Vue d'ensemble de l'identité, de l'authentification et de l'autorisation dans Office 2013

  • Article

 

Sapplique à : Office 2013, Office 365 ProPlus

Dernière rubrique modifiée : 2018-01-27

Résumé : décrit l'authentification Office 2013, les types d'ouverture de session et l'utilisation des paramètres du Registre pour déterminer les identités utilisateur proposées à l'ouverture de session.

Public concerné : professionnels de l'informatique

La plupart des sections de cet article sont basées sur l’identité et l’authentification dans Office 2013 affiche, que vous pouvez télécharger à partir du centre de téléchargement.

Miniature de l’affiche : Identité et authentification

Dans le nouvel Office, les applications Office sont utilisées pour des activités commerciales et non commerciales. Une personne peut utiliser Excel pour analyser des chiffres de vente le jour et mouliner des statistiques de coupe du monde la nuit, ou utiliser Word pour écrire des spécifications de produit le jour et des nouvelles la nuit. Étant donné qu'Office est un outil utilisé par le même individu dans deux rôles différents, le nouvel Office offre deux identités de connexion à Office 2013 :

  • Un compte Microsoft, que la plupart des utilisateurs utilisent pour leurs affaires personnelles

  • Un ID d'organisation qui est affecté par Microsoft, que la plupart des personnes utilisent quand ils travaillent pour une organisation, comme une entreprise, une association caritative ou une école.

Les informations d’identification qui sont utilisées pour se connecter sont reconnues comme personnelles ou organisationnelles. Cette identité de connexion devient le « domaine privé » de l’utilisateur et détermine les documents auxquels il a accès sur SharePoint, OneDrive ou Office 365 Services pour une session spécifique. Chaque identité de connexion unique est enregistrée dans une liste d’identités utilisées récemment de sorte qu’il est facile de passer d’une identité à une autre sans quitter l’expérience Office.

Pour plus de commodité, les utilisateurs peuvent choisir de monter un service de document en ligne associé à leurs identités pour en faciliter l’accès. Par exemple, un lecteur OneDrive personnel peut être monté sur une identité d’organisation de sorte que les documents personnels soient accessibles au travail ou à l’école sans avoir à changer d’identité. Par ailleurs, lorsqu’un utilisateur s’authentifie à l’aide d’une identité, cette authentification est valide pour toutes les applications Office, pas uniquement celle à laquelle il s’est connecté.

La très bonne nouvelle est que tout ceci fonctionne pour les utilisateurs, par défaut, et dès la première utilisation.

Important Important :
Cet article s'inscrit dans la Feuille de route pour l’identité, l’authentification et l’autorisation Office 2013 pour les professionnels de l'informatique. Utilisez cette feuille de route comme point de départ pour accéder à des articles, téléchargements, affiches et vidéos qui vous aideront à évaluer l'identité Office 2013.
Recherchez-vous de l'aide sur des applications Office 2013 spécifiques ? Pour accéder à ces informations, effectuez une recherche sur Office.com.

Contenu de cet article :

  • Protocoles d'authentification Office

  • Utiliser des paramètres de Registre pour déterminer quels types d'ID offrir à un utilisateur à l'ouverture de session

  • Utiliser un paramètre de Registre pour empêcher un utilisateur de se connecter aux ressources Office 2013 sur Internet

  • Supprimer le profil Office, et les informations d'identification, associés à une identité de connexion supprimée

Protocoles d'authentification Office

Dans Office 2010, les utilisateurs sont authentifiés par authentification basée sur les formulaires (FBA), authentification intégrée de Windows (WIA) ou authentification Passport Server Side Include (SSI), également qualifiée de « Passport Tweener ». Dans Office 2013, vous pouvez encore utiliser les authentifications FBA ou WIA, mais au lieu de SSI, nous utilisons désormais le nouveau standard ouvert, Open Authorization 2.0 (OAuth 2.0) à base de jeton. Voir le tableau suivant pour une présentation des protocoles d'authentification que vous pouvez utiliser avec Office, y compris Office 2013.

Protocoles d'authentification Office

Version du client Office Protocole d'authentification Server

Office 2010, Office 2013

Forms-Based Authentication (FBA). L'authentification basée sur les formulaires utilise la redirection côté client pour transférer les utilisateurs non authentifiés vers un formulaire HTML où ils peuvent entrer leurs informations d'identification. Une fois les informations d'identification validées, les utilisateurs sont redirigés vers les ressources qu'ils demandaient.

SharePoint Online

Office 2010, Office 2013

Windows Integrated Authentication (WIA). Fait l'objet d'une négociation, comme avec le protocole Kerberos ou NTLM. Dans ce scénario, le système d'exploitation fournit l'authentification.

SharePoint 2010, SharePoint 2013

Office 2010, Office 2013

Authentification SSI, ou Passport Tweener. Lorsqu'un utilisateur fournit des informations d'identification Windows Live ID ou un compte Microsoft, le service Windows Live ID renvoie un « ticket » de passeport que le client utilise pour accéder aux services Windows Live.

