微軟正式發(fā)布了適用于Office365教育版的Device-based Subscription訂閱（以下簡稱DBS），DBS為教育機構提供了一種更加簡便的Apps許可部署方式，這對于過去的部署方法有了很大的效率提升。

簡單來說，Proplus許可證有兩種，一種是基于設備，閱之后某一臺電腦上無論用戶是誰，都有正版授權。一種是基于用戶，和用戶名綁定，在不同電腦上，只要登錄帳號就能用。

在過去，Proplus許可證一般通過Device Based Activation (以下簡稱DBA) 部署. 因此我想介紹一下DBS與DBA的不同之處，以及如何為機構配置和部署DBS。 我還將介紹如何從DBA遷移到DBS。 需要注意的是，DBA和DBS本質(zhì)上實現(xiàn)了相同的結果：為Apps客戶端提供一種有效的激活方法，主要是為了適應教育機構中，在該機構中，計算機實驗室和信息設備比商業(yè)部門更為常見。

詳情參考：https://educationblog.microsoft.com/en-us/2019/08/attention-it-administrators-announcing-device-based-subscription-for-education/

目錄：

1.DBA與DBS的對比
2.部署DBS的先決要求
3.前期條件的準備
4.部署Microsoft 365 Apps
5.測試部署和最終用戶體驗
6.OSD怎么樣？
7.如何從DBA遷移到DBS
8.MacOS怎么樣？
9.參考

一. DBA與DBS與SCA(Shared Computer Activation)前面說過，DBS和DBA的目的是相同的，那么，如果目的是相同的，為什么還要改變部署技術？原因有很多，但是我認為最大的因素是方便獲取實時更新和客戶支持。 DBA本質(zhì)上是一個現(xiàn)場解決方案，旨在幫助教育機構快速地將Office 365 Apps客戶端部署到電腦設備，以便于學生和教職員工可以快速的利用Office 365的最新功能，而不必運行功能受限的舊版Office 2013 /2016/2019客戶端。但是，如果使用DBA激活的Microsoft 365 Apps客戶端存在某些問題，則客戶支持會受到限制。像大多數(shù)Microsoft解決方案一樣，Premier / CSS不支持DBA。因此，如果Microsoft 教育團隊的客服無法協(xié)助您解決問題，那么基本上就是需要一個人來解決問題。實際上，關于DBA的有關問題在 docs.microsoft.com上沒有一般化的技術文檔。這意味著你只能通過自身實踐來解決所遇到的所有問題。

創(chuàng)建DBS的目的是獲得DBA相同的結果，但是卻是以受客戶支持的方式。相對來說，DBS和DBA比較有以下優(yōu)點

1.對所有的國家都完全支持，而過去的DBA只支持美國

2.不依賴于專屬工具來部署，轉而使用官方的Office Deployment Tool

3.除非管理員使用PowerShell腳本授予用戶中的DBA Web服務密碼重置功能，否則Office不會激活

4.使用標準的configuration.xml配置文件來直接部署Office

5.完整的Premier / CSS支持，包括docs.microsoft.com上的技術文檔

6.不需要特殊的Office 365 A1 Plus許可證

7.為使用OPPTransition激活的每臺設備創(chuàng)建的用戶帳戶數(shù)量，不會使Azure AD數(shù)量超出購買的FTE

SCA已經(jīng)存在了很多年，但是它并不能完全解決教育機構面臨的挑戰(zhàn)。 根據(jù)配置文件，它仍然需要聯(lián)網(wǎng)并在啟動時登錄用戶。 我們不能強制所有學生在放學后將設備放在家中時都能成功聯(lián)網(wǎng)。 但是，對于VDI或RDS方案，SCA仍然是一個不錯的選擇。

備注：Office Device Based Activation，簡稱DBA，參考資料：https://boards.microsoft.com/public/prism/80710/category/34626?token=f55452094b

二.部署DBS的先決要求

1.有效的Microsoft 365 Apps，Office 365 A3/A5或Microsoft A3/A5訂閱

2.在管理員面板添加Microsoft 365 Apps for Education (device)許可證

3.確保系統(tǒng)版本windows 10 1803以上

4.確保Microsoft 365 Apps版本1907以上

5.確保你的設備已經(jīng)加入Azure AD或者Hybrid Azure AD

6.最新版本的Office Deployment Tool (ODT)

7.最新版本的Microsoft 365 Apps ADMX Templates

三.前期條件的準備

1.獲取Microsoft 365 Apps for Education (device)許可證

首先是需要確保你有足夠的許可證。 我們需要將“ Microsoft 365 Apps for Education (device)” 許可證添加到我們的全局中。 為此，您必須向Partner提交請求。 最多可以請求使用Microsoft 365 Apps或Office / Microsoft 365 A3 / A5許可的教育合格用戶（FTE）數(shù)量的40倍。

