Microsoft office вход в учетную запись 365. Вход в Office. Настройка учетных записей пользователей

• Tutorial

Всегда сложно с чего-то начинать. После долгих раздумий, я решил посвятить свою первую статью на Хабре теме, которой занимаюсь в данный момент - Office 365 во всех его проявлениях.

На сайте уже было несколько статей, описывающих те или иные компоненты данного сервиса. Писали и про и , но помимо практики не помешает немного теории. Конечно рассказать все невозможно, да и не интересно, но важные, на мой взгляд, моменты отметить стоит.

По своему опыту могу сказать, что аутентификации в Office 365 довольно сложная тема, за кажущейся простотой и очевидностью которой, зачастую, скрываются тонкие нюансы, знание которых позволяет более качественно развернуть систему и снизить время, требующееся на локализацию проблемы. Вот о таких нюансах я бы хотел сегодня поговорить.

В Office 365 существует три типа идентификаторов, используемых для аутентификации ваших пользователей в сервисах Exchange Online, Sharepoint Online, Lync Online и даже Office Pro Plus.

1. Microsoft Online ID - обычная учетная запись в Windows Azure Active Directory. Это аналог всем нам привычного Active Directory, но адаптированного для работы с «облачными» продуктами Microsoft (например, помимо Office 365, еще используется для MS Dynamics CRM Online). Пользователи создаются вручную при помощи портала администрирования или массово через CSV-файл.
2. Microsoft Online ID + DirSync - те же самые «облачные» пользователи, но представляют собой копию учетных записей из вашего AD, созданную при помощи утилиты Microsoft Directory Synchronization или сокращенно DirSync. Из локального AD переносятся почти все основные аттрибуты, но не переносятся пароли пользователей. Управление пользователями осуществляется частично череp AD, частично на портале.
3. Federated ID + DirSync - в основе системы все тот же принцип копирования учетных записей из вашего AD, с той лишь разницей, что для авторизации используется Active Directory Federation Service 2.0. Управление пользователями осуществляется через локальное AD.

Сравнение типов идентификаторов

Microsoft Online ID	Microsoft Online ID + DirSync	Federated ID + DirSync
Аудитория Малые организации без локальной службы Active Directory	Аудитория Средние организации с локальной службой Active Directory	Аудитория Крупные организации с локальной службой Active Directory
«За» Не требуются локальные серверы	«За» Локальное управление пользователями и группами Сценарии сосуществования	«За» Топология единого входа с корпоративными реквизитами Локальное управление идентификаторами Политика паролей контролируется локально Возможна двухфакторная аутентификация Сценарии сосуществования
«Против» Управление идентификаторами из облака	«Против» Невозможна топология единого входа Невозможна двухфакторная аутентификация Два набора реквизитов с разными политиками паролей Необходимо развертывание сервера	«Против» Необходимо развертывание сервера с высокой степенью доступности

На практике, чаще всего выбирают именно третий вариант т.к. это позволяет получить единообразие учетных записей и максимально упростить управление пользователями, сохраняя полный контроль над правами доступа и парольными политиками.

Если с первыми двумя вариантами в техническом плане все довольно очевидно, то при реализация аутентификации при помощи ADFS возникают сложности.

Прежде чем рассказать про механизм аутентификации, приведу реальную ситуацию из жизни: в компании 1000+ пользователей использовался Office 365 с аутентификацией через ADFS. В одно не очень прекрасное утро пользователи начали жаловаться, что их Outlook не может подключиться к почте, но при этом доступ к Outlook Web Access, SharePoint или Lync сохранился. Причина сбоя была в изменении политик сервера и, как следствие, падении службы ADFS Proxy. Для локализации данной проблемы было потрачено несколько часов, которые можно было сэкономить, понимая несколько простых вещей про аутентификацию в Office 365.

Итак, в Office 365 используется два основных механизма (их иногда еще называют профилями) аутентификации:

Пассивный механизм - применяется для авторизации в сервисах Office 365 при помощи браузера или службы единого входа.
Принцип работы данного механизма можно проиллюстрировать схемой:

1. Пользователь при помощи браузера или Lync-клиента запрашивает информацию у сервиса SharePoint Online, Exchange OWA или Lync-сервер и получает ответ с просьбой авторизоваться на платформе аутентификации (Authentication Platform)
2. Authentication Platform после получения запроса определяет, что используется федеративный идентификатор и требует предоставить User Source Id, подтверждающий валидность пользователя в локальном Active Directory), для чего перенаправляет запрос на URL ADFS сервера.
3. ADFS-сервер аутентифицирует пользователя в локальном AD и выдает ему подписанный User Source ID
4. Вооружившись своеобразным «паспортом» пользователь в очередной раз обращается к Authentication Platform, от которой на этот раз получает «облачное удостоверение» NET ID.
5. Данное удостоверение в дальнейшем используется для работы с сервисами

Активный механизм - используется для авторизации в сервисе электронной почты при помощи Outlook или при использовании протоколов ActiveSync, IMAP, POP3.
Схемой очень похожа на предыдущий вариант:


Принцип действия данного механизма авторизации повторяет все шаги, за исключением одной важной детали - пользователь пересылает сервису Exchange Online свои учетные данные в явном виде (естественно защищенные по протоколу HTTPS). Exchange Online, используя механизм имперсонализации, от имени пользователя проходит все дальнейшие этапы, включая общение с ADFS сервером и получение User Source ID.

