微软正【zhèng】式发布了适用于Office365教育【yù】版【bǎn】的【de】Device-based Subscription订阅（以下简称DBS），DBS为教育机构提供了【le】一种更加简便的【de】Apps许可部署方式，这【zhè】对【duì】于【yú】过去的部署方法有了很大的效【xiào】率提升。

简单来说，Proplus许可证有两种，一种是基于设备【bèi】，阅之后某一【yī】台电脑【nǎo】上【shàng】无论用户是【shì】谁，都【dōu】有正版授权。一种是基于用户，和用户名绑定【dìng】，在不同电脑上【shàng】，只要【yào】登【dēng】录帐号就能【néng】用。

在过去，Proplus许【xǔ】可证一般通过Device Based Activation (以【yǐ】下简称DBA) 部【bù】署. 因此我想【xiǎng】介绍一下DBS与DBA的不同【tóng】之处，以及如【rú】何为机构配置和【hé】部署DBS。 我还将【jiāng】介绍如何从DBA迁移到DBS。 需【xū】要【yào】注意的是，DBA和DBS本【běn】质上【shàng】实现【xiàn】了相同的【de】结【jié】果：为Apps客【kè】户端提供【gòng】一种有效的激活方法，主要是【shì】为【wéi】了适应教育机构中，在该机构中【zhōng】，计【jì】算机实验【yàn】室和信息设备【bèi】比商业部门【mén】更为常【cháng】见。

详情参【cān】考：https://educationblog.microsoft.com/en-us/2019/08/attention-it-administrators-announcing-device-based-subscription-for-education/

目录：

1.DBA与DBS的对比
2.部署DBS的先决要求
3.前期条件的准备
4.部署Microsoft 365 Apps
5.测试部署和最终用户体验
6.OSD怎么样？
7.如何从DBA迁移到DBS
8.MacOS怎么样？
9.参考

一. DBA与DBS与【yǔ】SCA(Shared Computer Activation)前面说过，DBS和DBA的目的是相同的，那么，如果目的是相同【tóng】的，为什么还要【yào】改变【biàn】部署技术？原【yuán】因有很多，但【dàn】是【shì】我认为【wéi】最大的因【yīn】素是【shì】方便获取实时更【gèng】新和客户支持。 DBA本质上是一【yī】个【gè】现场解【jiě】决方案，旨在帮助教育机【jī】构快速地将Office 365 Apps客户端部【bù】署到电脑【nǎo】设备【bèi】，以便于学生和【hé】教职员工可以快速的利用Office 365的最【zuì】新功能，而不必运行功能受限的旧版Office 2013 /2016/2019客户端。但是，如果【guǒ】使用DBA激活【huó】的Microsoft 365 Apps客户【hù】端存在【zài】某些问题【tí】，则客【kè】户支【zhī】持会受到【dào】限制。像大多数Microsoft解决方案【àn】一【yī】样，Premier / CSS不支持DBA。因此，如果Microsoft 教【jiāo】育团队的客服无【wú】法协助您解决【jué】问题，那么基本【běn】上【shàng】就是需要一个人【rén】来解决【jué】问【wèn】题。实际上，关于【yú】DBA的有关问题在 docs.microsoft.com上没有一般化的技术【shù】文档。这【zhè】意味着【zhe】你只【zhī】能通【tōng】过【guò】自身实践来解决所【suǒ】遇到【dào】的所【suǒ】有问题。

创建DBS的目的是获得DBA相同的【de】结果，但是【shì】却是【shì】以受客户【hù】支持的【de】方式。相【xiàng】对来说，DBS和DBA比较有以下【xià】优点

1.对所有的国家都完全支持，而过去的DBA只支持美国

2.不【bú】依赖于专属工具来部署，转而使【shǐ】用官方的【de】Office Deployment Tool

3.除非管【guǎn】理员使用PowerShell脚本授予【yǔ】用户【hù】中【zhōng】的DBA Web服务密码重置功能，否则Office不会【huì】激【jī】活

