Microsoft 365 功能说明

User account management

Microsoft 支持以下方法来创建、管理和对用户进行身份验证。 但是,本主题不包括有关允许或禁止访问单个 Microsoft 资源的安全功能的信息, (例如,Microsoft Exchange Online中基于角色的访问控制或在Microsoft Office SharePoint Online) 中配置安全性。 有关这些功能的详细信息,请参阅Exchange Online服务说明SharePoint Online 服务说明。 如果需要有关可帮助你执行管理任务的工具的信息,请参阅 管理 Microsoft 帐户的工具。 若要了解如何执行日常管理任务,请参阅 常见管理任务

需要有关登录、安装、卸载或取消订阅的帮助?:获取有关以下方面的帮助:登录 | 安装或卸载 Office | 取消Office 365

对于其他问题,请访问 Microsoft 支持中心。 若要获取由中国的世纪互联运营的 Office 365 的支持,请联系世纪互联支持团队

登录选项: Microsoft 有两个可用于用户标识的系统: 工作或学校帐户 (云标识) 联合帐户 (联合标识) 。 身份类型将影响用户体验和用户账户管理选项,以及硬件和软件要求和其他部署考虑。

工作或学校帐户 (云标识) - 用户接收Microsoft Entra云凭据(与其他桌面或公司凭据分开)以登录到 Microsoft 云服务。 这是默认标识,推荐使用此标识以最大限度地减少部署的复杂度。 工作或学校帐户的密码使用Microsoft Entra ID密码策略

联合帐户 (联合标识) - 对于使用单一登录 (SSO) 本地 Active Directory的组织中的所有订阅,用户可以使用其 Active Directory 凭据登录到 Microsoft 服务。 公司 Active Directory 将存储和控制密码策略。 若要了解 SSO,请参阅 单一登录路线图

单一登录: 对于使用单一登录的组织,域上的所有用户都必须使用相同的标识系统:云标识或联合标识。 例如,可能有一组用户只需要云标识,因为他们无法访问本地系统,而另一组用户则使用 Microsoft 和本地系统。 可以向Office 365添加两个域,例如 contractors.contoso.comstaff.contoso.com,并且仅为其中一个域设置 SSO。 整个域可以从云身份转换为联合身份,也可以从联合身份转换为云身份。

认证: 除了使用 SharePoint Online 创建的用于匿名访问的 Internet 网站外,访问 Microsoft 服务时必须对用户进行身份验证。 新式身份验证云标识身份验证联合标识身份验证。 Microsoft 使用基于表单的身份验证,并且始终使用端口 443 使用 TLS/SSL 加密网络上的身份验证流量。 身份验证流量使用 Microsoft 服务的带宽百分比可忽略不计。

新式身份验证 - 新式身份验证跨平台将基于 Microsoft 身份验证库的登录引入 Office 客户端应用。 这将启用部分登录功能,如 Multi-Factor Authentication (MFA)、使用 Office 客户端应用程序的基于 SAML 的第三方身份提供程序,以及智能卡和基于证书的身份验证。 它还让 Microsoft Outlook 无需使用基本身份验证协议。 有关详细信息(包括跨 Office 应用程序的新式身份验证的可用性),请参阅 新式身份验证如何适用于 Office 2013 和 Office 2016 客户端应用。 对于Exchange Online,新式身份验证默认处于打开状态。 若要了解如何将其打开或关闭,请参阅在 Exchange Online 中启用新式身份验证

云标识身份验证 - 使用传统的质询/响应对具有云标识的用户进行身份验证。 Web 浏览器重定向到 Microsoft 登录服务,可在其中键入工作或学校帐户的用户名和密码。 登录服务将对您的凭据进行身份验证并生成服务令牌,以便 Web 浏览器发送到请求的服务并登录。

联合标识身份验证 - 使用 Active Directory 联合身份验证服务 (AD FS) 2.0 或其他安全令牌服务对具有联合标识的用户进行身份验证。 Web 浏览器重定向到 Microsoft 登录服务,可在其中键入公司 ID,形式为用户主体名称 (UPN) ,例如: isabel@contoso.com。 登录服务确定你是联合域的一部分,并提供将你重定向到本地联合服务器进行身份验证。 如果登录到已加入) 的桌面 (域,则会使用 Kerberos 或 NTLMv2) (进行身份验证,并且本地安全令牌服务会生成登录令牌,Web 浏览器会将该令牌发布到 Microsoft 登录服务。 使用登录令牌,登录服务会生成 Web 浏览器发布给请求的服务的服务令牌,并将你登入。 有关可用安全令牌服务的列表,请参阅 单一登录路线图

