Учетные записи Майкрософт
Область применения: Windows Server 2022, Windows Server 2019, Windows Server 2016
Узнайте, как работает учетная запись Майкрософт для повышения безопасности и конфиденциальности пользователей, а также как управлять типами учетных записей потребителей в организации.
Что такое учетная запись Майкрософт?
Сайты, службы, свойства и компьютеры Майкрософт, на которых запущены Windows 10, могут использовать учетную запись Майкрософт в качестве способа идентификации пользователя. Учетная запись Майкрософт ранее называлась Windows Live ID. Учетная запись Майкрософт имеет определяемые пользователем секреты и состоит из уникального адреса электронной почты и пароля.
Когда пользователь входит с помощью учетной записи Майкрософт, устройство подключено к облачным службам. Пользователь может поделиться многими своими параметрами, предпочтениями и приложениями на разных устройствах.
Как работает учетная запись Майкрософт
Пользователь может использовать учетную запись Майкрософт для входа на веб-сайты, поддерживающие эту службу, с помощью одного набора учетных данных. Учетные данные пользователя проверяются сервером проверки подлинности учетной записи Майкрософт, связанным с веб-сайтом. Microsoft Store является примером этой связи. Когда новый пользователь входит на веб-сайт, на котором разрешено использовать учетные записи Майкрософт, пользователь перенаправляется на ближайший сервер проверки подлинности, который запрашивает имя пользователя и пароль. Windows использует поставщик поддержки безопасности Schannel для открытия подключения tls/SSL для этой функции. Пользователи могут использовать диспетчер учетных данных для хранения учетных данных.
Когда пользователь входит на веб-сайт, для использования учетной записи Майкрософт, на компьютере устанавливается ограниченный по времени файл cookie. Файл cookie включает тег идентификатора с тройным шифрованием DES. Зашифрованный тег идентификатора был согласован между сервером проверки подлинности и веб-сайтом. Тег идентификатора отправляется на веб-сайт, а веб-сайт помещает еще один зашифрованный HTTP-файл cookie на компьютере пользователя. Хотя файл cookie действителен, пользователю не нужно вводить имя пользователя и пароль. Если пользователь активно выходит из учетной записи Майкрософт, эти файлы cookie удаляются.
Примечание
Функции локальной учетной записи Windows по-прежнему можно использовать в управляемой среде.
Как создается учетная запись Майкрософт
Чтобы предотвратить мошенничество, система Майкрософт проверяет IP-адрес пользователя при создании учетной записи Майкрософт. Пользователь, который пытается создать несколько учетных записей Майкрософт с использованием одного IP-адреса, не может создавать больше учетных записей. Учетные записи Майкрософт не предназначены для создания в пакетах, например для группы пользователей домена в вашей организации.
Чтобы создать учетную запись Майкрософт, у пользователя есть два варианта:
Используйте существующий адрес электронной почты. Пользователь может использовать действительный адрес электронной почты для регистрации учетной записи Майкрософт. Служба преобразует адрес электронной почты запрашивающего пользователя в учетную запись Майкрософт. Пользователь может выбрать отдельный пароль для учетной записи Майкрософт.
Зарегистрируйтесь для получения адреса электронной почты Майкрософт. Пользователь может зарегистрироваться для получения учетной записи электронной почты через службы веб-почты Майкрософт. Пользователь может использовать учетную запись для входа на веб-сайты, которые включены для использования учетных записей Майкрософт.
Защита сведений об учетной записи Майкрософт
Учетные данные шифруются дважды. Первое шифрование основано на пароле учетной записи. Учетные данные шифруются снова при их отправке через Интернет. Хранимые данные учетных данных недоступны другим службам Майкрософт или службам сторонних разработчиков.
Требуется надежный пароль. Пустые пароли запрещены.
Дополнительные сведения см. в статье "Как обеспечить безопасность и безопасность учетной записи Майкрософт".
Требуется дополнительное подтверждение личности. Прежде чем пользователь сможет получить доступ к сведениям профиля пользователя и параметрам на втором поддерживаемом компьютере Windows в первый раз, необходимо установить доверие для этого устройства. Чтобы установить доверие, пользователь должен предоставить дополнительное подтверждение личности. Пользователь может подтвердить свою личность, введя код, отправленный на номер мобильного телефона или следуя инструкциям, отправленным на альтернативный адрес электронной почты, указанный пользователем в параметрах учетной записи.