4.使用标准的【de】configuration.xml配置文件来直【zhí】接【jiē】部署Office

5.完整的Premier / CSS支持，包【bāo】括docs.microsoft.com上的技术文【wén】档

6.不需要特殊的Office 365 A1 Plus许可证

7.为【wéi】使【shǐ】用OPPTransition激【jī】活的每台设备创【chuàng】建的用户帐【zhàng】户数量，不会使Azure AD数量超出购买的【de】FTE

SCA已经【jīng】存【cún】在【zài】了很多年，但是它并不能完【wán】全【quán】解决教育机【jī】构面临的挑战。 根据配【pèi】置【zhì】文【wén】件，它【tā】仍然需要联网并在启动时【shí】登录【lù】用【yòng】户。 我们不能强制【zhì】所有学生在放学后将设备放【fàng】在家中时都能成功联网。 但是【shì】，对【duì】于VDI或RDS方案，SCA仍然【rán】是一个不错的【de】选择。

备注：Office Device Based Activation，简称DBA，参考【kǎo】资料：https://boards.microsoft.com/public/prism/80710/category/34626?token=f55452094b

二.部署DBS的先决要求

1.有效的Microsoft 365 Apps，Office 365 A3/A5或Microsoft A3/A5订阅【yuè】

2.在管【guǎn】理员【yuán】面板添加Microsoft 365 Apps for Education (device)许可证【zhèng】

3.确保系统版本windows 10 1803以上

4.确保Microsoft 365 Apps版本1907以上

5.确保你【nǐ】的设备【bèi】已经加入Azure AD或者Hybrid Azure AD

6.最【zuì】新版本的Office Deployment Tool (ODT)

7.最新版本【běn】的Microsoft 365 Apps ADMX Templates

三.前期条件的准备

1.获【huò】取Microsoft 365 Apps for Education (device)许可【kě】证

首先是需要确保你有足够的许可证。 我们需要将“ Microsoft 365 Apps for Education (device)” 许可证添加到我们【men】的全局中。 为此，您必须【xū】向【xiàng】Partner提【tí】交请【qǐng】求。 最多可以请求使用【yòng】Microsoft 365 Apps或Office / Microsoft 365 A3 / A5许可【kě】的教育合格【gé】用户【hù】（FTE）数量的40倍。

成【chéng】功添加后，你【nǐ】会你的新【xīn】版管理员中心【xīn】界面【miàn】看到Microsoft 365 Apps for Education (device)许可证

2.确【què】保确保你【nǐ】的设【shè】备【bèi】已经加入Azure AD或者Hybrid Azure AD

部署【shǔ】Hybrid Azure AD是一个非常复杂的过程，一般的设备【bèi】管【guǎn】理员都【dōu】不需要【yào】，所以只需要【yào】确保你的设备已经【jīng】加入【rù】Azure AD就可以

3.为你的设备创建一个设备组

这不是一【yī】个非常复杂的过程，如果你之前有看过我创建sharepoint站点的文章就可以【yǐ】理解，其实一【yī】个sharepoint站【zhàn】点就是一个独【dú】立的组【zǔ】， 我们可以手动从Azure AD创建一个【gè】组【zǔ】，并临时添加设备。我们还可以创建一个动态组【zǔ】，这【zhè】样【yàng】会方便【biàn】所有设备都将【jiāng】自动加入。 要添加到决策【cè】过程中，可以在多个管理【lǐ】中心中创建组。 可以在Microsoft管【guǎn】理【lǐ】中心中【zhōng】创建【jiàn】组，可以在Azure AD（AAD）中创建组，也【yě】可【kě】以在Intune中【zhōng】创【chuàng】建组【zǔ】！ 如果【guǒ】已经有一个现有的【de】组，那么也【yě】可以【yǐ】直【zhí】接利用。

我们在这里就创建一个名为DBS的组

注意我们的【de】Group Type要选【xuǎn】择Security，Membership选【xuǎn】择Dynamic Device，然【rán】后【hòu】选择add dynamic query，都按我图中的填写

