为网格准备组织

本页介绍可能需要了解推出所需的任务和建议的功能角色，但遵循组织的标准推出过程，包括更改和配置管理。

此内容涵盖 Teams 中沉浸式空间的网格实现和沉浸式空间的要求。 概括地说，这些步骤是：

1. 收集部署团队

2. 验证许可证和策略

3. 考虑租户选择

4. 联系支持团队的所有者

5. 配置服务计划以允许用户访问

6. 为网格体验配置网络

7. 与利益干系人合作开始部署

规划网格实现后，了解如何在 Teams 中设置Microsoft网格和设置沉浸式空间。

收集部署团队

行政级别的赞助是强烈建议帮助解决任何跨团队阻塞问题。

你将需要访问多个管理工具：

• 需要 Teams 管理中心（TAC）才能配置虚拟形象和沉浸式空间管理。

• 需要Azure 门户来管理用于自定义网格环境的网格云脚本（如果环境可以选择使用该形式的脚本）。

• 允许 URL 和防火墙端口等其他任务将在组织使用的任何管理工具中完成。

• 网格使用 Microsoft 365 套件的其他部分。 如果组织限制对这些资源的访问，则网格的某些部分将不起作用。 与有权访问Microsoft 365 管理工具的人员交谈，以确定是否有任何限制，并测试这些限制是否会干扰网格。

  例如，下表定义了特定操作所需的访问权限：

  网格操作	所需的访问权限
  创建网格集合	创建 Microsoft 365 组
  作为成员添加到网格集合	访问Microsoft 365 组
  创建网格事件	访问 Microsoft 365 日历
  受邀加入网格事件	对 Outlook 邮件的访问权限
  创建模板	对 SharePoint 的访问
  在事件或模板上添加图像或视频	访问 SharePoint 或 OneDrive

验证许可证和策略

对于 Teams 中的虚拟形象和沉浸式空间，用户必须拥有以下项之一的许可证：Teams Essentials、Microsoft 365 商业基础版、Microsoft 365 商业标准版、Microsoft 365 商业高级版、Microsoft 365 E3/E5 和 Office 365 E1/E3/E5。

网格事件的许可证要求

对于Microsoft网格，需要以下各项：

• Teams 高级版租户中的商业用途许可证（目前仅在Teams 高级版介绍性定价或部门Teams 高级版中提供）。 详细了解Microsoft Teams 高级版许可 - Microsoft Teams |Microsoft Learn。

  注意

  我们不支持具有全球公共部门、EDU 或 GCC 许可证的租户。

• Teams 高级版的先决条件许可证，如购买Teams 高级版的要求中所述 - Microsoft Teams |Microsoft网格所有用户的 Learn。

  注意

  所有Teams 高级版先决条件许可证包括 Sharepoint、OneDrive 和 M365 日历。 详细了解 Teams for enterprise 和 Teams 高级版 试用版许可证。

• （可选）具有存储 的 Unity 许可证和 Azure 订阅，以使用网格工具包开发自定义沉浸式环境，并为网格环境部署云脚本。

  详细了解 网格云脚本基础结构和管理。

订阅要求

若要使用Microsoft网格，所有用户（包括开发人员、活动组织者和活动与会者/用户）都必须拥有有权访问 SharePoint、OneDrive 和 M365 日历的 M365 Office 订阅。

需要满足以下条件：

• 组创建：用于在 Web 上的网格中创建网格世界。
• SharePoint/OneDrive：用于自定义事件/模板创建。
• 邮箱/日历：用于事件创建和/或发送/接收事件邀请。

有关帮助，请参阅 网格许可中的沉浸式空间故障排除和常见问题解答。

Teams 中沉浸式空间的许可证要求

所需许可证

你的用户必须具有商业 Teams 许可证：Microsoft Teams Enterprise、Teams Essentials 或以下 M365、O365 或 Teams SKU 之一包括：Microsoft 365 商业基础版、Microsoft 365 商业标准版、Microsoft 365 商业高级版、Microsoft 365 E3/E5 和 Office 365 E1/E3/E5。

详细了解 如何在 Teams 中设置沉浸式空间。

有关帮助，请参阅 Teams 许可故障排除和常见问题解答中的沉浸式空间。

考虑要为网格预配的租户

选择要为网格预配的租户时要考虑的两个主要因素包括：

1. 哪些用户应该能够访问沉浸式体验。

   Microsoft Entra ID 中具有本机帐户的用户访问事件的最简单时间。 可以在Microsoft Entra ID 中邀请具有来宾帐户的用户参加活动，但他们必须执行额外的步骤才能使用来宾帐户登录到网格。 此外，来宾用户无法为网格事件创建事件或共同组织者。 有关详细信息，请参阅 邀请来宾与会者参加网格事件。

