Office 2013 中的标识、身份验证和授权概述
适用于: Office 2013, Office 365 ProPlus
上一次修改主题: 2018-01-27
摘要:介绍 Office 2013 身份验证、登录类型,以及如何使用注册表设置来确定用户登录时提供的用户标识。
目标用户: IT 专业人员
本文各部分的许多基于标识和身份验证在办公室 2013年海报,您可以从下载中心下载。
在新 Office 中,Office 应用程序将用于业务和非业务活动。用户可以使用 Excel 在白天处理 Q2 小组件销售数据并在晚上处理世界杯统计数据,也可以使用 Word 在白天编写产品说明并在晚上撰写短篇小说。由于 Office 是由两个不同角色中的同一人员使用的工具,因此新的 Office 提供了供用户用来登录到 Office 2013 的两个标识:
Microsoft 帐户,大多数用户将此标识用于个人业务
由 Microsoft 分配的组织 ID,在为组织(例如企业、慈善团体或学校)工作时,大多数用户将使用此标识。
用于登录的凭据被认为是个人凭据或组织凭据。此登录标识将成为用户的"主页领域"并可确定用户可在 SharePoint、OneDrive 或 Office 365 服务上针对特定会话访问的文档。每个唯一登录标识都保存在最近使用列表中,这样一来,便无需离开 Office 体验即可在标识之间进行轻松切换。
为了更加方便,用户可选择将联机文档服务安装到其标识中以便轻松访问。例如,可将个人 OneDrive 安装到组织标识中,以便可在单位或学校访问个人文档,而无需切换标识。此外,当用户使用某个标识进行身份验证时,此身份验证将对所有 Office 应用程序有效,而不只是对其登录到的应用程序有效。
一个非常好的消息是,默认情况下所有这些内容仅适用于用户,并且立即可用。
重要说明: |
---|
本文是面向 IT 专业人员的 对于 Office 2013 标识、身份验证和授权的路线图的一部分。可以使用该指南作为起点来获取可帮助您评估 Office 2013 标识的文章、下载、海报和视频。 您是否要查找有关单独 Office 2013 应用程序的帮助信息?您可以搜索 Office.com 以查找此信息。 |
本文内容:
Office 身份验证协议
使用注册表设置确定在用户登录时为其提供的 ID 类型
使用注册表设置来阻止用户连接到 Internet 上的 Office 2013 资源
删除与已移除的登录标识关联的 Office 配置文件和凭据
Office 身份验证协议
在 Office 2010 中,通过使用基于表单的身份验证 (FBA)、Windows 集成身份验证 (WIA) 或 Passport 服务器端包含 (SSI) 身份验证(也称作"Passport Tweener")对用户进行身份验证。在 Office 2013 中,您仍可以使用 FBA 或 WIA 而不是使用 SSI,现在我们使用新的开放式标准的基于令牌的 Open Authorization 2.0 (OAuth 2.0)。有关可用于 Office(包括 Office 2013)的身份验证协议的概述,请参阅下表。
Office 身份验证协议
客户端 Office 版本 | 身份验证协议 | 服务器 |
---|---|---|
Office 2010、Office 2013 |
基于表单的身份验证 (FBA)。基于表单的身份验证使用客户端重定向来将未经身份验证的用户转移到用户可将其凭据输入到的 HTML 表单。验证这些凭据后,用户将重定向到其请求的资源。 |
SharePoint Online |
Office 2010、Office 2013 |
Windows 集成身份验证 (WIA)。与 Kerberos 协议或 NTLM 一样,这是一个协商式方案。在此方案中,操作系统将提供身份验证。 |
SharePoint 2010、SharePoint 2013 |
Office 2010、Office 2013 |
SSI 或 Passport Tweener 身份验证。当用户提供 Windows Live ID 凭据或 Microsoft 帐户时,Windows Live ID 服务将返回客户端用来访问 Windows Live 服务的 Passport"票证"。 |
OneDrive |
Office 2013 |
Open Authorization 2.0 (OAuth 2.0)。OAuth 2.0 提供基于重定向的临时授权。用户或代表用户的 Web 应用程序可以请求授权以便临时访问资源所有者的指定网络资源。有关详细信息,请参阅 OAuth 2.0。 |
OneDrive |
Office 2013 |
Microsoft Online Services 登录助手。利用 Microsoft Online Services 登录助手,最终用户可以登录到 Microsoft Online Services(例如 Office 365)。有关 Microsoft Online Services 登录助手和 IT 专业人员的详细信息,请参阅适用于 IT 专业人员 RTW 的 Microsoft Online Services 登录助手。此下载适用于针对托管客户端系统的分发,此分发是使用 System Center 配置管理器 (SCCM) 或相似的软件分发系统进行的 Office 365 客户端部署的一部分。 |
Office 365 Services(适用于 SharePoint Online 2013、Excel Online 2013 和 Lync Online 2013) |
Office 2013 中的登录类型
当用户登录到 Office 2013 时支持两种登录类型,即 Microsoft 帐户或由 Microsoft 分配的组织 ID。
**Microsoft 帐户(用户的个人帐户)。**此帐户(以前称作 Microsoft ID)是用户用来在 Microsoft 网络上进行身份验证的凭据,且经常用于个人或非业务工作(例如志愿工作经历)。若要创建 Microsoft 帐户,用户需提供用户名和密码、某些人口统计信息和"帐户证明"(例如,备选电子邮件地址或电话号码)。有关新 Microsoft 帐户的详细信息,请参阅什么是 Microsoft 帐户?。
**由 Microsoft 分配的组织 ID/由 Microsoft 分配的 Office 365 帐户 ID。**创建此帐户以用于业务用途。Office 365 帐户可以是下列三种类型之一:纯 Office 365 ID、Active Directory ID 或 Active Directory 联合身份验证服务 ID。以下是这三种 ID 的说明:
**Office 365 ID。**此 ID 在管理员设置 Office 365 域时创建,且其格式为"<用户>@<组织>.onmicrosoft.com",例如:
sally@contoso.onmicrosoft.com