如果你都填写【xiě】正确的话【huà】，那么下面syntax内容应该【gāi】是类似(device.deviceOSType -contains “Windows”) and (device.deviceOSVersion -match “[10][.][0][.]1713[9-22]|171[9-22]d|17[9-22]d{2}|1[9-22]d{3}|[9-22]d{4}|d{6,}”)

然后我们保存创建即可

上面的数值有点复杂【zá】，但对【duì】于帮助我们引入【rù】Windows 10 1803及更高版本的【de】所有设备而言【yán】是必不可少【shǎo】的【de】。 在AAD中，动态查询是使用字符串【chuàn】创【chuàng】建的。 因此，运算符“ <”和“>”不起作用。我【wǒ】们引入【rù】所有Windows设备1803及更【gèng】高版本，因为这是【shì】DBS可以使【shǐ】用【yòng】的先决条件。 如【rú】果【guǒ】仅保留【liú】OSVersion，则可能会拉出我们不想使用的其他设备【bèi】，例如iOS和Android设备。 创建后【hòu】，根据AAD中符合条【tiáo】件的设备数量，可【kě】能【néng】需要一些时间才能填充。 如果还没有AAD加【jiā】入【rù】的计【jì】算机，则您的组将【jiāng】不会填充任何东西【xī】。

4.将许可证分配给DBS组

进入订阅界面，选择Assign licenses

然后选择Assign licenses to a group

然后选择Assign分配

5.配置Microsoft 365 Apps以使用【yòng】device的许【xǔ】可

我们有两【liǎng】种方法可【kě】以【yǐ】配置【zhì】Microsoft 365应用程序以使用新的device的许可。 我们可以使【shǐ】用Office部署工具（这是说我们【men】将要使用configuration.xml的一种很好的【de】方式【shì】），也可以使用【yòng】组策略【luè】/ MDM。 接下【xià】来【lái】将展示configuration.xml方法。

我们需要下载Office Customization Tool

这是【shì】一种新的office部署工具，它与【yǔ】我们【men】在【zài】部署【shǔ】旧【jiù】的批量许【xǔ】可的基于【yú】MSI的Office安装【zhuāng】（2010/2013/2016）时使用的Office自定义工具不【bú】同。 通过使用XML格式的配置文件而不是自定义的.msp安装程序【xù】，此新版【bǎn】本可【kě】以联机且更智能化【huà】。 我们将【jiāng】使用它【tā】来定义我们的【de】configuration.xml，但这不是【shì】必要的。 如【rú】果对配【pèi】置【zhì】文【wén】件和预期行为的特定属性【xìng】或元素有疑问，请参考Microsoft官【guān】方文档以手工编辑configuration.xml或做出更【gèng】合适的决定。

1.访问https://config.office.com

2.登录帐号

3.选择Customization

4.然后点create创建一个xml文件并且起一个名字

在版本界面建议选择64位，32位我没有尝试

在product界面选择Microsoft 365 Apps，visio和project理【lǐ】论也可【kě】以，但是【shì】我没有尝试【shì】

Update channel根据你的【de】要求选择就可【kě】以，可【kě】以月度更新，也【yě】可以【yǐ】半年度【dù】更新，然后选择你需要的【de】版本

接下是选择【zé】应用，这里建【jiàn】议取消OneDrive (Groove) 和onenote，因【yīn】为这两【liǎng】个程序都是破旧而且要被剔除office更新【xīn】序列【liè】的程【chéng】序【xù】

语言界面选择你需要的语言就可以，我默认选择英语

在【zài】Installation界面，可以选择你【nǐ】所在的地区【qū】，或者【zhě】直接根据CDN来【lái】判断你【nǐ】在【zài】的位置【zhì】保证下【xià】载速度，推荐使用【yòng】CDN就可以，微软的office更新在CDN方面遍布全球，速度非常快

