许多组织都有现有网络、身份和其他组件或 Microsoft 本地产品和基于云的服务。本文将逐步介绍部署 Microsoft 365 企业版的各个阶段,可让你快速确定如何调整或更改现有基础结构。
在退出每个阶段之前,必须检查其退出条件,这是一组必须满足的必需条件和要考虑的可选条件。每个阶段的退出条件可确保本地和云基础结构以及生成的端到端配置满足对 Microsoft 365 企业版部署的要求。
备注
FastTrack 的优势在于持续且可重复(可用作订阅的一部分),由 Microsoft 工程师提供以帮助你按自己的节奏移动到云。此外,FastTrack 还可使你根据需要访问合格的合作伙伴以获取其他服务。目前为止,40,000 多个客户已启用此功能,FastTrack 可帮助最大化 ROI、加快部署,提高整个组织的采用率。
网络退出条件(阶段 1)
逐个符合网络基础结构的以下必需条件和可选条件。
必需:网络已准备就绪可供 Microsoft 365 企业版使用
如果需要,可在步骤 1 中进行设置以满足此要求。
必需:本地办公室具有本地 Internet 连接和名称解析
通过本地 ISP(其 DNS 服务器使用在 Internet 上标识其位置的本地公用 IP 地址)来配置每个本地办公室的 Internet 访问。这可确保访问 Office 365 和 Intune 的用户获得最佳性能。
如果每个分支机构不使用本地 ISP,则性能可能会受到影响,因为网络通信必须遍历组织的主干线或由远程前端服务器提供服务的数据请求。
如何测试
使用该办公室中设备上的工具或网站来确定代理服务器所使用的公用 IP 地址。例如,使用我的 IP 地址是什么网页。这个由 ISP 分配的公用 IP 地址在地理位置上应为本地。它不应是来自总部的公用 IP 地址范围或来自基于云的网络安全供应商。
如果需要,可在步骤 2 中进行设置以满足此要求。
可选:删除不需要的网络回流
检查网络回流并为所有办公室确定这些回流对性能的影响。在可能的情况下删除网络回流,或与第三方网络或安全提供商协作,以实现与其网络对等的最优 Microsoft 365。
如果需要,可在步骤 3 中设置此选项。
可选:在 Internet 浏览器和边缘设备上配置流量旁路
已向本地 Internet 浏览器部署最新 PAC 文件,以使 Microsoft 365 DNS 域名的流量绕过代理服务器。
配置了网络外围设备(例如,防火墙、SSL 中断和检查以及数据包检查设备)以使用流量旁路或尽量少处理 Microsoft 365 终结点的“优化”和“允许”类别的流量。
如何测试
使用网络外围设备上的日志记录工具,以确保到 Microsoft 365 目标的流量不遭到检查、解密或阻止。
如果需要,可在步骤 4 中设置此选项。
可选:配置客户端和 Office 365 应用程序以优化性能
已优化客户端设备上的传输控制协议 (TCP) 设置,以及 Exchange Online、Skype for Business Online、SharePoint Online 和 Project Online 服务。
如果需要,可在步骤 5 中设置此选项。
身份退出条件(阶段 2)
逐个符合标识基础结构的以下必需条件和可选条件。
另请参阅先决条件,获得有关标识基础结构的其他建议。
必需:已创建所有用户、组和组成员身份
已创建用户帐户和组,以便:
如果需要,可在步骤 1 中进行设置以满足此要求。
必需:全局管理员帐户受到保护
已保护 Office 365 全局管理员帐户,以避免凭据泄露,进而可能导致 Office 365 订阅漏洞。
如果忽略此要求,全局管理员帐户很容易受到攻击和入侵,攻击者可以获取系统范围内的数据访问权限并加以收集、销毁或勒索。
如果需要,请执行步骤 2,这样做有助于满足此要求。
如何测试
使用这些步骤验证是否已保护全局管理员帐户:
在 PowerShell 命令提示符处运行以下 Azure Active Directory PowerShell Graph 命令。应仅看到专用全局管理员帐户列表。复制