Следовательно можно определить несколько ключевых моментов, на которые стоит обратить внимание - это DNS, сертификаты, публикация и отказоустойчивость.

DNS
При возникновении проблем, требуется всегда помнить, какой DNS-сервер используют пользователя в настоящий момент при авторизации на конкретном сервисе.

Сертификаты
Если все ваши пользователи находятся в корпоративной сети и используют для работы с Office 365 только браузер и Lync клиент, то можете забыть про этот пункт и смело использовать самоподписной сертификат вашего CA. Но как только у вас появляются внешние пользователи или вы хотите настроить ваш любимый телефон на получение корпоративной почты, потребуется валидный сертификат, выданные доверенным центром сертификации. В качестве best practice, еще на этапе перехода на Office 365, стоит сразу запланировать покупку если не wildcard, то хотя бы обычного с парой SAN, не надеясь, что у вас уникальная ситуация и внешние пользователи никогда не появятся.

Отказоустойчивость
Вроде бы самая очевидная вещь любой ИТ системы, на практике, оказывается самой болезненной. Обеспечение отказоустойчивости ADFS-сервера - важнейший и часто пропускаемый этап при настройке федеративной аутентификации. Повышение надежности ADFS вполне простая задача, заключающаяся в использовании либо стороннего NLB либо штатного Windows Load Balancer (WNLNB). Я понимаю, что говорю про очевидные вещи, но, к сожалению, многие администраторы не уделяют теме отказоустойчивости, пытаясь «когда-нибудь потом» доставить еще один сервер. Если не вдаваться в детали, на практике, отсутствие балансировки ADFS - самая распространенная причина проблем с Office 365.

Публикация
Как только в вашем сценарии использования Office 365 появляется Outlook или ActiveSync, встает вопрос о правильной публикации ADFS наружу. Для этого есть несколько возможностей:

• Выставить ADFS сервер наружу - самый плохой и небезопасный вариант, применяемый администраторами не от хорошей жизни.
• Развернуть ADFS Proxy - потребуется два дополнительных сервера и балансировка нагрузки между ними (опять же при помощи стороннего NLB или WNLB). Среди плюсов стоит отметить простоту в настройки и администрировании. Ломаться там почти нечему.
• Опубликовать через Forefront TMG/UAG - сложнее в настройке и поддержке, но намного функциональнее. Позволяет расширить функционал ADFS для внешних пользователей и реализовать более сложные сценарии авторизации Office 365. Некоторые администраторы умудряются использовать публикацию TMG и ADFS Proxy, что, в принципе, возможно, но таит в себе множество сложностей и нестабильностей, которые тяжело локализовать.
• Внешний Reverse Proxy - может быть любым решением/устройством, которое не модифицирует SAML запросы/ответы, например Citrix NetScaler или даже простой stunnel. С требованиями к reverse proxy можно ознакомиться

Office 365 для образования предоставляет учащимся, преподавателям и сотрудникам учебных заведений возможность бесплатно пользоваться электронной почтой, создавать веб-сайты, редактировать и хранить документы в Интернете, обмениваться мгновенными сообщениями, проводить веб-конференции, а также получать доступ к широкому набору сервисов для совместной работы.

Полный список всех возможностей Office 365 для образования приведен по ссылке .

В этой статье мы детально рассмотрим весь процесс регистрации вашего учебного заведения в Office 365, а также подключение его к бесплатному тарифному плану Office 365 для образования.

В рамках этого процесса на первом этапе, на 30 дней в режиме бесплатного доступа предоставляется версия с расширенным набором сервисов, - Office 365 для образования E5. По истечению 30 дней необходимо приобрести лицензии Office 365 для образования с нулевой ценой. Последовательность действий более подробно описана ниже.

1. Перейдите на сайт «Office 365 для образования» по ссылке.

2. На этой странице перейдите по ссылке «Руководителям учебных заведений и специалистам по ИТ: зарегистрируйте свое учреждение » и нажмите зеленую кнопку «Бесплатная пробная версия », чтобы перейти к форме регистрации.

У моей организации нет доступа к Office 365. Как мне получить его?

Для получения доступа к сервисам Office 365 для образовательных учреждений вам прежде всего необходимо завести тенант. Тенант – это ваша рабочая область Office 365, где вы можете работать с лицензиями, настраивать работу сервисов и т.д.

1. Перейдите на сайт «Office 365 для образовательных учреждений» по ссылке .

2. На открывшейся странице перейдите по ссылке «Бесплатная пробная версия» для перехода к форме регистрации.

3. Заполните все необходимые данные регистрационной формы латинскими буквами (Microsoft O365 Support)

Обратите внимание, что при заполнении данной формы вы получаете доступ к 30-дневной бесплатной версии тарифного плана E5 в Microsoft Office 365 для образования.

Тарифный план E5 не является бесплатным. После подтверждения вашей организации как учебной, вы получите возможность назначить бесплатные лицензии.

