学校数据同步概述
学校数据同步
学校数据同步 (SDS) 是一项免费的教育版服务,可帮助自动执行将学生信息或管理系统中的用户和名册数据与 Microsoft 365 同步的过程。 SDS 是一种工具,可帮助你管理教育组织、用户、课堂和角色。 SDS 将你的数据与 Microsoft Entra ID 和 Microsoft 365 同步,因此你可以使用 Microsoft Teams、教育版Intune、Exchange Online、SharePoint Online、OneNote 课堂笔记本,并启用具有单一登录集成的第三方应用。 SDS 有助于提高学习的吸引力和效率。
SDS 先决条件
- Microsoft 365 教育版租户
- 需要全局管理员权限
- 访问 SDS 的全局管理员需要 SDS 计划 1 (A1) 或 SDS 计划 2 (A3/A5) 许可证
SDS 核心概念
学校数据同步为教育客户成功团队的最佳做法建模,帮助机构成功设置和使用学校数据同步,从而在全球范围内支持 Microsoft 365 体验。 我们认为,应用这些最佳做法,以改善 IT 管理员的加入和监视体验,以及更好地了解其数据的运行状况,为管理员提供了更多时间来帮助教师专注于创新,以提高学习成果。
载入体验分为连接数据和管理数据,使方案能够改进学习成果。
连接数据
首先,需要连接到机构的数据。 你正在定义我们如何引入或连接到学生信息系统的 (短信) /学生管理系统的 (短信) 数据。 在这里,可以定义源系统、传入数据的格式、用户标识匹配规则以及活动学年。 默认情况下,同步每天激活两次 (2 倍) ,称为运行。
运行开始时,它会连接到定义的源并执行基本验证。 基本验证确保作为源的 OneRoster API 的连接正确,或者作为源的 SDS CSV 的文件名和标头正确。
接下来,系统会转换要导入的数据,为高级验证做准备。
如果源系统/数据未提供用户的组织角色进入日期和退出日期,则系统不会根据记录的存在或非存在情况推断出输入日期或退出日期。
如果源系统/数据未提供用户注册条目日期和退出日期,则系统不会根据记录的存在或非存在情况推断出输入日期或退出数据。
如果源系统/数据未为用户提供有效的组织/注册/或联系人角色,则系统不会将用户记录添加到系统。
用户与会话的关联基于其绑定到组织的角色。
用户与类的关联基于其与注册绑定的角色,该角色还包括指向会话的链接。
此外,系统会将Microsoft Entra ID的更新副本存储在缓存中。 Microsoft Entra的副本有助于在 SIS/SMS 与Microsoft Entra用户对象之间进行用户匹配。 在此阶段,匹配链接不会写入Microsoft Entra用户对象。
在用户具有多个角色的实例中,以下规则用于确定应在用户记录和Microsoft Entra用户对象之间使用哪些教职员工或学生匹配规则。
此外,系统会将Microsoft Entra ID的更新副本存储在缓存中。 Microsoft Entra的副本有助于在 SIS/SMS 与Microsoft Entra用户对象之间进行用户匹配。 在此阶段,匹配链接不会写入Microsoft Entra用户对象。
- 如果为所有学生角色设置了 isPrimary,即使存在与教职员工角色的关联,也会根据学生角色进行匹配。
- 如果为任何教职员工角色设置了 isPrimary,即使存在与学生角色的关联,也会根据教职员工角色进行匹配。
- 如果为教职员工和学生角色都设置了 isPrimary,则会根据教职员工角色进行匹配。
- 如果未为任何角色设置 isPrimary,尤其是教职员工和学生角色的混合,则匹配基于教职员工角色。
验证和数据运行状况
接下来,SDS 执行高级验证以确定数据的运行状况。 验证侧重于识别错误和/或警告。 验证遵循引入良好数据并排除错误数据的概念。