成功添加后，你會你的新版管理員中心界面看到Microsoft 365 Apps for Education (device)許可證

2.確保確保你的設備已經(jīng)加入Azure AD或者Hybrid Azure AD

部署Hybrid Azure AD是一個非常復雜的過程，一般的設備管理員都不需要，所以只需要確保你的設備已經(jīng)加入Azure AD就可以

3.為你的設備創(chuàng)建一個設備組

這不是一個非常復雜的過程，如果你之前有看過我創(chuàng)建sharepoint站點的文章就可以理解，其實一個sharepoint站點就是一個獨立的組， 我們可以手動從Azure AD創(chuàng)建一個組，并臨時添加設備。我們還可以創(chuàng)建一個動態(tài)組，這樣會方便所有設備都將自動加入。 要添加到?jīng)Q策過程中，可以在多個管理中心中創(chuàng)建組。 可以在Microsoft管理中心中創(chuàng)建組，可以在Azure AD（AAD）中創(chuàng)建組，也可以在Intune中創(chuàng)建組！ 如果已經(jīng)有一個現(xiàn)有的組，那么也可以直接利用。

我們在這里就創(chuàng)建一個名為DBS的組

注意我們的Group Type要選擇Security，Membership選擇Dynamic Device，然后選擇add dynamic query，都按我圖中的填寫

如果你都填寫正確的話，那么下面syntax內(nèi)容應該是類似(device.deviceOSType -contains “Windows”) and (device.deviceOSVersion -match “[10][.][0][.]1713[4-9]|171[4-9]d|17[2-9]d{2}|1[8-9]d{3}|[2-9]d{4}|d{6,}”)

然后我們保存創(chuàng)建即可

上面的數(shù)值有點復雜，但對于幫助我們引入Windows 10 1803及更高版本的所有設備而言是必不可少的。 在AAD中，動態(tài)查詢是使用字符串創(chuàng)建的。 因此，運算符“ <”和“>”不起作用。我們引入所有Windows設備1803及更高版本，因為這是DBS可以使用的先決條件。 如果僅保留OSVersion，則可能會拉出我們不想使用的其他設備，例如iOS和Android設備。 創(chuàng)建后，根據(jù)AAD中符合條件的設備數(shù)量，可能需要一些時間才能填充。 如果還沒有AAD加入的計算機，則您的組將不會填充任何東西。

4.將許可證分配給DBS組

進入訂閱界面，選擇Assign licenses

然后選擇Assign licenses to a group

然后選擇Assign分配

5.配置Microsoft 365 Apps以使用device的許可

我們有兩種方法可以配置Microsoft 365應用程序以使用新的device的許可。 我們可以使用Office部署工具（這是說我們將要使用configuration.xml的一種很好的方式），也可以使用組策略/ MDM。 接下來將展示configuration.xml方法。

我們需要下載Office Customization Tool

這是一種新的office部署工具，它與我們在部署舊的批量許可的基于MSI的Office安裝（2010/2013/2016）時使用的Office自定義工具不同。 通過使用XML格式的配置文件而不是自定義的.msp安裝程序，此新版本可以聯(lián)機且更智能化。 我們將使用它來定義我們的configuration.xml，但這不是必要的。 如果對配置文件和預期行為的特定屬性或元素有疑問，請參考Microsoft官方文檔以手工編輯configuration.xml或做出更合適的決定。

1.訪問https://config.office.com

2.登錄帳號

3.選擇Customization

4.然后點create創(chuàng)建一個xml文件并且起一個名字

在版本界面建議選擇64位，32位我沒有嘗試

在product界面選擇Microsoft 365 Apps，visio和project理論也可以，但是我沒有嘗試

Update channel根據(jù)你的要求選擇就可以，可以月度更新，也可以半年度更新，然后選擇你需要的版本

接下是選擇應用，這里建議取消OneDrive (Groove) 和onenote，因為這兩個程序都是破舊而且要被剔除office更新序列的程序

語言界面選擇你需要的語言就可以，我默認選擇英語

在Installation界面，可以選擇你所在的地區(qū)，或者直接根據(jù)CDN來判斷你在的位置保證下載速度，推薦使用CDN就可以，微軟的office更新在CDN方面遍布全球，速度非常快