**根据用户的 Active Directory ID 验证的由 Microsoft 分配的组织 ID。**由 Microsoft 分配的组织 ID,将按以下步骤针对 Active Directory 验证此 ID:
首先,具有"[内部域]\<用户>"帐户的用户尝试访问组织资源。
紧接着,该资源请求来自用户的身份验证。
然后,用户键入其组织用户名和密码。
最后,根据组织 AD 数据库验证此用户名和密码,将对该用户进行身份验证并向其授予对请求的资源的访问权。
**根据用户的 Active Directory 联合身份验证服务 ID 验证的由 Microsoft 分配的组织 ID。**由 Microsoft 分配的组织 ID,将按以下步骤针对 Active Directory 联合身份验证服务 (ADFS) 验证此 ID:
首先,具有 org.onmicrosoft.com 的用户尝试访问合作伙伴 组织资源。
紧接着,该资源请求来自用户的身份验证。
然后,用户键入其组织用户名和密码。
紧接着,根据组织 AD 数据库验证该用户名和密码。
最后,相同的用户名和密码将传递到合作伙伴的联合 AD 数据库,将对该用户进行身份验证并向其授予对请求的资源的访问权。
对于本地资源,Office 2013 使用 domain\alias 用户名进行身份验证。对于联合资源,Office 2013 使用 alias@org.onmicrosoft.com 用户名进行身份验证。
使用注册表设置确定在用户登录时为其提供的 ID 类型
默认情况下,当用户尝试访问 Office 2013 资源时,Office 2013 会包含一些注册表项,设置这些注册表项可显示用户的 Microsoft 帐户 ID 和由 Microsoft 分配的组织 ID。但是,您可以更改此设置来仅显示 Microsoft 帐户或其组织 ID,或者两者都不显示。将在计算机注册表中更改此设置。
更改提供给用户的 Office 2013 登录类型
从注册表编辑器浏览到:
HKEY_CURRENT_USER\Software\Microsoft\Office\15.0\Common\SignIn\SignInOptions
将 SignInOptions 的值设置为下表中的其中一个值。SignInOptions 设置的类型为 DWORD。
SignInOptions 设置
在将 SignInOptions 设置为以下数值的情况下 含义 对用户产生的影响 0
Microsoft 帐户或组织 ID
用户可以通过使用自己的 Microsoft 帐户或由您的组织分配的帐户登录并访问 Office。
1
仅 Microsoft 帐户
用户只能使用其 Microsoft 帐户登录。
2
仅组织
用户只能使用由您的组织分配的用户 ID 登录。这可以是 Azure Active Directory 中的用户 ID,也可以是 Windows Server 上 Active Directory 域服务 (AD DS) 中的用户 ID。
3
仅 AD DS
用户只能使用 Windows Server 上 Active Directory 域服务 (AD DS) 中的用户 ID 登录。
4
都不允许
用户不能使用任何 ID 登录。
如果禁用或者不配置"阻止登录到 Office"设置,则默认设置为 0,这意味着用户可以使用自己的 Microsoft 帐户或由您的组织分配的帐户登录。
使用注册表设置来阻止用户连接到 Internet 上的 Office 2013 资源
默认情况下,Office 2013 将向用户提供对驻留在 Internet 上的 Office 2013 文件的访问权。您可以更改此设置,以使用户无法看到这些资源。
允许或阻止用户连接到 Office 2013 Internet 资源
从注册表编辑器浏览到:
Computer\HKEY_CURRENT_USER\Software\Microsoft\Office\15.0\Common\Internet\UseOnlineContent
将 UseOnlineContent 的值设置为下列值之一:
Office 2013 UseOnlineContent 值
UseOnlineContent 值 值类型 说明 0
DWORD
禁止用户访问 Internet 上的 Office 2013 资源。
1
DWORD
允许用户选择访问 Internet 上的 Office 2013 资源。
2
DWORD
(默认值)允许用户访问 Internet 上的 Office 2013 资源。
删除与已移除的登录标识关联的 Office 配置文件和凭据
当用户使用其 Microsoft 帐户 ID 或其组织 ID 登录到 Office 应用程序时,将在注册表中为此标识创建匹配的 Office 配置文件和凭据。此登录页为用户提供了删除标识的选项,该选项位于用户头像或照片和姓名旁边的"不是用户名?"问题的下方。如果用户选择删除其标识选项之一,则将从登录页中删除该选项。不过,对应的 Office 配置文件和凭据实际上会暂时保留在缓存中。如果这是一个安全问题(例如,当某个用户被您的组织解雇时),则应立即从注册表中删除此 Office 配置文件设置。为此,请在注册表中浏览找到该用户的 Office 配置文件并将其删除。
删除可能仍被缓存的 Office 配置文件
从注册表编辑器浏览到:
HKEY_CURRENT_USER\Software\Microsoft\Office\15.0\Common\Identity\Identities
选择要删除的 Office 配置文件,然后选择"删除"。
从标识配置单元中,导航到"配置文件"节点,选择相同的标识,再打开快捷菜单(右键单击),然后选择"删除"。
另请参阅
Office 2013 安全概述
什么是 Microsoft 帐户?
OAuth 2.0
适用于 IT 专业人员 RTW 的 Microsoft Online Services 登录助手