4. В разделе «Создание нового ИД пользователя» регистрационной формы введите необходимые данные.

Придумайте и введите в поле 1 (см. рисунок 6) идентификатор пользователя для доступа к сервисам Office 365.

Идентификатором пользователя может быть ваша фамилия и имя на латинице (например, fedorov_sergey или fedorovsv, и т.п.) или любое другое название, которое вы не забудете (например, «administrator», «adminOffice365» и т.п.).

В поле 2 (см. рисунок 6) нужно ввести уникальное значение, по которому ваше учебное заведение будет зарегистрировано в Office 365.

Например, если вы введете «myschool1254 », то ваш первоначальный адрес электронной почты будет заканчиваться на «@myschool1254 .onmicrosoft.com».

Если значение в поле 2 не уникально, система попросить изменить это значение.

Если все значения уникальны, то поле 3 (см. рисунок 6) система покажет ваш новый идентификатор пользователя.

Придумайте и введите в поле 4 (см.рисунок 6.) пароль для доступа к сервисам Office 365.

5. В следующем разделе вам необходимо подтвердить свой номер телефона.

Для этого свой номер телефона и выберите способ получения кода:

• Отправить текстовое сообщение
  На ваш мобильный телефон будет оправлено текстовое сообщение (SMS) с кодом подтверждения.

• Позвонить мне
  Система позвонит на указанный вами телефон и продиктует вам код подтверждения

После получения кода подтверждения впишите его в поле «Проверочный код».
Если смс-подтверждение не приходит, попробуйте указать другой номер телефона.

6. После завершения заполнения всех полей регистрационной формы и проверки номера телефона сохраните сведения и пароль.

В Office 365 будет создан раздел вашего учебного заведения.

7. Мастер настройки поможет вам провести проверку права на использование Microsoft Office 365 Образование.

Для получения доступа к тарифным планам Microsoft Office 365 для образования потребуется указать домен вашего учебного заведения и подтвердить владение им.

Домен (или доменное имя) - это идентификационные данные вашего учебного заведения (например, school1254.ru ) в Интернет. Оно может использоваться для веб-сайта вашей школы (например, www.school1254.ru) или адресов электронной почты преподавателей и школьников (например, [email protected]).

Если у вашего учебного заведения уже есть домен, то нажимайте кнопку «Добавить домен», чтобы выполнить проверку.

Если у вашего учебного заведения еще не куплен домен, то вы можете пропустить и сразу начать пользоваться пробной версией, вернуться в данное меню позже.
Если захотите приобрести домен, то нажимайте кнопку «Купить домен».

После приобретения домена вы сможете вернуться к этой проверке и подтвердить владение доменом для получения доступа тарифным планам Microsoft Office 365 Образование.

Для добавления нового домена зайдите по ссылке https://portal.office.com/ в Центр администрирования вашего Office 365 под вашим идентификатором пользователя (например, fedorodsv @myschool1254 .onmicrosoft.com).
Войдите во вкладку «Администратор»

Выберите пункт меню «Параметры», «Домены».

На странице «Домены» нажмите кнопку «Добавить домен».

Следуя инструкциям создайте проверочную запись у поставщика услуг размещения DNS.

После внесения необходимых изменений в DNS подождите не менее 15 минут, и нажмите кнопку “Запись добавлена”

8. Появится всплывающее окно, в котором вас попросят ввести URL-адрес веб-сайта вашей организации.

URL-адрес веб-сайта - это запись вида «www .ваш домен». В нашем примере URL-адрес будет «www.school1254.ru ».

После ввода URL-адреса нажмите кнопку «Продолжить».

Если система не смогла проверить ваш домен, вы увидите следующее сообщение.

В этом случае еще раз проверьте правильность внесения проверочных записей в DNS и повторите проверку позже.

9. В случае удачного прохождения проверки подтверждения права собственности на домен система проинформирует вас об этом следующим сообщением.

После развертывания тенанта Office 365 можно перейти к работе с учетными записями пользователей. В Office 365 вы можете создавать пользователей в облаке, а можете синхронизировать учетные записи пользователей с пользователями из вашей организации. Ниже приведен вариант, использующий базу персональных данных, необходимую для идентификации пользователей, размещенную локально на вашем сервере.

Тенант Office 365 развернут. Как мне синхронизировать учетные записи пользователей из моей службы каталогов?

Теперь нам нужно синхронизировать учетные записи пользователей из вашей организации с облаком Office 365. Для синхронизации учетных записей в вашей локальной базе персональных данных организации необходимо установить утилиту Azure AD connect.

Azure AD Connect - это средство для интеграции локальной системы удостоверений, например Windows Server Active Directory, с Office 365. Скачать ее можно по ссылке:
https://www.microsoft.com/en-us/download/details.aspx?id=47594

Обратите внимание, что для установки Azure AD connect требуется Windows Server 2012 R2 с внешним статическим IP-адресом.

После скачивания Azure AD Connect, выполните следующие шаги:

1. Войдите на сервер, на котором требуется установить Azure AD Connect, как локальный администратор. Это должен быть сервер, который вы хотите сделать сервером синхронизации.

2. Перейдите к файлу AzureADConnect.msi и дважды щелкните его.

