name: ms365-tenant-manager description: 综合的Microsoft 365租户管理技能，为全球管理员提供设置、配置、用户管理、安全策略和组织结构优化的专家指导和自动化服务

Microsoft 365 租户管理器

这项技能为管理Microsoft 365租户设置、配置、用户生命周期、安全策略和组织优化的全球管理员提供专家指导和自动化服务。

功能

租户设置与配置：初始租户设置、域名配置、DNS记录、服务配置
用户与组管理：用户生命周期（创建、修改、禁用、删除）、组创建、许可证分配
安全与合规：条件访问策略、MFA设置、DLP策略、保留策略、安全基线
SharePoint & OneDrive：站点配置、权限管理、存储配额、共享策略
Teams管理：团队创建、策略管理、访客访问、合规设置
Exchange Online：邮箱管理、分发组、邮件流规则、反垃圾邮件/恶意软件策略
许可证管理：许可证分配、优化、成本分析、使用报告
报告与审计：活动报告、审计日志、合规报告、使用分析
自动化脚本：为批量操作和定期任务生成PowerShell脚本
最佳实践：Microsoft推荐配置、安全强化、治理框架

输入要求

租户管理任务需要：

操作类型：设置、配置、创建、修改、删除、报告、审计
资源详情：用户信息、组名、策略设置、服务配置
组织背景：公司规模、行业、合规要求（GDPR、HIPAA等）
当前状态：现有配置、许可证、用户数量
期望结果：具体目标、需求或所需变更

接受的格式：

描述管理任务的文本描述
带有结构化配置数据的JSON
用于批量用户/组操作的CSV
现有PowerShell脚本的审核或修改

输出格式

结果包括：

分步指导：通过管理中心手动配置的详细指导
PowerShell脚本：用于自动化的即用脚本（带安全检查）
配置建议：安全和治理最佳实践
验证清单：实施前后的验证步骤
文档：更改和配置的Markdown文档
回滚程序：如果需要，撤销更改的说明
合规报告：安全姿态和合规状态

如何使用

“为一家50人的公司设置一个新的Microsoft 365租户，并遵循安全最佳实践” “创建一个PowerShell脚本，从CSV文件中批量配置100个用户，并分配适当的许可证” “配置需要MFA的所有管理员账户的条件访问策略” “生成过去90天内所有不活跃用户的报告” “设置Teams策略，用于外部协作并带有安全控制”

脚本

tenant_setup.py：初始租户配置和服务配置自动化
user_management.py：用户生命周期操作和批量配置
security_policies.py：安全策略配置和合规检查
reporting.py：分析、审计日志和合规报告
powershell_generator.py：为Microsoft Graph API和管理模块生成PowerShell脚本

最佳实践

租户设置

首先启用MFA - 在添加用户之前，强制执行多因素认证
配置命名位置 - 为条件访问定义受信任的IP范围
设置特权访问 - 使用单独的管理账户，启用PIM（特权身份管理）
域名验证 - 在批量用户创建之前添加并验证自定义域名
基线安全 - 立即应用Microsoft Secure Score建议

用户管理

许可证分配 - 使用基于组的许可证以实现可扩展性
命名约定 - 建立一致的用户主体名称（UPN）和显示名称
生命周期管理 - 实施自动化的入职/离职工作流程
访客访问 - 仅在必要时启用，设置过期策略
共享邮箱 - 用于部门电子邮件而不是分配许可证

安全与合规

零信任方法 - 明确验证，使用最小权限访问，假设被破坏
条件访问 - 从报告模式开始，然后逐步强制执行
数据丢失防护 - 定义敏感信息类型，在执行前测试策略
保留策略 - 平衡合规要求与存储成本
定期审计 - 每季度审查权限、许可证和安全设置

SharePoint & Teams

站点配置 - 使用模板和治理策略
外部共享 - 限制特定域名，需要身份验证
存储管理 - 设置配额，启用旧内容的自动清理
Teams模板 - 创建标准化的团队结构以保持一致性
访客生命周期 - 设置过期和定期重新认证

PowerShell自动化

使用Microsoft Graph - 优先使用Graph API而不是旧的MSOnline模块
错误处理 - 包括try/catch块和验证检查
试运行模式 - 在执行前使用-WhatIf测试脚本
日志记录 - 捕获所有操作以进行审计跟踪
凭据管理 - 使用Azure Key Vault或托管身份，永远不要硬编码

常见任务

初始租户设置

配置公司品牌
添加并验证自定义域名
设置DNS记录（MX、SPF、DKIM、DMARC）
启用所需服务（Teams、SharePoint、Exchange）
创建组织结构（部门、位置）
设置默认用户设置和策略

用户入职

创建用户账户（单个或批量）
分配适当的许可证
添加到安全和分发组
配置邮箱和OneDrive
设置多因素认证
配置Teams访问权限

安全加固

启用安全默认值或条件访问
配置MFA强制执行
设置管理员角色分配
启用审计日志
配置反钓鱼策略
设置DLP和保留策略

报告与监控

活跃用户和许可证使用情况
安全事件和警报
邮箱使用和存储
SharePoint站点活动
Teams使用和采纳情况
合规和审计日志

限制

权限要求：全球管理员或特定基于角色的权限
API速率限制：Microsoft Graph API对批量操作有节流限制
许可证依赖性：某些功能需要特定的许可证级别（E3、E5）
委托限制：某些任务不能委托给服务主体
区域差异：合规功能可能因地理位置而异
混合场景：与本地Active Directory集成需要额外配置
第三方集成：外部应用程序可能需要单独的身份验证和权限
PowerShell先决条件：需要安装适当的模块（Microsoft.Graph、ExchangeOnlineManagement等）

安全考虑

认证

不要在脚本或配置文件中存储凭据
使用Azure Key Vault进行凭据管理
为自动化实施基于证书的认证
为管理账户启用条件访问
使用特权身份管理（PIM）进行JIT访问

授权

遵循最小权限原则
尽可能使用自定义管理角色而不是全局管理员
定期审查和审计管理角色分配
启用PIM以进行临时提升访问权限
将用户账户与管理账户分开

合规性

为所有活动启用审计日志
根据合规要求保留日志
为受监管行业配置数据居住地
在需要时实施信息屏障
定期进行合规性评估和报告

需要的PowerShell模块

要执行生成的脚本，请确保已安装这些模块：

Microsoft.Graph（推荐，现代Graph API）
ExchangeOnlineManagement（Exchange Online管理）
MicrosoftTeams（Teams管理）
SharePointPnPPowerShellOnline（SharePoint管理）
AzureAD或AzureADPreview（Azure AD管理 - 正在被弃用）
MSOnline（旧版，正在被弃用 - 尽可能避免）

更新与维护

Microsoft 365功能和API快速发展
定期查看Microsoft 365路线图以了解即将到来的变化
在生产部署之前在非生产租户中测试脚本
订阅Microsoft 365管理中心消息中心以获取更新
保持PowerShell模块更新到最新版本
定期进行安全基线审查（推荐每季度一次）

有用资源

Microsoft 365管理中心：https://admin.microsoft.com
Microsoft Graph Explorer：https://developer.microsoft.com/graph/graph-explorer
PowerShell Gallery：https://www.powershellgallery.com
Microsoft Secure Score：管理中心中的安全姿态评估
Microsoft 365合规中心：https://compliance.microsoft.com
Azure AD条件访问：身份和访问管理策略