Sdílet prostřednictvím


Popis funkcí Microsoft 365

Správa uživatelských účtů

Microsoft podporuje následující metody vytváření, správy a ověřování uživatelů. Toto téma ale neobsahuje informace o funkcích zabezpečení, které povolují nebo zakazují přístup k jednotlivým prostředkům Microsoftu (například řízení přístupu na základě role v Microsoft Exchange Online nebo konfigurace zabezpečení v Microsoft Office SharePoint Online). Podrobnosti o těchto funkcích najdete v popisu služby Exchange Online a v popisu služby SharePoint Online. Pokud potřebujete informace o nástrojích, které vám můžou pomoct s prováděním úloh správy, přečtěte si téma Nástroje pro správu účtů Microsoft. Informace o provádění každodenních úloh správy najdete v tématu Běžné úlohy správy.

Potřebujete pomoct s přihlášením, instalací, odinstalací nebo zrušením předplatného? Získejte nápovědu k: Přihlášení | Instalace nebo odinstalace zrušení Office | Office 365

V případě jiných problémů navštivte centrum podpory Microsoftu. Pokud chcete získat podporu pro Office 365 provozované společností 21Vianet v Číně, obraťte se na tým podpory 21Vianet.

Možnosti přihlášení: Microsoft má dva systémy, které je možné použít pro identity uživatelů: pracovní nebo školní účet (cloudová identita) a federovaný účet (federovaná identita). Typ identity ovlivňuje uživatelské prostředí a možnosti správy uživatelských účtů, požadavky na hardware a software a další aspekty nasazení.

Pracovní nebo školní účet (cloudová identita) – uživatelé získají Microsoft Entra přihlašovací údaje ke cloudu – oddělené od jiných desktopových nebo firemních přihlašovacích údajů – pro přihlášení ke cloudovým službám Microsoftu. Toto je výchozí identita, která se doporučuje, aby se minimalizovala složitost nasazení. Hesla pro pracovní nebo školní účty používají zásady Microsoft Entra ID hesel.

Federovaný účet (federovaná identita) – U všech předplatných v organizacích s místní Active Directory, které používají jednotné přihlašování (SSO), se uživatelé můžou ke službám Microsoftu přihlašovat pomocí svých přihlašovacích údajů active directory. Podniková služba Active Directory ukládá a řídí zásady hesel. Informace o jednotném přihlašování najdete v tématu Plán jednotného přihlašování.

Jednotné přihlašování: V organizacích používajících jednotné přihlašování musí všichni uživatelé v doméně používat stejný systém identit: cloudovou identitu nebo federovanou identitu. Můžete mít například jednu skupinu uživatelů, kteří potřebují jenom cloudovou identitu, protože nemají přístup k místním systémům, a jinou skupinu uživatelů, kteří používají microsoft a místní systémy. Do Office 365 byste přidali dvě domény, například contractors.contoso.com a staff.contoso.com, a jednotné přihlašování byste nastavili jenom pro jednu z nich. Celou doménu je možné převést z cloudové identity na federovanou identitu nebo z federované identity na cloudovou identitu.

Autentizace: S výjimkou internetových webů pro anonymní přístup vytvořených pomocí SharePointu Online musí být uživatelé při přístupu ke službám Microsoftu ověřeni. Moderní ověřování, ověřování cloudové identity a ověřování federované identity. Microsoft používá ověřování založené na formulářích a ověřovací provoz v síti se vždy šifruje protokolem TLS/SSL pomocí portu 443. Ověřovací provoz využívá pro služby Microsoftu zanedbatelné procento šířky pásma.

Moderní ověřování – moderní ověřování přináší přihlašování založené na knihovně Microsoft Authentication Library ke klientským aplikacím Office napříč platformami. To umožňuje funkce přihlašování, jako je vícefaktorové ověřování (MFA), zprostředkovatelé identit třetích stran založené na SAML s klientskými aplikacemi Office a ověřování pomocí čipových karet a certifikátů. Také se tím odstraní potřeba, aby aplikace Microsoft Outlook používala protokol základního ověřování. Další informace, včetně dostupnosti moderního ověřování napříč aplikacemi Office, najdete v článku Jak funguje moderní ověřování v klientských aplikacích Office 2013 a Office 2016. Moderní ověřování je ve výchozím nastavení pro Exchange Online zapnuté. Informace o tom, jak ho zapnout nebo vypnout, najdete v tématu Povolení moderního ověřování v Exchange Online.

