Поделиться через


Описание функций Microsoft 365

User account management

Корпорация Майкрософт поддерживает следующие методы для создания пользователей, управления и проверки подлинности пользователей. Однако в этом разделе не содержатся сведения о функциях безопасности, которые разрешают или запрещают доступ к отдельным ресурсам Майкрософт (например, управление доступом на основе ролей в Microsoft Exchange Online или настройка безопасности в Microsoft Office SharePoint Online). Дополнительные сведения об этих функциях см. в описании службы Exchange Online и описании службы SharePoint Online. Сведения о средствах, которые могут помочь в выполнении административных задач, см. в статье Средства для управления учетными записями Майкрософт. Сведения о выполнении повседневных задач управления см. в статье Общие задачи управления.

Нужна помощь по входу, установке, удалению или отмене подписки? Получите справку по: вход в | разделе Установка или удаление Office | Отмена Office 365

Другие проблемы см. в центре поддержки Майкрософт. Чтобы получить поддержку по службе Office 365, предоставляемой компанией 21Vianet в Китае, свяжитесь со группой поддержки 21Vianet.

Параметры входа: Корпорация Майкрософт имеет две системы, которые можно использовать для удостоверений пользователей: рабочая или учебная учетная запись (облачная учетная запись) и федеративная учетная запись (федеративное удостоверение). Тип удостоверения влияет на взаимодействие с пользователем и параметры управления учетными записями пользователей, а также на требования к оборудованию и программному обеспечению и другие аспекты развертывания.

Рабочая или учебная учетная запись (облачное удостоверение) — пользователи получают Microsoft Entra облачные учетные данные отдельно от других учетных данных рабочего стола или корпоративных учетных данных для входа в облачные службы Майкрософт. Это удостоверение по умолчанию и рекомендуется для минимизации сложности развертывания. Пароли для рабочих или учебных учетных записей используют политику Microsoft Entra ID паролей.

Федеративная учетная запись (федеративное удостоверение). Для всех подписок в организациях с локальная служба Active Directory, использующих единый вход (SSO), пользователи могут входить в службы Майкрософт с помощью учетных данных Active Directory. Корпоративная служба Active Directory хранит политику паролей и управляет ней. Сведения об едином входе см. в статье Стратегия единого входа.

Единый вход: Для организаций, использующих единый вход, все пользователи в домене должны использовать одну и ту же систему удостоверений: облачное удостоверение или федеративное удостоверение. Например, у вас может быть одна группа пользователей, которым требуется только облачное удостоверение, так как они не имеют доступа к локальным системам, и другая группа пользователей, которые используют майкрософт и локальные системы. Вы добавите два домена в Office 365, например contractors.contoso.com и staff.contoso.com, и настроите единый вход только для одного из них. Весь домен можно конвертировать из облачного удостоверения в федеративное удостоверение или из федеративного удостоверения в облачное.

Аутентификация: За исключением интернет-сайтов для анонимного доступа, созданных с помощью SharePoint Online, пользователи должны пройти проверку подлинности при доступе к службам Майкрософт. Современная проверка подлинности, проверка подлинности облачных удостоверений и проверка подлинности федеративных удостоверений. Корпорация Майкрософт использует проверку подлинности на основе форм, а трафик проверки подлинности по сети всегда шифруется с помощью TLS/SSL через порт 443. Трафик проверки подлинности использует незначительный процент пропускной способности для служб Майкрософт.

Современная проверка подлинности . Современная проверка подлинности обеспечивает вход на основе библиотеки проверки подлинности Майкрософт в клиентские приложения Office на разных платформах. Это запускает такие возможности для входа, как многофакторная проверка подлинности (MFA), использование сторонних поставщиков удостоверений на основе SAML с клиентскими приложениями Office, а также проверки подлинности с помощью смарт-карт и на основе сертификатов. Это также устраняет необходимость использования Microsoft Outlook базового протокола проверки подлинности. Дополнительные сведения, включая доступность современной проверки подлинности в приложениях Office, см. в статье Как работает современная проверка подлинности для клиентских приложений Office 2013 и Office 2016. Современная проверка подлинности включена по умолчанию для Exchange Online. Сведения о том, как включить или отключить его, см. в статье Включение современной проверки подлинности в Exchange Online.

