A – Kịch Bản:
Giới thiệu chung:
Tiếp bước theo nội dung trên kịch bản được xây dựng tại Công ty GOG, nhóm nghiên cứu phát triển và ứng dụng triển khai Microsoft 365, tiếp tục hoàn thiện các bước kỹ thuật về việc khởi tạo các tài khoản và nhóm làm việc trên Microsoft 365. Bên cạnh, tùy thuộc vào vai trò và nhiệm vụ của từng đối tượng người dùng trong hệ thống được cấp phép Giấy phép sử dụng sau cho phù hợp và tối ưu chi phí.
Nội dung chi tiết:
Để triển khai gói sản phẩm Microsoft 365 E5 cho doanh nghiệp bạn cần thực hiện các công việc sau:
- Tạo người dùng và giấy phép
- Tạo và quản lý nhóm
- Cấu hình quản trị viên được ủy quyền
- Quản lý chính sách mật khẩu Microsoft 365
- Quản lý người dùng và nhóm ủy quyền quản lý sử dụng Windows PowerShell
B – Chuẩn Bị
LAB365-VN-DC1: Windows Server 2019
- Trình duyệt web: Microsoft Edge
Tên miền: thuê một tên miền trên Internet bất kỳ
Trong bài hướng dẫn này sẽ sử dụng tên miền: pomonasyrup.com
C – Thực hành:
Bài thực hành gồm các nội dung sau:
- Tạo người dùng và giấy phép Microsoft 365 Admin Center
- Tạo và quản lý nhóm Microsoft 365 Admin Center
- Cấu hình quản trị viên được ủy quyền Microsoft 365 Admin Center
- Quản lý chính sách mật khẩu Microsoft 365
- Quản lý người dùng và nhóm ủy quyền quản lý sử dụng Windows PowerShell
Phần 1 – Tạo người dùng và giấy phép
1. Trở lại màn hình Microsoft 365 Admin Center, menu trái chọn Users, và chọn Active Users
2. Màn hình Active Users, chọn Add a User
3. Cửa sổ Set up the basics, khai báo các thông tin gồm: First Name, Last Name, Displayname, username: [email protected], bỏ chọn các checkbox, nhập password, chọn Next
4. Màn hình Assign product licenses, chọn
- Select location: Việt Nam
- Chọn option: Assign user a product license
- Check vào Microsoft 365 E5 Developer
Chọn Next
5. Màn hình Optional settings, chọn option Admin center Access và check vào Global Administrator, chọn Next và sau đó chọn Finish Adding
6. Tương tự bạn tạo thêm 4 tài khoản như nội dung bên dưới:
Phần 2 – Tạo và quản lý nhóm
A. Tạo Microsoft 365 Group
1. Sử dụng tài khoản [email protected] tạo ở Phần 1 truy cập vào trang:
2. Tại màn hình Microsoft 365 Admin Center, menu trái chọn Teams & Groups chọn Active teams and groups, tại tab Team & Microsoft 365 Groups, chọn Add a Microsoft 365 Group
3. Màn hình Choose a group type chọn option Microsoft 365 Group, chọn Next:
- Name: Microsoft365_Group, chọn Next
- Ấn Assign owners chọn admin1@pomonasyrup.com chọn Next
- Ấn Add members, check chọn IT1@pomonasyrup.com ấn Add chọn Next
- Group email address: Microsoft365_Group@pomonasyrup.com
- Privacy: chọn Private
Chọn Create Group, và chọn Close
B. Tạo Distribution Group
1. Tại màn hình Microsoft 365 Admin Center, menu trái chọn Teams & Groups và chọn Active teams and groups, tại tab Distribution List ấn Add a Distribution List
2. Màn hình Choose a group type chọn option Distribution, chọn Next:
- Name: Distribution_Group > Next
- Group email address: Distribution_Group@pomonasyrup.com
Check vào Allow people outside…Chọn Create Group > Close
3. Màn hình Groups, chọn Distribution_Group vừa tạo