- 错误意味着记录未根据所需数据通过验证,并且已从进一步处理中删除
- 警告意味着记录上的可选字段上的值未传递,因此该值已从记录中删除,但包含该记录以供进一步处理。 错误和警告用于帮助你更好地了解数据的运行状况。
对于通过验证的良好数据,当数据存储在缓存中的内部表示形式中时,它将标识 SDS 首次看到的时间,对于与用户组织、角色关联和类关联链接的数据,它将标识为会话中的活动。 在将来的运行中,对于同一连接的数据源,SDS 会根据是否存在记录来识别该记录是否仍可见,并使记录保持活动状态或将其标记为不再处于活动状态。
数据反映首次显示新记录的时间。 FirstSeenDateTime 是 SDS 首次看到记录的时间,以及表中该行的创建数据的时间。 这并不意味着它是 SIS/SMS 中记录的创建日期,因为 SDS 在将数据添加到外部系统后可能运行良好。
- SDS 将第一次看到日期 (时间) 和上次修改日期 (时间) 设置为现在,如果适当,它将记录标记为“会话中处于活动状态”为 true。
当同一记录在后续运行中出现时,数据会反映。 LastSeenDateTime 是 SDS 最后一次看到同步数据的那一刻。
- SDS 保留第一次看到日期 (时间) 值,将上次修改的日期 (时间) 设置为当前,并将“会话中处于活动状态”保留为 true。
当后续运行中不存在同一条记录时,数据会反映。 这不是从 SIS/SMS 中删除记录的日期,而是日期 (时间) SDS 上次在同步中看到记录的时间。
- SDS 保留第一个看到日期 (时间) 和上次修改日期 (时间) 值,如果适当,请将记录标记为“会话中处于活动状态”为 false。
下面是在后续运行、相同源和同一学术会话中缺少数据时缓存中数据的常规数据处理规则。
- 组织:如果在后续运行时缺失,则系统不执行任何任务,并且记录会保留。
- 用户:如果在后续运行时缺少,系统会在人员组织角色和注册上将 IsActiveInSession 设置为 False。
- 角色:如果在后续运行时缺少,系统会将人员组织角色上的 IsActiveInSession 设置为 False。
- 学术会议:如果在后续运行中丢失,则不执行任何操作,并且会保留记录。
- 类:如果在后续运行时缺少,系统将部分、节会话和注册的 IsActiveInSession 设置为 False。
- 注册:如果在后续运行时缺少,系统会将 IsActiveInSession 设置为 False 进行注册。
- 课程:如果在后续运行中缺少,系统将 IsActiveInSession 设置为课程的“False”。
- 人口统计:如果在后续运行时丢失,则系统不执行任何任务,并且记录会保留。
- 用户标志:如果在后续运行时缺失,则系统不执行任何操作,并且记录将保留。
- 关系:如果在后续运行时缺失,则系统不执行任何任务,并且记录会保留。
“已停用”记录有滚动更新。 例如,如果不存在用户记录,系统会保留现有第一次看到日期 (时间) 和上次修改日期 (时间) 值。 系统将用户的组织/角色和注册记录的“会话中处于活动状态”设置为 false。
- 组织、用户和会话记录会随时间推移而保留,并且不会停用。
- 仅组织、用户和会话记录的关联记录(如前所述)以及关联记录 IsActiveInSession 状态根据常规数据处理规则受到影响。
当源数据停止提供用户的分区注册记录,然后在同一学术会话中提供同一用户的分区注册时,系统将更新现有记录。
每次运行结束时,都会确定数据运行状况。 如果没有错误和/或警告,系统会确定管理员不需要执行任何数据操作。 如果存在错误和/或警告,系统会通知它发现数据的一些问题,并鼓励你调查数据运行状况。 生成错误和警告统计信息以帮助对数据运行状况产生初始影响。 管理员在调查数据运行状况时,能够下载包含基于找到的错误和警告的信息的日志文件。 然后,管理员可以开始数据调查过程,以更正源系统中的数据。
