Concevoir une stratégie de compte
Les grands établissements d’enseignement doivent réfléchir à la façon dont les comptes pour les étudiants, les enseignants et d’autres seront créés. Cette section explique comment aborder la création de comptes dans un grand edu qui s’étend sur plusieurs locataires Microsoft Entra.
Comptes cloud uniquement
Nous vous recommandons d’utiliser des identités cloud uniquement lorsque cela est possible. Les identités cloud uniquement sont représentées par des objets de compte d’utilisateur créés et gérés dans Microsoft Entra ID. Avec les identités cloud uniquement, tous vos utilisateurs, groupes et contacts sont stockés dans le locataire Microsoft Entra.
Les identités cloud uniquement sont idéales pour les organisations qui n’utilisent pas services de domaine Active Directory (AD DS) pour gérer les identités locales ou qui ont d’autres identités locales. Son plus grand avantage est sa simplicité, car aucun outil d’annuaire ou serveur supplémentaire n’est nécessaire.
La création de comptes cloud uniquement est recommandée pour les organisations éducatives qui :
ont déjà intégré leurs applications SaaS à Microsoft Entra ID.
ne s’appuient pas sur les services AD DS locaux pour gérer les identités.
souhaite utiliser School Data Sync (SDS) pour créer des identités cloud uniquement basées sur leurs systèmes d’information sur les étudiants (SIS) en ligne.
Comptes hybrides
Les identités hybrides sont représentées par des objets utilisateur créés dans un ad DS local, puis synchronisés avec un locataire Microsoft Entra. Ces comptes créent une identité d’utilisateur commune pour l’authentification et l’autorisation. Les comptes hybrides sont couramment utilisés lorsque les utilisateurs ont besoin d’accéder à une combinaison d’applications locales et cloud.
Les identités hybrides sont idéales pour les organisations qui utilisent AD DS. Leur plus grand avantage est qu’il permet aux utilisateurs d’utiliser les mêmes informations d’identification lors de l’accès à des ressources locales ou cloud.
La création et la gestion de comptes hybrides sont plus complexes que la gestion de comptes cloud uniquement et sont recommandées uniquement pour les organisations éducatives qui :
vous avez besoin d’accéder à des ressources locales et cloud.
créer et gérer des comptes d’utilisateur à l’aide d’AD DS ou d’un autre fournisseur d’identité.
Comment s’inscrire
Dans la plupart des pays/régions, il n’y a aucune action administrative que votre établissement doit effectuer pour inscrire des utilisateurs. Vous pouvez communiquer la disponibilité de Office 365 A1, ou Office 365 A1 Plus, à vos étudiants, enseignants et membres du personnel à l’aide du contenu de la boîte à outils marketing Office 365 Campus. La boîte à outils contient des e-mails, des affiches, des bannières web et bien plus encore pour vous aider à sensibiliser les étudiants, les enseignants et le personnel. Si vous avez des questions précises sur la procédure à suivre pour votre établissement, contactez votre représentant Microsoft.
Les clients de certains pays/régions doivent configurer le locataire pour autoriser les utilisateurs vérifiés par e-mail à rejoindre le locataire. Les administrateurs peuvent mettre Office 365 A1 ou Office 365 A1 Plus à la disposition des étudiants et des enseignants en procédant comme suit :
Si vous utilisez Windows 7, installez Microsoft Online Services Sign-In Assistant pour les professionnels de l’informatique. Si vous utilisez Windows 8 ou une version plus récente, cette étape n’est pas nécessaire.
Installez la dernière version 64 bits du module Azure Active Directory pour Windows PowerShell.
Entrez la commande Windows PowerShell suivante pour permettre aux nouveaux utilisateurs de rejoindre automatiquement votre locataire Office 365 :
Set-MsolCompanySettings -AllowEmailVerifiedUsers $true
Pour plus d’informations, consultez Quelles étapes devons-nous suivre pour mettre cela à la disposition des étudiants, des enseignants et du personnel ?
Création de comptes M365 A1
Il existe plusieurs façons de créer des comptes Office 365 pour les utilisateurs. La façon dont vous créez les comptes dépend de votre état actuel.