3. На экране приветствия установите флажок, подтверждающий ваше согласие с условиями лицензионного соглашения, и нажмите кнопку Продолжить.

4. На экране «Стандартные параметры» щелкните Использовать стандартные параметры.

5. На экране "Подключение к Azure AD" введите имя пользователя и пароль учетной записи глобального администратора Office 365. Нажмите кнопку Далее.

6. На экране "Подключение к AD DS" введите имя пользователя и пароль учетной записи администратора предприятия. Нажмите кнопку Далее.

7. На экране "Все готово к настройке" нажмите кнопку Установить

8. При необходимости можно снять флажок "Запустить синхронизацию сразу после завершения настройки" на странице "Все готово к настройке". В этом случае мастер настроит синхронизацию, но задача будет отключена, пока вы не активируете ее вручную в планировщике задач. После активации задачи синхронизация будет выполняться каждые три часа.

9. После завершения установки нажмите кнопку Выход.

10. Убедитесь в отсутствии ошибок, и спустя некоторое время зайдите в ваш тенант, и убедитесь, что учетные записи пользователей появились в вашем тенанте.
Для этого надо зайти в вашу административную панель office 365.

Я хочу получить бесплатные лицензии Office 365 для образования. Как мне это сделать?

После настройки тенанта и подтверждения владения доменом система Office 365 автоматически сформирует и отправить запрос в команду поддержки Office 365 с просьбой проверить ваш домен на соответствие требованиям Майкрософт, предъявляемым к образовательным учреждениям.

Команда поддержки Office 365 течении 3-5 дней рассмотрит этот запрос и примет решение о том, имеет ли ваша организация право на использование тарифных планов Office 365 Образование.

По истечении периода проверки вы получите уведомление о принятом решении по электронной почте.

1. В Центре администрирования Office 365 перейдите в пункт меню «Выставление счетов» и в подменю Подписки. Выберите пункт “Добавить подписки”

1. Выберите тарифный план Office 365 для образования ‎(преподавательский» и нажмите «Добавить», чтобы добавьте необходимое количество лицензий плана Office 365 для образования ‎(преподавательский).
   После этого выберите тарифный план Office 365 для образования ‎(студенческий) и нажмите «Добавить», чтобы добавьте необходимое количество лицензий плана для студентов (в нашем случае «студенческий» следует понимать как для любых обучающихся вообще)

После добавления лицензии можно назначить пользователям.

Я хочу получить бесплатные лицензии Office 365 для Образования плюс, указанные в соглашении. Как мне это сделать?

Для получения лицензий вы должны иметь настроенный тенант с подтвержденным доменом.

Для ускорения процесса получения лицензий Office 365 Pro Plus для образовательных учреждений, отправьте список добавленных доменов по электронной почте на адрес [email protected] или партнеру, с которым заключено соглашение в рамках программы «Первая помощь» ("Соглашения") на право использования программного обеспечения Microsoft в учреждениях системы начального и среднего образования РФ

В письме необходимо указать номер соглашения и энроллмента, полное название организации заказчика, название при регистрации и домен.

После подтверждения и занесения в список (примерно неделя), нужно будет выполнить следующие действия (2 варианта):

Вариант 1.

Зарегистрировать/создать двух пользователей без лицензий: Преподавателя и Студента/Ученика

Заполнить данные Студента/Преподавателя

Выбираем для Студента – Студент, для Преподавателя -Преподаватель
Далее – далее, далее, далее …..

Все готово, выход.

Заходим обратно в Тенант - в подписках должны появиться лицензии ПЛЮС.

Вариант 2.

После подтверждения занесения в список (примерно неделя), необходимо будет сделать следующие действия (при необходимости воспользуйтесь помощью технического специалиста):

1. На машине с установленным Azure AD powershell module выполните следующие скрипты (в окне авторизации введите логин и пароль от тенанта):
   Import-Module MSOnline

Connect-MsolService

Set-MsolCompanySettings -AllowAdHocSubscriptions $true

Set-MsolCompanySettings -AllowEmailVerifiedUsers $true

1. Далее зайдите на сайт https://products.office.com/ru-ru/student/office-in-education?tab=teachers

и введите логин пользователя, который находится в вашем тенанте, создан в верифицированном домене и не имеет назначенных лицензий.
Выберите пункт “I’m a student”
Далее авторизуйтесь, используя логин и пароль введенной учетной записи и подождите окончания настройки.

После этого выйдите из используемой учетной записи и повторите эти действия для другой учетной записи, только выберите пункт “I’m a teacher”

Лицензии для студентов и преподавателей должны оказаться в вашем тенанте.

1. И последнее, запустите скрипты ниже, чтобы исключить возможность автоматического добавления лицензий пользователям:
   Import-Module MSOnline
   Connect-MsolService
   Set-MsolCompanySettings -AllowAdHocSubscriptions $false
   Set-MsolCompanySettings -AllowEmailVerifiedUsers $false

После этих действий лицензии появятся в тенанте и будут доступны для назначения. В случае возникновения любых проблем, связанных с данным процессом, вы можете обратиться за помощью на адрес [email protected] .

