Distribuzione di Microsoft 365 Enterprise nell'infrastruttura esistenteDeployment of Microsoft 365 Enterprise with existing infrastructure

Molte organizzazioni dispongono di rete, identità e componenti esistenti oppure di prodotti Microsoft locali e servizi basati sul cloud. In questo articolo viene illustrata ogni fase della distribuzione di Microsoft 365 Enterprise affinché sia possibile determinare rapidamente come adattare o modificare l'infrastruttura esistente.Many organizations have exisiting networking, identity, and other components or Microsoft on-premises products and cloud-based services. This article steps through each phase of the deployment of Microsoft 365 Enterprise so you can quickly determine how to adapt or change your existing infrastructure.

Prima di uscire da ogni fase, è necessario esaminare i relativi criteri uscita, ovvero un insieme di condizioni necessarie che è necessario soddisfare e di condizioni facoltative da prendere in considerazione. I criteri uscita di ogni fase garantiscono che l'infrastruttura cloud e locale e la risultante configurazione end-to-end soddisfino i requisiti di una distribuzione Microsoft 365 Enterprise.Before you can exit each phase, you must examine its exit criteria, which is a set of required conditions that you must meet and optional conditions to consider. Exit criteria for each phase ensures that your on-premises and cloud infrastructure and resulting end-to-end configuration meets the requirements for a Microsoft 365 Enterprise deployment.

Nota

FastTrack è un vantaggio continuo e ripetibile, disponibile come parte dell'abbonamento, fornito dai tecnici Microsoft per consentire di passare al cloud secondo le proprie tempistiche. FastTrack inoltre offre l'accesso a partner qualificati per servizi aggiuntivi, in base alle proprie esigenze. Con al momento oltre 40.000 utenti abilitati, FastTrack consente di massimizzare il ROI, di accelerare la distribuzione e di aumentare l'adozione all'interno dell'organizzazione. Vedere FastTrack per Microsoft 365.FastTrack is an ongoing and repeatable benefit—available as part of your subscription—that is delivered by Microsoft engineers to help you move to the cloud at your own pace. FastTrack also gives you access to qualified partners for additional services, as needed. With over 40,000 customers enabled to date, FastTrack helps maximize ROI, accelerate deployment, and increase adoption across your organization. See FastTrack for Microsoft 365.

Criteri uscita per la rete (fase 1)Exit criteria for networking (phase 1)

Esaminare le seguenti condizioni obbligatorie e facoltative per l'infrastruttura di rete per Microsoft 365 Enterprise.Step through the following required and optional conditions for the networking infrastructure for Microsoft 365 Enterprise.

Richiesto: La larghezza di banda Internet è sufficiente per i servizi cloud MicrosoftRequired: Your Internet bandwidth is sufficient for Microsoft’s cloud services

La larghezza di banda Internet per l'ufficio centrale e le succursali in grado di gestire giornaliero accedere alle risorse cloud, l'utilizzo di picco e ampliamento futuro. Se la larghezza di banda Internet non è sufficiente, le prestazioni della connettività e la produttività del personale può siano costretti a passare, in particolare durante i periodi di picco di elaborazione.The Internet bandwidth for your central office and branch offices can handle daily access to cloud resources, peak usage, and future growth. If your Internet bandwidth isn’t sufficient, the performance of your connectivity and the productivity of your staff might suffer, especially during peak periods of processing.

Se necessario, il passaggio 1 consentono a questo requisito.If needed, Step 1 can help you with this requirement.

Richiesto: Uffici locali sono la risoluzione dei nomi locale di InternetRequired: Your local offices have local Internet name resolution

Ogni sede locale è configurato con accesso a Internet tramite un ISP locale il cui server DNS utilizzano un indirizzo IP pubblico locale che identifica il percorso su Internet. In questo modo prestazioni ottimali per gli utenti che accedono a Office 365 e Intune.You configured each local office with Internet access through a local ISP whose DNS servers use a local public IP address that identifies their location on the Internet. This ensures the best possible performance for users who access Office 365 and Intune.

Se non si utilizza un provider di servizi Internet locale per ogni succursale, riduzione delle prestazioni in quanto il traffico di rete deve attraversare backbone dell'organizzazione o le richieste di dati sono gestite dai server front-end remote.If you don’t use a local ISP for each branch office, performance can suffer because network traffic must traverse an organization’s backbone or data requests are serviced by remote front-end servers.

Come testareHow to test

Utilizzare uno strumento o un sito web da un dispositivo di Office per determinare l'indirizzo IP pubblico che utilizza il server proxy. Ad esempio, utilizzare la pagina web Che cos'è indirizzo IP . Questo indirizzo IP pubblico assegnato dall'ISP dovrebbe essere geograficamente locale. Non può essere da un intervallo di indirizzi IP pubblico di un ufficio centrale o da un fornitore di protezione di rete basato su cloud.Use a tool or web site from a device in that office to determine the public IP address that the proxy server is using. For example, use the What Is My IP Address web page. This public IP address assigned by your ISP should be geographically local. It should not be from a public IP address range for a central office or from a cloud-based network security vendor.

Se necessario, il passaggio 2 possono aiutare a questo requisito.If needed, Step 2 can help you with this requirement.

Facoltativo: I dispositivi di rete perimetrale eseguono un'elaborazione minima del traffico di Office 365Optional: Your network perimeter devices perform minimal processing of Office 365 traffic

È stato configurato i dispositivi di rete perimetrale, ad esempio server proxy, firewall e dispositivi l'ispezione SSL, per utilizzare gli endpoint di Office 365 (gli URL e indirizzi IP intervalli) ed elaborare come minimo il traffico proveniente da Office 365.You configured your network perimeter devices—such as proxy servers, firewalls, and SSL inspection devices— to use Office 365 endpoints (URLs and IP address ranges) and to minimally process traffic from Office 365.