Ověřování cloudové identity – Uživatelé s cloudovými identitami se ověřují pomocí tradičních výzev a odpovědí. Webový prohlížeč se přesměruje na přihlašovací službu Microsoftu, kde zadáte uživatelské jméno a heslo pro svůj pracovní nebo školní účet. Přihlašovací služba ověří vaše přihlašovací údaje a vygeneruje token služby, který webový prohlížeč odešle do požadované služby a přihlásí vás.

Ověřování federované identity – Uživatelé s federovanými identitami se ověřují pomocí služby Active Directory Federation Services (AD FS) (AD FS) 2.0 nebo jiných služeb tokenů zabezpečení. Webový prohlížeč se přesměruje na přihlašovací službu Microsoftu, kde zadáte firemní ID ve tvaru hlavního názvu uživatele (UPN), například: isabel@contoso.com. Přihlašovací služba určí, že jste součástí federované domény, a nabídne vám přesměrování na místní federační server k ověření. Pokud jste přihlášeni ke stolnímu počítači (připojenému k doméně), jste ověřeni (pomocí protokolu Kerberos nebo NTLMv2) a místní služba tokenů zabezpečení vygeneruje přihlašovací token, který webový prohlížeč odešle do přihlašovací služby Microsoftu. Přihlašovací služba pomocí přihlašovacího tokenu vygeneruje token služby, který webový prohlížeč odešle do požadované služby a přihlásí vás. Seznam dostupných služeb tokenů zabezpečení najdete v tématu Přehled jednotného přihlašování.

Vícefaktorové ověřování: S vícefaktorovým ověřováním musí uživatelé po správném zadání hesla potvrdit telefonní hovor, textovou zprávu nebo oznámení aplikace na svém smartphonu. Teprve po tomto druhém ověření se může uživatel přihlásit. Správci Microsoftu můžou v Centrum pro správu Microsoftu 365 zaregistrovat uživatele pro vícefaktorové ověřování. Přečtěte si další informace o vícefaktorovém ověřování.

Rozšířené ověřování klientů: U klientů s bohatým obsahem, jako jsou desktopové aplikace Microsoft Office, může ověřování probíhat dvěma způsoby: Microsoft Online Services Sign-In Assistant a základní ověřování nebo ověřování proxy přes PROTOKOL SSL. Aby bylo zajištěno správné zjišťování a ověřování služeb Společnosti Microsoft, musí správci použít sadu součástí a aktualizací na každou pracovní stanici, která používá bohaté klienty (například Microsoft Office 2010) a připojuje se k Office 365. Nastavení počítače je automatizovaný nástroj pro konfiguraci pracovních stanic s požadovanými aktualizacemi. Další informace najdete v tématu Použití aktuálních desktopových aplikací Office.

Microsoft Online Services Sign-In Assistant – přihlašovací asistent, který je nainstalovaný v desktopovém nastavení, obsahuje klientskou službu, která získá token služby z přihlašovací služby a vrátí ho bohatému klientovi. Pokud máte cloudovou identitu, zobrazí se výzva k zadání přihlašovacích údajů, které klientská služba odešle přihlašovací službě k ověření (pomocí WS-Trust). Pokud máte federovanou identitu, klientská služba nejprve kontaktuje server SLUŽBY AD FS 2.0, aby ověřila přihlašovací údaje (pomocí protokolu Kerberos nebo NTLMv2) a získala přihlašovací token, který se odešle přihlašovací službě (pomocí WS-Federation a WS-Trust).

Základní ověřování nebo ověřování proxy přes SSL – Klient Outlooku předává základní přihlašovací údaje pro ověřování přes PROTOKOL SSL do Exchange Online. Exchange Online proxy na platformě Identity Platform a pak na místní Active Directory federační server (pro jednotné přihlašování).