Обратите внимание, что эти лицензии включают в себя и Облачные сервисы, и приложения для установки на ваши устройства. При назначении лицензий Office 365 для образования плюс, необходимо либо полностью заменить лицензию Office 365 для образования, либо исключить из одной из лицензий повторяющиеся продукты.

Лицензии уже представлены в моем тенанте и пользователи синхронизированы. Как я могу назначить лицензии пользователям?

После подтверждения домена, как принадлежащего учебному заведению, синхронизации, и получению лицензий, мы можем назначить их пользователям.
Для этого перейдите в пункт «пользователи», «Активные пользователи» и выберите конкретного пользователя или нескольких.

В меню щелкните по кнопке «Изменить», «добавить…»

Повторите данную операцию для остальных пользователей.

Если у вас в организации большое количество пользователей, то можно воспользоваться консолью PowerShell для массового назначения лицензий: https://community.office365.com/ru-ru/w/sso/3293
После назначения лицензий, пользователи могут воспользоваться своей учетной записью Office 365. Для авторизации на портале офиса (www.portal.office.com) они могут воспользоваться своим логином и паролем организации.

В случае возникновения технических вопросов и проблем, обращайтесь по электронному адресу:

В продолжение цикла статей про Microsoft Office 365, рассмотрим основные моменты в управлении пользователями, предоставляемые порталом администрирования. В июне 2011 года фирма Microsoft, выпустила в продажу новый облачный продукт под названием Microsoft Office 365 в 40 мировых регионах. Данный программный продукт, представляет собой действительно новый качественный уровень набора бизнес-приложений под коммерческим названием Microsoft Office,

Представляя собой симбиоз набора стандартных приложений устанавливаемых на рабочей станции клиента и облачного сервиса Microsoft Online Services.

Сейчас когда, бета-тестирование закончено, доступ может быть только ограниченный к триальной версии продукта. В триальной версии все функциональные возможности доступны. Ограничено время использования 30 календарными днями. Итак, каким образом можно получить доступ к Microsoft Office 365? Инструкция предоставлена ниже.

Первое что нужно сделать – это подписаться на одно из предложений, доступное для региона в котором зарегистрирована ваша организация. Сделать данной действие можно на домашней странице (http://www.microsoft.com/ru-ru/office365/online-software.aspx ) Microsoft Office 365. После завершения подписки на предложение, на электронную почту, указанную в форме подписки, придет письмо, в котором будет имя пользователя и пароль (Microsoft Online Services ID или MOSID), а также ссылка на портал Microsoft Office 365. Учетная запись MOSID выглядит как электронная почта, строка вида <Администратор>@<домен организации>. onmicrosoft.com. Также в письме будет указан план подписки. О планах подписки будет рассказано в отдельной статье.

Итак, после получение письма об активации и MOSID, перейдите на портал администрирования Microsoft Office 365 (рисунок 1).

Рисунок 1. Портал администрирования Microsoft Office 365.

Чтобы перейти а задачам, связанным с администрированием пользователей в левой стороне портала, в секции «Управление» нажмите на ссылку «Пользователи» (рисунок 2).

Рисунок 2. Портал администрирования Microsoft Office 365 – администрирование пользователей.

Рисунок 2а. Массовое добавление пользователей.

Прежде чем добавить пользователя, можно подумать о том, что возможно есть возможность добавить пользователей всех сразу – кнопка «Массовое добавление пользователей» (рисунок 2). В таком случае составляется план миграции существующих пользователей, сведения о которых должны быть сформированы в текстовый файл. Более подробно план миграции будет рассмотрен в отдельной статье.

На открывшейся страничке «Пользователи», можно обратить внимание на то, что прежде чем перейти к администрированию, нужно ознакомиться с задачами, которые могут быть связаны, в данном случае с администрированием пользователей. К примеру, доступна информация по следующим задачам:

1. Единый вход, — организация единого входа на рабочей станции клиента Microsoft Office 365.

2. Синхронизация Active Directory, — задача синхронизации облачного сервиса с существующим окружением Active Directory.

3. Управление внешними контактами в Exchange Online, — способы администрирования в Exchange Online. Контакт, как частный случай.

Также, доступны задачи для администрирования самих учетных записей пользователей:

1. Создание.

2. Добавление пользователей.

3. Правка.

4. Сброс пароля.

5. Удаление.

6. Активация синхронизированных пользователей.

Итак, перейдите к созданию новой учетной записи пользователя. Для выполнения данного действия, последовательно нажмите на ссылки «Создать» — «Пользователь». Откроется страница мастера добавления «Нового пользователя» (рисунок 3).

Рисунок 3. Мастер «Новый пользователь» — страница свойств.

В открывшемся мастере «Новый пользователь», на странице свойств заполните обязательные поля «Отображаемое имя» и «Имя пользователя». Напротив имени пользователя, есть возможность выбора доменного имени, в случае множественных регистраций доменных имен в организации. Поля «Имя» и «Фамилия» могут быть оставлены не заполненными, их заполнение должно быть регламентировано локальными нормативными актами самой организации. Также, на данной странице есть возможность внести дополнительные сведения. Для выполнения данного действия, нажмите на кнопку «Дополнительные свойства» (рисунок 4)

Рисунок 4. Мастер «Новый пользователь» — страница дополнительных свойств.

