Microsoft 帐户
适用范围:Windows Server 2022、Windows Server 2019、Windows Server 2016
了解 Microsoft 帐户如何增强用户的安全性和隐私性,以及你可以如何管理组织中的使用者帐户类型。
什么是 Microsoft 帐户?
运行 Windows 10 的 Microsoft 站点、服务、属性和计算机可以使用 Microsoft 帐户来标识用户。 Microsoft 帐户以前称为 Windows Live ID。 Microsoft 帐户具有用户定义的机密,由唯一的电子邮件地址和密码组成。
当用户使用 Microsoft 帐户登录时,设备会连接到云服务。 用户可以在不同的设备上共享其许多设置、首选项和应用。
Microsoft 帐户的工作方式
用户可以使用 Microsoft 帐户,通过一组凭据登录到支持此服务的网站。 用户的凭据由与网站关联的 Microsoft 帐户身份验证服务器进行验证。 Microsoft Store 就是这种关联的一个示例。 当新用户登录到启用了 Microsoft 帐户的网站时,用户将被重定向到最近的身份验证服务器,该服务器要求提供用户名和密码。 Windows 使用 Schannel 安全支持提供程序为此功能打开一个传输级别安全性/安全套接字层 (TLS/SSL) 连接。 用户可以选择使用凭据管理器来存储他们的凭据。
当用户登录到启用了 Microsoft 帐户的网站时,将在其计算机上安装一个有时间限制的 Cookie。 该 Cookie 包含一个三重 DES 加密的 ID 标记。 加密的 ID 标记已在身份验证服务器和网站之间达成一致。 ID 标记将被发送到网站,网站会在用户的计算机上放置另一个限时加密的 HTTP Cookie。 当 Cookie 有效时,用户无需输入用户名和密码。 如果用户主动注销其 Microsoft 帐户,则会删除这些 Cookie。
注意
本地 Windows 帐户功能仍然是在托管环境中可以使用的一个选项。
如何创建 Microsoft 帐户
为了防止欺诈,Microsoft 系统会在用户创建 Microsoft 帐户时验证用户的 IP 地址。 试图使用同一 IP 地址创建多个 Microsoft 帐户的用户将被阻止创建更多帐户。 Microsoft 帐户并不是为批量创建而设计的,例如为企业中的一组域用户创建。
若要创建 Microsoft 帐户,用户有两个选项:
使用现有电子邮件地址。 用户可以使用他们有效的电子邮件地址注册 Microsoft 帐户。 该服务会将请求用户的电子邮件地址转换为 Microsoft 帐户。 用户可以选择一个单独的密码用于 Microsoft 帐户。
注册 Microsoft 电子邮件地址。 用户可以通过 Microsoft Webmail 服务注册电子邮件帐户。 用户可以使用该帐户登录到允许使用 Microsoft 帐户的网站。
如何保护 Microsoft 帐户信息
凭据信息会加密两次。 第一次加密是基于帐户密码的。 通过 Internet 发送凭据时,会再次加密凭据。 存储的凭据数据不适用于其他 Microsoft 服务或非 Microsoft 服务。
需要强密码。 不允许使用空密码。
有关详细信息,请参阅如何帮助确保 Microsoft 帐户的安全。
需要辅助身份证明。 在用户第一次访问第二台受支持的 Windows 计算机上的用户配置文件信息和设置之前,必须为该设备建立信任。 要建立信任,用户必须提供辅助身份证明。 用户可以通过输入发送到移动电话号码的代码,或者按照发送到用户在帐户设置中指定的备用电子邮件地址的说明,来证明其身份。
所有用户配置文件数据都会在传输到云之前在客户端上进行加密。 默认情况下,用户数据不会通过无线广域网漫游,这样配置文件数据可以受到保护。 离开设备的所有数据和设置都通过 TLS/SSL 协议传输。
Microsoft 帐户安全信息
用户可以在运行受支持的 Windows 版本的计算机上通过“帐户”界面向其 Microsoft 帐户添加安全信息。 在“帐户”中,用户可以更新他们在创建帐户时提供的安全信息。 此安全信息包括备用电子邮件地址或电话号码,如果他们的密码被泄露或忘记,可以发送验证码来验证他们的身份。 用户可能会使用其 Microsoft 帐户在个人 OneDrive 或电子邮件应用上存储公司数据。 一种安全的做法是,帐户所有者要使此安全信息保持最新。
企业的 Microsoft 帐户
尽管 Microsoft 帐户旨在为使用者提供服务,但在某些情况下,域用户可能会因在企业中使用其个人 Microsoft 帐户而受益。 下列内容描述了一些优点:
下载 Microsoft Store 应用。 如果你的企业选择通过 Microsoft Store 分发应用或软件,企业用户可以使用 Microsoft 帐户在运行任何版本的 Windows 10、Windows 8.1、Windows 8 或 Windows RT 的最多五台设备上下载和使用应用。
单一登录。 企业用户可以使用 Microsoft 帐户凭据登录到运行 Windows 10、Windows 8.1、Windows 8 或 Windows RT 的设备。 在这种场景下,Windows 与你的 Microsoft Store 应用配合使用,在应用中提供经过身份验证的体验。 用户可以将 Microsoft 帐户与其 Microsoft Store 应用或网站的登录凭据相关联,使这些凭据可以在运行这些受支持版本的任何设备上漫游。