Quand Office 365 comptes existent déjà
Si votre établissement scolaire dispose d’un environnement Office 365 existant dans lequel les étudiants, les enseignants ou le personnel disposent déjà d’un compte professionnel ou scolaire, Microsoft active et attribue automatiquement Office 365 licences EDU A1 aux comptes existants. Après l’activation, les utilisateurs seront automatiquement informés des services supplémentaires disponibles, y compris la possibilité de télécharger Office 365 ProPlus le cas échéant. Si l’utilisateur dispose déjà d’un compte Office 365 A1 Plus ou d’une autre licence Office 365 ProPlus attribuée par le biais de votre établissement scolaire, il est redirigé pour se connecter avec ses informations d’identification existantes et recevoir une notification incluant une invite Installer maintenant.
Lorsque les utilisateurs ont des e-mails uniquement
Office 365 Éducation fournit une signature en libre-service pour vos utilisateurs avec des adresses e-mail scolaires. Ils peuvent s’inscrire à Office 365 A1, ce qui inclut 1 To de stockage OneDrive Entreprise par utilisateur, Office sur le Web, SharePoint Online et Yammer. Après l’inscription, les utilisateurs reçoivent automatiquement un compte et peuvent accéder aux services inclus dans Office 365 A1.
Par exemple, si un étudiant utilise son adresse e-mail scolaire «Student@fineartsschool.edu » pour s’inscrire, Microsoft l’ajoute automatiquement en tant qu’utilisateur dans l’environnement fineartsschool.onmicrosoft.com Office 365. Office 365 A1 seront activés pour leur compte. S’ils fréquentent une école éligible à l’avantage d’utilisation des étudiants, une licence leur permet d’installer Office 365 ProPlus.
Un administrateur peut configurer ces fonctionnalités à l’aide de l’applet de commande Microsoft Entra suivante :
Set-MsolCompanySettings -AllowEmailVerifiedUsers $true
Pour plus d’informations, consultez Office 365 Éducation Self-Sign : FAQ technique.
Lorsque les utilisateurs ont des comptes locaux
La synchronisation des comptes hybrides est un processus en deux étapes impliquant deux composants : Microsoft Entra Connect et School Data Sync.
Microsoft Entra Connect est l’outil Microsoft utilisé pour synchroniser Active Directory local utilisateurs, groupes et autres objets avec Microsoft Entra ID. Il s’exécute sur un serveur local, recherche les modifications apportées aux services AD DS et les transfère à Microsoft Entra ID. Microsoft Entra Connect permet également de filtrer les comptes qui sont synchronisés et s’il faut authentifier les utilisateurs à l’aide de la synchronisation de hachage de mot de passe (PHS), de l’authentification directe (PTA) ou de la fédération.
Remarque
Nous vous recommandons Microsoft Entra Se connecter avec PHS pour l’authentification, car il s’agit du moyen le plus simple pour les comptes hybrides de s’authentifier auprès de Microsoft Entra ID. Vous devez gérer un seul serveur et bénéficier d’une authentification unique et d’une authentification multifacteur cloud transparentes. Certaines fonctionnalités Premium de Microsoft Entra ID, comme Identity Protection et Microsoft Entra Domain Services, nécessitent la synchronisation de hachage de mot de passe, quelle que soit la méthode d’authentification choisie.
Microsoft Entra Connect a deux types d’installation pour l’installation : Express et Custom. Express est le plus courant et a été conçu pour fournir une configuration qui fonctionne pour la plupart des scénarios clients. L’installation rapide suppose que vous disposez d’une forêt unique avec moins de 100 000 objets dans votre Active Directory local. PhS est automatiquement activé avec cette option.
Si vous avez plus de 100 000 objets ou plusieurs forêts, utilisez une installation personnalisée de Microsoft Entra Connect. Utilisez également une installation personnalisée si vous envisagez d’utiliser la fédération ou l’assistant client (PTA) pour l’authentification utilisateur.
Pour plus d’informations, consultez Sélectionner le type d’installation à utiliser pour Microsoft Entra Connect.
School Data Sync (SDS) est un service gratuit dans Microsoft 365 Éducation qui lit les données à partir du système d’information sur les étudiants (SIS) d’un établissement scolaire. Il crée
Teams pour l'éducation. SDS permet la création automatique d’une équipe de classe basée sur les groupes O365 créés par SDS et la liste de listes.
Blocs-notes OneNote pour la classe. SDS permet l’approvisionnement automatisé du bloc-notes OneNote pour la classe dans Teams pour l'éducation. Lorsqu’il est activé, chaque bloc-notes pour la classe a des sections créées et des autorisations définies en fonction des données de liste des classes SDS importées pendant la synchronisation.