- 运行状态
- 正在运行:主动执行
- 已完成:已完成,没有任何错误或警告
- 已完成并出现错误:已完成但已发现错误
- 已完成并显示警告:已完成,但只发现了警告
- 错误:系统已取消运行
- 计数
- 错误:遇到的错误总数。 错误意味着记录未通过验证,并且整个记录在处理前、验证后被删除。 如果在验证后无法处理记录,计数也将包括该记录。
- 警告:遇到的警告总数。 警告表示记录上的一个或多个数据部分未通过验证。 已删除包含记录数据的字段,但其余记录和验证数据在处理后验证之前保留。
管理数据
使用 SDS 管理数据以提高学习成果,为 Microsoft 365 中的虚拟教室提供动态预配和名单更新,以帮助简化部署和采用支持 365 组的 Microsoft应用,例如 Teams、SharePoint、Exchange 和 OneNote 课堂笔记本。 SDS 还会为 IT 部门预配教育机构、用户和组,以帮助简化Microsoft 365 标识管理、应用管理和设备管理。 SDS 还提供选项,用于将同步的 SIS/SMS 值存储在Microsoft Entra ID中。 预配到Microsoft Entra ID还可以通过教育 API (应用程序编程接口) 和 Microsoft Graph 向第三方应用程序提供名单信息。
在定义连接数据配置后、活动首次运行期间或首次运行完成后,可以立即设置管理数据配置。
- 基于缓存中的数据,与活动学术会话相关联,并且处于活动状态。
- 使用连接数据配置期间定义的同步结束日期,还可以知道何时停止运行托管数据的更改。
- 完成学术会议转换并定义新的同步结束日期后,托管数据配置会再次启动。
为了帮助支持不同的 Microsoft 365 方案,同时简化管理员体验,管理员可以定义要启用的预配类型配置。
用户预配类型允许自动管理和映射 SIS 用户的 Microsoft 365 用户。 这会根据 sourcedId 值将映射链接转发到 Microsoft Entra ID 中的用户对象。
基于缓存中的数据,在会话中被标识为活动。
使用默认和可选属性将匹配的用户链接写入Microsoft Entra用户对象。
- 这些默认值针对每个映射的用户编写:
- 用户外部 ID:在用户的 sourcedId 字段中找到的数据。
- 组织外部 ID:在用户的关联组织和角色的 orgSourcedId 字段中找到的数据。
- 组织角色:在用户和关联组织的角色字段中找到的数据。
- 如果选中并且数据中提供了一个值,则会写入这些可选值:
- 用户成绩级别:在关联组织和角色的用户的成绩字段中找到的数据。
- 用户编号:在关联组织和角色的用户的“用户编号”字段中找到的数据。
- 这些默认值针对每个映射的用户编写:
当用户具有多个角色时,在将角色写入到用户对象时,规则用于确定值Microsoft Entra。
- 如果为所有学生角色设置了 isPrimary,即使存在与教职员工角色的关联,也会基于学生角色创建角色属性值。
- 如果为任何教职员工角色设置了 isPrimary,即使存在与学生角色的关联,也会基于教职员工角色创建角色属性值。
- 如果为教职员工和学生角色都设置了 isPrimary,则基于教职员工角色设置角色属性值。
- 如果未为任何角色设置 isPrimary,尤其是教职员工和学生角色的混合,则角色属性值基于教职员工角色。
如果用户还与多个组织关联,则使用另一个规则来确定将角色写入Microsoft Entra用户对象时的值。
- 利用最高组织角色的组织角色排序顺序值,将其设置为Microsoft Entra用户对象。
管理具有“学生”角色的用户时,还有另一个选项可以启用。
