Поделиться через


Обзор удостоверения, проверки подлинности и авторизации в Office 2013

 

Применимо к: Office 2013, Office 365 ProPlus

Последнее изменение раздела: 2018-01-27

Сводка. Описание проверки подлинности, типов входа и использования параметров реестра для определения удостоверений пользователей, предлагаемых при входе пользователя, в Office 2013.

Аудитория: ИТ-специалисты

Многие разделы данной статьи основаны на удостоверение и проверка подлинности в Office 2013 плакат, которые можно загрузить из центра загрузки.

Эскиз плаката: удостоверение и проверка подлинности

В новом Office приложения Office используются как в коммерческих, так и в некоммерческих действиях. Пользователь может с помощью Excel обрабатывать цифры продаж мини-приложений Q2 днем и статистику чемпионата мира ночью, или с помощью Word писать спецификации продуктов днем и короткие рассказы ночью. Поскольку Office является инструментом, используемым одними и теми же лицами в двух разных ролях, новый Office предлагает два удостоверения, с которыми пользователи могут входить в Office 2013:

  • учетную запись Майкрософт, которую большинство использует для личных дел;

  • идентификатор организации, назначаемый Майкрософт, который в основном используется при работе для организации, такой как коммерческое предприятие, благотворительная организация или учебное заведение.

Учетные данные, используемые для входа, распознаются как личные или организационные. Такое удостоверение для входа становится "домашней областью" пользователя и определяет, к каким документам пользователь имеет доступ в SharePoint, OneDrive или в службах Office 365 в конкретном сеансе. Каждое уникальное удостоверение сохраняется в списке последних использовавшихся, чтобы можно было легко переключаться между удостоверениями без выхода из Office.

Для дополнительного удобства пользователи могут подключать к своим удостоверениям веб-службу документов для обеспечения простого доступа. Например, личную службу OneDrive можно подключить к удостоверению организации, чтобы получать доступ к личным документам на работе или в учебном заведении даже без переключения удостоверений. Кроме того, когда проходит проверка подлинности пользователя с помощью удостоверения, она действительна для всех приложений Office, а не только для того, в которое входит пользователь.

Хорошо то, что все это работает для пользователей по умолчанию и на совершенно новом уровне.

Важно Важно!
Эта статья входит в состав набора План идентификации, проверки подлинности и авторизации в Office 2013 для ИТ-специалистов. Используйте этот обзор в качестве начального этапа для поиска статей, загружаемых файлов, сценариев и видеозаписей, помогающих оценить удостоверение Office 2013.
Ищете справку по отдельным приложениям Office 2013? Вы можете найти эти сведения на веб-сайте Office.com.

В этой статье

  • Протоколы проверки подлинности Office

  • Использование параметров реестра для определения типов идентификаторов, предлагаемых пользователю при входе

  • Использование параметров реестра для запрета подключения пользователей к ресурсам Office 2013 в Интернете

  • Удаление профиля Office и учетных данных, связанных с удаленным удостоверением для входа

Протоколы проверки подлинности Office

В Office 2010 пользователи проверяются с помощью проверки подлинности на основе форм (FBA), встроенной проверки подлинности Windows (WIA) или проверки подлинности с включением паспорта на стороне сервера (SSI), которая также называется "Passport Tweener". В Office 2013 еще можно использовать FBA или WIA, но вместо SSI теперь применяется новый открытый стандарт, открытая проверка подлинности на основе маркеров версии 2.0 (OAuth 2.0). В следующей таблице содержится обзор протоколов проверки подлинности, которые могут использоваться в Office, включая Office 2013.

Протоколы проверки подлинности Office

Версия клиента Office Протокол проверки подлинности Сервер

Office 2010, Office 2013

Проверка подлинности на основе форм (FBA). Проверка подлинности на основе форм использует перенаправление на стороне клиента, чтобы направить непроверенных пользователей в HTML-форму, где они вводят свои учетные данные. После проверки учетных данных пользователи перенаправляются к запрошенным ими ресурсам.

SharePoint Online

Office 2010, Office 2013

Встроенная проверка подлинности Windows (WIA). Это согласовывается, как в случае с протоколом Kerberos или NTLM. В этом сценарии проверку подлинности обеспечивает операционная система.

SharePoint 2010, SharePoint 2013

Office 2010, Office 2013

Проверка подлинности SSI (или Passport Tweener). Когда пользователь предоставляет учетные данные Windows Live ID или учетную запись Майкрософт, служба Windows Live ID возвращает паспортный "билет", используемый клиентом для доступа к службам Windows Live.