更新界面下按照你的需求選擇就可以

Licensing and activation界面是部署DBS的關鍵所在

我們要先選擇接受EULA

然后在Product Activation界面選擇Device based

然后我們選擇成功后下載xml文件即可

然后我們用記事本打開你的文件

會發(fā)現(xiàn)上面有一處<Property?Name=“DeviceBasedLicensing”?Value=“1”?/>

這會在安裝時，將你的注冊表文件HKLMSOFTWAREMicrosoftOfficeClickToRunConfigurationO365ProPlusRetail.DeviceBasedLicensing數(shù)值改成1

至此，所有前期準備部署過程已經(jīng)完備

四.部署Microsoft 365 Apps

有許多方法可以部署Microsoft 365應用程序。 我將重點介紹如何通過Microsoft Endpoint Manager（ConfigMgr和Intune）進行操作，這將簡化Office的部署過程。

ConfigMgr Deployment

許多教育機構都使用ConfigMgr作為其主要設備管理解決方案。 要將具有基于設備的許可的Microsoft 365 Apps部署到客戶端，請遵循以下說明。

“如果您希望在部署后使用ConfigMgr來管理Microsoft 365 Apps更新，請確保確認您選擇了希望更新來自Configuration Manager中的Configuration Manager。 將屬性值改為OfficeMgmtCOM =“ True”

打開ConfigMgr控制臺，選擇Software Library, Office 365 Client Management, 點擊Office 365 Installer

輸入你的應用程序名，簡介，和內(nèi)容所在的位置

選擇next，然后在Office Customization Tool界面，因為我們之前已經(jīng)有了xml文件，所以直接選擇導入然后預覽

然后點擊next，可以選擇是否部署應用程序。 如果熟悉ConfigMgr，可以像往常一樣選擇設備的目標集合（但請確保其設備與我們之前創(chuàng)建的AAD組中許可的設備相同！）。 如果需要熟悉在ConfigMgr中的應用程序部署，請參考：https://docs.microsoft.com/en-us/configmgr/apps/deploy-use/deploy-applications

稍等一會，ConfigMgr就會創(chuàng)建完文件目錄，大概如下圖所示

確保使用的是最新版本的ConfigMgr，要知道從1602版開始，ConfigMgr團隊引入了一種新方法來幫助管理Microsoft 365 Apps Client更新。 Office 365客戶端管理節(jié)點現(xiàn)在為您的Microsoft 365 Apps客戶端提供控制臺內(nèi)視圖。 借助圖表和圖形可以使用戶滿意，而且可以快速查看環(huán)境中Microsoft 365 Apps客戶端的狀態(tài)。參考：https://docs.microsoft.com/zh-cn/sccm/sum/deploy-use/manage-office-365-proplus-updates

下面，將展示最終的效果，以驗證我們的配置和部署是否正常運行。

Intune

我們還可以使用Intune部署具有基于設備的許可的Microsoft 365 Apps。 這對于完整的AAD連接的計算機很有用，但對于共同管理的Hybrid AAD連接的計算機也很有用。

1.打開Microsoft Endpoint Manager管理中心

2.在apps，all app處選擇add，然后在add type界面選擇windows10和office365 suite

3.現(xiàn)在，可以選擇使用Configuration designer或在“設置”格式下輸入XML數(shù)據(jù)。Configuration designer非常好，但是在撰寫本文時，基于設備的許可證選項尚未在UI中公開。 目前，由于我們已經(jīng)創(chuàng)建了XML，因此我們將繼續(xù)輸入XML數(shù)據(jù)

4.輸入XML數(shù)據(jù)后，將XML內(nèi)容從XML復制并粘貼到配置文件文本中

5.點擊OK后選擇add，會進入剛創(chuàng)建的應用程序的“概述”頁面。 現(xiàn)在，我們需要將應用程序分配給一組設備。單擊分配。

6.點擊添加組，選擇Assignment type，選擇require強制，然后在選擇組界面，選擇你要分配的組

7.點擊下一步然后保存即可

其余第三方工具

如果使用其他部署技術，則必須依靠使用Office部署工具包，下載setup.exe并使用/configure選項來引用您的configuration.xml。 Setup.exe將下載必要的位置，并允許打包應用程序并使用通常使用的管理工具來部署應用程序。參考：

Overview of the Office Deployment Tool
Configuration options for the Office Deployment Tool

五.測試部署和最終用戶體驗

至此，我們已經(jīng)準備好了部署條件，按照自己的喜好配置了Office安裝，并根據(jù)首選的部署技術創(chuàng)建了部署，現(xiàn)在是時候測試安裝并驗證最終用戶體驗是我們所需要的。