Se è ancora stato fatto, i dispositivi perimetrale eseguono un'elaborazione e le prestazioni di Office 365 subiranno, causando ritardi per gli utenti dei servizi basati sul cloud.If you haven’t done this, your perimeter devices perform unnecessary processing and Office 365 performance will suffer, causing delays for users of cloud-based services.

Come testareHow to test

Utilizzare gli strumenti di registrazione nei dispositivi di rete perimetrale per assicurarsi che il traffico a destinazioni di Office 365 non viene esaminato, decrittografati o ostacolata in caso contrario.Use the logging tools on your network perimeter devices to ensure that traffic to Office 365 destinations isn’t being inspected, decrypted, or otherwise hindered.

Se necessario, il passaggio 3 consentono con questa opzione.If needed, Step 3 can help you with this option.

Facoltativo: Un piano per gestire le modifiche in corso in endpoint di Office 365 è sul postoOptional: A plan to manage ongoing changes in Office 365 endpoints is in place

Il reparto IT ha un piano per aggiornare gli endpoint, entrambi gli URL di servizi di Office 365 e intervalli di indirizzi IP, ovvero i dispositivi di rete perimetrale che eseguono un'elaborazione minima traffico da e verso Office 365.Your IT department has a plan to update endpoints—both URLs to Office 365 services and IP address ranges—for your network perimeter devices that perform minimal processing traffic to and from Office 365.

Se non si dispone di un piano sul posto, connettività può essere interrotti quando gli indirizzi IP vengono spostati da un servizio o non sono più in uso da un servizio. Inoltre, il traffico al nuovo server di un server esistente che non sono configurati come nuovi endpoint può causare il traffico da inviare a un server front-end distante, causando la prestazioni non ottimali.If you don’t have a plan in place, connectivity can be interrupted when IP addresses are moved from one service to another or are no longer in use by a service. Additionally, traffic to new servers of an exisiting service that aren’t configured as new endpoints can cause your traffic to be sent to a distant front-end server, resulting in non-optimal performance.

Se necessario, il passaggio 4 grado di aiutarti con questa opzione.If needed, Step 4 can help you with this option.

Facoltativo: Il client e applicazioni di Office 365 siano configurate per garantire prestazioni ottimaliOptional: Your clients and Office 365 applications are configured for optimal performance

È stato ottimizzato impostazioni Transmssion Control Protocol (TCP) nei dispositivi client e per Exchange Online, Skype per Business Online, SharePoint Online e Project Online services.You have optimized the Transmssion Control Protocol (TCP) settings on your client devices and for Exchange Online, Skype for Business Online, SharePoint Online, and Project Online services.

Se necessario, il passaggio 5 consentono con questa opzione.If needed, Step 5 can help you with this option.

Criteri uscita per l'identità (fase 2)Exit criteria for identity (phase 2)

Esaminare le seguenti condizioni obbligatorie e facoltative per l'infrastruttura di gestione delle identità per Microsoft 365 Enterprise.Step through the following required and optional conditions for the identity infrastructure for Microsoft 365 Enterprise.

Per ulteriori suggerimenti sull'infrastruttura di identità, vedere anche i prerequisiti .Also see Prerequisites for additional recommendations on identity infrastructure.

Richiesto: Tutti gli utenti, gruppi e appartenenze ai gruppi sono stati creatiRequired: All users, groups, and group memberships have been created

Creati gruppi e account utente in modo che:You've created user accounts and groups so that:

  • I dipendenti dell'organizzazione e i fornitori, consulenti e partner che lavora per o con l'organizzazione dispongano di un account utente corrispondente in Azure Active Directory (AD).Employees in your organization and the vendors, contractors, and partners that work for or with your organization have a corresponding user account in Azure Active Directory (AD).
  • Gruppi di Azure Active Directory e i relativi membri contengono gli account utente e altri gruppi per vari scopi, ad esempio il provisioning delle impostazioni di protezione per servizi cloud Microsoft, gestione automatica delle licenze e altri tipi di utilizzo.Azure AD groups and their members contain user accounts and other groups for various purposes, such as the provisioning of security settings for Microsoft cloud services, automatic licensing, and other uses.

Se necessario, il passaggio 1 consentono di soddisfare questo requisito.If needed, Step 1 can help you meet this requirement.

Richiesto: Gli utenti e gruppi vengono sincronizzati con Azure Active DirectoryRequired: Users and groups are synchronized with Azure AD

Se si dispone di un provider di identità locale esistente, ad esempio Windows Server Active Directory (AD), è stato utilizzato Connetti Azure Active Directory da sincronizzare gli account utente e gruppi dal provider di identità locale al tenant di Azure Active Directory.If you have an existing on-premises identity provider, such as Windows Server Active Directory (AD), you have used Azure AD Connect to synchronize user accounts and groups from your on-premises identity provider to your Azure AD tenant.

Con la sincronizzazione delle directory, gli utenti possono accedere a Office 365 e altri servizi cloud Microsoft utilizzando le stesse credenziali utilizzate per accedere al computer e accedere alle risorse locali.With directory synchronization, your users can sign in to Office 365 and other Microsoft cloud services using the same credentials that they use to sign in to their computers and access on-premises resources.

Se necessario, il passaggio 2 consentono di soddisfare questo requisito.If needed, Step 2 can help you meet this requirement.

Se si ignora questo requisito, sarà necessario due set di account utente e gruppi:If you skip this requirement, you’ll have two sets of user accounts and groups:

  • Gli account utente e i gruppi inclusi nel provider di identità in localeUser accounts and groups that exist in your on-premises identity provider
  • Gli account utente e i gruppi presenti nel tenant di Azure Active DirectoryUser accounts and groups that exist in your Azure AD tenant

Questo stato, i due set di account utente e i gruppi devono essere gestiti manualmente gli amministratori IT sia agli utenti. In questo inevitabilmente porterà a gruppi, le password e gli account non sincronizzati.In this state, the two sets of user accounts and groups must be manually maintained by both IT administrators and users. This will inevitably lead to unsynchronized accounts, their passwords, and groups.

