配类型显示为选中但已禁用。 如果要从配置中删除预配类型,请按照 删除托管数据配置下的步骤操作。
- 在浏览后续屏幕时,将反映预配类型的现有选择以供审阅和更新。
- 当前配置中未处于活动状态的预配类型显示为“已取消选择”,并启用选择。
- 在浏览后续屏幕时,将添加新选择的预配类型相应的屏幕,并选中初始默认值以供审阅和更新。
- 当前配置处于活动状态的预配类型显示为选中但已禁用。 如果要从配置中删除预配类型,请按照 删除托管数据配置下的步骤操作。
接下来,如果配置为 “按组织筛选” ,请查看 “筛选器:组织”的配置。 查看或更新配置后,选择“ 下一步 ”以继续。
警告
如果在上一次运行后取消选择某个组织,它将删除 Entra ID 中的用户管理员单位、安全组和类组成员身份数据,这些数据以前是在更新此筛选条件之前管理的。 如果当前正在使用这些数据,则不建议在活动学术会议期间执行此操作。 所做的任何更改将在下次运行后生效。
警告
如果收到一条消息,指出: 我们注意到你的名册数据中没有组织。 如果这是意外情况,建议不要继续编辑配置并进行调查。
接下来,查看 “管理用户详细信息”的配置。 查看或更新配置后,选择“ 下一步 ”以继续。
接下来,如果打开了 “创建不匹配的用户”选项,请查看 “管理用户创建”的配置。 查看或更新配置后,选择“ 下一步 ”以继续。
接下来,如果选择了 “类组”选项,请查看 “预配类组详细信息”的配置。 查看或更新配置后,选择“ 下一步 ”以继续。
重要
编辑时,预配类组详细信息的更改仅影响新记录。 现有记录不受影响。
接下来,如果选择了 “类组”选项,请查看 注册角色的配置。 查看或更新配置后,选择“ 下一步 ”以继续。
接下来,如果选择了 “安全组”选项,请查看 安全组的配置。 查看或更新配置后,选择“ 下一步 ”以继续。
警告
如果取消选择拆分组类型,下一次运行将删除用户成员身份,但安全组将保留。
接下来,如果选择了 “管理单元”选项,请查看 “管理单元”的配置。 查看或更新配置后,选择“ 下一步 ”以继续。
警告
如果取消选择拆分组类型,则下一次运行将删除用户成员身份,但管理单元将保留。
查看“审阅”上显示的信息。 如果一切正常,请选择“ 提交”。 否则,请导航回以更新配置选择。
已发送更新同步配置的请求。 等待后续同步运行完成以查看结果。 选择“ 返回到配置”。
删除托管数据预配类型配置
重要
删除预配类型配置将停止根据为所选预配类型定义的配置将数据写入和更新到Microsoft Entra ID。 这不会删除以前由预配类型管理的数据。
导航到“同步” |配置。 默认情况下,你使用的是“已连接”数据。 选择“ 托管数据”。
导航到要删除的预配类型配置部分。 选择 “删除配置”。
此时会显示一条对话框消息,确认要删除所选的预配类型配置。 选择“ 确认 ”以继续删除所选预配类型配置。 如果不想删除所选的预配类型配置,请选择 “取消 ”。
警告
选择 “确认” 后,无法停止请求。 此外,操作无法撤消。 需要选择“ 编辑预配设置” ,以重新定义已删除的预配类型的配置。
重置托管数据预配类型配置
警告
不要在没有仔细考虑的情况下按“重置”,因为在某些情况下,它可能导致的问题可能比修复的问题更多。
什么是重置
重置是在后端进行更改以清除在处理 Education Data Lake 与 Microsoft Entra ID 之间的数据时使用的增量文件的请求。 重置不会删除任何已存在或以前通过 SDS 预配Microsoft Entra ID的信息。 SDS 追加到现有对象或在Microsoft Entra ID中创建新对象。
按 Reset 后,它将在后续同步运行中重新处理活动学年的所有活动源信息。 重置所需的时间比传统的同步运行时间长,因为它尝试逐行处理所有内容,而不是根据以前的增量文件查看更改。
注意
以下方案是一般情况,可能不适用于所有问题。 在不正确的方案中按“重置”可能会导致问题多于它可以解决的问题。 如果不确定按重置,请联系部署管理器或向 SDS 支持提交票证。
重置有助于解决哪些问题?
通常,重置通常应解决两种类型的问题。
- Microsoft以前已解决但仍显示在客户下载报告中的 365 个预配错误。
- 已手动删除的分区/课堂,或已手动从课堂中删除的学生。
示例方案:以前解决的错误仍在错误日志中
从 SIS/SMS 同步信息时,同步多个可能永远不会使用的分区/课程(可能是午餐或学习大厅的课堂)的情况并不少见。 你决定删除这些分区/课程以限制引入的信息,并且你收到没有教师引用的这些分区/课堂的错误。 完成此更改后,可以上传修订后的 CSV 文件,或者在使用 API 时等待更改发生。
发生以下运行时,你现在会收到错误,指出无法删除节/类,这可能没有意义,因为删除了它。 此错误是为了响应尝试使用增量文件中上次同步信息的运行,并将其与最近的运行进行比较。
按 “重置类组 ”并重新处理信息后,应从“类组”预配类型中删除这些错误。
示例方案:节/类被意外删除
从一个学年过渡到另一个学年后,某些科目/课程可能具有相同的名称。 同名往往使一些教师迷惑不解,认为他们的新分区/班是旧分区/班,所以他们决定删除它们。
现在需要重新创建这些分区/课堂,并用学生进行填充。 SDS 不会识别任何更改,因为它们与上次同步的信息进行比较时,教育数据湖和在处理类组预配类型的数据时使用的增量文件Microsoft Entra ID。
若要重新创建这些分区/类,以便由 SDS 管理,应按 “重置类组”,以重新处理 SIS/SMS 中的连接数据提供的所有活动信息。
重置将重新创建分区/课堂,并将学生重新添加到课堂。
如果教师在重置之前手动删除了学生,但当连接的数据检索到最新信息时,SIS/SMS 无法反映学生不再是该分区/课堂的一部分,则重置会将学生添加回。
注意
这将根据 SIS/SMS 中的入站流提供和处理的最新信息,创建一个新的分区/类,其属性和名册与已删除的课程相同。 它不会从已删除状态还原节/类。 若要还原 (Microsoft Entra 组) 已删除的部分/类,请按照有关如何在 Microsoft Entra ID 中还原已删除Office 365组的文档进行操作。
重置预配类型
导航到“同步” |配置。 默认情况下,你使用的是“已连接”数据。 选择“ 托管数据”。
导航到要重置的预配类型配置部分。 选择“重置”。
此时会显示一条对话框消息,确认要重置所选预配类型。 选择“ 确认 ”以继续重置所选预配类型。 如果不想重置所选预配类型,请选择 “取消 ”。
警告
选择 “确认” 后,无法停止请求。 此外,操作无法撤消。
删除配置部分
若要删除整个预配配置部分,需要先单独删除所有预配配置。 删除它们后,可以删除剩余的配置部分。