Možnosti přihlašování: Přihlašovací prostředí se mění v závislosti na typu používané identity:

Služba Cloudová identita Federovaná identita
Outlook 2016 Přihlásit se k jednotlivým relacím 1 Přihlásit se k jednotlivým relacím 2
Outlook 2013 Přihlásit se k jednotlivým relacím 1 Přihlásit se k jednotlivým relacím 2
Outlook 2010 nebo Office 2007 ve Windows 7 Přihlásit se k jednotlivým relacím 1 Přihlásit se k jednotlivým relacím 2
Outlook 2010 nebo Office Outlook 2007 ve Windows Vista Přihlásit se k jednotlivým relacím 1 Přihlásit se k jednotlivým relacím 2
Microsoft protokol Exchange ActiveSync Přihlásit se k jednotlivým relacím 1 Přihlásit se k jednotlivým relacím 2
POP, IMAP, Outlook pro Mac Přihlásit se k jednotlivým relacím 1 Přihlásit se k jednotlivým relacím 2
Webová prostředí: Centrum pro správu Microsoftu 365/Outlook na webu/SharePoint Online/Office pro web Přihlášení do každé relace prohlížeče4 Přihlášení k jednotlivým relacím 3
Office 2010 nebo Office 2007 pomocí SharePointu Online Přihlášení ke každé relaci SharePointu Online 4 Přihlášení do každé relace SharePointu Online3
Skype for Business Online Přihlásit se k jednotlivým relacím 1 Bez výzvy
Outlook pro Mac Přihlásit se k jednotlivým relacím 1 Přihlásit se k jednotlivým relacím 2

1 Při první výzvě můžete heslo uložit pro budoucí použití. Dokud nezměníte heslo, nezobrazí se další výzva.
2 Zadáte své firemní přihlašovací údaje. Heslo můžete uložit a nebudete znovu vyzváni, dokud se heslo nezmění.
3 Všechny aplikace vyžadují, abyste pro přihlášení zadali nebo vybrali své uživatelské jméno. Pokud je počítač připojený k doméně, nezobrazí se výzva k zadání hesla. Pokud vyberete Zůstat přihlášeni , nebudete znovu vyzváni, dokud se neodhlásíte.
4 Pokud vyberete zůstat přihlášeni , nebudete znovu vyzváni, dokud se neodhlásíte.

Vytvoření uživatelských účtů: Uživatele můžete přidat několika způsoby. Další informace najdete v článku Individuální nebo hromadné přidávání uživatelů – Správa Nápověda a Přidávání uživatelů a přiřazování licencí – Správce Microsoftu 365 | Microsoft Docs. Pokud používáte Office 365 provozovaný společností 21Vianet v Číně, přečtěte si článek Vytvoření nebo úprava uživatelských účtů v Office 365 provozovaných společností 21Vianet – Správa nápověda.

Odstranit uživatelské účty: Způsob odstranění účtů závisí na tom, jestli používáte synchronizaci adresářů. Pokud nepoužíváte synchronizaci adresářů, můžete účty odstranit pomocí stránky správce nebo pomocí Windows PowerShell. Pokud používáte synchronizaci adresářů, musíte uživatele odstranit z místní služby Active Directory, nikoli z Office 365.

Odstraněné účty: Když se účet odstraní, stane se neaktivním. Přibližně 30 dnů od odstranění můžete účet obnovit. Další informace o odstraňování a obnovování účtů najdete v tématech Odstranění uživatelů a Obnovení uživatelů. Pokud používáte Office 365 provozovaný společností 21Vianet v Číně, přečtěte si článek Vytvoření nebo úprava uživatelských účtů v Office 365 provozovaných společností 21Vianet – Správa Nápověda.

Správa hesel: Zásady a postupy pro správu hesel závisí na systému identit.

Správa hesel cloudové identity: Při použití cloudových identit se hesla automaticky vygenerují při vytvoření účtu. Informace o požadavcích na sílu hesla cloudové identity najdete v tématu Zásady hesel. Kvůli zvýšení zabezpečení musí uživatelé při prvním přístupu ke službám Microsoftu změnit svá hesla. V důsledku toho se uživatelé musí před přístupem ke službám Microsoftu přihlásit do Centrum pro správu Microsoftu 365, kde se jim zobrazí výzva ke změně hesla. Správci můžou nastavit zásady vypršení platnosti hesla. Další informace najdete v tématu Nastavení zásad vypršení platnosti hesla uživatele.

Resetování hesla cloudové identity: Existuje několik nástrojů pro resetování hesel pro uživatele s cloudovými identitami: Správa resetuje heslo,Uživatelské změny hesel pomocí Outlook na webu, resetování hesel na základě rolí a Resetování hesel pomocí Windows PowerShell.