OneDrive

Office 2013

Open Authorization 2.0 (OAuth 2.0). OAuth 2.0 fournit une autorisation temporaire basée sur une redirection. Un utilisateur ou une application web qui agit pour le compte d’un utilisateur peut demander l’autorisation d’accéder temporairement aux ressources réseau spécifiées depuis un propriétaire de ressources. Pour plus d’informations, consultez OAuth 2.0.

OneDrive

Office 2013

Assistant de connexion Microsoft Online Services. L’Assistant de connexion Microsoft Online Services fournit des fonctions de connexion d’utilisateur final à Microsoft Online Services, comme Office 365. Pour plus d’informations sur l’Assistant de connexion Microsoft Online Services et les professionnels de l’informatique, consultez la rubrique Assistant de connexion Microsoft Online Services pour les professionnels des technologies de l’information RTW. Le téléchargement est destiné à la distribution vers des systèmes de client gérés dans le cadre d’un déploiement de client Office 365, à l’aide du System Center Gestionnaire de configuration (SCCM) ou de systèmes de distribution de logiciels similaires.

Office 365 Services (pour SharePoint Online 2013, Excel Online 2013 et Lync Online 2013)

Types d'ouverture de session dans Office 2013

Deux types d'ouverture de session sont pris en charge lorsque les utilisateurs se connectent à Office 2013, un compte Microsoft ou un ID d'organisation attribué par Microsoft.

Compte Microsoft (le compte individuel de l’utilisateur). Ce compte, anciennement appelé ID Microsoft, est l’identifiant dont les utilisateurs se servent pour s’authentifier auprès du réseau Microsoft pour leur travail personnel ou non professionnel, comme du travail bénévole. Pour créer un compte Microsoft, un utilisateur fournit un nom d’utilisateur et un mot de passe, certaines informations démographiques et des « preuves de compte » comme une adresse de messagerie secondaire ou un numéro de téléphone. Pour plus d’informations sur le nouveau compte Microsoft, consultez la page décivrant le compte Microsoft.

ID d'organisation attribué par Microsoft / ID de compte Office 365 attribué par Microsoft. Ce compte est créé pour une utilisation professionnelle. Un compte Office 365 peut être de trois types : un ID Office 365 pur, un ID Active Directory ou un ID Active Directory Federation Services. Ceux-ci sont décrits ci-dessous :

  • ID Office 365. Cet ID est créé lorsqu'un administrateur configure un domaine Office 365 et prend la forme <utilisateur>@<org>.onmicrosoft.com, par exemple :

    sally@contoso.onmicrosoft.com

  • ID d'organisation attribué par Microsoft et validé par rapport à l'ID Active Directory d'un utilisateur. Un ID d'organisation qui est attribué par Microsoft et validé par rapport Active Directory comme suit :

    1. D'abord, une personne qui possède un compte [domaine local]\<utilisateur> essaie d'accéder aux ressources de l'organisation.

    2. La ressource demande ensuite à l'utilisateur de s'authentifier.

    3. L'utilisateur tape alors son nom d'utilisateur et mot de passe d'organisation.

    4. Enfin, le nom d'utilisateur et le mot de passe sont validés par rapport à la base de données AD de l'organisation, l'utilisateur est authentifié et reçoit l'accès à la ressource demandée.

  • ID d'organisation attribué par Microsoft et validé par rapport à l'ID Active Directory Federation Services de l'utilisateur. Un ID d'organisation qui est attribué par Microsoft et validé par rapport à Active Directory Federation Services (ADFS) comme suit :

    1. D'abord, une personne qui possède un org.onmicrosoft.com essaie d'accéder aux ressources d'organisation d'un partenaire.

    2. La ressource demande ensuite à l'utilisateur de s'authentifier.

    3. L'utilisateur tape alors son nom d'utilisateur et mot de passe d'organisation.

    4. Ensuite, le nom d'utilisateur et le mot de passe sont validés par rapport à la base de données AD de l'organisation.

    5. Enfin, les mêmes nom d'utilisateur et mot de passe sont transmis à la base de données AD fédérée du partenaire, l'utilisateur est authentifié et reçoit l'accès à la ressource demandée.

Pour les ressources locales, Office 2013 utilise le nom d'utilisateur de domaine\alias pour authentification. Pour les ressources fédérées, Office 2013 utilise le nom d'utilisateur alias@org.onmicrosoft.com pour authentification.

Utilisation des paramètres de Registre pour déterminer quels types d'ID offrir à un utilisateur à l'ouverture de session

Par défaut, lorsqu'un utilisateur essaie d'accéder à une ressource Office 2013, Office 2013 comprend des clés de Registre qui sont définies pour afficher l'ID de compte Microsoft de l'utilisateur et l'ID d'organisation qui lui est attribué par Microsoft. Toutefois, vous pouvez changer cela pour que seul le compte Microsoft soit affiché, ou son ID d'organisation, ou aucun des deux. Ce paramètre se définit dans le Registre de l'ordinateur.