Come testareHow to test

Per verificare che l'autenticazione con works le credenziali locali correttamente, accedere al portale di Office 365 con le credenziali locali.To verify that authentication with on-premises credentials works correctly, sign in to the Office 365 portal with your on-premises credentials.

Per verificare che la sincronizzazione delle directory funzioni correttamente, procedere come segue:To verify that directory synchronization is working correctly, do the following:

  1. Creare un nuovo gruppo di test in Windows Server Active Directory.Create a new test group in Windows Server AD.
  2. Attendere la fase di sincronizzazione.Wait for the synchronization time.
  3. Controllare il tenant di Azure Active Directory per verificare che venga visualizzato il nome del nuovo gruppo di test.Check your Azure AD tenant to verify that the new test group name appears.

Richiesto: Gli account di amministratore globale sono protettiRequired: Your global administrator accounts are protected

Hai protetta agli account di amministratore globale di Office 365 per non compromettere le credenziali che possono causare violazioni di una sottoscrizione a Office 365.You've protected your Office 365 global administrator accounts to avoid compromising credentials that can lead to breaches of an Office 365 subscription.

Se si ignora questo requisito, l'account amministratore globale può essere soggette ad attacchi e compromesso, consentendo un utente malintenzionato ottenere l'accesso a livello di sistema per i dati per la raccolta, eliminazione o ransom.If you skip this requirement, your global administrator accounts can be susceptible to attack and compromise, allowing an attacker to gain system-wide access to your data for harvesting, destruction, or ransom.

Se necessario, il passaggio 5 consentono di soddisfare questo requisito.If needed, Step 5 can help you meet this requirement.

Come testareHow to test

Utilizzare la procedura seguente per verificare di aver protetta agli account di amministratore globale:Use these steps to verify that You've protected your global administrator accounts:

  1. Eseguire il seguente comando di Azure Active Directory V2 al prompt dei comandi di PowerShell. Verrà visualizzato solo l'elenco degli account amministratore globale dedicato.Run the following Azure AD V2 command at the PowerShell command prompt. You should see only the list of dedicated global administrator accounts. Get-AzureADDirectoryRole | where { $_.DisplayName -eq "Company Administrator" } | Get-AzureADDirectoryRoleMember | Ft DisplayName
  2. Accedere a Office 365 utilizzando ognuno degli account nel passaggio 1. Ogni accesso deve richiedere l'autenticazione a più fattori e la forma più sicura di autenticazione secondario disponibile nell'organizzazione.Sign in to Office 365 using each of the accounts from step 1. Each sign in must require multi-factor authentication and the strongest form of secondary authentication available in your organization.

Nota

Per istruzioni sull'installazione del modulo di Azure Active Directory V2 PowerShell e accesso a Office 365, vedere Connect to Office 365 PowerShell .See Connect to Office 365 PowerShell for instructions on installing the Azure AD V2 PowerShell module and signing in to Office 365.

Facoltativo: La schermata di accesso di Office 365 viene personalizzata per l'organizzazioneOptional: The Office 365 sign-in screen is personalized for your organization

Si è utilizzato società Add branding per l'accesso e pagine del Pannello di Access per aggiungere che l'organizzazione della personalizzazione alla pagina di accesso di Office 365.You've used Add company branding to your sign-in and Access Panel pages to add your organization’s branding to the Office 365 sign-in page.

Se questa opzione viene ignorata, gli utenti vedranno una generico Office 365 schermata di accesso e potrebbero non essere certi che si sta accedendo sito dell'organizzazione.If you skip this option, your users will see a generic Office 365 sign-in screen and might not be confident that they’re signing into your organization’s site.

Se necessario, il passaggio 3 consentono con questa opzione.If needed, Step 3 can help you with this option.

Come testareHow to test

Accedere al portale di Office 365 con il nome dell'account utente e l'autenticazione a più fattori. È consigliabile vedere agli elementi di personalizzazione personalizzati nella pagina di accesso.Sign in to the Office 365 portal with your user account name and multi-factor authentication. You should see your custom branding elements on the sign-in page.

Facoltativo: L'autenticazione a più fattori è abilitata per gli utentiOptional: Multi-factor authentication is enabled for your users

Pianificare l'autenticazione a più fattori per le distribuzioni di Office 365 e configurare l'autenticazione a più fattori per gli utenti di Office 365 è utilizzato per attivare l'autenticazione a più fattori (MFA) per gli account utente.You used Plan for multi-factor authentication for Office 365 Deployments and Set up multi-factor authentication for Office 365 users to enable multifactor authentication (MFA) for your user accounts.

Se si ignora questa opzione, gli account utente sono vulnerabili ad attacchi di credenziali compromesso da utenti malintenzionati cyber. Se la password dell'account utente viene compromesso, tutte le risorse e funzionalità dell'account, ad esempio i ruoli di amministratore, sono disponibili per l'autore dell'attacco. In questo modo l'autore dell'attacco alla copia, eliminazione o conservazione per documenti interni ransom e altri dati.If you skip this option, your user accounts are vulnerable to credential compromise by cyber attackers. If a user account’s password is compromised, all the resources and capabilities of the account, such as administrator roles, are available to the attacker. This allows the attacker to copy, destroy, or hold for ransom internal documents and other data.

Se necessario, passaggio 7 grado di aiutarti con questa opzione.If needed, Step 7 can help you with this option.