2. 在不受限制地控制域和最终负责安全有效地运行域之间权衡。

网格的主租户

建议为网格预配主要生产租户，因为它将提供测试的最大范围，但它可能会通过内部过程和审批创建开销工作。

网格的单独租户

如果要与生产租户外部的人员协作，可能需要为网格设置单独的租户。 对于不为该组织工作的人员，在生产租户中创建用户帐户没有技术障碍，但可能出于商业原因而无法这样做。

如果希望将 Teams 中的沉浸式空间用于 Teams 的生产版本中的用户，则绝对希望为网格预配生产租户。 虽然可以创建其他租户进行测试，但全天使用 Teams 的人员极不可能注销其主 Teams 帐户以登录到不同租户中的不同帐户。 对于网格应用而言，单独的租户更实用，可在其中更轻松地在帐户之间切换。

每个租户可以有多个Azure 存储订阅，但用于网格云脚本的Azure 存储订阅必须与将参加活动的用户和将上传和管理脚本的开发人员位于相同的 EntraID 中。

联系支持团队的所有者

若要完成运行网格的步骤，需要具有各种权限和权限，或者与组织中可以授予所需权限和权限的人员联系。 根据公司结构和策略，此过程可能非常耗时，因此有助于尽快启动外展。

以下部分列出了可能需要使用的组织角色来完成所需的部署前任务：

Teams 应用经理

沉浸式空间和虚拟形象的管理将在 Teams 管理门户中进行， admin.teams.microsoft.com。 你将需要租户全局管理员来为网格团队 分配 Teams 管理员在 Microsoft Entra 中的角色，或者你需要与当前 Teams 应用管理器密切合作才能进行所有必要的配置。

Teams 应用策略

你将使用的两个网格组件是 Teams 应用;应设置策略以确保只有已批准的用户有权访问它们。 根据需要修改全局或自定义级别的 Teams 应用策略，以允许/阻止网格应用。 如果希望指定的用户自动安装网格组件，则还必须设置 Teams 应用设置策略。 与拥有 Teams 应用管理的人员协调，以规划相应的策略。 有关 Teams 访问控制的详细信息，请参阅 https://admin.microsoft.com/Adminportal/Home#/rbac/directory。

Teams 反馈策略

Microsoft依靠用户的反馈来改进产品。 Teams 管理员可以设置用户是否可以向Microsoft发送有关 Teams 的反馈。 可以根据 Entra ID 组成员身份允许反馈。 如果 Teams 反馈已禁用，用户将无法发送有关 Teams 中内置的网格功能的反馈。 强烈建议组织允许网格用户提供此反馈，但在进行任何更改之前咨询公司策略。 有关管理反馈的详细信息，请参阅

在 Teams 中管理反馈策略

配置服务计划以允许用户访问

有关服务计划的详细信息，请参阅 使用服务计划配置对网格的访问权限。

查看终结点管理器

请确保知道组织部署应用的过程。 网格应用在 Microsoft 应用商店中提供，可以使用 MDM（移动设备管理）解决方案（如 Microsoft Intune）从该处取消隔离，以部署应用并将其显示在用户的公司门户中。 如果阻止访问 Microsoft 应用商店，则可以改用 WinGet。 有关使用 Microsoft Intune 部署应用的详细信息，请参阅：

将 Microsoft Store 应用添加到 Microsoft Intune

为 Azure 配置云脚本

如果开发人员计划生成将使用 网格云脚本的自定义网格环境，则需要一个 Azure 订阅，他们可以向其部署云脚本服务。 仅使用 网格视觉脚本的环境不需要 Azure 订阅。

有关网格云脚本的先决条件的更多详细信息，请参阅 准备第一个网格云脚本项目。

与组织的安全团队协作

在部署任何新应用或服务之前，必须考虑安全隐患，并与安全团队密切合作，以确保符合所有标准安全策略。 与适当的安全所有者提前讨论以下网格要求。

终结点和防火墙配置

与所有Microsoft产品一样，必须允许网格体验所需的终结点和端口来实现用户的完整功能和最佳性能。 如何使用网格的网络配置要求取决于企业组织网络体系结构。

Teams 中网格体验的终结点和防火墙端口

本部分概述了 Teams 和虚拟形象应用中网格应用的特定终结点和防火墙要求，该应用允许用户在 Teams 会议中加入沉浸式空间（3D），并在会议中使用虚拟形象。

Teams 中的头像

配置企业防火墙设置，使其符合 Microsoft M365 URL 和 IP 地址范围中概述的标准Microsoft 365 要求集。

Teams 中的沉浸式空间

配置企业防火墙设置，使其符合 Microsoft Teams 的标准Microsoft 365 要求集，并Microsoft Microsoft M365 URL 和 IP 地址范围中概述的 365 通用。