更新界面下按照你的需求选择就可以

Licensing and activation界面是【shì】部署DBS的【de】关键所在

我们要先选择接受EULA

然【rán】后在Product Activation界面选【xuǎn】择Device based

然后我们选择成功后下载xml文件即可

然后我们用记事本打开你的文件

会发现上面有一处<Property Name=“DeviceBasedLicensing” Value=“1” />

这会在安装【zhuāng】时，将你的注册表【biǎo】文【wén】件HKLMSOFTWAREMicrosoftOfficeClickToRunConfigurationO365ProPlusRetail.DeviceBasedLicensing数值改成【chéng】1

至此，所有前期准备部署过程已经完备

四.部署Microsoft 365 Apps

有许多方法可以【yǐ】部署【shǔ】Microsoft 365应【yīng】用程序。 我将重点介绍如何通过Microsoft Endpoint Manager（ConfigMgr和Intune）进【jìn】行操作，这将简化Office的部署过程。

ConfigMgr Deployment

许【xǔ】多教育机【jī】构都使用ConfigMgr作为其主要设【shè】备管理解【jiě】决方案。 要将具有【yǒu】基【jī】于设备的许可的Microsoft 365 Apps部署到客户端，请遵循以下【xià】说【shuō】明【míng】。

“如果您希望在部署后使【shǐ】用ConfigMgr来管理Microsoft 365 Apps更新，请确保确认您选【xuǎn】择了希望更新【xīn】来自Configuration Manager中【zhōng】的【de】Configuration Manager。 将【jiāng】属性值改为OfficeMgmtCOM =“ True”

打开ConfigMgr控制台，选择Software Library, Office 365 Client Management, 点【diǎn】击Office 365 Installer

输入你的应用程序名，简介，和内容所在的位置

选择【zé】next，然后在Office Customization Tool界面，因为【wéi】我【wǒ】们之前【qián】已经有了xml文件，所【suǒ】以【yǐ】直【zhí】接选择导入然后预览

然后点击next，可以选择是否部署应【yīng】用程序。 如果【guǒ】熟【shú】悉ConfigMgr，可以【yǐ】像往常一样选择设【shè】备的【de】目标集【jí】合（但【dàn】请确保其设备与我【wǒ】们之前【qián】创【chuàng】建【jiàn】的AAD组中许【xǔ】可的设备相同！）。 如果【guǒ】需要熟悉在ConfigMgr中的应用程序部署，请参考：https://docs.microsoft.com/en-us/configmgr/apps/deploy-use/deploy-applications

稍等一会，ConfigMgr就会创【chuàng】建完【wán】文【wén】件目录，大【dà】概如下图所示

确【què】保使用的是最新版本的【de】ConfigMgr，要知道从1602版【bǎn】开始，ConfigMgr团队引入了一种新【xīn】方法来帮助管理Microsoft 365 Apps Client更【gèng】新。 Office 365客户端管【guǎn】理节点【diǎn】现在为您的Microsoft 365 Apps客【kè】户端提供控【kòng】制台内视【shì】图。 借助图表和图形可以使用【yòng】户满意，而且可以快速查看环境【jìng】中Microsoft 365 Apps客户端的状态。参【cān】考：https://docs.microsoft.com/zh-cn/sccm/sum/deploy-use/manage-office-365-proplus-updates

下面，将展示最终的效果，以验证我们的配置和部署是否正常运行。

Intune

我们还可以使用Intune部署具有基于【yú】设【shè】备的许可的Microsoft 365 Apps。 这对于完整的AAD连【lián】接的计算机【jī】很有【yǒu】用，但对【duì】于共同管理的Hybrid AAD连接的计算【suàn】机【jī】也很有用【yòng】。

1.打开Microsoft Endpoint Manager管理【lǐ】中心【xīn】

2.在apps，all app处选【xuǎn】择add，然后在【zài】add type界面【miàn】选择windows10和office365 suite

3.现在，可以选择使【shǐ】用Configuration designer或在“设置”格式【shì】下【xià】输入【rù】XML数据。Configuration designer非常好【hǎo】，但是在撰写本文时，基于设备的【de】许可证【zhèng】选项【xiàng】尚未在UI中公开。 目前，由于我们已经【jīng】创建了XML，因此【cǐ】我们将【jiāng】继【jì】续输入XML数据