Все данные профиля пользователя шифруются на клиенте перед их передачей в облако. Пользовательские данные по умолчанию не перемещаются по беспроводной широкой сети, чтобы защитить данные профиля. Все данные и параметры, покидающие устройство, передаются через протокол TLS/SSL.
Сведения о безопасности учетной записи Майкрософт
Пользователь может добавить сведения о безопасности в свою учетную запись Майкрософт с помощью интерфейса учетных записей на компьютерах с поддерживаемыми версиями Windows. В учетных записях пользователь может обновить сведения о безопасности, предоставленные при создании учетной записи. Эти сведения о безопасности включают альтернативный адрес электронной почты или номер телефона, чтобы при компрометации или забытии пароля можно отправить код проверки для проверки их личности. Пользователь может использовать свою учетную запись Майкрософт для хранения корпоративных данных в личном приложении OneDrive или почтовом приложении. Безопасная практика заключается в том, чтобы владелец учетной записи обновлял эти сведения о безопасности.
Учетные записи Майкрософт на предприятии
Хотя учетная запись Майкрософт предназначена для обслуживания потребителей, у вас могут возникнуть ситуации, в которых пользователи домена могут воспользоваться своей личной учетной записью Майкрософт в вашей организации. В следующем списке описаны некоторые преимущества.
Скачайте приложения Microsoft Store. Если ваше предприятие решит распространять приложения или программное обеспечение через Microsoft Store, корпоративный пользователь может использовать учетную запись Майкрософт для скачивания и использования приложений на пяти устройствах с любой версией Windows 10, Windows 8.1, Windows 8 или Windows RT.
Единый вход. Корпоративный пользователь может использовать учетные данные учетной записи Майкрософт для входа на устройства под управлением Windows 10, Windows 8.1, Windows 8 или Windows RT. В этом сценарии Windows работает с приложением Microsoft Store, чтобы обеспечить проверку подлинности в приложении. Пользователь может связать учетную запись Майкрософт с учетными данными входа для приложений или веб-сайтов Microsoft Store, чтобы эти учетные данные перемещались на всех устройствах, на которые работают эти поддерживаемые версии.
Синхронизация персонализированных параметров. Пользователь может связать наиболее часто используемые параметры операционной системы с учетной записью Майкрософт. Эти параметры доступны всякий раз, когда пользователь входит с этой учетной записью на любом устройстве с поддерживаемой версией Windows и подключен к облаку. После входа пользователя устройство автоматически пытается получить параметры пользователя из облака и применить их к устройству.
Синхронизация приложений. Приложения Microsoft Store могут хранить пользовательские параметры, чтобы эти параметры были доступны для любого устройства. Как и в случае с параметрами операционной системы, эти параметры приложения для конкретных пользователей доступны при каждом входе пользователя с той же учетной записью Майкрософт на любом устройстве, на котором установлена поддерживаемая версия Windows и подключена к облаку. После входа пользователя это устройство автоматически загружает настройки из облака и применяет их при установке приложения.
Интегрированные службы социальных сетей. Контактные данные и статус друзей и партнеров пользователя автоматически остаются актуальными на таких сайтах, как Outlook, Facebook, Twitter и LinkedIn. Пользователь также может получать доступ к фотографиям, документам и другим файлам с таких сайтов, как OneDrive, Facebook и Flickr.
Управление учетными записями Майкрософт в домене
В зависимости от ИТ-моделей и бизнес-моделей внедрение учетных записей Майкрософт в вашей организации может усложнять или предоставлять решения. Прежде чем разрешить использование этих типов учетных записей в организации, необходимо учитывать следующие рекомендации.
Ограничение использования учетных записей Майкрософт
Следующие параметры групповая политика помогают управлять использованием учетных записей Майкрософт в организации:
Приложения и службы: блокировка проверки подлинности пользователей учетной записи Майкрософт
Этот параметр определяет, может ли пользователь предоставить учетную запись Майкрософт для проверки подлинности для приложения или службы.
Если этот параметр включен, все приложения и службы на устройстве не могут использовать учетную запись Майкрософт для проверки подлинности. Этот параметр применяется как к существующим пользователям устройств, так и к новым пользователям.