在此过程中，请确保已将防火墙配置为允许流量传入、 *.office.com*.substrate.office.com *.graph.microsoft.com传出和*.microsoft.com传80TCP 443出。*.cloud.microsoft.com

网格还需要防火墙配置中详述的 IP 地址和端口范围，以便为媒体功能（如音频、视频和屏幕共享）Azure 通信服务。

如果没有访问这些内容，网格将无法为组织中的用户正常工作。

网格中沉浸式空间的终结点和防火墙要求

本部分概述了网格中沉浸式体验的特定终结点和防火墙要求，包括网格应用程序及其组织可用于创建动态公司事件的功能。

一般情况下，Microsoft M365 URL 和 IP 地址范围中概述的标准Microsoft 365 要求集适用于所有网格体验，其中包含一些额外的步骤，以启用其他网格功能，例如更大的多室事件、云脚本和嵌入式内容（WebSlate、视频/图像对象）。

步骤 1：根据 Microsoft M365 要求进行配置

配置企业防火墙设置，使其符合 Microsoft Teams 的标准Microsoft 365 要求集，并Microsoft Microsoft M365 URL 和 IP 地址范围中概述的 365 通用。

作为其中的一部分，请确保已将防火墙配置为允许流量流向、、、*.substrate.office.com和流。*.microsoft.com 80TCP 443*.graph.microsoft.com*.office.com*.cloud.microsoft.com

网格还需要防火墙配置中详述的 IP 地址和端口范围，以便为媒体功能（如音频、视频和屏幕共享）Azure 通信服务。

如果没有访问这些内容，网格将无法为组织中的用户正常工作。

步骤 2：允许与会者随着时间的推移访问脚本和内容

云脚本

如果你或你的开发团队计划通过与 Azure 交互，使用 云脚本 在网格环境中显示动态和丰富的数据，则需要允许流量流向企业托管的用于云脚本的 Azure 资源。

可以使用云脚本发布新环境，方法是允许 TCP 端口 443 （HTTPS） 上的流量流向该环境的托管应用： <app>.azurewebsites.net

嵌入内容（WebSlate、视频/图像）

网格应用支持利用 Web 和 Azure 的动态内容体验。 这样，事件组织者可以使用无代码事件自定义体验来放置视频和图像对象，开发人员可以使用 WebSlates 添加 Web 交互。

由于在网格体验中访问资源所需的唯一权限，嵌入式内容对沉浸式体验具有独特的要求。

网络带宽要求

网格事件的带宽要求

以下网络带宽要求旨在帮助组织中的用户获得网格沉浸式体验的最佳体验。

虽然我们不断致力于改进网格在网络状况不佳的情况下的工作方式，但如果组织中的用户报告音频质量差、音频截断或延迟或混蛋虚拟形象移动，你可能希望进一步优化你的网络。

网格沉浸式体验基于 Microsoft Teams 网络带宽要求 构建的功能（如屏幕共享），以及沉浸式功能（如虚拟形象移动和空间音频）所需的额外带宽，并能够可视化其他会议室中的用户。

所有事件的带宽要求

多会议室事件的其他带宽要求

例如，多会议室事件（如团队）将屏幕共享、广播演示者和可视化效果用于其他会议室的用户至少需要 375 kbps 下游和 795 kbps 上游，最多 4,265 kbps 下游和 5,095 kbps 上游。

注意：这些指标是根据网格限制和规范中记录的最大房间、演示者和事件容量计算的，以帮助你为网格最好地准备组织的网络。 较小的事件大小将降低网络要求，例如，由于虚拟形象、扬声器和会议室较少。

自定义内容（如通过网格事件自定义添加的视频）可能需要进一步带宽。 对于具有自定义内容的事件，我们建议事先使用具有代表性的网络连接测试事件，以确保内容正确加载并体验性能足够。

Teams 中沉浸式空间的带宽要求

以下网络带宽要求旨在帮助组织中的用户获得网格沉浸式体验的最佳体验。

虽然我们不断致力于改进网格在网络状况不佳的情况下的工作方式，但如果组织中的用户报告音频质量差、音频截断或延迟或混蛋虚拟形象移动，你可能希望进一步优化你的网络。

网格沉浸式体验建立在 Microsoft Teams 网络带宽要求 的基础上，满足视频和屏幕共享等功能，以及沉浸式功能（如虚拟形象移动和空间音频）所需的额外带宽。

