Разработка стратегии учетной записи

Крупные академические учреждения должны учитывать, как создаются счета для учащихся, преподавателей и других лиц. В этом разделе описывается подход к созданию учетных записей в большом EDU, охватывающем несколько Microsoft Entra клиентов.

Облачные учетные записи

По возможности рекомендуется использовать только облачные удостоверения. Облачные удостоверения представлены объектами учетных записей пользователей, созданными и обслуживаемыми в Microsoft Entra идентификаторе. Благодаря облачным удостоверениям все ваши пользователи, группы и контакты хранятся в клиенте Microsoft Entra.

Облачные удостоверения лучше всего подходит для организаций, которые не используют доменные службы Active Directory (AD DS) для управления локальными удостоверениями или имеют другие локальные удостоверения. Его наибольшее преимущество заключается в простоте, так как не требуется никаких дополнительных средств каталогов или серверов.

Создание облачных учетных записей рекомендуется для образовательных организаций, которые:

• уже интегрировали свои приложения SaaS с идентификатором Microsoft Entra.

• не полагайтесь на локальные доменные службы Active Directory для управления удостоверениями.

• хотите использовать School Data Sync (SDS) для создания новых облачных удостоверений на основе своих онлайн-информационных систем учащихся (SIS).

Гибридные учетные записи

Гибридные удостоверения представлены пользовательскими объектами, которые создаются в локальной службе AD DS, а затем синхронизируются с клиентом Microsoft Entra. Эти учетные записи создают общее удостоверение пользователя для проверки подлинности и авторизации. Гибридные учетные записи обычно используются, когда пользователям требуется доступ к сочетанию локальных и облачных приложений.

Гибридные удостоверения лучше всего подходит для организаций, использующих AD DS. Их наибольшее преимущество заключается в том, что он позволяет пользователям использовать одни и те же учетные данные при доступе к локальным или облачным ресурсам.

Создание и обслуживание гибридных учетных записей сложнее, чем управление облачными учетными записями, и рекомендуется только для образовательных организаций, которые:

• требуется доступ к локальным и облачным ресурсам.

• создание учетных записей пользователей и управление ими с помощью AD DS или другого поставщика удостоверений.

Как зарегистрироваться

В большинстве стран и регионов нет никаких административных действий, необходимых для регистрации пользователей. Вы можете сообщить о доступности Office 365 A1 или Office 365 A1 Plus своим учащимся, преподавателям и сотрудникам с помощью содержимого из набора средств Office 365 Campus Marketing. Набор средств содержит шаблонные электронные письма, плакаты, веб-баннеры и многое другое, чтобы помочь вам повысить осведомленность среди студентов, преподавателей и сотрудников. Если у вас есть вопросы по поводу действий, которые следует предпринять учебному заведению, обратитесь к своему представителю корпорации Майкрософт.

Создание учетных записей Microsoft 365 A1

Существует несколько способов создания учетных записей Office 365 для пользователей. Способ создания учетных записей зависит от текущего состояния.

Когда учетные записи Office 365 уже существуют

Если в вашем учебном заведении есть среда Office 365, в которой у учащихся, преподавателей или сотрудников уже есть рабочая или учебная учетная запись, корпорация Майкрософт автоматически активирует и назначит лицензии Office 365 EDU A1 существующим учетным записям. После активации пользователи будут автоматически уведомлены о доступных дополнительных службах, включая возможность скачивания Office 365 профессиональный плюс, если применимо. Если у пользователя уже есть учетная запись Office 365 A1 Plus или другая лицензия Office 365 профессиональный плюс, назначенная в вашем учебном заведении, он перенаправляется на вход с имеющимися учетными данными и получает уведомление, содержащее запрос установить.

Когда у пользователей есть локальные учетные записи

Синхронизация гибридных учетных записей — это двухэтапный процесс, включающий два компонента: Microsoft Entra Connect и School Data Sync.

Microsoft Entra Connect — это средство Майкрософт, используемое для синхронизации локальная служба Active Directory пользователей, групп и других объектов с идентификатором Microsoft Entra. Он выполняется на локальном сервере, проверяет наличие изменений в AD DS и пересылает эти изменения в идентификатор Microsoft Entra. Microsoft Entra Connect также предоставляет возможность фильтрации синхронизированных учетных записей и проверки подлинности пользователей с помощью синхронизации хэша паролей (PHS),сквозной проверки подлинности (PTA) или федерации.

Microsoft Entra Connect имеет два типа установки: Экспресс и Пользовательский. Express является наиболее распространенным и предназначен для предоставления конфигурации, которая подходит для большинства клиентских сценариев. Экспресс-установка предполагает наличие одного леса с менее чем 100 000 объектов в локальная служба Active Directory. PhS автоматически включается с помощью этого параметра.