Любое приложение или служба, которые уже прошли проверку подлинности пользователя, который использовал учетную запись Майкрософт, не влияет на включение этого параметра до истечения срока действия кэша проверки подлинности. Рекомендуется включить этот параметр перед тем, как любой пользователь войдет на устройство, чтобы предотвратить проверку подлинности кэшированных маркеров учетной записи Майкрософт.
Если этот параметр отключен или не настроен, приложения и службы могут использовать учетную запись Майкрософт для проверки подлинности. По умолчанию этот параметр отключен.
Этот параметр не влияет на возможность входа пользователя на устройство с помощью учетной записи Майкрософт или возможности пользователя предоставить учетную запись Майкрософт через браузер для проверки подлинности с помощью веб-приложения.
Путь к этому параметру — конфигурация компьютера\Административные шаблоны\Компоненты Windows\учетная запись Майкрософт.
Учетные записи: блокирование учетных записей Майкрософт
Этот параметр предотвращает использование приложения "Параметры" для добавления учетной записи Майкрософт для проверки подлинности единого входа для служб Майкрософт и некоторых фоновых служб или использования учетной записи Майкрософт для единого входа в другие приложения или службы.
Если этот параметр включен, у пользователя есть два варианта:
Пользователь не может добавить учетную запись Майкрософт. Существующие подключенные учетные записи по-прежнему могут войти на устройство (и они отображаются на странице входа ). Однако пользователь не может использовать приложение "Параметры" для добавления новой подключенной учетной записи или подключения локальной учетной записи к учетной записи Майкрософт.
Пользователь не может добавить или войти с помощью учетной записи Майкрософт. Пользователь не может добавить новую подключенную учетную запись (или подключить локальную учетную запись к учетной записи Майкрософт) или использовать существующую подключенную учетную запись с помощью параметров.
Этот параметр не влияет на добавление учетной записи Майкрософт для проверки подлинности приложения. Например, если этот параметр включен, пользователь по-прежнему может предоставить учетную запись Майкрософт для проверки подлинности с помощью такого приложения, как Почта, но пользователь не может использовать учетную запись Майкрософт для проверки подлинности единого входа для других приложений или служб. Для других приложений и служб пользователю предлагается пройти проверку подлинности.
Этот параметр не настроен по умолчанию.
Путь к этому параметру — Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности.
Настройка подключенных учетных записей
Пользователь может подключить учетную запись Майкрософт к учетной записи домена и синхронизировать параметры и настройки между учетными записями. Синхронизируя параметры и настройки между учетными записями, пользователь видит тот же фон рабочего стола, параметры приложения, журнал браузера и избранное, а также другие параметры учетной записи Майкрософт на других устройствах.
Отключение подключенной учетной записи
Пользователь может отключить учетную запись Майкрософт от учетной записи домена в любое время: в параметрах компьютера выберите " Пользователи>отключать>готово".
Примечание
Подключение учетной записи Майкрософт к учетной записи домена может ограничить доступ к некоторым задачам с высоким уровнем привилегий в Windows. Например, планировщик задач оценивает подключенную учетную запись Майкрософт для доступа и завершается сбоем. В этом сценарии владелец учетной записи должен отключить учетную запись.
Подготовка учетных записей Майкрософт в организации
Учетная запись Майкрософт — это частная учетная запись пользователя. Корпорация Майкрософт не предоставляет способ подготовки учетных записей Майкрософт для предприятия. Предприятия должны использовать учетные записи домена.
Аудит действий учетной записи
Так как учетная запись Майкрософт находится в Интернете, Windows не имеет способа аудита учетной записи Майкрософт, если учетная запись не связана с учетной записью домена. Вы не можете выполнять аудит действий учетных записей, которые не связаны с доменом, так как пользователь может отключить учетную запись или оставить домен в любое время.
Сброс пароля
Только владелец учетной записи Майкрософт может изменить пароль, связанный с учетной записью. Пользователь может изменить пароль учетной записи Майкрософт на портале входа в учетную запись Майкрософт.
Ограничение установки и использования приложений
В организации можно настроить политики управления приложениями для регулирования установки и использования приложений для учетных записей Майкрософт. Дополнительные сведения см. в разделе AppLocker и упакованных приложений и упакованных правил установщика приложений в AppLocker.