Správa resetuje heslo – pokud uživatelé hesla ztratí nebo zapomenou, můžou správci resetovat hesla uživatelů v Centru pro správu nebo pomocí Windows PowerShell. Uživatelé si můžou změnit svoje vlastní heslo jenom v případě, že znají své stávající heslo. V případě plánů Enterprise platí, že pokud správci ztratí nebo zapomenou svá hesla, jiný správce s rolí globálního správce může resetovat hesla správců v Centrum pro správu Microsoftu 365 nebo pomocí Windows PowerShell. Další informace najdete v tématu Resetování hesel pro správce. Pokud pracujete v Office 365 provozovaných společností 21Vianet v Číně, přečtěte si článek Změna nebo resetování hesel v Office 365 provozovaných společností 21Vianet.

Uživatelské změny hesel pomocí Outlook na webu – stránka možností Outlook na webu obsahuje hypertextový odkaz Změnit heslo, který uživatele přesměruje na stránku Změnit heslo. Uživatel musí znát své předchozí heslo. Další informace najdete v tématu Změna hesla. Pokud používáte Office 365 provozovaný společností 21Vianet v Číně, přečtěte si článek Změna nebo resetování hesel v Office 365 provozovaných společností 21Vianet.

Práva k resetování hesla na základě role – U plánů Enterprise je možné oprávněným uživatelům, jako jsou pracovníci helpdesku, přiřadit práva uživatele resetovat heslo a právo měnit hesla pomocí předdefinovaných nebo vlastních rolí, aniž by se museli stát správci úplných služeb. Ve výchozím nastavení můžou v plánech Enterprise hesla měnit správci s rolí Globální správce, Správce hesel nebo Správce správy uživatelů. Další informace najdete v tématu Přiřazování rolí správců.

Resetování hesel pomocí Windows PowerShell – správci služeb můžou resetovat hesla pomocí Windows PowerShell.

Správa hesel federované identity: Při použití federovaných identit se hesla spravují ve službě Active Directory. Místní služba tokenů zabezpečení vyjednává ověřování s federační bránou bez předávání místních hesel služby Active Directory uživatelů přes internet Office 365. Používají se místní zásady hesel nebo pro webové klienty dvoufaktorová identifikace. Outlook na webu neobsahuje hypertextový odkaz Změnit heslo. Uživatelé si mění hesla pomocí standardních místních nástrojů nebo prostřednictvím možností přihlášení ke stolnímu počítači.

Synchronizace adresářů: Pokud máte v prostředí organizace povolenou synchronizaci adresářů s jednotným přihlašováním (SSO) a dojde k výpadku, který má vliv na zprostředkovatele federované identity, nabízí zálohování synchronizace hesel pro federované přihlášení možnost ručního přepnutí domény na synchronizaci hesel. Když použijete Synchronizaci hesel, umožníte uživatelům přístup, dokud je výpadek opravený. Přečtěte si , jak přepnout z jedné Sign-On na synchronizaci hesel.

Správa licencí: Licence poskytuje uživateli přístup k sadě služeb Microsoftu. Správce přiřadí každému uživateli licenci pro službu, ke které potřebuje přístup. Můžete například přiřadit přístup uživatele k Skype pro firmy Online, ale ne k SharePointu Online.

Fakturování: Správci fakturace Microsoftu můžou provádět změny podrobností o předplatném, jako je počet uživatelských licencí a počet dalších služeb, které vaše společnost používá. Přečtěte si téma Přiřazení nebo odebrání licence. Pokud používáte Office 365 provozovaný společností 21Vianet, přečtěte si článek Přiřazení nebo odebrání licencí v Office 365 provozovaných společností 21Vianet.

Správa skupin: Skupiny zabezpečení se používají v SharePointu Online k řízení přístupu k webům. Skupiny zabezpečení je možné vytvořit v Centrum pro správu Microsoftu 365. Další informace o skupinách zabezpečení najdete v tématu Vytvoření, úprava nebo odstranění skupiny zabezpečení.

Microsoft Entra služby: Microsoft Entra ID přináší do Office 365 komplexní funkce správy identit a přístupu. Kombinuje adresářové služby, pokročilé zásady správného řízení identit, správu přístupu k aplikacím a bohatou platformu založenou na standardech pro vývojáře. Přečtěte si další informace o edicích Free, Basic a Premium Microsoft Entra ID.

Dostupnost funkcí: Informace o dostupnosti funkcí napříč plány najdete v popisu služby Microsoft 365 a Office 365 platformě.