Come testareHow to test

  1. Creare un account utente di test nel portale di amministrazione di Office 365 e assegnarli una licenza.Create a test user account in the Office 365 Admin portal and assign them a license.
  2. Configurare l'autenticazione a più fattori per l'account utente di test tramite il metodo un'ulteriore verifica che si sta utilizzando per gli account utente effettivo, ad esempio l'invio di un messaggio nel telefono.Configure multi-factor authentication for the test user account with the additional verification method that you are using for actual user accounts, such as sending a message to your phone.
  3. Accedere al portale di Office 365 o Azure con l'account utente di test.Sign in to the Office 365 or Azure portal with the test user account.
  4. Verificare che MFA vengono richieste le informazioni di un'ulteriore verifica e comporta un'autenticazione eseguita correttamente.Verify that MFA prompts you for the additional verification information and results in a successful authentication.
  5. Eliminare l'account utente di test.Delete the test user account.

Facoltativo: La sincronizzazione delle Directory viene monitorataOptional: Directory synchronization is monitored

È stato utilizzato Azure Active Directory connettersi integrità con sincronizzazione (per la sincronizzazione delle password) o Integrità connettersi con Azure Active Directory con ADFS (per l'autenticazione federata) e sono stati distribuiti Azure Active Directory connettersi sanitario, che include:You've used Azure AD Connect Health with sync (for password synchronization) or Using Azure AD Connect Health with AD FS (for federated authentication) and have deployed Azure AD Connect Health, which involves:

  • L'installazione dell'agente di Azure Active Directory connettersi integrità in ogni server identity locale.Installing the Azure AD Connect Health agent on each of your on-premises identity servers.
  • Utilizzo del portale di Azure Active Directory connettersi integrità per monitorare lo stato di sincronizzazione in corso.Using the Azure AD Connect Health portal to monitor the state of the ongoing synchronization.

Se si ignora questa opzione, è possibile valutare in modo più accurato lo stato dell'infrastruttura di identità basata su cloud.If you skip this option, you can more accurately assess the state of your cloud-based identity infrastructure.

Se necessario, il passaggio 4 grado di aiutarti con questa opzione.If needed, Step 4 can help you with this option.

Come testareHow to test

Portale di Azure Active Directory connettersi integrità Mostra lo stato corrente e corretto dei server identity locale e la sincronizzazione in corso.The Azure AD Connect Health portal shows the current and correct state of your on-premises identity servers and the ongoing synchronization.

Facoltativo: Gli utenti remoti hanno accesso protettoOptional: Remote users have secure access

Si sono utilizzato le informazioni le modalità di protezione dell'accesso remoto per le applicazioni in locale per distribuire il Proxy dell'applicazione Azure Active Directory, che include:You've used the information at How to provide secure remote access to on-premises apps to deploy the Azure AD Application Proxy, which involves:

  • Configurazione di un'istanza del servizio Proxy di applicazione in Azure per trasferire il traffico web tra utenti su Internet e un server che esegue il connettore di Proxy di applicazione.Configuring an instance of the Application Proxy Service in Azure to transfer web traffic between users on the Internet and a server running the Application Proxy Connector.
  • Configurazione del connettore di Proxy di applicazione in un server con connessione Internet per trasferire il traffico web tra il servizio Proxy dell'applicazione nelle applicazioni basate sul web Azure e locale.Configuring the Application Proxy Connector on an Internet-facing server to transfer web traffic between Application Proxy Service in Azure and on-premises web-based applications.

Se si ignora questa opzione, i dipendenti remoti o mobili e fornitori, dei consulenti e partner non sarà in grado di utilizzare Azure Active Directory Proxy dell'applicazione access locale, le applicazioni basate sul web. È necessario utilizzare un metodo più tradizionale accesso remoto, ad esempio le reti private virtuali.If you skip this option, your remote or roaming employees and vendors, contractor, and partners will not be able to use Azure AD Application Proxy to access on-premises, web-based applications. They must use a more traditional remote access method such as virtual private networks.

Se necessario, passaggio 16 grado di aiutarti con questa opzione.If needed, Step 16 can help you with this option.

Come testareHow to test

Un utente può accedere in remoto applicazioni basate sul web locale utilizzando il Proxy dell'applicazione Azure Active Directory e le loro credenziali Azure Active Directory.A user can remotely access on-premises web-based applications using the Azure AD Application Proxy and their Azure AD user credentials.

Facoltativo: Gli utenti possono reimpostare le proprie passwordOptional: Users can reset their own passwords

Si è utilizzato distribuzione rapida di reimpostazione password self-service di Azure Active Directory per configurare la reimpostazione della password per gli utenti.You've used Azure AD self-service password reset rapid deployment to configure password reset for your users.

Se si non soddisfa questa condizione, gli utenti saranno dipendenti da parte degli amministratori account utente per reimpostare le password, causando un ulteriore sovraccarico amministrazione IT.If you don’t meet this condition, users will be dependent on user account administrators to reset their passwords, resulting in additional IT administration overhead.

Se necessario, passaggio 10 grado di aiutarti con questa opzione.If needed, Step 10 can help you with this option.

Come testareHow to test

  1. Creare un account utente di test con una password iniziale.Create a test user account with an initial password.
  2. Utilizzare la procedura di consentire agli utenti di reimpostare le password in Office 365 per reimpostare la password dell'account utente di test.Use the steps in Let users reset their own passwords in Office 365 to reset the password on the test user account.
  3. Disconnettersi e quindi effettuare l'accesso all'account utente di test utilizzando la reimpostazione della password.Sign out and then sign in to the test user account using the reset password.
  4. Eliminare l'account utente di test.Delete the test user account.

Facoltativo: Writeback Password è abilitato per gli utentiOptional: Password writeback is enabled for your users

Si sono utilizzato le istruzioni in Azure Active Directory SSPR con password writeback per abilitare il writeback password per il tenant di Azure Active Directory dell'abbonamento Microsoft 365 Enterprise.You've used the instructions in Azure AD SSPR with password writeback to enable password writeback for the Azure AD tenant of your Microsoft 365 Enterprise subscription.