Проверка подлинности облачных удостоверений . Пользователи с облачными удостоверениями проходят проверку подлинности с помощью традиционных запросов и ответов. Веб-браузер перенаправляется в службу входа Майкрософт, где вы вводите имя пользователя и пароль для рабочей или учебной учетной записи. Служба входа проверяет подлинность учетных данных, создает маркер службы, который веб-браузер отправляет в запрошенную службу, и выполняет вход пользователя.

Проверка подлинности федеративных удостоверений. Пользователи с федеративными удостоверениями проходят проверку подлинности с помощью службы федерации Active Directory (AD FS) (AD FS) 2.0 или других служб маркеров безопасности. Веб-браузер перенаправляется в службу входа Майкрософт, где вы вводите корпоративный идентификатор в виде имени участника-пользователя (UPN), например isabel@contoso.com. Служба входа определяет, что вы являетесь частью федеративного домена, и предлагает перенаправить вас на локальный сервер федерации для проверки подлинности. Если вы вошли на рабочий стол (присоединен к домену), вы прошли проверку подлинности (с помощью Kerberos или NTLMv2), а локальная служба маркеров безопасности создаст маркер входа, который веб-браузер отправляет в службу входа Майкрософт. С помощью этого маркера служба входа создает маркер, который веб-браузер отправляет в запрошенную службу, после чего выполняется вход. Список доступных служб маркеров безопасности см. в статье Стратегия единого входа.

Многофакторная идентификация: При использовании многофакторной идентификации пользователи должны подтвердить телефонный звонок, текстовое сообщение или уведомление приложения на своем смартфоне после правильного ввода пароля. Пользователь сможет войти только после прохождения второго этапа аутентификации. Администраторы Майкрософт могут регистрировать пользователей для многофакторной проверки подлинности в Центр администрирования Microsoft 365. Дополнительные сведения о многофакторной идентификации.

Расширенная проверка подлинности клиента: Для расширенных клиентов, таких как классические приложения Microsoft Office, проверка подлинности может выполняться двумя способами: Microsoft Online Services Sign-In Assistant и обычная проверка подлинности или проверка подлинности прокси-сервера по протоколу SSL. Чтобы обеспечить надлежащее обнаружение и проверку подлинности служб Майкрософт, администраторы должны применить набор компонентов и обновлений к каждой рабочей станции, которая использует расширенные клиенты (например, Microsoft Office 2010) и подключается к Office 365. Настройка рабочего стола — это автоматизированное средство для настройки рабочих станций с необходимыми обновлениями. Дополнительные сведения см. в статье Использование текущих классических приложений Office.

Помощник по Sign-In Microsoft Online Services. Помощник входа, установленный при установке рабочего стола, содержит службу клиента, которая получает маркер службы из службы входа и возвращает его в полнофункционированный клиент. Если у вас есть облачное удостоверение, вы получите запрос на ввод учетных данных, которые клиентская служба отправляет в службу входа для проверки подлинности (с помощью WS-Trust). Если у вас есть федеративное удостоверение, клиентская служба сначала связывается с сервером AD FS 2.0 для проверки подлинности учетных данных (с помощью Kerberos или NTLMv2) и получения маркера входа, который отправляется в службу входа (с помощью WS-Federation и WS-Trust).

Обычная проверка подлинности или проверка подлинности через прокси-сервер по протоколу SSL. Клиент Outlook передает базовые учетные данные проверки подлинности по протоколу SSL в Exchange Online. Exchange Online прокси-сервер отправляет запрос на проверку подлинности на платформу удостоверений, а затем локальная служба Active Directory сервер федерации (для единого входа).