Get-AzureADDirectoryRole | where { $_.DisplayName -eq "Company Administrator" } | Get-AzureADDirectoryRoleMember | Ft DisplayName使用步骤 1 中的每个帐户登录到 Office 365。每个登录必须要求多重身份验证和组织中可用的最强形式的辅助身份验证。
备注
有关在 Office 365 中安装 Azure Active Directory PowerShell Graph 模块和登录的说明,请参阅连接到 Office 365 PowerShell。
可选:已经设置了 Privileged Identity Management,以支持按需分配全局管理员角色
已使用配置 Azure AD Privileged Identity Management 中的说明,在 Azure AD 租户中启用 PIM 并将全局管理员帐户配置为符合条件的管理员。
已使用针对 Azure AD 中混合部署和云部署的特权访问安全中的建议制定路线图,以确保特权访问能够防止网络攻击者。
如果忽略此选项,全局管理员帐户可能会受到持续在线攻击,并且如果泄露,将使得攻击者能够获取、销毁或持有敏感信息进行勒索。
如果需要,请执行步骤 2,这有助于你满足此条件。
必需:用户和组与 Azure AD 已同步
如果你有现有的本地标识提供者,如 Active Directory 域服务 (AD DS),则已使用 Azure AD Connect 将用户帐户和组从本地标识提供者同步到 Azure AD 租户。
通过目录同步,你的用户可以使用与登录到其计算机相同的凭据登录到 Office 365 和其他 Microsoft 云服务,并访问本地资源。
如果需要,请执行步骤 3,这样做有助于满足此要求。
如果忽略此要求,将具有两组用户帐户和组:
在此状态下,两组用户帐户和组必须由 IT 管理员和用户手动维护。这会不可避免地导致帐户、密码和组不同步。
如何测试
要验证本地凭据身份验证是否正常运行,请使用本地凭据登录到 Office 门户。
要验证目录同步正常运行,请执行以下操作:
在 AD DS 中创建新的测试组。等待同步时间。检查 Azure AD 租户以验证新测试组的名称是否出现。
可选:监控目录同步
已使用使用 Azure AD Connect Health 进行同步(适用于密码同步)或在 AD FS 中使用 Azure AD Connect Health(适用于联合身份验证),并部署了 Azure 的 AD Connect Health,其中涉及:
如果忽略此选项,则可以更准确地评估基于云的身份基础结构状态。
如果需要,可在步骤 3 中设置此选项。
测试操作
Azure AD Connect Health 门户显示本地标识服务器和持续同步的当前和正确状态。
可选:已为你的用户启用多重身份验证
已使用 Office 365 部署的多重身份验证计划和为 Office 365 用户设置多因素身份验证,以为用户帐户启用多重身份验证 (MFA)。
如果忽略此选项,你的用户帐户会很容易受到网络攻击者的攻击,导致凭据泄露。如果用户帐户的密码遭到破坏,帐户的所有资源和功能(如管理员角色)都可供攻击者使用。这会使得攻击者能够复制、销毁或持有内部文档和其他数据,进而进行勒索。
如果需要,可在步骤 4 中设置此选项。
测试操作
在 Office 365 管理门户中创建一个测试用户帐户并对其分配许可证。通过用于真实用户帐户的其他验证方法为测试用户帐户配置多重身份验证,如向手机发送消息。通过测试用户帐户登录到 Office 365 或 Azure 门户。确保 MFA 提示你输入其他验证信息且身份验证成功。删除该测试用户帐户。
可选:启用了 Azure AD Identity Protection 以防止凭据泄露
已启用 Azure AD Identity Protection,可以:
如果忽略此选项,你将无法检测或自动阻止凭据泄露尝试或调查标识相关的安全事件。这可能会使你的组织很容易受到凭据泄露的攻击,进而对组织的敏感数据造成威胁。
如果需要,可在步骤 4 中设置此选项。
可选:用户可以重置自己的密码