多重身份验证: 使用多重身份验证,用户在正确输入密码后,需要在智能手机上确认电话、短信或应用通知。 只有经过这第二次身份验证后,用户才可以登录。 Microsoft 管理员可以在Microsoft 365 管理中心中注册用户进行多重身份验证。 详细了解 多重身份验证

富客户端身份验证: 对于 Microsoft Office 桌面应用程序等富客户端,可以通过两种方式进行身份验证: Microsoft Online Services Sign-In Assistant通过 SSL 进行基本/代理身份验证。 为了确保 Microsoft 服务的正确发现和身份验证,管理员必须将一组组件和更新应用于每个工作站,这些工作站使用丰富的客户端 ((例如 Microsoft Office 2010) )并连接到Office 365。 桌面设置是一种自动化工具,用于配置具有所需更新的工作站。 有关详细信息,请参阅 使用我当前的 Office 桌面应用

Microsoft Online Services Sign-In 助手 - 由桌面安装程序安装的登录助手包含一个客户端服务,该服务从登录服务获取服务令牌并将其返回到富客户端。 如果具有云标识,则会收到凭据提示,客户端服务将使用 WS-Trust) 将其发送到登录服务进行身份验证 (。 如果你有联合标识,则客户端服务首先联系 AD FS 2.0 服务器,以使用 Kerberos 或 NTLMv2) 对凭据 (进行身份验证,并获取使用 WS-Federation 和 WS-Trust) (发送到登录服务的登录令牌。

通过 SSL 进行基本/代理身份验证 - Outlook 客户端通过 SSL 将基本身份验证凭据传递给Exchange Online。 Exchange Online将身份验证请求代理到标识平台,然后本地 Active Directory SSO) 的联合服务器 (。

登录体验: 登录体验会根据使用的标识类型而变化:

服务 云标识 联合身份
Outlook 2016 每次会话登录 1 每次会话登录 2
Outlook 2013 每次会话登录 1 每次会话登录 2
Windows 7 上的 Outlook 2010 或 Office 2007。 每次会话登录 1 每次会话登录 2
Windows Vista 上的 Outlook 2010 或 Office Outlook 2007。 每次会话登录 1 每次会话登录 2
Microsoft Exchange ActiveSync 每次会话登录 1 每次会话登录 2
POP、IMAP、Outlook for Mac 每次会话登录 1 每次会话登录 2
Web 体验:Microsoft 365 管理中心/Outlook 网页版/SharePoint Online/Office 网页版 每次浏览器会话登录 4 每次会话登录 3
使用 SharePoint Online 的 Office 2010 或 Office 2007。 每次 SharePoint Online 会话登录 4 每次 SharePoint Online 会话登录 3
Skype for Business Online 每次会话登录 1 无提示
Outlook for Mac 每次会话登录 1 每次会话登录 2

1 首次出现提示时,可以保存密码以供将来使用。 在更改密码之前,你不会收到另一个提示。
2 输入公司凭据。 可以保存密码,在密码更改之前,系统不会再次收到提示。
3 所有应用都需要输入或选择用户名才能登录。 如果计算机已加入域,则系统不会提示输入密码。 如果选择“ 使我保持登录状态 ”,则在注销之前,系统不会再次提示你。
4 如果选择“ 使我保持登录状态 ”,则在注销之前,系统不会再次提示你。

创建用户帐户: 可通过多种方式添加用户。 若要了解详细信息,请参阅单独或批量添加用户 - 管理员帮助添加用户和分配许可证 - Microsoft 365 管理员 |Microsoft Docs。如果在中国使用由世纪互联运营的Office 365,请参阅在由世纪互联运营的Office 365中创建或编辑用户帐户 - 管理员帮助

删除用户帐户: 删除帐户的方式取决于是否使用目录同步。 如果不使用目录同步,可以使用管理页或使用Windows PowerShell删除帐户。 如果使用目录同步,则必须从本地 Active Directory 中删除用户,而不是从Office 365中删除用户。