4. Màn hình Distribution_Group chọn tab Members, chọn View all and manage members
5. Chọn Add members, check chọn [email protected] > Save > Close (2 lần)
6. Màn hình Distribution_Group, chọn tab Settings, tìm hiểu các checkbox
C. Tạo Mail-Enabled Security Group
1. Tại màn hình Microsoft 365 Admin Center, menu trái chọn Teams & Groups > Active teams and groups, tại tab Security groups Chọn Add a Mail-enabled security group
2. Màn hình Choose a group type chọn option Mail-enabled Security, chọn Next:
- Name: Mail_enabled_Security_Group
- Group email address: [email protected]
- Check vào Allow people outside… chọn Next
Chọn Create Group > Close
3. Màn hình Groups, chọn Mail_enabled_Security_Group vừa tạo
4. Màn hình Mail_enabled_Security_Group chọn tab Members, chọn View all and manage members
5. Ấn Add members, check chọn IT3@customdomain > Add > Close
6. Màn hình Mail_enabled_Security_Group, chọn tab Settings, tìm hiểu các checkbox
D. Tạo Security Group
1. Tại màn hình Microsoft 365 Admin Center, menu trái chọn Teams & Groups chọn Active teams and groups, tại tab Security groups chọn Add a security Group
2. Màn hình Choose a group type chọn option Security, chọn next:
- Name: Security_Group
- Chọn Create Group > Close
3. Màn hình Groups, chọn Security_Group vừa tạo
4. Màn hình Security_Group chọn tab Members, chọn View all and manage members
5. Ấn Add members, check chọn [email protected] chọn Add > Close
6. Phân biệt sự khác nhau và giống nhau các group bạn đã tạo
Phần 3 – Cấu hình quản trị viên được ủy quyền
1. Sử dụng tài khoản [email protected]. Truy cập vào trang :
https://admin.microsoft.com
2. Menu trái chọn Users, chọn Active users, chọn user IT1
3. Tại của sổ IT1, chọn tab Account, trong phần Roles chọn Manage Roles
4. Màn hình Manage Roles chọn option Admin Center Access và chọn Show all by category
5. Tìm và check vào Billing Administrator ấn Save Change đóng cửa sổ IT1
6. Tượng tự thực hiện lại từ bước 2 đến bước 5 ủy quyền Helpdesk Administrator cho IT2
Phần 4 – Quản lý chính sách mật khẩu Microsoft 365
1. Vào Microsoft Edge, truy cập vào trang
2. Đăng nhập bằng user [email protected]
3. Tại màn hình Microsoft 365 admin center menu trái chọn Settings chọn Org Settings và chọn tabs Security & privacy
4. Tại tabs Security & privacy chọn Password expiration policy
5. Cửa sổ Password expiration policy, bỏ checkbox Set passwords to never expire
6. Trong phần Days before passwords expire nhập 45
7. Chọn Save
8. Nếu không sử dụng chính sách Password expiration policy, check vào Set passwords to never expire > Save
Phần 5 – Quản lý người dùng và nhóm ủy quyền quản lý sử dụng Windows PowerShell
A. Cài Đặt Công Cụ Microsoft Azure Active Directory
1. Tại máy Windows Server 2019, Vào start gõ powershell, phải chuột vào windows powershell chọn run as administrator
2. Tại Windows PowerShell thực hiện lệnh sau và Ấn Y 2 lần khi có yêu cầu:
Install-Module MSOnline
[Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12
(chỉ thực hiện lệnh này nếu Install-Module MSOnline bị lỗi)
Install-Module AzureAD