已使用 Azure AD 自助密码重置快速部署,为你的用户配置密码重置。
如果不符合此条件,用户将依赖用户帐户管理员来重置其密码,这会导致额外的 IT 管理开销。
如果需要,可在步骤 5 中设置此选项。
测试操作
创建包含初始密码的测试用户帐户。使用让用户在 Office 365 中重置自己的密码中的步骤来重置测试用户帐户的密码。注销,然后使用重置密码登录到测试用户帐户。删除该测试用户帐户。
可选:为你的用户启用密码写回功能
已使用 Azure AD SSPR 密码写回中的说明为 Microsoft 365 企业版订阅的 Azure AD 租户启用密码写回。
如果忽略此选项,未连接到本地网络的用户必须通过 IT 管理员重置或解除锁定其 AD DS 密码。
如果需要,可在步骤 5 中设置此选项。
备注
需要密码写回才可充分利用 Azure AD Identity Protection 功能,例如,当 Azure AD 检测到高风险的帐户泄露时要求用户更改其本地密码。
测试操作
通过更改 Office 365 中的密码可以使测试密码写回。 你应该能够使用你的帐户和新密码访问本地 AD DS 资源。
在本地 AD DS 中创建测试用户帐户,允许进行目录同步,然后在 Microsoft 365 管理中心中授予 Office 365 许可证。从加入到本地 AD DS 域的远程计算机,使用测试用户帐户的凭据登录到计算机和 Office 门户。选择“设置”>“Office 365 设置”>“密码”>“更改密码”。键入当前密码、键入新密码,然后确认。注销 Office 门户和远程计算机,然后使用测试用户帐户及其新密码登录计算机。 这可以证明你可以使用 Azure AD 租户更改本地 AD DS 用户帐户的密码。
可选:用户可以使用 Azure AD 无缝单一登录进行登录
已为组织启用 Azure AD Connect: 无缝单一登录,以简化用户登录到基于云的应用程序(如 Office 365)的方式。
如果忽略此选项,当用户访问使用 Azure AD 的其他应用程序时,系统可能会提示你的用户提供凭据。
如果需要,可在步骤 5 中设置此选项。
可选:个性化组织的 Office 365 登录屏幕
你已使用将公司品牌添加到登录和访问面板页面,将组织的品牌添加到 Office 365 登录页面。
如果忽略此选项,你的用户将看到通用的 Office 365 登录屏幕,可能会让他们疑惑是否登录到了组织的网站。
如果需要,可在步骤 5 中设置此选项。
测试操作
使用用户帐户名称及多重身份验证登录到 Office 365 门户。应在登录页面上看到自定义的品牌元素。
可选:为特定 Azure AD 安全和 Office 365 组启用了自助服务组管理
已确定哪些组适用于自助服务管理,对所有者说明了组管理工作流和职责,并为这些组在 Azure AD 中设置自助服务管理。
如果忽略此选项,则所有 Azure AD 组管理任务必须由 IT 管理员执行。
如果需要,可在步骤 6 中设置此选项。
测试操作
在具有 Azure 门户的 Azure AD 中创建测试用户帐户。使用测试用户帐户登录并创建测试 Azure AD 安全组。注销,然后使用 IT 管理员帐户登录。针对测试用户帐户,配置测试安全组进行自助服务管理。注销,然后使用测试用户帐户登录。使用 Azure 门户将成员添加到测试安全组。删除测试安全组和测试用户帐户。
可选:动态组成员身份设置根据用户帐户属性自动将用户帐户添加到组
你已确定 Azure AD 动态组集并使用 Azure Active Directory 中基于属性的动态组成员身份中的说明来创建组和规则(用于确定用户帐户属性集和组成员身份值)。
如果忽略此选项,则随着添加新帐户或更改用户帐户属性,需要手动设置组成员身份。例如,如果某人从销售部门移动到会计部门,则必须:
如果销售和会计组是动态的,只需更改该用户帐户的部门值即可。
如果需要,可在步骤 6 中设置此选项。
测试操作