- 将所有学生标记为未成年人:根据确定将哪个用户角色值写入Microsoft Entra用户对象(如果角色为 Student)的规则。 此设置将用户标识为未成年人,以便Microsoft和第三方应用程序将他们标识为未成年人。 结果设置 AgeGroup 和 ConsentProvidedForMinor 用户属性。 设置这两个属性的净结果是 LegalAgeGroupClassification 的属性设置为 MinorWithParentalConsent。
- 学生联系人关联:如果用户是学生,并且是否包含来自 SIS 的连接数据以引入联系人关系(也称为“监护人”或“家长”),则根据确定写入Microsoft Entra用户对象的用户角色值的规则。 如果在处理数据时启用此选项,则这包括用于教师通信的Microsoft Entra用户对象的联系信息。
SDS 还提供为不使用AD Sync或其他用户管理工具的租户创建无与伦比的用户以管理用户创建的功能。 如果希望 SDS 创建新用户,可以启用 。
- 默认情况下,设置处于关闭状态。 如果通过其他自动化方式在 Microsoft Entra ID 中创建和管理用户,请不要启用此选项。
- Microsoft Entra UserPrincipalName 值(也称为用户名)是从用户标识规则选择中构造的,作为链接到用户的 SIS 记录的连接数据源配置的一部分。
- 这是因为,创建用户后,用户标识规则用于在后续运行中继续链接到同一用户对象。 这是为了防止使用一组规则创建新用户,然后尝试使用一组不同的规则来标识他们。
- 对于与现有Microsoft Entra用户不匹配且要创建的教职员工和学生用户,可以定义其默认密码。
- 密码构造遵循Microsoft Entra ID密码保护指南,并协助对要接受的默认值进行评分计算,以成功创建用户。
- 对于希望在以后创建新用户时轮换默认密码的租户,可以通过编辑流体验修改密码配置。
- 许可证选择是可选的,无需设置。 如果选择此选项,则会在创建用户时设置默认许可证。 如果计划使用基于组的许可证分配和管理,请不要选择值。
类组的预配类型用于管理课堂组,并为用户提供了一个空间,用于跨包括 Teams 在内的各种Microsoft 365 应用版相互连接、通信和协作。 这会为找到的每个活动类创建一个类组, (其中,与映射所有者角色链接的活动用户至少与类) 相关联。 管理员还可以选择启用基于相应课堂组自动创建课堂团队的功能。
- 为每个类或分区创建Microsoft 365 组。
- 使用默认和可选属性将组链接写入Microsoft Entra组对象。
- 这些默认值是为管理的每个类组写入的:
- 组织外部 ID:在节或类的 orgSourcedId 字段中找到的数据。
- 类外部 ID:在节或类的 sourcedId 字段中找到的数据。
- 类标题:在分区或类的标题字段中找到的数据。
- 如果选中并且数据中提供了一个值,则会写入这些可选值:
- 类代码:在节或类的代码字段中找到的数据。
- 课程标题:在与分区或课堂关联的课程的标题字段中找到的数据。
- 课程代码:在与分区或课堂关联的课程的代码或课程代码字段中找到的数据。
- 课程主题:在与分区或课堂关联的课程的主题或 subjectCodes 字段中找到的数据。 提醒一下,从 SIS 提供的值必须与相应的值列表匹配,以便与所连接数据一起接受。 否则,该值不会引入,因此在更正之前,不会向组对象转发数据。
- 课程成绩级别:在与分区或课堂关联的课程的成绩或成绩代码字段中找到的数据。 提醒一下,从 SIS 提供的值必须与相应的值列表匹配,以便与所连接数据一起接受。 否则,该值不会引入,因此在更正之前,不会向组对象转发数据。
- 课程外部 ID:在与分区或类关联的课程的 courseSourcedId 字段中找到的数据。
- 学术会话外部 ID:在与节或类关联的学术会话的 sessionSourcedId 代码字段中找到的数据。
- 学术会议标题:在与分区/课堂关联的学术会议标题字段中找到的数据。