OneDrive

Office 2013

Открытая проверка подлинности 2.0 (OAuth 2.0). OAuth 2.0 предоставляет временную проверку подлинности на основе перенаправления. Пользователь или веб-приложение, действующее на стороне пользователя, может запросить временный доступ к определенным сетевым ресурсам у владельца ресурса. Дополнительные сведения см. в статье, посвященной OAuth 2.0.

OneDrive

Office 2013

Помощник по входу в Microsoft Online Services. Помощник по входу в Microsoft Online Services предоставляет конечному пользователю возможности входа в Microsoft Online Services, например в Office 365. Дополнительные сведения о помощнике по входу в Microsoft Online Services для ИТ-специалистов см. в статье Помощник по входу в Microsoft Online Services для ИТ-специалистов, RTW. Загрузка предназначается для распространения в управляемых клиентских системах в качестве части развертывания клиента Office 365 с помощью диспетчера Диспетчер конфигураций System Center (SCCM) или аналогичных систем распространения программного обеспечения.

Службы Office 365 (для SharePoint Online 2013, Excel Online 2013 и Lync Online 2013)

Типы входа в Office 2013

При входе пользователей в Office 2013 поддерживается два типа входа, учетная запись Майкрософт и идентификатор организации, назначаемый Майкрософт.

Учетная запись Майкрософт (личная учетная запись пользователя). Эта учетная запись, ранее известная как Идентификатор Microsoft ID, представляет учетные данные, с помощью которых выполняется проверка подлинности пользователей в сети Майкрософт, и часто используется для личной или некоммерческой работы, такой как работа на общественных началах. Для создания учетной записи Майкрософт пользователь предоставляет имя и пароль пользователя, определенные демографические сведения и средства защиты учетной записи, такие как дополнительный адрес электронной почты или номер телефона. Дополнительные сведения о новой учетной записи Майкрософт см. в статье Что такое учетная запись Майкрософт?.

Идентификатор организации, назначаемый Майкрософт, или идентификатор учетной записи Office 365, назначаемый Майкрософт. Эта учетная запись создается для коммерческого использования. Учетная запись Office 365 может иметь один из трех типов: чистый идентификатор Office 365, идентификатор Active Directory или идентификатор служб федерации Active Directory. Эти типы описываются ниже.

  • Идентификатор Office 365. Этот идентификатор создается, когда администратор устанавливает домен Office 365, и имеет вид <пользователь>@<организация>.onmicrosoft.com, например:

    sally@contoso.onmicrosoft.com

  • Идентификатор организации, который назначается Майкрософт и проверяется на соответствие пользовательскому идентификатору Active Directory. Идентификатор организации, который назначается Майкрософт и проверяется на соответствие Active Directory следующим образом.

    1. Сначала пользователь, имеющий учетную запись [локальный домен]\<пользователь>, пытается получить доступ к ресурсам организации.

    2. Затем ресурс запрашивает у пользователя проверку подлинности.

    3. Далее пользователь вводит имя пользователя организации и пароль.

    4. Наконец, это имя пользователя и пароль проверяются на соответствие базе данных AD организации, выполняется проверка подлинности пользователя, и он получает доступ к запрошенному ресурсу.

  • Идентификатор организации, который назначается Майкрософт и проверяется на соответствие идентификатору служб федерации Active Directory. Идентификатор организации, который назначается Майкрософт и проверяется на соответствие идентификатору служб федерации Active Directory (ADFS) следующим образом.

    1. Сначала пользователь, имеющий учетную запись org.onmicrosoft.com, пытается получить доступ к ресурсам организации-партнера.

    2. Затем ресурс запрашивает у пользователя проверку подлинности.

    3. Далее пользователь вводит имя пользователя организации и пароль.

    4. Далее это имя пользователя и пароль проверяются на соответствие базе данных AD организации.

    5. Наконец, это имя пользователя и пароль передаются в федеративную базу данных AD партнера, выполняется проверка подлинности пользователя, и он получает доступ к запрошенному ресурсу.

Для локальных ресурсов Office 2013 использует для проверки подлинности имя пользователя домен\псевдоним. Для федеративных ресурсов Office 2013 использует для проверки подлинности имя пользователя псевдоним@организация.onmicrosoft.com.