在具有 Azure 门户的 Azure AD 中创建测试动态组,并对名为“test1”的部门配置规则。在 Azure AD 中创建测试用户帐户并将部门属性设为“test1”。检查用户帐户属性,以确保其已成为测试动态组的成员。将测试用户帐户的部门属性值更改为“test2”。检查用户帐户属性,以确保其不再是测试动态组的成员。删除测试动态组和测试用户帐户。
可选:基于组的许可能够根据组成员身份自动分配和删除用户帐户的许可证
为相应 Azure AD 安全组启用基于组的许可,以便自动分配或删除适用于 Office 365 和 EMS 的许可证。
如果忽略此选项,则必须手动:
如果需要,可在步骤 6 中设置此选项。
测试操作
在具有 Azure 门户的 Azure AD 中创建测试安全组,并配置基于组的许可来分配 Office 365 和 EMS 许可证。在 Azure AD 中创建测试用户帐户并将其添加到测试安全组。在 Microsoft 365 管理中心中检查用户帐户的属性,确保其分配了 Office 365 和 EMS 许可证。从测试安全组删除测试用户帐户。检查用户帐户的属性,确保它不再分配有 Office 365 和 EMS 许可证。删除测试安全组和测试用户帐户。Windows 10 企业版退出条件(阶段 3)
逐个符合 Windows 10 企业版基础结构的以下必需条件和可选条件。
必需:已添加 Microsoft 365 域并已对其验证
Office 365 和 Intune 订阅的 Azure AD 租户是使用 Internet 域名(例如,contoso.com)配置的,而不是仅使用包含“onmicrosoft.com”的域名配置的。
如果不这样做,则会在身份验证方法中限制你可以进行的配置。例如,传递和联合身份验证无法使用“onmicrosoft.com”域名。
如果需要,可在步骤 1 中进行设置以满足此要求。
可选:已添加用户并已对其许可
已添加对应于用户的帐户(直接添加到 Office 365 和 Intune 订阅的 Azure AD 租户,或从本地 Active Directory 域服务 (AD DS) 中的目录同步)。
添加用户后,即可向其分配 Microsoft 365 企业版许可证(可直接分配为全局或用户管理员,或通过组成员身份自动分配)。
如果需要,可在步骤 1 中设置此选项。
可选:已启用诊断
已使用组策略、Microsoft Intune、注册表编辑器或命令提示符启用了诊断数据设置。
如果需要,可在步骤 1 中设置此选项。
需要就地升级:为操作系统部署创建 Configuration Manager 任务序列
若要对运行 Windows 7 或 Windows 8.1 的设备启动 Configuration Manager 任务序列以执行就地升级,必须完成以下设置:
完成以上设置后,即可对已准备好升级 Windows 的设备执行就地升级。为了发挥 Microsoft 365 企业版的最佳功能,请尽量将运行 Windows 7 和 Windows 8.1 的设备进行升级。
每个运行 Windows 10 企业版的设备都可以体验 Microsoft 365 企业版集成解决方案带来的优势。其他运行 Windows 7 或 Windows 8.1 的设备将无法使用 Windows 10 企业版的云连接技术和高级功能。
如果需要,可在步骤 2 中进行设置以满足此要求。
需要新设备:配置的 Windows Autopilot
若要使用 Windows Autopilot 对新设备部署和自定义 Windows 10 企业版,必须完成以下设置:
一旦 Windows Autopilot 配置准备就绪,即可使用它来为以下设备配置和自定义开箱即用 (OOBE) 的 Windows 10 企业版体验:
Windows Autopilot 配置设备并将其连接到 Azure AD。
如未安装 Windows Autopilot怎么在本地测试网站,则必须手动配置新设备,包括与 Azure AD 的连接。
如果需要,可在步骤 3 中进行设置以满足此要求。
可选:你正在使用 Windows Analytics 设备运行状况来监控基于 Windows 10 企业版的设备。