沉浸式参与者

非沉浸式参与者

例如，与一些参与者进行沉浸式会议，一些参与者不在沉浸式的情况下使用其视频打开，屏幕共享至少需要 440 kbps 下游和 830 kbps 上游，最多 8,176 kbps 下游和 8,926 kbps 上游。

注意：这些指标是根据沉浸式空间的 16 人容量计算的，以帮助你最好地为网格准备组织的网络。 较小的事件大小将降低网络要求，例如，由于虚拟形象和扬声器较少。

条件访问和 Quest

条件访问是零信任策略的关键组成部分，用于保护网络和资源。 许多公司使用 Microsoft Entra 和 Microsoft Intune 实施条件访问策略，以控制允许哪些设备访问公司资源。 这些策略可以根据设备类型、操作系统版本和配置限制访问。 仅向满足指定条件的设备授予访问权限;所有其他都被拒绝。

借助对 Mesh on Quest 的本机身份验证支持，组织可以使用 Quest for Business 实现托管设备，并使用 Intune 来管理设备配置文件、条件访问策略等。

每个使用 Mesh 的公司必须与其安全和终结点管理团队合作，才能决定以下事项：是否需要拥有托管的 Quest 设备群？ 这样做可以确保符合公司策略，并需要以下各项：

• 如果组织选择使用托管 Quest 设备： 则需要确保 Quest 设备群通过 Quest for Business 和 MDM 提供商进行管理。

  • 在此处的 Meta for Work 帮助中心了解详细信息并开始使用 Quest for Business。

  • 有关 Quest 注册入门，请查看 Microsoft Intune 注册指南。

  • 注册并配置后，创建基于 设备的条件访问策略 ，以创建组织设备使用方案特有的登录条件。

• 如果组织希望对 Quest 提出例外： 创建一个条件访问策略，该策略对于公司的风险配置文件是可以接受的，同时仍允许访问 Quest 设备。 需要通过 筛选新的或现有的条件访问策略上的设备来排除 Quest 设备 。
  若要排除未在 Entra ID 中注册的已筛选设备（如 Quest 模型和元制造商），可以使用负运算符设置条件访问策略。 若要应用负运算符，请使用设备的筛选器引用策略行为。 如果要使用正运算符，则筛选器规则仅在目录中存在设备且配置的规则与设备上的属性匹配时才适用。

这两个选项都将允许使用网格。 但是，建议组织管理其 Quest 设备，以确保安全性和合规性。 如果两者均未采取任何操作，并且组织中的用户尝试启动应用条件访问策略的非托管设备的 Mesh on Quest，则它们将收到错误 AADSTS50199 和/或 AADSTS53003。

有关条件访问的详细信息，请参阅：

• 将条件访问与 Intune 配合使用的常见方法

• 如何管理组织的 Quest VR 头戴显示设备？

与沟通更改的利益干系人合作

上面列出的利益干系人都有影响网格环境设置的活动步骤，但组织的其他部分可能会受到部署的影响，或者可能有需要在规划过程中尽早考虑的策略或指南。 以下是在部署之前可能需要联系的组织的某些区域。

• 更改通信：如果你有一个标准流程来联系用户有关挂起的更改，请确保网格是这些通信的一部分。

• 技术支持：为使用网格遇到问题的用户制定支持计划。 确保网格管理员能够查看用户遇到的问题，以便根据需要将其传达给Microsoft。

• 人力资源：虽然网格不需要人力资源的任何特定操作进行部署或操作，但 HR 可能会对网格为用户创建沉浸式体验感兴趣。 请咨询人力资源部门，了解可能影响网格会议体验的任何策略。

• 公司品牌：如果你决定为用户创建自定义会议体验，则应与公司品牌专家联系，以确保任何会议资产符合品牌标准。

为网格虚拟形象准备用户

首次在 Teams 中推出虚拟形象功能时，某些用户可能需要有关何时使用虚拟形象功能的指导，并且不适合使用它们。 Microsoft发布了一篇关于阿凡达礼仪的博客： Microsoft 员工如何在Microsoft Teams 的会议上使用虚拟形象。 此文档可帮助告知你可能希望与用户共享的材料。

总结

Microsoft网格提供了许多强大的功能，可增强远程和混合工作场所中的通信和协作。 由于此服务提供跨服务的体验，因此请确保计划所有必需的利益干系人提供输入，包括此处提到的内容以及特定于组织的其他人员。

使用网格的后续步骤