Office 2016 的身分識別、驗證及授權
總結: 描述 Office 2016 驗證、登入類型,以及如何使用登錄設定來判斷使用者登入時提供哪些使用者身分識別。
Office 應用程式同時用於商務和非商務活動。 在一天中,使用者可能會使用 Excel 來分析 Q2 小工具銷售數位,並依每天細分。 依夜間,同一個人可以切換到在Excel中處理世界盃統計數據。 同樣地,他們可以使用 Word 在工作時間草擬產品規格,然後改用在閒事時間撰寫短篇故事。 Office 是不同角色的個人所使用的多功能工具。 為了因應此問題,Office 2016 允許使用者使用兩個不同的身分識別登入:
Microsoft帳戶, 大部分的人會使用此帳戶進行個人商務
由Microsoft指派的組織標識符, 大部分的人在為組織工作時會使用此標識符,例如企業、團體或學校。
用來登入的認證可辨識為個人或組織。 該登入身分識別會成為使用者的「主領域」,並決定使用者可在 SharePoint、OneDrive 或 Office 365 服務存取特定工作階段的檔。 每個唯一的登入身分識別都會儲存在最近使用的清單中,以便在不離開 Office 體驗的情況下輕鬆切換身分識別。
為了方便起見,用戶可以選擇將在線檔服務掛接至其身分識別,以方便存取。 例如,個人 OneDrive 可以掛接到組織身分識別,以便在公司或學校存取個人檔,而不需要切換身分識別。 此外,當使用者使用身分識別進行驗證時,此驗證對所有 Office 應用程式都有效,而不只是他們登入的應用程式。
好消息是,這些功能預設只適用於使用者,且是現用的功能。
Office 驗證通訊協定
在 Office 中,使用者會使用 Forms-Based 驗證 (FBA) 、Windows 整合式驗證 (WIA) 或 Passport Server 端包含 (SSI) 驗證來進行驗證,也稱為「Passport Tweener」。在 Office 2016 中,您仍然可以使用 FBA 或 WIA,但我們現在使用新的開放式標準令牌型 Open Authorization 2.0 (OAuth 2.0) ,而不是 SSI。 如需可搭配 Office 使用的驗證通訊協定概觀,請參閱下表。
Office 驗證通訊協定
| 用戶端 Office 版本 | 驗證通訊協定 | 伺服器 |
|---|---|---|
| Office 2010、Office 2013、Office 2016 |
Forms-Based 驗證 (FBA) 。 表單型驗證會使用用戶端重新導向,將未經驗證的用戶轉送到 HTML 窗體,讓他們可以在其中輸入其認證。 驗證認證之後,系統會將使用者重新導向至他們要求的資源。 |
SharePoint Online |
| Office 2010、Office 2013、Office 2016 |
WINDOWS 整合式驗證 (WIA) 。 這會交涉,如同 Kerberos 通訊協定或 NTLM 一樣。 在此案例中,操作系統會提供驗證。 |
SharePoint 2010、SharePoint 2013、SharePoint 2016 |
| Office 2010、Office 2013、Office 2016 |
SSI 或 Passport Tweener、驗證。 當使用者提供 Windows Live ID 認證或Microsoft帳戶時,Windows Live ID 服務會傳回用戶端用來存取 Windows Live 服務的 Passport「票證」。 |
OneDrive |
| Office 2013、Office 2016 |
開啟授權 2.0 (OAuth 2.0) 。 OAuth 2.0 提供暫時性的重新導向型授權。 代表使用者的使用者或 Web 應用程式可以要求授權,以暫時從資源擁有者存取指定的網路資源。 如需詳細資訊,請參閱 OAuth 2.0。 |
OneDrive |
| Office 2013、Office 2016 |
Microsoft Online Services 登入小幫手。 Microsoft Online Services Sign-In Assistant 提供使用者登入功能來Microsoft在線服務,例如 Office 365。 如需 Microsoft Online Services 登入小幫手和 IT 專業人員的詳細資訊,請 參閱 Microsoft Online Services Sign-In 適用於 IT 專業人員的助理 RTW。 下載是用來在 Office 365 用戶端部署中散發到受控客戶端系統,並使用 Microsoft Configuration Manager 或類似的軟體發佈系統。 |
Office 365 服務 |
Office 2016 中的登入類型
Office 2016 支援兩種類型的使用者登入:Microsoft帳戶或Microsoft指派的組織標識符。
Microsoft帳戶 (用戶的個別帳戶) 。 此帳戶先前稱為Microsoft標識符,是認證使用者需要向Microsoft網路進行驗證。 它用於個人或非商業工作,例如自願工作。 若要建立Microsoft帳戶,使用者會提供使用者名稱和密碼、特定人口統計資訊,以及「帳戶證明」,例如替代的電子郵件地址或電話號碼。
由Microsoft/Office 365 帳戶標識符指派的組織標識符,由Microsoft指派。 此帳戶是針對商務用途所建立。 Office 365 帳戶可以是下列三種類型之一:純 Office 365 標識符、Active Directory 標識碼或 Active Directory 同盟服務標識符。
Office 365 標識符。 當系統管理員設定 Office 365 網域並採用 <user>@<org.onmicrosoft.com> 格式時,會建立 Office 365 識別符,例如:
sally@contoso.onmicrosoft.com
由Microsoft指派的組織標識符,會根據使用者的Active Directory標識碼進行驗證。
首先,擁有 [內部部署網域]\<使用者帳戶的人員> 會嘗試存取組織資源。
接下來,資源會向使用者要求驗證。
然後,使用者在其組織中輸入使用者名稱和密碼。
最後,該使用者名稱和密碼會根據組織AD資料庫進行驗證、驗證使用者,並獲得所要求資源的存取權。
- 由Microsoft指派並根據使用者的Active Directory 同盟服務 (AD FS) 識別碼進行驗證的組織標識碼。
首先,有一位 org.onmicrosoft.com 的人員嘗試存取 夥伴 組織資源。
然後,資源會向使用者要求驗證。
接下來,使用者會在其組織中輸入使用者名稱和密碼。
然後,該使用者名稱和密碼會針對組織 AD DS 資料庫進行驗證。
最後,相同的使用者名稱和密碼會傳遞至合作夥伴的同盟 AD DS 資料庫、驗證使用者,並獲得所要求資源的存取權。
針對內部部署資源,Office 2016 會使用 domain\alias 使用者名稱進行驗證。 針對同盟資源,Office 2016 會使用 alias@org.onmicrosoft.com 使用者名稱進行驗證。
使用登錄設定來判斷要在登入時提供給使用者的標識元類型
根據預設,Office 2016 會設定登錄機碼。 當使用者嘗試存取 Office 2016 資源時,這些密鑰會顯示使用者的Microsoft帳戶標識碼和Microsoft指派的組織標識碼。 但是,您可以變更此設定,只顯示Microsoft帳戶或其組織標識符,或兩者皆不顯示。 此設定會在電腦登錄中變更。
若要變更提供給使用者的 Office 2016 登入類型
從 [註冊表編輯器],流覽至:
HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Common\SignIn\SignInOptions
將 SignInOptions 的值設定為下表中的其中一個值。 SignInOptions 設定的類型是 DWORD。
SignInOptions 設定
| 如果將 SignInOptions 設為… | 其意思是 | 使用者受到的影響 |
|---|---|---|
|
0 |
Microsoft 帳戶或組織識別碼 |
使用者可以使用其Microsoft帳戶或組織指派的帳戶來登入以存取 Office 內容。 |
|
1 |
僅限 Microsoft 帳戶 |
使用者只能使用 Microsoft 帳戶登入。 |
|
2 |
僅限組織 |
用戶必須使用其組織指派的使用者標識元登入。 他們可以使用 Microsoft Entra ID 中的使用者識別碼或 Windows Server 上 Active Directory 網域服務 (AD DS) 中的使用者識別符。 |
|
3 |
僅限 AD DS |
使用者只能使用 Windows Server 的 Active Directory 網域服務 (AD DS) 中的使用者識別碼來登入。 |
|
4 |
都不允許 |
使用者無法使用任何識別碼來登入。 |
如果您停用或未設定 [封鎖登入 Office ] 設定,預設設定為 0,這表示使用者可以使用其Microsoft帳戶或貴組織指派的帳戶來登入。
使用登錄設定來防止用戶連線到因特網上的 Office 2016 資源
根據預設,Office 2016 可讓使用者存取位於因特網上的 Office 2016 檔案。 您可以變更此設定,讓使用者看不到這些資源。
允許或防止用戶連線到 Office 2016 因特網資源
從 [註冊表編輯器],流覽至:
Computer\HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Common\Internet\UseOnlineContent
將 UseOnlineContent 設定為下列其中一個值:
Office 2016 UseOnlineContent 值
| UseOnlineContent 值 | Value type | 描述 |
|---|---|---|
| 0 |
DWORD |
不允許使用者存取因特網上的 Office 2016 資源。 |
| 1 |
DWORD |
允許用戶選擇在因特網上存取 Office 2016 資源。 |
| 2 |
DWORD |
(預設) 允許使用者存取因特網上的 Office 2016 資源。 |
刪除與已移除登入身分識別相關聯的 Office 配置文件和認證
當使用者使用其Microsoft帳戶標識碼或組織標識符登入 Office 應用程式時,系統會在登錄中為該身分識別建立相符的 Office 配置檔和認證。 登入頁面會為使用者提供移除該身分識別的選項。 這個選項位於 [不是您的名稱?] 底下 問題,接近用戶的虛擬人偶或相片和名稱。 如果使用者決定移除其中一個身分識別選項,則會從登入頁面中移除。 不過,對應的 Office 配置文件和認證會在快取中保留一小段時間。 如果將資訊保留在快取中會造成安全性風險,例如,當使用者離開您的組織時,立即從登錄中刪除該 Office 配置檔設定。
若要刪除可能仍可快取的 Office 配置檔
從 [註冊表編輯器],流覽至:
HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Common\Identity\Identities
選擇您要刪除的 Office 設定檔,然後選擇 [ 刪除]。
從 [身分識別] Hive,流覽至 [配置檔] 節點,選擇相同的身分識別,開啟快捷方式功能表 (以滑鼠右鍵單擊 [) ],然後選擇 [ 刪除]。