你将监视器中有关设备运行状况的信息与设备运行状况结合使用,以检测和修正影响最终用户的问题。快速解决最终用户的问题可减少你的支持成本,并可向用户展示 IT 部门对 Windows 10 企业版的承诺,以帮助推动整个组织使用 Windows 10 企业版。
如果需要,可在步骤 4 中设置此选项。
必需:你正在使用 Windows Defender 防病毒或正在使用你自己的反恶意软件解决方案
已部署 Windows Defender 防病毒或已部署你自己的防病毒解决方案怎么在本地测试网站,以保护运行 Windows 10 企业版的设备免受恶意软件的侵害。如果已部署 Windows Defender 防病毒,则已实施报告方法(例如,System Center Configuration Manager 或 Microsoft Intune),以监控防病毒事件和活动。
如果需要,可在步骤 5 中进行设置以满足此要求。
必需:你正在使用 Windows Defender 攻击防护
已部署 Windows Defender 攻击防护,以保护运行 Windows 10 企业版的设备免受入侵,并已实施报告方法(例如,System Center Configuration Manager 或 Microsoft Intune),以监控入侵事件和活动。
如果需要,可在步骤 5 中进行设置以满足此要求。
必需:你正在使用 Windows Defender 高级威胁防护(仅限 Microsoft 365 企业版 E5)
已部署 Windows Defender 高级威胁防护 (ATP),以针对运行 Windows 10 企业版的网络和设备检测、调查和响应高级威胁。
(可选)已将 Windows Defender ATP 与其他工具集成,以扩展其功能。
如果需要,可在步骤 5 中进行设置以满足此要求。
Office 365 专业增强版退出条件(阶段 4)
符合为 Microsoft 365 企业版评估、计划部署和部署 Office 365 专业增强版基础结构的要求。
移动设备管理的退出条件(阶段 5)
符合以下对移动设备管理基础结构的要求。
信息保护的退出条件(阶段 6)
逐个符合信息保护基础结构的以下必需条件和可选条件。
必需:为你的组织定义安全和信息保护级别
已计划并确定组织需要的安全级别。这些级别定义了最低安全级别,以及对敏感信息及其所需数据安全性提升保护的额外安全级别。
至少,当前需要使用三种安全级别:
如果需要,可在步骤 1 中进行设置以满足此要求。
必需:已配置增强的 Microsoft 365 安全性
你已配置 Office 365 增强安全性的以下设置:
你还已启用 SharePoint、OneDrive 和 Microsoft Teams 的 Office 365 高级威胁防护 (ATP)。
如果需要,请执行第 3 步,这样做有助于满足此要求。
可选:已在整个环境中配置分类
你已与法律和合规性团队合作,为组织数据管理和安全策略制定了适当的分类和标签方案。
这些策略对应于以下项的配置和部署:
如果需要,请执行第 2 步,这样做有助于满足此要求。
可选:在整个环境中部署 Windows 信息保护
你已注册 Windows 10 企业版设备,它们部署且应用了定义下列内容的 Intune 策略:
必要时请执行第 4 步,这样做有助于满足此要求。
可选:部署 Office 365 数据丢失防护 (DLP)
你分析、测试并随后推广了 DLP 策略集;该集中注明了位置和条件及操作规则,而且你的组织需要它来保护客户和其他类型的专用数据,并借此满足行业和区域性的法规和要求。
数据合规性和安全性员工正在使用 Office 365 安全与合规仪表板来监视 DLP 事件。
必要时请执行步骤 5,这样做有助于满足此要求。
可选:配置 Office 365 Privileged Access Management
你已使用在 Office 365 中配置特权访问管理主题中的信息来启用特权访问并在组织中创建一个或多个特权访问策略。 你已配置这些策略,且实时访问已启用,可访问敏感数据或关键配置设置。
必要时请执行步骤 6,这样做有助于满足此要求。
本文到此结束,希望对大家有所帮助!