Интерфейс входа: Интерфейс входа меняется в зависимости от типа используемого удостоверения:

Служба Облачное удостоверение Федеративное удостоверение
Outlook 2016 Вход в каждый сеанс1 Вход в каждый сеанс2
Outlook 2013 Вход в каждый сеанс1 Вход в каждый сеанс2
Outlook 2010 или Office 2007 в Windows 7 Вход в каждый сеанс1 Вход в каждый сеанс2
Outlook 2010 или Office Outlook 2007 в Windows Vista Вход в каждый сеанс1 Вход в каждый сеанс2
Microsoft Exchange ActiveSync Вход в каждый сеанс1 Вход в каждый сеанс2
POP, IMAP, Outlook для Mac Вход в каждый сеанс1 Вход в каждый сеанс2
Веб-интерфейсы: Центр администрирования Microsoft 365/Outlook в Интернете/SharePoint Online/Office для Интернета Вход в каждый сеанс браузера4 Вход в каждый сеанс3
Office 2010 или Office 2007 с помощью SharePoint Online Вход в каждый сеанс SharePoint Online4 Вход в каждый сеанс SharePoint Online3
Skype для бизнеса Online Вход в каждый сеанс1 Без запроса
Outlook для Mac Вход в каждый сеанс1 Вход в каждый сеанс2

1 При первом появлении запроса вы можете сохранить пароль для использования в будущем. Вы не получите другой запрос, пока не измените пароль.
2 Введите корпоративные учетные данные. Вы можете сохранить пароль и не будете получать запрос снова, пока пароль не изменится.
3 Для входа во всех приложениях требуется ввести или выбрать имя пользователя. Если компьютер присоединен к домену, вам не будет предложено ввести пароль. Если вы нажмете кнопку Сохранить вход, вам не будет предложено снова, пока вы не выйдете из нее.
4 Если вы нажмете кнопку Сохранить вход, вам не будет предложено снова, пока вы не выйдете из нее.

Создание учетных записей пользователей: Добавить пользователей можно несколькими способами. Дополнительные сведения см. в статье Добавление пользователей по отдельности или в массовом порядке— Администратор справка и добавление пользователей и назначение лицензий — администратор Microsoft 365 | Документация Майкрософт. Если вы используете Office 365, управляемые компанией 21Vianet в Китае, см. статью Создание или изменение учетных записей пользователей в Office 365 под управлением 21Vianet — справка по Администратор.

Удаление учетных записей пользователей: Способ удаления учетных записей зависит от того, используете ли вы синхронизацию каталогов. Если вы не используете синхронизацию каталогов, учетные записи можно удалить с помощью страницы администрирования или с помощью Windows PowerShell. Если вы используете синхронизацию каталогов, необходимо удалить пользователей из локальной службы Active Directory, а не из Office 365.

Удаленные учетные записи: При удалении учетной записи она становится неактивной. Примерно через 30 дней после удаления учетной записи можно восстановить. Дополнительные сведения об удалении и восстановлении учетных записей см. в разделах Удаление пользователей и Восстановление пользователей. Если вы используете Office 365, управляемые компанией 21Vianet в Китае, см. статью Создание или изменение учетных записей пользователей в Office 365, управляемых 21Vianet — справка Администратор.

Управление паролями. Политики и процедуры для управления паролями зависят от системы удостоверений.

Управление паролями для облачных удостоверений. При использовании облачных удостоверений пароли создаются автоматически при создании учетной записи. Сведения о требованиях к надежности пароля облачного удостоверения см. в статье о политике паролей. Чтобы повысить безопасность, пользователи должны изменять свои пароли при первом доступе к службам Майкрософт. В результате, прежде чем пользователи смогут получить доступ к службам Майкрософт, они должны войти в Центр администрирования Microsoft 365, где им будет предложено изменить свои пароли. Администраторы могут задать политику истечения срока действия пароля. Дополнительные сведения см. в разделе Настройка политики истечения срока действия пароля пользователя.

Сброс пароля облачного удостоверения: Существует несколько средств для сброса паролей для пользователей с облачными удостоверениями: Администратор сбрасывает пароль,пользователь изменяет пароли с помощью Outlook в Интернете, сброс прав пароля на основе ролей и сброс паролей с помощью Windows PowerShell.

