Идентификация, проверка подлинности и авторизация в Office 2016
Сводка: Описание проверки подлинности Office 2016, типов входа и использования параметров реестра для определения удостоверений пользователей, предлагаемых при входе пользователя.
Приложения Office используются как для бизнес-, так и для непредприятий. В течение дня пользователь может использовать Excel для анализа номеров продаж мини-приложений за 2-й квартал, разбивая их на каждый день. К ночам, тот же человек может переключиться на хруст статистики Кубка мира в Excel. Аналогичным образом, они могут использовать Word для составления спецификаций продуктов в рабочее время, а затем перейти к написанию коротких рассказов в свободное время. Office — это универсальный инструмент, используемый пользователями в разных ролях. Для этого Office 2016 позволяет пользователям выполнять вход с помощью двух отдельных удостоверений:
Учетная запись Майкрософт, которую большинство пользователей используют для личных дел.
Идентификатор организации, назначенный корпорацией Майкрософт, который большинство пользователей используют при выполнении работы в организации, например в организации, благотворительной организации или учебном заведении.
Учетные данные, используемые для входа, распознаются как личные или организационные. Это удостоверение входа становится "домашней областью" пользователя и определяет, к каким документам у пользователя есть доступ в SharePoint, OneDrive или службах Office 365 для определенного сеанса. Каждое уникальное удостоверение входа сохраняется в списке недавно использовавшихся, чтобы было легко переключаться между удостоверениями, не выходя из интерфейса Office.
Для удобства пользователи могут подключить веб-службу документов к своим удостоверениям для удобства доступа. Например, личный OneDrive можно подключить к удостоверению организации, чтобы получить доступ к личным документам на работе или в учебном заведении без смены удостоверений. Кроме того, когда пользователь проходит проверку подлинности с помощью удостоверения, эта проверка подлинности действительна для всех приложений Office, а не только для приложения, в которое он выполнил вход.
Хорошая новость заключается в том, что все эти функции работают только для пользователей, по умолчанию и из коробки.
Протоколы проверки подлинности Office
В Office пользователи проходят проверку подлинности с помощью Forms-Based проверки подлинности (FBA), встроенной проверки подлинности Windows (WIA) или проверки подлинности Passport Server Side Include (SSI), также известной как "Passport Tweener". В Office 2016 по-прежнему можно использовать FBA или WIA, но вместо SSI теперь используется новая открытая стандартная открытая авторизация на основе маркеров 2.0 (OAuth 2.0). Общие сведения о протоколах проверки подлинности, которые можно использовать с Office, см. в следующей таблице.
Протоколы проверки подлинности Office
| Версия Клиентского Office | Протокол проверки подлинности | Сервер |
|---|---|---|
| Office 2010, Office 2013, Office 2016 |
Проверка подлинности на основе форм (FBA). Проверка подлинности на основе форм использует перенаправление на стороне клиента, чтобы направить непроверенных пользователей в HTML-форму, где они вводят свои учетные данные. После проверки учетных данных пользователи перенаправляются к запрошенным ими ресурсам. |
SharePoint Online |
| Office 2010, Office 2013, Office 2016 |
Встроенная проверка подлинности Windows (WIA). Это согласовывается, как в случае с протоколом Kerberos или NTLM. В этом сценарии проверку подлинности обеспечивает операционная система. |
SharePoint 2010, SharePoint 2013, SharePoint 2016 |
| Office 2010, Office 2013, Office 2016 |
Проверка подлинности SSI (или Passport Tweener). Когда пользователь предоставляет учетные данные Windows Live ID или учетную запись Майкрософт, служба Windows Live ID возвращает паспорт "билет", который клиент использует для доступа к службам Windows Live. |
OneDrive |
| Office 2013, Office 2016 |
Открытая проверка подлинности 2.0 (OAuth 2.0). OAuth 2.0 предоставляет временную проверку подлинности на основе перенаправления. Пользователь или веб-приложение, действующее на стороне пользователя, может запросить временный доступ к определенным сетевым ресурсам у владельца ресурса. Дополнительные сведения см. в разделе OAuth 2.0. |
OneDrive |
| Office 2013, Office 2016 |
Помощник по входу в Microsoft Online Services. Помощник по Sign-In Microsoft Online Services предоставляет возможности входа пользователей в Microsoft Online Services, например Office 365. Дополнительные сведения о Помощнике по входу в Microsoft Online Services и ИТ-специалистах см. в статье Microsoft Online Services Sign-In Assistant для ИТ-специалистов RTW. Скачивание предназначено для распространения в управляемые клиентские системы в рамках развертывания клиента Office 365 с использованием Microsoft Configuration Manager или аналогичных систем распространения программного обеспечения. |
Службы Office 365 |
Типы входа в Office 2016
Office 2016 поддерживает два типа входа для пользователей: учетную запись Майкрософт или идентификатор организации, назначенный корпорацией Майкрософт.