Pour modifier les types d'ouverture de session Office 2013 à la disposition de l'utilisateur

  1. À partir de l'Éditeur du Registre, accédez à :

    HKEY_CURRENT_USER\Software\Microsoft\Office\15.0\Common\SignIn\SignInOptions

  2. Définissez SignInOptions avec une des valeurs du tableau suivant : Le type du paramètre SignInOptions est DWORD.

    Paramètres SignInOptions

    Si vous définissez SignInOptions à… Cela signifie Impact sur les utilisateurs

    0

    ID d’organisation ou compte Microsoft

    Les utilisateurs peuvent se connecter et accéder au contenu Office à l’aide de leur propre compte Microsoft ou d’un compte attribué par votre organisation.

    1

    Compte Microsoft uniquement

    Les utilisateurs ne peuvent se connecter qu'avec leur compte Microsoft.

    2

    Organisation uniquement

    Les utilisateurs ne peuvent se connecter qu’avec l’identifiant utilisateur attribué par l’organisation. Cela peut être un identifiant utilisateur dans Azure Active Directory ou un identifiant utilisateur dans les Services de domaine Active Directory (AD DS) sur Windows Server.

    3

    AD DS uniquement

    Les utilisateurs peuvent se connecter uniquement à l’aide d’un identifiant utilisateur dans les services de domaine Active Directory (AD DS) sur Windows Server.

    4

    Aucun n'est autorisé

    Les utilisateurs ne peuvent pas se connecter avec n’importe quel ID.

    Si vous désactivez ou ne configurez pas le paramètre Bloquer la connexion à Office, le paramètre par défaut est 0, ce qui signifie que les utilisateurs peuvent se connecter avec leur compte Microsoft ou avec le compte attribué par votre organisation.

Utilisation d'un paramètre de Registre pour empêcher un utilisateur de se connecter aux ressources Office 2013 sur Internet

Par défaut, Office 2013 accorde à l'utilisateur l'accès aux fichiers Office 2013 qui résident sur Internet. Vous pouvez changer ce paramètre pour que l'utilisateur ne puisse pas voir ces ressources.

Pour autoriser ou empêcher un utilisateur de se connecter aux ressources Internet d'Office 2013

  1. À partir de l'Éditeur du Registre, accédez à :

    Computer\HKEY_CURRENT_USER\Software\Microsoft\Office\15.0\Common\Internet\UseOnlineContent

  2. Définissez UseOnlineContent avec une des valeurs suivantes :

    Valeurs UseOnlineContent d'Office 2013

    Valeur UseOnlineContent Type de valeur Description

    0

    DWORD

    N'autorise pas l'utilisateur à accéder aux ressources Office 2013 sur Internet.

    1

    DWORD

    Autorise l'utilisateur à choisir d'accéder aux ressources Office 2013 sur Internet.

    2

    DWORD

    (Par défaut) Autorise l'utilisateur à accéder aux ressources Office 2013 sur Internet.

Suppression du profil Office, et des informations d'identification, associés à une identité de connexion supprimée

Lorsqu'un utilisateur se connecte à une application Office à l'aide de son ID de compte Microsoft ou de son ID d'organisation, un profil Office et des informations d'identification correspondant à cette identité sont créés dans le Registre. La page d'ouverture de session donne à l'utilisateur la possibilité de supprimer cette identité, juste sous la question « Not user name? » (Pas le nom de l'utilisateur ?) en regard de l'avatar, ou photo et nom, de l'utilisateur. Si les utilisateurs choisissent de supprimer une de leurs options d'identité, elle sera supprimée de la page d'ouverture de session. Mais, ce profil Office correspondant et les informations d'identification demeureront dans le cache pendant une courte durée. Si vous considérez que ce fonctionnement constitue un risque de sécurité (en cas de licenciement d'un utilisateur par exemple), supprimez immédiatement ce paramètre de profil Office dans le Registre. Pour ce faire, accédez au profil Office de l'utilisateur dans le Registre, et supprimez-le.

Pour supprimer un profil Office qui peut se trouver encore en cache

  1. À partir de l'Éditeur du Registre, accédez à :

    HKEY_CURRENT_USER\Software\Microsoft\Office\15.0\Common\Identity\Identities

  2. Choisissez le profil Office que vous souhaitez supprimer, puis choisissez Supprimer.

  3. Dans la ruche Identité, naviguez jusqu'au nœud Profils, cliquez avec le bouton droit sur l'identité, puis choisissez Supprimer dans le menu contextuel.

Voir aussi

Feuille de route pour l’identité, l’authentification et l’autorisation Office 2013

Vue d’ensemble de la sécurité dans Office 2013
Compte Microsoft
OAuth 2.0
Assistant de connexion Microsoft Online Services pour les professionnels des technologies de l’information RTW

dn151329(v=office.15).md