Se si ignora questa opzione, gli utenti che non sono connessi alla rete locale devono reimpostare o sblocca le password di Windows Server Active Directory a un amministratore IT.If you skip this option, users who aren’t connected to your on-premises network must reset or unlock their Windows Server AD passwords through an IT administrator.

Se necessario, il passaggio 9 grado di aiutarti con questa opzione.If needed, Step 9 can help you with this option.

Nota

Writeback password è necessario al meglio le funzionalità di protezione di Azure Active Directory identità, ad esempio richiedere agli utenti di modificare le password locali quando Azure Active Directory è stata rilevata un ad alto rischio di compromissione account.Password writeback is required to fully utilize Azure AD Identity Protection features, such as requiring users to change their on-premises passwords when Azure AD has detected a high risk of account compromise.

Come testareHow to test

Per verificare il writeback password, la modifica della password in Office 365. È possibile utilizzare l'account e la nuova password per accedere a risorse di Windows Server Active Directory in locale.You test password writeback by changing your password in Office 365. You should be able to use your account and new password to access on-premises Windows Sever AD resources.

  1. Creare un account utente di test in locale Windows Server Active Directory, consente la sincronizzazione delle directory per l'esecuzione e quindi concedere a tale una licenza di Office 365 nel portale di amministrazione di Office 365.Create a test user account in your on-premises Windows Server AD, allow directory synchronization to occur, and then grant it an Office 365 license in the Office 365 admin portal.
  2. Da un computer remoto appartenente al dominio di Windows Server Active Directory locale, accedere al computer e il portale di Office 365 utilizzando le credenziali dell'account utente di test.From a remote computer that is joined to your on-premises Windows Server AD domain, sign in to the computer and the Office 365 portal using the credentials of the test user account.
  3. Selezionare Impostazioni > Impostazioni di Office 365 > Password > Modifica password.Select Settings > Office 365 settings > Password > Change password.
  4. Digitare la password attuale, digitare una nuova password e confermarla.Type the current password, type a new password, and then confirm it.
  5. Disconnettersi da portale di Office 365 e il computer remoto e quindi accedere al computer utilizzando l'account utente di test e la nuova password. Ciò può rivelarsi sono stati in grado di modificare la password di un account utente di Windows Server Active Directory locale utilizzando il tenant di Azure Active Directory.Sign out of the Office 365 portal and the remote computer and then sign in to the computer using the test user account and its new password. This proves that you were able to change the password of an on-premises Windows Server AD user account using the Azure AD tenant.

Facoltativo: Gli utenti possono accedere utilizzando funzionalità single sign-inOptional: Users can sign in using single sign-in

È abilitato Connetti Azure Active Directory: Single Sign-On agevole per l'organizzazione semplificare la modalità gli utenti accedono alle applicazioni basate su cloud, ad esempio Office 365.You enabled Azure AD Connect: Seamless Single Sign-On for your organization to simplify how users sign in to cloud-based applications, such as Office 365.

Se questa opzione viene ignorata, gli utenti potrebbe essere richiesto per fornire le credenziali quando accedono a ulteriori applicazioni che utilizzano Azure Active Directory.If you skip this option, your users might be prompted to provide credentials when they access additional applications that use Azure AD.

Se necessario, il passaggio 8 grado di aiutarti con questa opzione.If needed, Step 8 can help you with this option.

Per assegnare automaticamente e rimuovere licenze agli account utente in base all'appartenenza basata sui gruppi licenzeGroup-based licensing to automatically assign and remove licenses to user accounts based on group membership

È stato abilitato basata su gruppo di licenze per Azure AD appropriato gruppi di protezione in modo che le licenze per Office 365 ed EMS vengono automaticamente assegnate o rimossi.You enabled group-based licensing for the appropriate Azure AD security groups so that licenses for both Office 365 and EMS are automatically assigned or removed.

Se questa opzione viene ignorata, è necessario eseguire manualmente:If you skip this option, you must manually:

  • Assegnare licenze agli utenti nuovi che si prevede di disporre dell'accesso a Office 365 e questa funzionalità.Assign licenses to new users whom you intend to have access to Office 365 and EMS.
  • Rimuovere licenze dagli utenti che non sono più con l'organizzazione o non hanno accesso a Office 365 e questa funzionalità.Remove licenses from users who are no longer with your organization or do not have access to Office 365 and EMS.

Se necessario, passaggio 11 grado di aiutarti con questa opzione.If needed, Step 11 can help you with this option.

Come testareHow to test

  1. Creare un gruppo di sicurezza di test in Azure Active Directory con il portale di Azure e configurare le licenze per assegnare le licenze di Office 365 e questa funzionalità basate su gruppo.Create a test security group in Azure AD with the Azure portal and configure group-based licensing to assign Office 365 and EMS licenses.
  2. Creare un account utente di test in Azure Active Directory e aggiungerlo al gruppo di sicurezza di test.Create a test user account in Azure AD and add it to the test security group.
  3. Esaminare le proprietà dell'account utente nel portale di amministrazione di Office 365 per verificare che le licenze di Office 365 e questa funzionalità era assegnato.Examine the properties of the user account in the Office 365 admin portal to ensure that it was assigned the Office 365 and EMS licenses.
  4. Rimuovere l'account utente di test dal gruppo di sicurezza di test.Remove the test user account from the test security group.
  5. Esaminare le proprietà dell'account utente per verificare non sono più disponibili le licenze di Office 365 ed EMS assegnate.Examine the properties of the user account to ensure that it no longer has the Office 365 and EMS licenses assigned.
  6. Eliminare il gruppo di sicurezza di test e l'account utente di test.Delete the test security group and the test user account.