Администратор сбрасывает пароль. Если пользователи теряют или забывают свои пароли, администраторы могут сбрасывать пароли пользователей в Центре администрирования или с помощью Windows PowerShell. Пользователи могут изменять свои пароли, только если знают текущие пароли. Если администраторы корпоративных планов теряют или забывают свои пароли, другой администратор с ролью глобального администратора может сбрасывать пароли администраторов в Центр администрирования Microsoft 365 или с помощью Windows PowerShell. Дополнительные сведения см. в разделе Сброс паролей для администраторов. Если вы работаете в Office 365, управляемом компанией 21Vianet в Китае, см. раздел Изменение или сброс паролей в Office 365, управляемых 21Vianet.

Пользователь изменяет пароли с помощью Outlook в Интернете. Страница параметров Outlook в Интернете содержит гиперссылку Изменение пароля, которая перенаправляет пользователей на страницу Изменение пароля. Пользователь должен знать свой предыдущий пароль. Дополнительные сведения см. в разделе Изменение пароля. Если вы используете Office 365, управляемые компанией 21Vianet в Китае, см. статью Изменение или сброс паролей в Office 365 управляет 21Vianet.

Права на сброс пароля на основе ролей . Для корпоративных планов авторизованным пользователям, таким как сотрудники службы поддержки, можно назначить право пользователя Сброс пароля и право изменять пароли с помощью предопределенных или пользовательских ролей, не становясь администраторами полных служб. По умолчанию в корпоративных планах администраторы с ролью глобального администратора, администратора паролей или администратора управления пользователями могут изменять пароли. Дополнительные сведения см. в разделе Назначение ролей администратора.

Сброс паролей с помощью Windows PowerShell. Администраторы служб могут использовать Windows PowerShell для сброса паролей.

Управление паролями федеративных удостоверений. При использовании федеративных удостоверений управление паролями осуществляется в Active Directory. Локальная служба маркеров безопасности согласовывает проверку подлинности со шлюзом федерации, не передавая локальные пароли пользователей Active Directory через Интернет в Office 365. Используются локальные политики паролей или в случае веб-клиентов двухфакторная идентификация. Outlook в Интернете не содержит гиперссылку "Изменить пароль". Пользователи изменяют пароли с помощью стандартных локальных средств или с помощью параметров входа своих настольных ПК.

Синхронизация каталогов: Если в вашей среде организации включена синхронизация каталогов с единым входом и возникает сбой, который влияет на федеративный поставщик удостоверений, функция резервного копирования синхронизации паролей для федеративного входа позволяет вручную переключить домен на синхронизацию паролей. Использование синхронизации паролей позволит пользователям получить доступ, пока сбой устранен. Узнайте , как перейти с одного Sign-On на синхронизацию паролей.

Управление лицензиями. Лицензия предоставляет пользователю доступ к набору служб Майкрософт. Администратор назначает лицензию каждому пользователю для службы, доступ к которой ему требуется. Например, можно назначить пользователю доступ к Skype для бизнеса Online, но не к SharePoint Online.

Выставления счетов: Администраторы выставления счетов Майкрософт могут вносить изменения в сведения о подписке, такие как количество пользовательских лицензий и количество дополнительных служб, которые использует ваша компания. Ознакомьтесь с статьей Назначение или удаление лицензии. Если вы используете Office 365, управляемые 21Vianet, см. статью Назначение или удаление лицензий в Office 365, управляемых 21Vianet.

Управление группами. Группы безопасности используются в SharePoint Online для управления доступом к сайтам. Группы безопасности можно создать в Центр администрирования Microsoft 365. Дополнительные сведения о группах безопасности см. в статье Создание, изменение или удаление группы безопасности.

службы Microsoft Entra: Microsoft Entra ID предоставляет комплексные возможности управления удостоверениями и доступом в Office 365. В ней сочетаются службы каталогов, расширенное управление идентификацией, доступом к приложениям и мощная платформа на основе стандартов для разработчиков. Узнайте больше о выпусках Бесплатный, Базовый и Премиум Microsoft Entra ID.

Доступность компонентов: Сведения о доступности функций в разных планах см. в статье Описание службы microsoft 365 и Office 365 платформы.