4.输入XML数据后【hòu】，将XML内容从XML复制并【bìng】粘贴到配置文件【jiàn】文本中

5.点击OK后【hòu】选【xuǎn】择add，会进入刚创建【jiàn】的应【yīng】用程序【xù】的“概述”页面。 现在，我们需要将应用【yòng】程序分【fèn】配给一【yī】组设备。单击分配。

6.点击【jī】添加组，选择Assignment type，选择require强【qiáng】制，然【rán】后在选择组界【jiè】面，选择你要分配【pèi】的组

7.点击下一步然后保存即可

其余第三方工具

如【rú】果【guǒ】使用其他【tā】部署技术，则必须依靠【kào】使用Office部署【shǔ】工【gōng】具包，下载【zǎi】setup.exe并使用【yòng】/configure选项来引用【yòng】您的【de】configuration.xml。 Setup.exe将下载必要【yào】的位置，并允许打包应【yīng】用程序并使用通常使用的【de】管理【lǐ】工具来部署应用程序。参考：

Overview of the Office Deployment Tool
Configuration options for the Office Deployment Tool

五.测试部署和最终用户体验

至此【cǐ】，我们【men】已经准备好了部署【shǔ】条【tiáo】件，按照【zhào】自己的喜好配置了【le】Office安装，并根据首选的部【bù】署技术【shù】创【chuàng】建【jiàn】了【le】部署【shǔ】，现在【zài】是时候测试安装并验证最终用户体验是我们所需要的。

此【cǐ】时安装Office会发生【shēng】什么情况，即在安装客户【hù】端【duān】时【shí】，将写入正确的注册表【biǎo】项，该注册【cè】表项将指示Office Licensing Service与设备所加【jiā】入的【de】特【tè】定用户联系，以查【chá】找有效【xiào】的许可证。它的组成【chéng】员身份【fèn】。如果找【zhǎo】到有效的【de】许【xǔ】可证，它将通过OLS将【jiāng】该信息传【chuán】递回设备，并将【jiāng】客户端注册到“此设备”，我们在启动Office客户端【duān】并查看注册所有者【zhě】时将看【kàn】到该许【xǔ】可【kě】证。这是一【yī】个非常复杂的过程。

看到【dào】Office已成功安装后，让我们检查【chá】注册表以查【chá】看密钥是【shì】否存在。果然，根据配置，存在【zài】DeviceBasedLicensing密钥并将【jiāng】其【qí】设置为值“ 1”。

我们现在打开office客户端，点击账户，会看到从属于此设备

六.OSD怎么样

我经常【cháng】听【tīng】到这个【gè】问题【tí】。我建议看【kàn】一下Autopilot，以了解将来的Windows部署【shǔ】需求，因为我【wǒ】们可以直接加入【rù】AAD部署设备【bèi】。

DBS的【de】诀窍是，我【wǒ】们必须在部署后【hòu】及时【shí】将【jiāng】设备记录到AAD中，以便许可证在第一个登录【lù】该【gāi】设备的用户【hù】启动【dòng】Office产品之前生效。如果Microsoft 365 Apps客户端在使用【yòng】前【qián】未获得适当【dāng】的许可【kě】，则最终用户将处于“缩【suō】减功能”模式。