个性化设置同步。 用户可以将他们最常用的操作系统设置与 Microsoft 帐户关联。 只要用户在运行受支持版本的 Windows 并连接到云的任何设备上使用该帐户登录,这些设置便可用。 用户登录之后,该设备会自动尝试从云中获取用户的设置并将它们应用于设备。
应用同步。 Microsoft Store 应用可以存储特定于用户的设置,以便这些设置可供任何设备使用。 与操作系统设置一样,只要用户在运行受支持版本的 Windows 并连接到云的任何设备上使用相同的 Microsoft 帐户登录,这些特定于用户的应用设置便可用。 用户登录之后,该设备会自动从云中下载设置并在安装应用时应用它们。
集成社交媒体服务。 用户的好友和同事的联系人信息和状态会自动从 Outlook、Facebook、Twitter 和领英等网站保持最新状态。 用户还可以从 OneDrive、Facebook 和 Flickr 等网站访问和共享照片、文档和其他文件。
管理域中的 Microsoft 帐户
根据你的 IT 和业务模型,将 Microsoft 帐户引入企业可能会增加复杂性,或者可能会提供解决方案。 在允许在企业中使用这些帐户类型之前,应该考虑以下注意事项:
限制使用 Microsoft 帐户
以下组策略设置有助于控制企业中 Microsoft 帐户的使用:
应用和服务:阻止 Microsoft 帐户用户身份验证
此设置可控制用户是否可以提供 Microsoft 帐户来对应用或服务进行身份验证。
如果启用此设置,将阻止设备上的所有应用和服务使用 Microsoft 帐户进行身份验证。 此设置适用于现有设备用户和任何新用户。
在身份验证缓存过期之前,启用此设置不会影响任何已对使用 Microsoft 帐户的用户进行身份验证的应用或服务。 建议在任何用户登录到设备之前启用此设置,以防止缓存的令牌对 Microsoft 帐户进行身份验证。
如果此设置被禁用或未配置,应用和服务可以使用 Microsoft 帐户进行身份验证。 默认情况下,此设置处于禁用状态。
此设置不会影响用户是否可以使用 Microsoft 帐户登录设备,也不会影响用户能否通过浏览器提供 Microsoft 帐户以使用基于 Web 的应用进行身份验证。
此设置的路径是“计算机配置\管理模板\Windows 组件\Microsoft 帐户”。
帐户:阻止 Microsoft 帐户
此设置可阻止使用“设置”应用添加 Microsoft 帐户进行 Microsoft 服务和某些后台服务的单一登录身份验证,或使用 Microsoft 帐户进行其他应用或服务的单一登录。
如果启用此设置,用户有两个选项:
用户无法添加 Microsoft 帐户。 现有的已连接帐户仍然可以登录到设备(它们显示在“登录”页面上)。 但是,用户无法使用“设置”应用来添加新的已连接帐户或将本地帐户连接到 Microsoft 帐户。
用户不能添加 Microsoft 帐户或使用 Microsoft 帐户登录。 用户无法通过“设置”添加新的已连接帐户(或将本地帐户连接到 Microsoft 帐户)或使用现有已连接帐户。
此设置不会影响为应用身份验证添加 Microsoft 帐户的过程。 例如,如果启用此设置,用户仍可以提供 Microsoft 帐户以使用邮件等应用进行身份验证,但用户不能使用 Microsoft 帐户对其他应用或服务进行单一登录身份验证。 对于其他应用和服务,系统会提示用户进行身份验证。
默认情况下未配置此设置。
此设置的路径是“计算机配置\Windows 设置\安全设置\本地策略\安全选项”。
配置连接的帐户
用户可以将 Microsoft 帐户连接到他们的域帐户,并在帐户之间同步设置和首选项。 通过在帐户之间同步设置和首选项,用户可以在其他设备上看到相同的桌面背景、应用设置、浏览器历史记录和收藏夹,以及其他 Microsoft 帐户设置。
断开已连接帐户的连接
用户可以随时断开 Microsoft 帐户与其域帐户的连接:在“电脑设置”中,选择“用户”>“断开连接”>“完成”。
注意
将 Microsoft 帐户连接到域帐户可能会限制对 Windows 中某些高特权任务的访问。 例如,任务计划程序会评估连接的 Microsoft 帐户的访问权限,但失败。 在这种情况下,帐户所有者应断开帐户的连接。
在企业中预配 Microsoft 帐户
Microsoft 帐户是一种专用用户帐户。 Microsoft 不提供为企业预配 Microsoft 帐户的方法。 企业应使用域帐户。
审核帐户活动
由于 Microsoft 帐户是基于 Internet 的,因此 Windows 无法审核 Microsoft 帐户,除非该帐户与域帐户相关联。 你无法审核未与域关联的帐户的活动,因为用户可以随时断开帐户连接或离开域。
重置密码
只有 Microsoft 帐户的所有者才能更改与该帐户关联的密码。 用户可以在 Microsoft 帐户登录门户中更改其 Microsoft 帐户的密码。
限制应用的安装和使用
在组织内,可以设置应用程序控制策略,以规范 Microsoft 帐户的应用安装和使用。 有关详细信息,请参阅 AppLocker 和 AppLocker 中的打包应用和打包的应用安装程序规则。