Использование параметров реестра для определения типов идентификаторов, предлагаемых пользователю при входе

По умолчанию при попытке пользователя получить доступ к ресурсу Office 2013 Office 2013 включает разделы реестра, которые настроены для отображения пользовательского идентификатора учетной записи Майкрософт или идентификатора организации, назначенного Майкрософт. Но вы можете изменить это, например, чтобы отображалась только учетная запись Майкрософт, или только идентификатор организации, или ни то, ни другое. Этот параметр изменяется в реестре компьютера.

Изменение типов входа в Office 2013, предлагаемых пользователю

  1. В редакторе реестра перейдите в следующий раздел:

    HKEY_CURRENT_USER\Software\Microsoft\Office\15.0\Common\SignIn\SignInOptions

  2. Установите для SignInOptions одно из значений из следующей таблицы. Тип параметра SignInOptions — DWORD.

    Настройки SignInOptions

    Значение SignInOptions Смысл значения Результат

    0

    Учетная запись Майкрософт или идентификатор организации

    Пользователи могут войти и получить доступ к контенту Office с помощью своей учетной записи Майкрософт или учетной записи, назначенной организацией.

    1

    Только учетная запись Майкрософт

    Пользователи могут входить только с помощью учетной записи Майкрософт.

    2

    Только идентификатор организации

    Пользователи могут входить только с помощью идентификатора, назначенного организацией. Это может быть идентификатор пользователя либо для Azure Active Directory, либо для доменных служб Active Directory (AD DS) в системе Windows Server.

    3

    Только AD DS

    Входить можно только с помощью идентификатора пользователя для доменных служб Active Directory (AD DS) в системе Windows Server.

    4

    Не разрешен ни один

    Пользователи не могут войти ни с одним идентификатором.

    Если отключить или не настроить параметр Заблокировать вход в Office, то по умолчанию используется значение 0, которое означает, что пользователи могут входить с помощью учетной записи Майкрософт или той, которая назначена им организацией.

Использование параметров реестра для запрета подключения пользователей к ресурсам Office 2013 в Интернете

По умолчанию Office 2013 предоставляет пользователям доступ к файлам Office 2013, размещенным в Интернете. Этот параметр можно изменить таким образом, чтобы пользователь не мог видеть эти ресурсы.

Разрешение или запрещение доступа пользователя к ресурсам Office 2013 в Интернете

  1. В редакторе реестра перейдите в следующий раздел:

    Computer\HKEY_CURRENT_USER\Software\Microsoft\Office\15.0\Common\Internet\UseOnlineContent

  2. Установите для UseOnlineContent одно из следующих значений.

    Значения UseOnlineContent Office 2013

    Значение UseOnlineContent Тип значения Описание

    0

    DWORD

    Не разрешает пользователю доступ к ресурсам Office 2013 в Интернете.

    1

    DWORD

    Разрешает пользователю соглашаться на доступ к ресурсам Office 2013 в Интернете.

    2

    DWORD

    (Значение по умолчанию.) Разрешает пользователю доступ к ресурсам Office 2013 в Интернете.

Удаление профиля Office и учетных данных, связанных с удаленным удостоверением для входа

Когда пользователь входит в приложение Office с помощью своего идентификатора учетной записи Майкрософт или с помощью идентификатора организации, в реестре создается соответствующий профиль Office и учетные данные для этого удостоверения. На странице для входа предусмотрена возможность удаления пользователем этого удостоверения чуть ниже вопроса &quot;Not user name?&quot; (Не имя пользователя?) рядом с аватаром или фотографией и именем пользователя. Если пользователь выбирает удалить один из вариантов удостоверений, он будет удален со страницы входа. Но соответствующий профиль Office и учетные данные в действительности останутся в кэше на короткое время. Если существует проблема безопасности, например, когда пользователь увольняется из организации, следует немедленно удалить настройку этого профиля Office из реестра. Для этого перейдите в профиль Office этого пользователя в реестре и удалите его.

Удаление профиля Office, который может оставаться в кэше

  1. В редакторе реестра перейдите в следующий раздел:

    HKEY_CURRENT_USER\Software\Microsoft\Office\15.0\Common\Identity\Identities

  2. Выберите профиль Office, который требуется удалить, а затем выберите команду Удалить.

  3. Из куста удостоверений перейдите в узел профилей, выберите тот же идентификатор, откройте контекстное меню (щелкнув правой кнопкой мыши) и выберите команду Удалить.

См. также

План идентификации, проверки подлинности и авторизации в Office 2013

Обзор системы безопасности Office 2013
Что такое учетная запись Майкрософт?
OAuth 2.0
Помощник по входу в Microsoft Online Services для ИТ-специалистов, RTW

dn151329(v=office.15).md