Exchange Online et SharePoint Online. SDS crée des groupes Office 365 pour la messagerie en ligne, le partage de fichiers et la collaboration.
Intune pour l’éducation. SDS crée des groupes de sécurité basés sur les établissements scolaires pour une stratégie d’appareil précise, et peut également fournir une licence en bloc automatisée de Intune éducation pour tous les étudiants et enseignants synchronisés.
Applications SaaS. SDS s’intègre à de nombreuses applications dans le Microsoft Store et permet l’intégration d’applications de liste de liste et d'Sign-On unique (SSO).
SDS est souvent déployé avec Active Directory local et Microsoft Entra Connect. Vous pouvez utiliser Microsoft Entra Connect pour créer des utilisateurs et des groupes à partir d’un emplacement local, puis utiliser SDS pour synchroniser des attributs d’étudiant et d’enseignant supplémentaires à partir de SIS avec les objets de compte créés par Microsoft Entra Connect.
Microsoft Entra Connect et SDS ne seront jamais en conflit, car SDS ne synchronisera ni ne remplacera aucun attribut géré par Microsoft Entra Connect. Vous pouvez également créer utiliser SDS. Au lieu d’utiliser Microsoft Entra Connect, vous pouvez utiliser SDS pour synchroniser et créer des utilisateurs directement à partir de votre SIS.
Pour plus d’informations, consultez Synchroniser votre SIS à l’aide de School Data Sync (SDS).
Synchronisation de comptes d’AD local vers des locataires Microsoft Entra
Synchronisation de comptes avec des locataires Azure avec SDS et SIS
Créer des comptes en bloc
Dans les environnements hybrides avec des Active Directory local existants, utilisez un script PowerShell et un fichier CSV pour créer des utilisateurs en bloc. Une fois créés, les administrateurs peuvent synchroniser les comptes avec Microsoft Entra ID à l’aide de Microsoft Entra Connect.
Dans les environnements cloud uniquement, exportez ou créez des fichiers CSV pour School Data Sync à partir de vos données SIS, configurez un profil de synchronisation et chargez les csv dans SDS pour créer des comptes Microsoft Entra cloud uniquement en bloc.
Défis et limitations
Bien que les grandes EDUs bénéficient d’une architecture multilocataire basée sur une région, cela peut présenter certains défis pour les utilisateurs que vous devez connaître, notamment :
Chaque locataire doit avoir son propre espace de noms. Par exemple, region1.fineartsschool.edu.
- Les utilisateurs doivent connaître leur suffixe régional, par exemple@ region1.fineartsschool.edu.
Les utilisateurs ne pourront pas collaborer entre les locataires à l’aide de SharePoint, OneDrive et Microsoft Teams, sauf s’ils sont activés et configurés par un administrateur.
MFA multilocataire
- Les utilisateurs doivent s’inscrire à l’authentification multifacteur dans chaque locataire.
- Les contrôles d’état de l’appareil (par exemple, conformes) ne peuvent pas être appliqués entre locataires.
Licences
Vous n’êtes pas obligé d’attribuer des licences aux utilisateurs qui effectuent l’inscription en libre-service pour Office 365 A1. Lorsque les utilisateurs le font, les licences A1 ou A1 Plus sont automatiquement attribuées.
Les licences ne doivent être attribuées aux utilisateurs que lorsqu’ils doivent accéder à un service comme Exchange Online ou SharePoint Online qui nécessite une licence.
Les licences basées sur les groupes sont recommandées pour les grandes organisations EDU qui ont :
Abonnement payant ou d’essai pour Microsoft Entra ID P1 et versions ultérieures
Édition payante ou d’évaluation de Office 365 Entreprise E3, Office 365 A3, Office 365 GCC G3, Office 365 E3 pour GCCH ou Office 365 E3 pour DOD.
Les licences sont attribuées à tous les membres d’un groupe et, lorsque de nouveaux membres sont ajoutés au groupe, les licences appropriées leur sont également attribuées.
Si vous ne possédez pas l’une des licences requises pour les licences basées sur les groupes, vous pouvez utiliser PowerShell pour attribuer des licences comme décrit dans Attribuer des licences Microsoft 365 à des comptes d’utilisateur avec PowerShell.
Une autre option consiste à utiliser le Centre d’administration Microsoft 365 pour attribuer manuellement des licences aux utilisateurs. L’affectation manuelle n’est pas recommandée pour les grandes organisations.