Учетная запись Майкрософт (отдельная учетная запись пользователя). Эта учетная запись, ранее называемая Идентификатором Майкрософт, — это учетные данные, необходимые пользователям для проверки подлинности в сети Майкрософт. Он используется для личных или нерабочих задач, таких как добровольческая работа. Чтобы создать учетную запись Майкрософт, пользователь предоставляет имя пользователя и пароль, определенные демографические данные и "доказательства учетной записи", например альтернативный адрес электронной почты или номер телефона.
Идентификатор организации, назначаемый Майкрософт, или идентификатор учетной записи Office 365, назначаемый Майкрософт. Эта учетная запись создается для коммерческого использования. Учетная запись Office 365 может иметь один из трех типов: идентификатор чистого Office 365, идентификатор Active Directory или идентификатор службы федерации Active Directory (AD FS).
идентификатор Office 365. Идентификатор Office 365 создается, когда администратор настраивает домен Office 365 и принимает форму <user>@<org.onmicrosoft.com>, например:
sally@contoso.onmicrosoft.com
Идентификатор организации, назначенный корпорацией Майкрософт, который проверяется на соответствие идентификатору Active Directory пользователя.
Во-первых, пользователь, у которого есть [локальный домен]\<учетная запись пользователя> , пытается получить доступ к ресурсам организации.
Затем ресурс запрашивает у пользователя проверку подлинности.
Далее пользователь вводит имя пользователя организации и пароль.
Наконец, это имя пользователя и пароль проверяются на соответствие базе данных AD организации, выполняется проверка подлинности пользователя, и он получает доступ к запрошенному ресурсу.
- Идентификатор организации, назначенный корпорацией Майкрософт и проверенный на соответствие идентификатору службы федерации Active Directory (AD FS) пользователя (AD FS).
Сначала пользователь, имеющий учетную запись org.onmicrosoft.com, пытается получить доступ к ресурсам организации-партнера.
Затем ресурс запрашивает у пользователя проверку подлинности.
Далее пользователь вводит имя пользователя организации и пароль.
Затем это имя пользователя и пароль проверяются в базе данных AD DS организации.
Наконец, это же имя пользователя и пароль передаются в федеративную базу данных AD DS партнера, пользователь проходит проверку подлинности и получает доступ к запрошенному ресурсу.
Для локальных ресурсов Office 2016 использует имя пользователя домен\псевдоним для проверки подлинности. Для федеративных ресурсов Office 2016 использует alias@org.onmicrosoft.com имя пользователя для проверки подлинности.
Использование параметров реестра для определения типов идентификаторов, которые следует предложить пользователю при входе
По умолчанию в Office 2016 настроены разделы реестра. Эти ключи отображают идентификатор учетной записи Майкрософт и идентификатор организации, назначенный корпорацией Майкрософт, когда пользователь пытается получить доступ к ресурсу Office 2016. Но вы можете изменить этот параметр таким образом, чтобы отображалась только учетная запись Майкрософт, идентификатор организации или ни один из этих параметров. Этот параметр изменяется в реестре компьютера.