- 这些默认值是为管理的每个类组写入的:
- 根据类或分区注册及其注册角色定义所有者和成员。
- 用户与类组的关联基于与分区或类关联的注册角色。
- 选择角色意味着对于关联组具有该角色的任何用户,该用户将包含在该分区或类中。
- 类组的用户权限基于关联的注册角色,以及是否在“所有者”或“成员”列表中选择了该角色。
- 对于任何未选择的角色,它们不会链接或有权访问相应的组、节或类,即使有用户具有相应组的注册角色记录也是如此。
- 所有者具有编辑权限来管理其组、更改组显示名称以及添加或删除组成员。
- 所有者也会被视为组的成员,这样他们就可以查看Microsoft应用程序中的节或类。
- 非所有者的成员对其组具有只读权限。 仅当所有者激活类时,他们才有权访问课堂团队。
- 管理类组时,有更多选项:
- 自动创建 Teams:选择此选项会为每个同步的课堂或分区创建Microsoft组和课堂团队。 如果未选择该选项,则仅创建Microsoft 365 组。
- 如果开关处于打开状态:
- 对于使用从 SDS 创建的课堂团队的教师或组所有者,他们可以在学生和其他组成员之前提前访问。 教师准备就绪后,可以选择“激活”以允许学生和其他组成员访问。
- 如果切换开关处于关闭状态:
- 对于教师或组所有者(其中 SDS 未创建课堂团队),他们可以根据 SDS 课堂组与团队一起手动创建课堂团队。 教师准备就绪后,可以选择“激活”以允许学生和其他组成员访问。
- 如果开关处于打开状态:
- 类组显示名称:选择此选项将在初始创建期间写入类组显示名称。 此选项将允许管理员和组所有者更新组和类团队显示名称,并在将来的运行中保留更新更改。
- 自动创建 Teams:选择此选项会为每个同步的课堂或分区创建Microsoft组和课堂团队。 如果未选择该选项,则仅创建Microsoft 365 组。
安全组预配类型用于管理安全组,并提供分组构造,可在 Microsoft 365 中的各种标识管理、应用管理和设备管理方案中使用。
角色组:按用户角色组创建安全组。 示例:一个用于所有学生,另一个用于所有教职员工。
- 创建所有学生安全组,并在 “学生”角色组中管理具有角色的用户。
- 创建所有教职员工安全组,并管理具有 “教职员工”角色组中角色的用户。
组织、组织 + 角色组:按组织 + 角色组组合创建安全组。 示例:包含学生的 Contoso 学校 - Contoso 学校和教职员工 - Contoso 学校。
SDS 安全组可用于 Microsoft Entra ID 和 Microsoft 365 中的各种管理功能。 以下是 SDS 安全组的一些最常见用途:
- Intune教育设备策略 - 什么是教育版Intune?
- 移动设备管理 - 创建和部署设备安全策略
- 基于组的许可 - 在 Microsoft Entra ID 按组成员身份向用户分配许可证
- 条件访问 - 什么是条件访问?
- 组和团队创建策略 - 管理组的创建
- 自助服务密码重置 - 允许用户重置密码
- 若要将“密码重置”的安全组作为目标,请在步骤 5 中选择“已选择”而不是“全部”。
管理单元预配类型用于管理管理单元,并为委派的 IT 管理和作用域内的角色分配提供分组构造。 作用域内的角色分配允许管理员管理更广泛的 Microsoft 365 目录的子集。
- 组织:按组织创建管理单元,并链接组织用户、组织类组和组织安全组。 该选择为组织提供类型“school”,可在 EDU Graph Schools 终结点中使用。 示例:包含 Contoso 学校用户 + 课堂组 + 安全组的 Contoso 学校。
- 组织 + 角色组:按组织 + 角色组组合创建管理单元。 SDS 允许允许教职员工为学校管理单元的学生执行委派的 IT 管理。 示例:学生 - Contoso 学校,教职员工 - Contoso 学校。