Le impostazioni di appartenenza al gruppo dinamico aggiungere automaticamente gli account utente ai gruppi in base agli attributi di account utenteDynamic group membership settings automatically add user accounts to groups based on user account attributes

Aver determinato l'insieme di gruppi dinamici Azure Active Directory e utilizzare le istruzioni riportate nell'appartenenza al gruppo dinamico basato sugli attributi di Azure Active Directory per creare i gruppi e le regole che determinano il set di attributi degli account utente e i valori per gruppo appartenenza al gruppo.You've determined the set of Azure AD dynamic groups and used the instructions in Attribute-based dynamic group membership in Azure Active Directory to create the groups and the rules that determine the set of user account attributes and values for group membership.

Se questa opzione viene ignorata l'appartenenza al gruppo deve essere eseguita manualmente quando vengono aggiunti nuovi account o come account utente utilizzato per modificano gli attributi nel tempo. Ad esempio, se un utente sposta il reparto vendite al reparto contabilità, è necessario:If you skip this option, group membership must be done manually as new accounts are added or as user account attributes change over time. For example, if someone moves from the Sales department to the Accounting department, you must:

  • Aggiornare il valore dell'attributo del reparto per tale account utente.Update the value of the Department attribute for that user account.
  • Rimuoverle dal gruppo di Sales.Manually remove them from the Sales group.
  • Manualmente aggiungerli al gruppo di contabilità.Manually add them to the Accounting group.

Se il reparto vendite e contabilità gruppi sono stati dinamici, è solo modificare il valore di reparto dell'account utente.If the Sales and Accounting groups were dynamic, you would only have to change the user account’s Department value.

Se necessario, passaggio 12 grado di aiutarti con questa opzione.If needed, Step 12 can help you with this option.

Come testareHow to test

  1. Creare un gruppo dinamico test in Azure Active Directory con il portale di Azure e configurare una regola per i "test1" uguale a reparto.Create a test dynamic group in Azure AD with the Azure portal and configure a rule for the Department equals “test1”.
  2. Creare un account utente di test in Azure Active Directory e impostare la proprietà reparto a "test1".Create a test user account in Azure AD and set the Department property to “test1”.
  3. Esaminare le proprietà dell'account utente per verificare che è stato effettuato un membro del gruppo dinamico test.Examine the properties of the user account to ensure that it was made a member of the test dynamic group.
  4. Modificare il valore della proprietà reparto per l'account utente di test a "test2".Change the value of the Department property for the test user account to “test2”.
  5. Esaminare le proprietà dell'account utente per verificare che non è più di un membro del gruppo dinamico test.Examine the properties of the user account to ensure that it is no longer a member of the test dynamic group.
  6. Eliminare il gruppo dinamico test e l'account utente di test.Delete the test dynamic group and the test user account.

Facoltativo: Gestione dei gruppi self-service è attivata per specifiche Azure Active Directory gruppi di sicurezza e Office 365Optional: Self-service group management is enabled for specific Azure AD security and Office 365 groups

Avere determinato quali gruppi è appropriati per la gestione self-service, indicato i proprietari del flusso di lavoro di gruppo Gestione e responsabilità e set up gestione self-service in Azure Active Directory per tali gruppi.You've determined which groups are appropriate for self-service management, instructed their owners on group management workflow and responsibilities, and set up self-service management in Azure AD for those groups.

Se si ignora questa opzione, tutte le attività di gestione di Azure Active Directory gruppo deve essere eseguita da amministratori IT.If you skip this option, all Azure AD group management tasks must be done by IT administrators.

Se necessario, il passaggio 14 grado di aiutarti con questa opzione.If needed, Step 14 can help you with this option.

Come testareHow to test

  1. Creare un account utente di test in Azure Active Directory con il portale di Azure.Create a test user account in Azure AD with the Azure portal.
  2. Accesso come per l'account utente di test e creare un gruppo di sicurezza test Azure Active Directory.Sign-in as with the test user account and create a test Azure AD security group.
  3. Disconnettersi e quindi accesso con l'account di amministratore IT.Sign out and then sign-in with your IT administrator account.
  4. Configurare il gruppo di sicurezza di test per la gestione self-service per l'account utente di test.Configure the test security group for self-service management for the test user account.
  5. Disconnettersi e quindi accesso con l'account utente di test.Sign out and then sign-in with your test user account.
  6. Utilizzare il portale di Azure per aggiungere membri al gruppo di sicurezza di test.Use the Azure portal to add members to the test security group.
  7. Eliminare il gruppo di sicurezza di test e l'account utente di test.Delete the test security group and the test user account.

Facoltativo: Abilitato Azure Active Directory identità di protezione contro le compromesso credenzialiOptional: You've enabled Azure AD Identity Protection to protect against credential compromise

Avere abilitato la protezione di identità di Azure Active Directory per:You've enabled Azure AD Identity Protection to:

  • Indirizzo potenziale vulnerabilità di identità.Address potential identity vulnerabilities.
  • Rileva le credenziali possibili compromesso tentativi.Detect possible credential compromise attempts.
  • Analizzare e risolvere risolte identità potenzialmente dannoso in corso.Investigate and address ongoing suspicious identity incidents.

Se si ignora questa opzione, non sarà in grado di rilevare automaticamente impedire credenziali compromesso tentativi o analizzare i problemi di protezione relative a identità. Questo potenzialmente vulnerabile dell'organizzazione a una violazione della credenziale ha esito positivo e minaccia risultante per i dati riservati dell'organizzazione.If you skip this option, you won’t be able to detect or automatically thwart credential compromise attempts or investigate identity-related security incidents. This potentially leaves your organization vulnerable to a successful credential compromise and the resulting threat to your organization’s sensitive data.

Se necessario, passaggio 15 grado di aiutarti con questa opzione.If needed, Step 15 can help you with this option.