В мастере «Новый пользователь», на странице дополнительных свойств, нет обязательных полей, их заполнение должно быть регламентировано локальными нормативными актами самой организации. Поля следующие: «Должность», «Отдел», «Номер офиса», «Рабочий телефон», «Мобильный телефон», «Номер факса», «Улица, дом», «Город», «Область, край», «Почтовый индекс», «Страна или регион». При заполнении таких данных, нужно помнить о том, что они попадают под закон о персональных данных и нужно предоставлять только те сведения, согласие на обработку которых пользователь должен подписать заранее с организацией. К примеру поле «Мобильный телефон», если он служебный то да, писать можно. Если же указывается личный, то нужно брать дополнительное соглашение.

Заполнив все необходимые по политике организации данные, нажмите кнопку «Далее», для продолжения работы мастера «Новый пользователь». Для отмены операции создания нового пользователя, нажмите на кнопку «Отмена» (рисунок 5).

Рисунок 5. Мастер «Новый пользователь» — страница назначения ролей.

На следующей странице мастера «Новый пользователь», на странице «Назначение роли», нужно определить, будут ли предоставляться пользователю расширенные права администратора. По умолчанию, права предоставляются только ограниченные. Для предоставления расширенных прав администратора, выберете «Да». В выпадающем списке доступных ролей, выберете соответствующую выполняемым должностным обязанностям пользователя (рисунок 6).

Рисунок 6. Мастер «Новый пользователь» — выбор роли.

Итак, нужно выбрать одну из предоставленных встроенных административных ролей (с официального сайта):

1. Администратор выставления счетов: совершает покупки, управляет подписками и запросами в службу поддержки, а также следит за работоспособностью служб.

2. Глобальный администратор: администратор верхнего уровня в организации. При регистрации для приобретения Office 365 вы становитесь глобальным администратором. Глобальные администраторы получают доступ ко всем компонентам в центре администрирования, и только они могут назначать другие роли администраторов. В организации может быть несколько глобальных администраторов.

3. Администратор паролей сбрасывает пароли, управляет запросами на обслуживание и следит за работоспособностью служб. Администраторы паролей могут сбрасывать пароли только для пользователей и других администраторов паролей.

4. Администратор служб: эта роль позволяет управлять запросами на обслуживание и следить за работоспособностью служб.

5. Администратор управления пользователями: сбрасывает пароли, следит за работоспособностью служб и управляет учетными записями пользователей, группами пользователей и запросами на обслуживание. Разрешения администраторов управления пользователями несколько ограничены. Например, они не могут удалять глобальных администраторов или создавать других администраторов. Кроме того, они не могут сбрасывать пароли для администраторов выставления счетов, глобальных администраторов и администраторов служб.

Выберете, к примеру, «Администратор служб» нажмите кнопку «Далее», для продолжения работы мастера «Новый пользователь». Для отмены операции создания нового пользователя, нажмите на кнопку «Отмена», для возвращения на предыдущую страницу нажмите кнопку «Назад» (рисунок 7).

Рисунок 7. Мастер «Новый пользователь» — страница назначения лицензий.

На следующей странице мастера «Новый пользователь», на странице «Назначение лицензий», предоставьте те лицензии, исходя из планов, доступных для подписки в организации. К примеру, в бета-версии были доступны 2 плана E3 и K2, а также архивация на базе Exchange Online. Краткая справка по данным планам:

1. Microsoft Office 365 Beta (план E3) – план для больших предприятий, предоставляются средства для взаимодействия и совместной работы с помощью набор приложений Office (включает в себя веб-приложения Office Web Apps).

2. Microsoft Office 365 Beta (план K2) – план для сотрудников организации у которых отсутствует выделенное рабочее место. Работа осуществляется с помощью веб-приложения Office Web Apps.

3. Архивация на базе Exchange Online – то же самое, что и план который используется в случае создания личного архив электронной почты для пользователей, у которых имеются почтовые ящики на сервере Exchange Server 2010.

Более подробно о планах лицензирования будет информация в последующих статьях блога.

Итак, из рисунка 7 видно, что пользователю можно назначить все возможности плана, а можно только частично. К примеру если учетная запись пользователя создается для задачи управления только сообщениями пользователя, нужно установить флажки напротив сервисов «Lync Online» и «Exchange Online». К каждому плану есть счетчик лицензий, поэтому если выбирается хоть один опцион плана, счетчик доступных лицензий в рамках плана уменьшается.

Итак, выберете необходимые для пользователя лицензии (а вообще хорошо если есть заявка от руководителя с указанием что нужно выбрать), нажмите кнопку «Далее», для продолжения работы мастера «Новый пользователь». Для отмены операции создания нового пользователя, нажмите на кнопку «Отмена» , для возвращения на предыдущую страницу нажмите кнопку «Назад» (рисунок 8).

Рисунок 8. Мастер «Новый пользователь» — страница отправки по электронной почте.

На четвертой странице мастера «Новый пользователь», на странице «Отправка результатов по электронной почте», нужно принять решение о том, будет ли временный пароль вновь создаваемой учетной записи пользователя отправлен администратору на почтовый ящик или нет. По умолчанию, данное действие производится автоматически, для отмены возможности снимите флажок «Отправить сообщение по электронной почте». Нужно заметить то, что пароль будет отправлен в открытом виде, поэтому рекомендуется в короткие сроки сменить пароль, в случае, если при доступе у ящику, электронной почты администратор не применяет средства защиты.