Изменение типов входа в Office 2016, предлагаемых пользователю
В редакторе реестра перейдите в следующий раздел:
HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Common\SignIn\SignInOptions
Установите для SignInOptions одно из значений из следующей таблицы. Тип параметра SignInOptions — DWORD.
Настройки SignInOptions
| Значение SignInOptions | Смысл значения | Результат |
|---|---|---|
|
0 |
Учетная запись Майкрософт или идентификатор организации |
Пользователи могут войти для доступа к содержимому Office с помощью учетной записи Майкрософт или учетной записи, назначенной их организацией. |
|
1 |
Только учетная запись Майкрософт |
Пользователи могут входить только с помощью учетной записи Майкрософт. |
|
2 |
Только идентификатор организации |
Пользователи должны войти с идентификатором пользователя, назначенным их организацией. Они могут использовать идентификатор пользователя в Microsoft Entra ID или идентификатор пользователя в доменные службы Active Directory (AD DS) на Windows Server. |
|
3 |
Только AD DS |
Входить можно только с помощью идентификатора пользователя для доменных служб Active Directory (AD DS) в системе Windows Server. |
|
4 |
Не разрешен ни один |
Пользователи не могут войти ни с одним идентификатором. |
Если параметр Блокировать вход в Office отключен или не настроен, значение по умолчанию равно 0. Это означает, что пользователи могут выполнять вход с помощью учетной записи Майкрософт или учетной записи, назначенной вашей организацией.
Использование параметра реестра, чтобы запретить пользователю подключаться к ресурсам Office 2016 в Интернете
По умолчанию Office 2016 предоставляет пользователям доступ к файлам Office 2016, которые находятся в Интернете. Этот параметр можно изменить таким образом, чтобы пользователь не мог видеть эти ресурсы.
Разрешение или запрет доступа пользователя к интернет-ресурсам Office 2016
В редакторе реестра перейдите в следующий раздел:
Computer\HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Common\Internet\UseOnlineContent
Задайте для параметра UseOnlineContent одно из следующих значений:
Значения UseOnlineContent в Office 2016
| Значение UseOnlineContent | Тип значения | Описание |
|---|---|---|
| 0 |
DWORD |
Не разрешайте пользователям доступ к ресурсам Office 2016 в Интернете. |
| 1 |
DWORD |
Разрешить пользователю согласиться на доступ к ресурсам Office 2016 в Интернете. |
| 2 |
DWORD |
(по умолчанию) Позволяет пользователю получать доступ к ресурсам Office 2016 в Интернете. |
Удаление профиля Office и учетных данных, связанных с удаленным удостоверением входа
Когда пользователь входит в приложение Office, используя идентификатор учетной записи Майкрософт или идентификатор организации, система создает соответствующий профиль Office и учетные данные для этого удостоверения в реестре. Страница входа предоставляет пользователю возможность удалить это удостоверение. Этот параметр находится непосредственно под полем "Не ваше имя?". вопрос, рядом с аватаром пользователя или фотографией и именем. Если пользователи решили удалить один из параметров удостоверений, он удаляется со страницы входа. Однако соответствующий профиль Office и учетные данные остаются в кэше в течение короткого времени. Если хранение сведений в кэше создает угрозу безопасности, например, когда пользователь покидает организацию, немедленно удалите этот параметр профиля Office из реестра.
Удаление профиля Office, который может оставаться в кэше
В редакторе реестра перейдите в следующий раздел:
HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Common\Identity\Identities
Выберите профиль Office, который нужно удалить, и нажмите кнопку Удалить.
Из куста удостоверений перейдите в узел профилей, выберите тот же идентификатор, откройте контекстное меню (щелкнув правой кнопкой мыши) и выберите команду Удалить.