此時安裝Office會發(fā)生什么情況，即在安裝客戶端時，將寫入正確的注冊表項，該注冊表項將指示Office Licensing Service與設備所加入的特定用戶聯(lián)系，以查找有效的許可證。它的組成員身份。如果找到有效的許可證，它將通過OLS將該信息傳遞回設備，并將客戶端注冊到“此設備”，我們在啟動Office客戶端并查看注冊所有者時將看到該許可證。這是一個非常復雜的過程。

看到Office已成功安裝后，讓我們檢查注冊表以查看密鑰是否存在。果然，根據(jù)配置，存在DeviceBasedLicensing密鑰并將其設置為值“ 1”。

我們現(xiàn)在打開office客戶端，點擊賬戶，會看到從屬于此設備

六.OSD怎么樣

我經(jīng)常聽到這個問題。我建議看一下Autopilot，以了解將來的Windows部署需求，因為我們可以直接加入AAD部署設備。

DBS的訣竅是，我們必須在部署后及時將設備記錄到AAD中，以便許可證在第一個登錄該設備的用戶啟動Office產(chǎn)品之前生效。如果Microsoft 365 Apps客戶端在使用前未獲得適當?shù)脑S可，則最終用戶將處于“縮減功能”模式。

如果您是首次測試HAADJ，并且在完成安裝后的30分鐘內(nèi)登錄（無論是否使用SCCM），則很可能會遇到設備未進行HAADJ的狀態(tài)。如果您安裝并讓設備等了一會兒（30分鐘以上）然后登錄，則連接很可能會成功。這是因為在用戶登錄時或在觸發(fā)用戶設備注冊事件ID 4096時觸發(fā)了Microsoft> Windows> Workplace Join>自動設備連接計劃任務，我不知道何時觸發(fā)這個過程。如果在AAD connect有機會同步計算機對象之前登錄，則將無限期等待。此時最好注銷登錄。在大多數(shù)情況下，這應該不成問題，因為一旦設備域加入HAADJ進程就排隊了，并等待AAD連接同步。正常登錄的用戶將在為新設備安裝后30分鐘后登錄。另外請注意，這種延遲確實發(fā)生在沒有在AAD中記錄設備的新設備上。

七.如何從DBA遷移到DBS

如果您當前正在使用Microsoft 365 with DBA，則不需要重新安裝Microsoft 365應用程序！

只要設備滿足先決條件（Win10 1803或更高版本，安裝的Microsoft 365 Apps是1907或更高版本，并且該設備已加入Hybrid AAD或已加入完整AAD），那么就可以使用了。 只需添加簡單的注冊表項，即可將當前Office安裝從基于用戶的（實際上是DBA）轉移到基于新設備和真正的DBS設備，而對最終用戶沒有影響。

我們可以通過使用用于部署reg密鑰更改的組策略方法來實現(xiàn)此目的，或者可以將配置項與ConfigMgr一起使用來設置密鑰。 根據(jù)官方文件請注意：

若要使用此策略設置，請從Microsoft下載中心下載適用于Microsoft 365應用程序的管理模板文件（ADMX / ADML）的版本4909.1000（或更高版本）。 版本4909.1000已于2019年9月5日發(fā)布。

您可以利用管理模板中的“對Microsoft 365應用程序使用基于設備的許可證”策略設置來設置適當?shù)淖员眄棥?可以在“計算機配置策略管理模板 Microsoft Office 2016（計算機）許可設置”下找到此策略設置。 相關的注冊表項是HKLM SOFTWARE Microsoft Office ClickToRun Configuration O365ProPlusRetail.DeviceBasedLicensing，其值為“ 1”。

注意：部署注冊表項并生效后，如果您具有用戶激活的Microsoft 365 Apps客戶端，則仍會消耗用戶許可證。 最終用戶將需要通過其O365門戶登錄名取消以其名稱激活的任何設備的許可證，以收回該許可證。

八.MacOS怎么樣？

DBS不支持MAC OS設備，目前，將MAC OS加入到AAD有限制，可以選擇將MAC OS設備加入動態(tài)組中來獲取的準確的許可證

九.參考

New and flexible way to use Microsoft 365 Apps on your shared devices

https://myignite.techcommunity.microsoft.com/sessions/81656?source=sessions

PointDrive of curated Microsoft 365 Apps DBS Resources

https://aka.ms/officedbsinfo

Troubleshooting device-based licensing for Microsoft 365 Apps

https://docs.microsoft.com/en-us/deployoffice/device-based-licensing#troubleshoot-device-based-licensing-for-office-365-proplus

Microsoft Office 365 ProPlus Device Based Subscription Activation for UI IT Pros

https://webstore.illinois.edu/shop/product.aspx?zpid=3887