已删除的帐户: 删除帐户后,该帐户将变为非活动状态。 删除帐户后大约 30 天内,可以还原帐户。 有关删除和还原帐户的详细信息,请参阅删除用户还原用户;如果使用由中国世纪互联运营的Office 365,请参阅在由世纪互联运营的 Office 365中创建或编辑用户帐户 - 管理员帮助

密码管理: 密码管理的策略和过程取决于标识系统。

云标识密码管理: 使用云标识时,会在创建帐户时自动生成密码。 有关云身份密码强度要求的信息,请参阅密码策略。 为了提高安全性,用户在首次访问 Microsoft 服务时必须更改其密码。 因此,在用户可以访问 Microsoft 服务之前,他们必须登录到Microsoft 365 管理中心,系统会提示他们更改其密码。 管理员可以设置密码过期策略。 有关详细信息,请参阅 设置用户的密码过期策略

云标识密码重置:有几种工具可用于重置具有云标识的用户的密码:管理员重置密码、使用Outlook 网页版更改密码基于角色的重置密码权限,以及使用Windows PowerShell重置密码

管理员重置密码 - 如果用户丢失或忘记密码,管理员可以在管理中心或使用Windows PowerShell重置用户的密码。 只有在知道自己现有密码的情况下,用户才能更改密码。 对于企业计划,如果管理员丢失或忘记了其密码,具有全局管理员角色的其他管理员可在Microsoft 365 管理中心或使用Windows PowerShell重置管理员的密码。 有关详细信息,请参阅重置管理员密码。 如果你在中国使用由世纪互联运营的Office 365,请参阅在由世纪互联运营的Office 365更改或重置密码

用户使用Outlook 网页版更改密码 - Outlook 网页版选项页包括“更改密码”超链接,该超链接将用户重定向到“更改密码”页。 用户必须知道旧密码。 有关详细信息,请参阅更改密码。 如果在中国使用由世纪互联运营的Office 365,请参阅在由世纪互联运营的Office 365更改或重置密码

基于角色的重置密码权限 - 对于企业计划,可以为授权用户(如支持人员)分配 重置密码 用户权限,以及通过使用预定义角色或自定义角色更改密码的权限,而无需成为完整的服务管理员。 默认情况下,在企业计划中,具有全局管理员、密码管理员或用户管理管理员角色的管理员可以更改密码。 有关详细信息,请参阅分配管理员角色

使用Windows PowerShell重置密码 - 服务管理员可以使用Windows PowerShell重置密码。

联合标识密码管理: 使用联合标识时,密码在 Active Directory 中管理。 本地安全令牌服务通过联合网关协商身份验证,而无需通过 Internet 将用户的本地 Active Directory 密码传递给Office 365。 使用本地密码策略,或针对 Web 客户端进行双因素身份验证。 Outlook 网页版不包括“更改密码”超链接。 用户可以使用标准、内部部署工具或通过他们的桌面 PC 登录选项更改密码。

目录同步: 如果在组织环境中启用了 单一登录 (SSO) 的目录同步 ,并且存在影响联合标识提供者的中断,则联合登录的密码同步备份提供了手动将域切换到密码同步的选项。使用密码同步将允许用户在修复中断时进行访问。 了解如何从单 Sign-On 切换到密码同步

许可证管理: 许可证允许用户访问一组 Microsoft 服务。 对于需要访问权限的服务,管理员可以向每位用户分配许可证。 例如,您可以向用户分配 Skype for Business Online(而不是 SharePoint Online)的访问权限。

计费: Microsoft 计费管理员可以更改订阅详细信息,例如用户许可证数和公司使用的其他服务的数量。 请参阅 分配或删除许可证。 如果使用由世纪互联运营的Office 365,请参阅在由世纪互联运营的Office 365分配或删除许可证

组管理: SharePoint Online 中使用安全组来控制对网站的访问。 可以在Microsoft 365 管理中心中创建安全组。 有关安全组的详细信息,请参阅创建、编辑或删除安全组

Microsoft Entra服务:Microsoft Entra ID为Office 365提供全面的标识和访问管理功能。 不仅整合了目录服务、高级身份管理、应用程序访问管理,并为开发者提供了一个基于标准的丰富平台。 详细了解Microsoft Entra ID的免费版、基本版和高级版

功能可用性:若要查看跨计划的功能可用性,请参阅 Microsoft 365 和 Office 365 平台服务说明