如果您【nín】是【shì】首次测试HAADJ，并且在【zài】完成安装后的【de】30分钟内【nèi】登【dēng】录【lù】（无论【lùn】是【shì】否使【shǐ】用SCCM），则很可能【néng】会遇到设备未进行【háng】HAADJ的状态。如果您安【ān】装并让设【shè】备等了【le】一会儿（30分钟【zhōng】以【yǐ】上）然后登录，则连【lián】接很可能【néng】会成功。这【zhè】是【shì】因【yīn】为在【zài】用户登录时或在触发用【yòng】户设备注册事件ID 4096时触发了Microsoft> Windows> Workplace Join>自动设【shè】备连接计划任务，我不知道何时触发这个过【guò】程【chéng】。如【rú】果在AAD connect有机会同【tóng】步计算机【jī】对象之【zhī】前登录，则将无限期等待。此时最好注销登【dēng】录。在大多数情况下，这应该不成问题，因为一旦设备域加入【rù】HAADJ进程就【jiù】排【pái】队了，并等待【dài】AAD连接同步。正【zhèng】常登录的【de】用户将在为新设备安【ān】装后30分钟后【hòu】登【dēng】录。另外请注【zhù】意，这种延迟确实发生【shēng】在没有在AAD中记录【lù】设备的新设备上。

七.如何从DBA迁移到DBS

如果您当前正在使用Microsoft 365 with DBA，则不需要【yào】重新安装【zhuāng】Microsoft 365应用程序【xù】！

只要设【shè】备满足先决【jué】条【tiáo】件（Win10 1803或更高版本，安【ān】装的【de】Microsoft 365 Apps是1907或更高版本，并【bìng】且该设备已加【jiā】入Hybrid AAD或已加入完整AAD），那么就可【kě】以使用【yòng】了【le】。 只需【xū】添【tiān】加【jiā】简单的注册表项，即可将当前Office安装从基于用户【hù】的（实际上是DBA）转移到基于新设备和真正【zhèng】的DBS设备，而对最【zuì】终用户没有影响。

我们可【kě】以通过使用用于【yú】部署reg密钥更改的【de】组【zǔ】策【cè】略方法【fǎ】来实现此目的，或者可以将配置项与ConfigMgr一【yī】起使用来【lái】设置密【mì】钥。 根据官方文件请【qǐng】注【zhù】意：

若要【yào】使用此【cǐ】策略设【shè】置，请【qǐng】从Microsoft下载中心下载适用于Microsoft 365应用程序的管理模板文【wén】件【jiàn】（ADMX / ADML）的版本【běn】4909.1000（或【huò】更高版本）。 版【bǎn】本4909.1000已于9-22发布。

您可以利【lì】用管【guǎn】理模板中的“对Microsoft 365应【yīng】用程序使用【yòng】基于设【shè】备【bèi】的许【xǔ】可【kě】证”策略设置来设置适当【dāng】的注【zhù】册表项。 可【kě】以在“计算机配【pèi】置策【cè】略管理【lǐ】模板 Microsoft Office 2016（计算机）许可设置【zhì】”下找到此策略设置。 相关的注册表项是HKLM SOFTWARE Microsoft Office ClickToRun Configuration O365ProPlusRetail.DeviceBasedLicensing，其值为“ 1”。

注意：部署注册表项并生【shēng】效后【hòu】，如【rú】果您具有【yǒu】用户激活的Microsoft 365 Apps客户端【duān】，则仍会【huì】消耗用【yòng】户许可证。 最终【zhōng】用户将需要【yào】通过其O365门【mén】户【hù】登录名取消以其名称激活的任何设备【bèi】的许可证，以收回该许可【kě】证。

八.MacOS怎么样？

DBS不支持【chí】MAC OS设备，目【mù】前，将【jiāng】MAC OS加入【rù】到AAD有【yǒu】限【xiàn】制，可以选【xuǎn】择将MAC OS设备加入动态组中来获取的准确的许【xǔ】可证

九.参考

New and flexible way to use Microsoft 365 Apps on your shared devices

https://myignite.techcommunity.microsoft.com/sessions/81656?source=sessions

PointDrive of curated Microsoft 365 Apps DBS Resources

https://aka.ms/officedbsinfo

Troubleshooting device-based licensing for Microsoft 365 Apps

https://docs.microsoft.com/en-us/deployoffice/device-based-licensing#troubleshoot-device-based-licensing-for-office-365-proplus

Microsoft Office 365 ProPlus Device Based Subscription Activation for UI IT Pros

https://webstore.illinois.edu/shop/product.aspx?zpid=3887