На данной странице также есть возможность указать почтовый ящик администратора пользователей, которому будет делегирована задача доведения временного пароля до конечного пользователя.

Продолжение статьи будет описаны последующие операции с учетными записями пользователя.

1. Назначение ролей администратора

В платформе Office 365 предусмотрен модуль PowerShell, с помощью которого можно настраивать учетные записи пользователей и управлять ними. PowerShell позволяет автоматизировать многие процессы. В любом случае, функциональность PowerShell будет зависеть от типа развертывания, который Вы используете.

Допустим, сейчас Вы используете командлеты Active Directory Quest , модуль Active Directory PowerShell или даже ADSI для автоматизации настройки учетных записей пользователей локально. При миграции в облачные сервисы Office 365 этот процесс Вы можете, как изменить, так и оставить без изменений. Например, Вы хотите настроить единый вход в систему, или развернуть гибридную версию Exchange. В этом случае Вы можете, как и прежде, настраивать локальные учетные записи пользователей на сервере, в последующем они автоматически синхронизируются с облаком посредством DirSync .

Если Вы не планируете использовать DirSync , то в данном случае автоматизировать лицензирование пользователей Вы можете при помощи модуля Microsoft Online Services для Windows PowerShell .

Установка Microsoft Online Services Module

Прежде чем загрузить и установить модуль Microsoft Online Services для PowerShell , ознакомьтесь с требованиями:

• Операционная система: Windows 7 ,Windows Server 2008 R2
• .NET Framework не ниже версии 3.5.1
• Microsoft Online Services Sign-In Assistant -регистрирует в портале Office 365 и облачных службах.
• Необходимо также установить и сконфигурировать настольные приложения Office (внизу экрана выберите опцию «Установить и сконфигурировать Office desktop apps)

Когда все требования выполнены, то можете приступать к загрузке и установке модуля. Актуальная версия модуля всегда доступна на следующих ресурсах:

Установка соединения

Если при установке модуля Вы не изменяли опции по умолчанию, то на рабочем столе появится ярлык Microsoft Online Services Module for Windows PowerShell . Начать работу Вы можете, используя этот ярлык. Так же можно вручную импортировать модуль в стандартную консоль PowerShell, используя командлет Import-Module MSOnline .

Как только модуль импортирован, можно устанавливать соединение со своим тенантом Office 365 и начинать работу с учетными записями.

Во-первых, необходимо создать учетный объект, используя командлет Get-Credential , в котором сохраняться учетные данные администатора тенанта Office 365 (создается объект PSCredential):

PS> Connect-MsolService -Credential $cred

После завершения команды будет установлено соединение с тенантом Office 365.

Просмотр лицензий

После установки соединения Вы можете просмотреть текущую конфигурацию лицензирования, используя командлет Get-MsolAccountSku , который возвращает все SKU принадлежащие организации. Вы получите детальную информацию по лицензированию, узнаете сколько лицензий используется, сколько доступно всего:

Если Вам необходимо будет затребовать лицензии пользователей, которые были созданы из оболочки или были синхронизированы с DirSync , необходимо будет знать номер SKU учетной записи в формате tenant:SkuPartNumber . Например, на рисунке выше: в системе прошла регистрация учетной записи подписки ENTERPRISE, имя тенанта – uclabs, используется 5 из 25 доступных лицензий.

Настройка учетных записей пользователей

Для создания новой учетной записи пользователя используем командлет New-MsolUser . Давайте для примера создадим пошагово учетную запись пользователя и присвоим лицензии в процессе настройки:

DisplayName "Steve Johnson" `

FirstName Steve `

LastName Johnson `

LicenseAssignment uclabs:ENTERPRISEPACK `

UsageLocation US

Заметьте, что параметр –Password не использовался для присвоения начального пароля. В таком случае учетной записи присваивается случайный пароль:

Вы можете вручную изменить пароль, используя параметр –Password :

На рисунке Вы видите, что присваиваемый первоначально случайный пароль не безопасный. Потребуется замена паролей учетных записей на более сильные, которые отвечают следующим требованиям:

• Пароль должен содержать как прописные буквы, так и буквы нижнего регистра.
• Пароль должен содержать как минимум один символ, не относящийся ни к буквенному, ни к цифровому регистру.
• Нельзя устанавливать пароль аналогичный имени пользователя.
• Нельзя использовать пробелы, разрывы.

Если Вы не хотите придерживаться таких требований, то можете прописать:

StrongPasswordRequired в $false (параметр доступен с командлетом New-MsolUser ) или отключить требования к паролю в командлете Set-MsolUser .