3. Hoàn tất cài Microsoft Azure Active Directory Module for Windows PowerShell
B. Tạo mới users và gán licenses dùng Windows PowerShell
1.Vào start gõ powershell, phải chuột vào windows powershell chọn run as administrator
2. Tại Windows PowerShell thực hiện lệnh sau:
Connect-MsolService
3. Màn hình logon xuất hiện, Đăng nhập bằng user [email protected]
4. Tại Windows PowerShell thực hiện lệnh sau để tạo user [email protected], với custom domain là tên domain bạn đã add vào (thay pomonasyrup.com bằng custom domain của bạn)
New-MsolUser -UserPrincipalName [email protected] -DisplayName “IT5” -FirstName “IT5” -LastName “User” -Password Pa55w.rd -ForceChangePassword $false -UsageLocation “VN”
5. Tiếp tục dùng lệnh sau để tạo IT6@pomonasyrup.com (thay pomonasyrup.com bằng custom domain của bạn)
New-MsolUser -UserPrincipalName [email protected] -DisplayName “IT6” -FirstName “IT6” -LastName “User” -Password Pa55w.rd -ForceChangePassword $false -UsageLocation “VN”
6. Để xác định user nào chưa có licensed, thực hiện lệnh sau:
Get-MsolUser -UnlicensedUsersOnly
7. Để xác định tên của licensed, thực hiện lệnh sau:
Get-MgSubscribedSku
8. Cấp license cho user [email protected] thực hiện lệnh:
Set-MgUserLicense -UserId [email protected] -AddLicenses @{SkuId = ‘c42b9cae-ea4f-4ab7-9717-81576235ccac’} -RemoveLicenses @()
9. Cấp license cho user [email protected] thực hiện lệnh:
Set-MgUserLicense -UserId [email protected] -AddLicenses @{SkuId = ‘c42b9cae-ea4f-4ab7-9717-81576235ccac’} -RemoveLicenses @()
C. Tạo mới hàng loạt users và gán licenses dùng Windows PowerShell
Với số lượng tài khoản lớn như 500 user thì việc tạo tài khoản và gán giấy phép sử dụng có thể thực hiện bằng công cụ PowerShell nhằm tránh phát sinh các lỗi trong quá trinh thao tác và rút ngắn thời gian thực hiện.
1. Tạo một tệp CSV với các tiêu đề sau: UserPrincipalName,FirstName ,LastName ,DisplayName ,UsageLocation ,MailNickname ,Department và JobTitle. Sau đó, lưu lại và ghi nhớ vị trí của tệp CSV đã tạo
2. Sau khi hoàn thành tạo tệp CSV,có thể sử dụng đoạn lệnh PowerShell dưới đây để tạo hàng loạt người dùng mới :
$users = Import-Csv -Path “D:\user.csv”
$PasswordProfile = @{
Password = ‘Pa55w.rd’
forceChangePasswordNextSignIn = $true
}
foreach ($user in $users) {
$newUser = New-MgUser -DisplayName $user.DisplayName -GivenName $user.FirstName -Surname $user.LastName -UserPrincipalName $user.UserPrincipalName -UsageLocation $user.UsageLocation -MailNickname $user.MailNickname -Department $user.Department -JobTitle $user.JobTitle -PasswordProfile $passwordProfile -AccountEnabled
$e5Sku = Get-MgSubscribedSku -All | Where SkuPartNumber -eq ‘DEVELOPERPACK_E5’
Set-MgUserLicense -UserId $newUser.Id -AddLicenses @{SkuId = ‘c42b9cae-ea4f-4ab7-9717-81576235ccac’} -RemoveLicenses @()
}
Lưu ý : Để tạo hàng loạt người dùng trong Microsoft 365 bằng PowerShell, một số thuộc tính nhất định như DisplayName, UPN, MailNickName, Mật khẩu và AccountEnabled là bắt buộc.
Mật khẩu phải tuân thủ các tiêu chí cụ thể: Mật khẩu phải dài từ 8 đến 16 ký tự và bao gồm kết hợp các mẫ chữ cái thường, chữ in hoa, số và ký tự đặt biệt.