Если у вас более 100 000 объектов или несколько лесов, используйте настраиваемую установку Microsoft Entra Connect. Также используйте настраиваемую установку, если вы планируете использовать федерацию или PTA для проверки подлинности пользователей.

Дополнительные сведения см. в разделе Выбор типа установки для Microsoft Entra Connect.

School Data Sync (SDS) — это бесплатная служба в Microsoft 365 для образования, которая считывает данные из учебной информационной системы учащихся (SIS). Он создает

• Teams для образования. SDS включает автоматическое создание группы классов на основе созданных SDS групп O365 и реестра.

• Записные книжки OneNote для занятий. SDS обеспечивает автоматическую подготовку записных книжек OneNote для занятий в Teams для образования. Если этот параметр включен, каждая записная книжка для занятий имеет созданные разделы и разрешения на основе данных списка классов SDS, импортированных во время синхронизации.

• Exchange Online и SharePoint. SDS создает группы Office 365 для обмена сообщениями через Интернет, обмена файлами и совместной работы.

• Intune для образовательных учреждений. SDS создает группы безопасности на основе учебных заведений для детализированной политики устройств, а также может обеспечить автоматическое массовое лицензирование Intune для образовательных учреждений для всех учащихся и преподавателей, синхронизированных.

• Приложения SaaS. SDS интегрируется с множеством приложений в Microsoft Store и обеспечивает интеграцию приложений с реестром и единым входом.

SDS часто развертывается вместе с локальная служба Active Directory и Microsoft Entra Connect. Вы можете использовать Microsoft Entra Connect для создания пользователей и групп из локальной среды, а затем использовать SDS для синхронизации дополнительных атрибутов учащихся и преподавателей из SIS с объектами учетной записи, созданными Microsoft Entra Connect.

Microsoft Entra Connect и SDS никогда не будут конфликтовать, так как SDS не будет синхронизировать или перезаписывать атрибуты, управляемые Microsoft Entra Connect. Вы также можете создать использование SDS. Вместо Microsoft Entra Connect можно использовать SDS для синхронизации и создания пользователей непосредственно из SIS.

Дополнительные сведения см. в статье Синхронизация SIS с помощью school data Sync (SDS).

Синхронизация учетных записей из локальной службы AD в клиенты Microsoft Entra

Синхронизация учетных записей с клиентами Azure с помощью SDS и SIS

Массовое создание новых учетных записей

В гибридных средах с существующими локальная служба Active Directory используйте сценарий PowerShell и CSV-файл для массового создания пользователей. После создания администраторы могут синхронизировать учетные записи с идентификатором Microsoft Entra с помощью Microsoft Entra Connect.

В облачных средах экспортируйте или создайте CSV-файлы для school Data Sync из данных SIS, настройте профиль синхронизации и отправьте csv в SDS, чтобы массово создавать новые облачные Microsoft Entra учетные записи.

Проблемы и ограничения

Несмотря на то, что большие EDU пользуются преимуществами мультитенантной архитектуры на основе региона, она может представлять некоторые проблемы для пользователей, о которых следует знать, в том числе:

• Каждый клиент должен иметь собственное пространство имен. Например, region1.fineartsschool.edu.

  • Пользователи должны знать об их региональном суффиксе, например @ region1.fineartsschool.edu.

• Пользователи не смогут совместно работать между клиентами с помощью SharePoint, OneDrive и Microsoft Teams, если только они не включены и не настроены администратором.

• Мультитенантная многофакторная проверка подлинности

  • Пользователи должны зарегистрироваться для MFA в каждом клиенте.
  • Элементы управления состоянием устройства (например, совместимые) не могут применяться между арендаторами.

Лицензирование

Лицензии должны назначаться пользователям только в том случае, если им требуется доступ к такой службе, как Exchange Online или SharePoint, для которых требуется лицензия.

Лицензирование на основе групп рекомендуется для крупных организаций EDU с:

• Платная или пробная подписка для Microsoft Entra ИД P1 и выше

• Платный или пробный выпуск Office 365 корпоративный E3, Office 365 A3, Office 365 GCC G3, Office 365 E3 для GCCH или Office 365 E3 для DOD.

Лицензии назначаются всем участникам группы, и при добавлении новых участников в группу им также будут назначены соответствующие лицензии. ​

Если у вас нет одной из необходимых лицензий для группового лицензирования, можно назначить лицензии с помощью PowerShell, как описано в статье Назначение лицензий Microsoft 365 учетным записям пользователей с помощью PowerShell.

Другой вариант — использовать Центр администрирования Microsoft 365 для назначения лицензий пользователям вручную. Назначение вручную не рекомендуется для крупных организаций.

Дальнейшие действия

• Разработка управления удостоверениями