Выборочное лицензирование

Лицензии Office 365 могут содержать подмножество подписок. Например, на рисунке Вы видите настройки лицензирования в Microsoft Online Services Portal для пользователя с лицензией плана E3 - на экран выводятся все доступные подписки:

Вы можете отключать при лицензировании определенные подписки, выбирать лишь необходимые, но для этого необходима информация о доступных подписках. В приведенном примере мы видим детально план EnterprisePack sku, который возвращает командлет Get-MsolAccountSku :

Get-MsolAccountSku | Where-Object {$_.SkuPartNumber -eq "ENTERPRISEPACK"} |

ForEach-Object {$_.ServiceStatus}

Не совсем очевидные на первый взгляд результаты. Вот что подразумевается:

• OFFICESUBSCRIPTION – Office Professional Plus
• MCOSTANDARD – Lync Online
• SHAREPOINTWAC – Microsoft Office Web Apps
• SHAREPOINTENTERPRISE – SharePoint Online
• EXCHANGE_S_ENTERPRISE – Exchange Online

Теперь, когда мы получили необходимую информацию по подписке, можем выборочно присвоить лицензии пользователям. Например, созданную нами ранее запись мы можем изменить таким образом, чтобы пользователю были присвоены только лицензии Office Professional Plus и Exchange Online. Чтобы это сделать создаем объект параметров лицензирования, используя командлет New-MsoLicenseOptions . При выполнении данной команды мы определяем SKU учетной записи, который в нашем примере был бы tenant:ENTERPRISEPACK , затем мы отключаем определенные планы. Так же мы можем отключить подписки, используя параметр DisabledPlans :

PS> $options = New-MsolLicenseOptions -AccountSkuId uclabs:ENTERPRISEPACK `

DisabledPlans MCOSTANDARD,SHAREPOINTWAC,SHAREPOINTENTERPRISE

В следующем примере объект параметров лицензирования LicenseOption сохранен с переменной $options , которой может быть присвоено необходимое значение при изменении учетной записи:

LicenseOptions $options

Присвоить значение переменной $options объекту параметров лицензирования можно на этапе создания учетной записи:

DisplayName "Joe Neilsen" -FirstName Joe `

LastName Neilsen -LicenseAssignment uclabs:ENTERPRISEPACK `

LicenseOptions $options -UsageLocation US

Напомним, что управлять службой Exchange Online также можно через удаленную среду Exchange PowerShell , но если Вы присваиваете лицензию Microsoft Online Services Module для Powershell , то почтовый ящик включается автоматически.

Многократное лицензирование

В некоторых ситуациях есть необходимость многократно повторять процесс присвоения лицензии для учетных записей. Это особенно актуально, если Вы будете использовать DirSync для синхронизации локальных учетных записей пользователей с облаком - в конечном счете, каждому пользователю должна быть присвоена лицензия. В этом случае воспользуйтесь командлетом Get-MsolUser , который определит, какие пользователи в настоящее время не лицензированы (параметр UnlicensedUsersOnly ):

Делаем выборку всех нелицензированных пользователей и передаем эти объекты по каналу вниз к командлету Set-MsolUserLicense , а затем присваиваем лицензии учетным записям.

В первую очередь, все же удостоверьтесь, что для учетных записей прописан регион использования. Вот пример, в котором регион использования для всех нелицензированных учетных записей – США:

Get-MsolUser -UnlicensedUsersOnly | Set-MsolUser -UsageLocation us

Теперь лицензируем этих пользователей:

Get-MsolUser -UnlicensedUsersOnly |

Set-MsolUserLicense -AddLicenses uclabs:ENTERPRISEPACK

Дополнительно можете использовать объект параметров лицензирования LicenseOptions , если есть необходимость выборочно подключить подписки пользователям.

Настройка учетных записей из файлов CSV

Создать учетные записи в веб-портале можно используя файл CSV - это позволяет присваивать множество лицензий сразу. Работает это нас самом деле отлично. Вот как это выглядит:

Как видите, значения в столбцах соответствуют параметрам, которые мы ранее прописывали в командлете New-MsolUse r. Фактически, мы производим CSV импорт командлетов: файл считывается в оболочку, создаются и лицензируются учетные записи в Office 365. Посмотрим на код сценария:

LicenseAssignment "uclabs:ENTERPRISEPACK" `

UsageLocation US

Единственная проблема в этом сценарии состоит в том, что если код будет выполняться вот в таком виде, то для каждого пользователя будет сгенерирован случайный пароль, и мы эту информацию не получим. Но при помощи небольших изменений в сценарии мы настроим передачу информации по каналу к специальному файлу и, таким образом, задокументируем пароли для недавно создаваемых учетных записей:

Import-Csv -Path c:\users.csv | ForEach-Object {

New-MsolUser -FirstName $_.FirstName -LastName $_.LastName `

UserPrincipalName $_.UserPrincipalName `

DisplayName "$($_.FirstName) $($_.LastName)" `

LicenseAssignment "uclabs:ENTERPRISEPACK" -UsageLocation US

} | Export-Csv -Path c:\provisioned_users.csv –NoTypeInformation

Как видите, мы добавили команду Export-CSV в конце сценария, что позволит нам сохранять информацию об учетных записях, в том числе и первоначальные пароли. Используя эту информацию мы можем изменять пароли конечным пользователям.

И это не единственный способ. Также можно добавить к первоначальному файлу CSV дополнительный столбец, который будет содержать новое значение пароля. В результате, его можно будет присвоить непосредственно во время процесса настройки.