D. Ủy Quyền Quản Lý Dùng Windows PowerShell
1. Vào Powershell bằng run as administrator, thực hiện lệnh sau để kết nối vào Microsoft 365 bằng user [email protected]
Connect-MsolService
Set-ExecutionPolicy unrestricted
2. Dùng lệnh sau để xem các Role name
Get-MsolRole | Sort Name | Select Name,Description
3. Thực hiện lệnh sau để ủy quyền Service Support Administrator cho [email protected] (thay pomonasyrup.com bằng domain của bạn)
Add-MsolRoleMember -RoleName “Service Support Administrator” -RoleMemberEmailAddress [email protected]
4. Thực hiện lệnh sau để ủy quyền User Administrator cho IT4@customdomain
Add-MsolRoleMember -RoleName “User Administrator” -RoleMemberEmailAddress [email protected]
5. Thực hiện lệnh sau để gán biến $role=”Service Support Administrator”
$role = Get-MsolRole -RoleName “Service Support Administrator”
6. Thực hiện lệnh sau để xem các user có quyền Service Support Administrator
Get-MsolRoleMember -RoleObjectId $role.ObjectId
7. Thực hiện lệnh sau để gán biến $role=”Billing Administrator”
$role = Get-MsolRole -RoleName “Billing Administrator”
8. Thực hiện lệnh sau để xem các user có quyền Billing Administrator
Get-MsolRoleMember -RoleObjectId $role.ObjectId
9. Thực hiện lệnh sau để gán biến $role=”Company Administrator”
$role = Get-MsolRole -RoleName “Company Administrator”
10. Thực hiện lệnh sau để xem các user có quyền Company Administrator
Get-MsolRoleMember -RoleObjectId $role.ObjectId
11. Đóng windows powerShell
E. Xóa và Phục Hồi User bằng PowerShell
1. Không cho IT5 logon thực hiện lệnh:
Set-MsolUser -UserPrincipalName [email protected] -BlockCredential $true
2. Xóa IT5 thực hiện lệnh sau:
Remove-MsolUser -UserPrincipalName [email protected] -Force
3. Xem user đã xóa thực hiện lệnh:
Get-MsolUser -ReturnDeletedUsers
4. Kiểm tra IT5 có trong deleted users. (Lưu ý IT5 vẫn còn licensed)
5. Phục hồi user thực hiện lệnh:
Restore-MsolUser -UserPrincipalName[email protected]
6. Xem lại user trong deleted users thực hiện lệnh: (User IT5 không còn trong deleted users)
Get-MsolUser -ReturnDeletedUsers
7. Xem user đang active thực hiện lệnh:
Get-MsolUser
8. Kiểm tra user đang bị block (không thể logon)
Get-MsolUser | Select DisplayName,BlockCredential
9. Cho phép User Logon thực hiện câu lệnh sau:
Set-MsolUser -UserPrincipalName [email protected] -BlockCredential $false
10. Đổi password của IT5 sử dụng câu dùng lệnh:
Set-MsolUserPassword -UserPrincipalName [email protected] -NewPassword Pa55w.rd
Tạo Security Group bằng PowerShell
1. Tại PowerShell thực hiện lệnh sau để tạo Group Marketing: (ghi nhớ ObjectID của Group này)
New-MsolGroup -DisplayName “Marketing” -Description “Marketing department users”
2. Dùng lệnh sau để xem ObjectID của IT5 và IT6 (Ghi nhớ ObjectID của 2 user này)
Get-MsolUser | Select DisplayName , Objectid
3. Dùng câu lệnh sau để thêm tài khoản IT5 là thành viên Group Marketing (thay Group ObjectID bằng ID bạn ghi nhớ ở bước 1, và User ObjectID bằng ID của IT5 bạn ghi nhớ ở bước 2)
Add-MsolGroupMember -GroupObjectId <Group ObjectID> -GroupMemberType User -GroupMemberObjectId <User ObjectID>
4. Tương tự thêm tài khoản IT6 là thành viên Group Marketing (thay Group ObjectID bằng bằng ID bạn ghi nhớ ở bước 1, và User ObjectID bằng ID của IT6 bạn ghi nhớ ở bước 2)