Facoltativo: Aver configurato la gestione delle identità con privilegi per supportare l'assegnazione di ruolo amministratore globale su richiestaOptional: You've set up Privileged Identity Management to support on-demand assignment of the global administrator role

È stato utilizzato le istruzioni di gestione delle identità configurare privilegiato Azure Active Directory per consentire personali nel tenant di Azure Active Directory e configurato gli account di amministratore globale admins idonee.You've used the instructions in Configure Azure AD Privileged Identity Management to enable PIM in your Azure AD tenant and configured your global administrator accounts as eligible admins.

Si utilizza i suggerimenti in protezione con privilegi di accesso per le distribuzioni ibride e cloud in Azure Active Directory per sviluppare un piano che viene protetto tramite accesso privilegiato dagli attacchi cyber.You've also used the recommendations in Securing privileged access for hybrid and cloud deployments in Azure AD to develop a roadmap that secures privileged access against cyber attackers.

Se questa opzione viene ignorata, gli account di amministratore globale sono soggette all'attacco in linea in corso e, se compromesso, un utente malintenzionato acquisire, eliminare o devono contenere le informazioni riservate per ransom.If you skip this option, your global administrator accounts are subject to ongoing online attack and, if compromised, can allow an attacker to harvest, destroy, or hold your sensitive information for ransom.

Se necessario, passaggio 6 grado di aiutarti con questa opzione.If needed, Step 6 can help you with this option.

Criteri uscita per Windows 10 Enterprise (fase 3)Exit criteria for Windows 10 Enterprise (phase 3)

Esaminare le seguenti condizioni obbligatorie e facoltative per l'infrastruttura di Windows 10 Enterprise per Microsoft 365 Enterprise.Step through the following required and optional conditions for the Windows 10 Enterprise infrastructure for Microsoft 365 Enterprise.

Required: Your Microsoft 365 domains are added and verified

The Azure AD tenant for your Office 365 and Intune subscriptions are configured with your Internet domain names (such as contoso.com), rather than just a domain name that includes “onmicrosoft.com”.

If you do not do so, you will be limited in the authentication methods that you can configure. For example, pass-through and federated authentication cannot use the “onmicrosoft.com” domain name.

If needed, Step 1 can help you with this requirement.

Optional: Your users are added and licensed

The accounts corresponding to your users are added, either directly to your Azure AD tenant for your Office 365 and Intune subscriptions, or from directory synchronization from your on-premises Windows Server AD.

Once the users are added, you can assign them Microsoft 365 Enterprise licenses, either directly as a global or user administrator, or automatically through group membership.

If needed, Step 1 can help you with this option.

Required for in-place upgrade: Created a Configuration Manager task sequence for an operating system deployment

To start a Configuration Manager task sequence to do an in-place upgrade on a device running Windows 7 or Windows 8.1, you must have:

  • Set the proper Windows diagnostics data level
  • Verify the readiness to upgrade Windows
  • Create a Configuration Manager task sequence that includes a device collection and an operating system deployment with a Windows 10 OS image

Once this is in place, you can perform in-place upgrades on devices that are ready to upgrade Windows. To get the maximum benefit out of Microsoft 365 Enterprise, upgrade as many devices running Windows 7 and Windows 8.1 as you can.

Each device running Windows 10 Enterprise can participate in the benefits of the integrated solution of Microsoft 365 Enterprise. The remaining devices running Windows 7 or Windows 8.1 cannot use the cloud-connected technologies and advanced security features of Windows 10 Enterprise.

If needed, Step 2 can help you with this requirement.

Required for new devices: Configured Windows Autopilot

To use Windows Autopilot to deploy and customize Windows 10 Enterprise on a new device, you must have:

  • Set the proper Windows diagnostics data level
  • Completed the prerequisites for Windows Autopilot, which include:
  • Device registration and OOBE customization
  • Company branding for OOBE
  • MDM auto-enrollment in Microsoft Intune
  • Network connectivity to cloud services used by Windows Autopilot
  • Devices must be pre-installed with Windows 10, version 1703 or later
  • Selected the Windows Autopilot Deployment Program for your organization

Once the Windows Autopilot configuration is in place, you can use it to configure and customize Windows 10 Enterprise for the out-of-the-box experience (OOBE) for:

  • New devices
  • Devices that have already completed an out-of-box setup in your organization.

Windows Autopilot configures the device and connects it to Azure AD.

Without Windows Autopilot, you must manually configure new devices, including the connection to Azure AD.

If needed, Step 3 can help you with this requirement.

Optional: You are using Windows Analytics Device Health to monitor your Windows 10 Enterprise-based devices

You used the information in Monitor the health of devices with Device Health to detect and remediate issues affecting end users. Quickly addressing end-user issues can reduce your support costs and demonstrate to your users the IT commitment to Windows 10 Enterprise, which can help drive adoption across your organization.

If needed, Step 4 can help you with this option.

Required: You are using Windows Defender Antivirus or your own antimalware solution

You deployed Windows Defender Antivirus or your own antivirus solution to protect your devices running Windows 10 Enterprise from malicious software. If you deployed Windows Defender Antivirus, you have implemented a reporting method, such as System Center Configuration Manager or Microsoft Intune, to monitor antivirus events and activity.

If needed, Step 5 can help you with this requirement.

Required: You are using Windows Defender Exploit Guard

You deployed Windows Defender Exploit Guard to protect your devices running Windows 10 Enterprise from intrusion and have implemented a reporting method, such as System Center Configuration Manager or Microsoft Intune, to monitor intrusion events and activity.

If needed, Step 5 can help you with this requirement.

Required: You are using Windows Defender Advanced Threat Protection (Microsoft 365 Enterprise E5 only)

You deployed Windows Defender Advanced Threat Protection (ATP) to detect, investigate, and respond to advanced threats against your network and devices running Windows 10 Enterprise.