Add-MsolGroupMember -GroupObjectId <Group ObjectID> -GroupMemberType User -GroupMemberObjectId <User ObjectID>
5. Dùng lệnh sau để xem các thành viên của Group Marketing (thay Group ObjectID bằng bằng ID bạn ghi nhớ ở bước 1)
Get-MsolGroupMember -GroupObjectId <Group ObjectID>
Tạo Microsoft 365 Group bằng PowerShell
1. Tại PowerShell thực hiện các lệnh sau để kết nối đến Exchange Online Powershell session:
Install-Module ExchangeOnlineManagement (ấn Y khi có yêu cầu)
Import-Module ExchangeOnlineManagement
2. Đóng và mở lại PowerShell, đăng nhập bằng tài khoản [email protected]
Connect-ExchangeOnline
3. Dùng lệnh sau để tạo Microsoft 365 Group
New-UnifiedGroup -DisplayName “Engineering Department” -Alias Engineering
4. Dùng lệnh sau để xem lai Microsoft 365 group vừa tạo:
Get-UnifiedGroup
5. Dùng lệnh sau để add IT6, và admin1 là member của Group
Add-UnifiedGroupLinks -Identity “engineering” -LinkType Members -Links IT6,admin1
6.Dùng lệnh sau để gán user admin1 là Owner của Group
Add-UnifiedGroupLinks -Identity “engineering” -LinkType Owners -Links admin1
7. Dùng lệnh sau để xóa Group vừa tạo: (ấn Y khi có yêu cầu)
Remove-UnifiedGroup -Identity “Engineering Department”
Tạo Dynamic Microsoft 365 Group bằng PowerShell
Dynamic Microsoft 365 Group giống như Microsoft 365 Group nhưng với thành viên động và cần tạo một chính sách để xác định thành viên.Điều này có nghĩa là không thể thêm hoặc xóa thành viên bằng tay. Thành viên nhóm sẽ tự động thay đổi khi có người dùng được thêm vào hoặc xóa khỏi chính sách.
Để chỉ định một Dynamic Microsoft 365 Group,phải sử dụng thêm ba tham số so với Microsoft 365 Group :
- Tham số -GroupTypes với các giá trị @(“Unified”, DynamicMembership) xác nhận là Dynamic Microsoft 365 Group
- Tham số -MembershipRule, chỉ định các thành viên theo chính sách. Trong ví dụ, sẽ thêm tất cả người dùng từ phòng ban IT, vì vậy cần sử dụng cú pháp (user.department -eq “IT”).
- Tham số -MembershipRuleProcessingState với giá trị On.
1. Chạy lệnh PowerShell bên dưới để tạo Microsoft 365 Group với chính sách thành viên Dynamic:
New-MgGroup -DisplayName “Microsoft 365 Dynamic Group” -MailEnabled:$true -MailNickName “MS365Dynamic” -SecurityEnabled:$true -GroupTypes “DynamicMembership”, “Unified” -MembershipRule “(user.department -eq “”IT””)” -MembershipRuleProcessingState On
2. Tại PowerShell thực hiện lệnh sau để kết nối vào Azure Active Directory:
(Đăng nhập bằng user [email protected])
Connect-AzureAD
3. Dùng lệnh sau để xem thành viên của Dynamic Microsoft 365 Group theo chính sách (thay ObjectID bằng ID của group đã tạo ở bước 1)
Get-AzureADGroupMember -ObjectId “<Id>”
Phục Hồi Microsoft 365 Group Đã Xóa
1. Tại PowerShell thực hiện lệnh sau để kết nối vào Azure Active Directory:
(Đăng nhập bằng user [email protected])
Connect-AzureAD
2. Dùng lệnh sau để xem Microsoft 365 Group đã xóa: (ghi nhớ ObjectID của Office 365 group cần phục hồi)
Get-AzureADMSDeletedGroup
3. Dùng lệnh sau để phục hồi lại Microsoft 365 Group đă xóa (thay ObjectID bằng ID bạn ghi nhớ ở bước 2)
Restore-AzureADMSDeletedDirectoryObject -Id <objectId>
4. Dùng lệnh sau để xem lại Microsoft 365 Group đã được phục hồi
Get-AzureADGroup
(Lưu ý bạn chỉ có thể Restore Microsoft 365 Group, còn các loại Group Khác không thể Restore)
- Phan Hoàng Thái (Tech Expert)
- Trần Trung Hiếu MCT (Trainer Microsoft)