Optionally, you have integrated Windows Defender ATP with other tools to expand its capabilities.

If needed, Step 5 can help you with this requirement.

Criteri uscita per Office 365 ProPlus (fase 4)Exit criteria for Office 365 ProPlus (phase 4)

Esaminare le seguenti condizioni obbligatorie e facoltative per l'infrastruttura di Office 365 ProPlus per Microsoft 365 Enterprise.Step through the following required and optional conditions for the Office 365 ProPlus infrastructure for Microsoft 365 Enterprise.

  • Valutazione dell'ambiente e l'infrastruttura è stato completato, tra cui:Assessment of infrastructure and environment is complete, including:

    • Dettagli dispositivo clientClient device details
    • Strumenti di distribuzioneDeployment tools
    • Account e licenze di Office 365Office 365 licensing and accounts
    • Funzionalità di reteNetwork capability
    • Compatibilità delle applicazioniApplication compatibility
  • Piano di distribuzione è stata completata, tra cui:Deployment plan is complete, including:

    • Come distribuire Office 365 ProPlusHow to deploy Office 365 ProPlus
    • Come gestire gli aggiornamenti per Office 365 ProPlusHow to manage updates to Office 365 ProPlus
    • Se si desidera distribuire e installare da un'origine locale nella rete o dal cloudWhether to deploy and install from a local source on your network or from the cloud
    • I dispositivi client ottenere i canali di aggiornamentoWhich client devices get which update channels
    • Pacchetti di installazione definitiInstallation packages defined
    • Tutti i dispositivi client assegnati a gruppi di distribuzioneAll client devices assigned to deployment groups
    • Quali lingue, architetture e le applicazioni di Office passare a quali dispositivi clientWhich Office applications, architectures, and languages go to which client devices
  • Distribuzione di Office 365 ProPlus è stata completata, tra cui:Deployment of Office 365 ProPlus is complete, including:

    • Tutti i dispositivi client sono Office 365 ProPlus è installatoAll client devices have Office 365 ProPlus installed
    • Tutti i dispositivi client dal canale aggiornamento appropriato e la ricezione di aggiornamentiAll client devices are in the appropriate update channel and are receiving updates
    • Tutti i dispositivi client sono le lingue appropriate installate o disponibiliAll client devices have the appropriate languages installed or available

Criteri uscita della protezione delle informazioni (fase 6)Exit criteria for information protection (phase 6)

Esaminare le seguenti condizioni obbligatorie e facoltative per l'infrastruttura di protezione delle informazioni per Microsoft 365 Enterprise.Step through the following required and optional conditions for the information protection infrastructure for Microsoft 365 Enterprise.

Necessario: Informazioni sulla sicurezza e livelli di protezione per l'organizzazione vengono definitiRequired: Security and information protection levels for your organization are defined

Per una pianificazione e determinare i livelli di protezione necessarie per l'organizzazione. Questi livelli di definiscono ulteriori livelli di informazioni riservate crescente e un livello minimo di sicurezza e protezione dati richiesti.You've planned for and determined the security levels that your organization needs. These levels define a minimum level of security and additional levels for increasingly sensitive information and their required data security.

Come minimo, si utilizza tre livelli di protezione delle informazioni:At a minimum, you are using three levels of information protection:

  • Versione di baseBaseline
  • Dati sensibiliSensitive
  • Protezione per ambienti altamente regolamentatiHighly regulated

Se necessario, il passaggio 1 consentono di soddisfare questo requisito.If needed, Step 1 can help you meet this requirement.

Richiesto: Criteri di accesso condizionale sono configuratiRequired: Conditional access policies are configured

Le informazioni in questi articoli è utilizzato per creare il set di criteri di accesso condizionale consigliata:You've used the information in these articles to create the set of recommended conditional access policies:

Aver configurato questi criteri e li applicato a tre livelli di protezione consigliate o ai relativi equivalenti all'interno dell'organizzazione.You've configured these policies and applied them to the three recommended security levels or their equivalents in your organization.

Se necessario, il passaggio 2 consentono di soddisfare questo requisito.If needed, Step 2 can help you meet this requirement.

Necessario: È configurata aumentare la protezione per Office 365Required: Increased security for Office 365 is configured

Aver configurato le impostazioni seguenti per aumentare la protezione in base alle informazioni in Configure Office 365 tenant per aumentare la protezione:You've configured the following settings for increased security based on the information in Configure your Office 365 tenant for increased security:

  • Criteri di gestione delle minacce nel centro conformità protezione di Office 365Threat management policies in the Office 365 Security & Compliance Center
  • Ulteriori impostazioni a livello di tenant Exchange OnlineAdditional Exchange Online tenant-wide settings
  • Criteri di condivisione a livello di tenant nell'interfaccia di amministrazione di SharePointTenant-wide sharing policies in SharePoint admin center
  • Impostazioni di Azure Active DirectorySettings in Azure Active Directory

Inoltre avere abilitato Office 365 avanzate Threat Protection (degli strumenti di analisi).You've also enabled Office 365 Advanced Threat Protection (ATP).

Se necessario, il passaggio 4 consente di soddisfare questo requisito.If needed, Step 4 can help you meet this requirement.

Facoltativo: Classificazione è configurata nell'ambienteOptional: Classification is configured across your environment

Utilizzato con il team di tipo legale e conformità per lo sviluppo di una classificazione adeguata ed etichette schema per i dati dell'organizzazione, che possono includere le operazioni seguenti:You've worked with your legal and compliance teams to develop an appropriate classification and labeling scheme for your organization’s data, which can include the following:

  • Tipi di dati riservatiSensitive data types
  • Etichette di Office 365Office 365 labels
  • Azure etichette di protezione delle informazioniAzure Information Protection labels

Se necessario, il passaggio 3 consentono di soddisfare questo requisito.If needed, Step 3 can help you meet this requirement.