Microsoft 365 功能描述

User account management

Microsoft支援下列建立、管理和驗證使用者的方法。 不過,本主題不包含允許或禁止存取個別Microsoft資源的安全性功能相關資訊 (,例如,Microsoft Exchange Online中的角色型存取控制,或在Microsoft Office SharePoint Online) 中設定安全性。 如需這些功能的詳細資訊,請參閱Exchange Online服務描述SharePoint Online 服務描述。 如果您需要可協助您執行系統管理工作的工具相關資訊,請參閱管理Microsoft帳戶的工具。 若要瞭解如何執行日常管理工作,請參閱 一般管理工作

需要登入、安裝或卸載或取消訂用帳戶的協助?:取得協助:登入 | 安裝或卸載 Office | Canceling Office 365

如需其他問題,請造訪Microsoft 支援中心。 若要取得中國的 21Vianet 運作的 Office 365 的支援,請連絡 21Vianet 支援小組

登入選項:Microsoft有兩個系統可用於使用者身分識別:公司或學校帳戶 (雲端身分識別) 和同盟帳戶 (同盟身分識別) 。 身分類型影響使用者經驗及使用者帳戶管理選項,還有硬體和軟體需求及其他部署考量。

公司或學校帳戶 (雲端身分識別) - 使用者會收到 Azure Active Directory 雲端認證,與其他桌面或公司認證分開,以登入Microsoft雲端服務。 這是預設也是建議身分識別,以便將部署複雜度降至最低。 工作或學校帳戶的密碼請使用Azure Active Directory 密碼原則

同盟帳戶 (同盟身分識別) - 對於具有使用單一登入 (SSO) 之內部部署的 Active Directory組織中的所有訂用帳戶,使用者可以使用其 Active Directory 認證登入Microsoft服務。 公司Active Directory 儲存和控制密碼原則。 如需有關 SSO 的資訊,請參閱 單一登入藍圖

單一登入: 對於使用單一登入的組織,網域上的所有使用者都必須使用相同的身分識別系統:雲端身分識別或同盟身分識別。 例如,您可以有一個使用者群組只需要雲端身分識別,因為他們不會存取內部部署系統,而另一個使用者群組則使用Microsoft和內部部署系統。 您會將兩個網域新增至Office 365,例如contractors.contoso.comstaff.contoso.com,並且只設定其中一個網域的 SSO。 您可以將整個網域從雲端身分識別轉換為同盟身分識別,或者從同盟身分識別轉換為雲端身分識別。

認證:除了使用 SharePoint Online 建立之匿名存取的網際網路網站之外,使用者在存取Microsoft服務時必須經過驗證。 新式驗證雲端身分識別驗證同盟身分識別驗證。 Microsoft使用表單型驗證,而透過網路的驗證流量一律會使用 TLS/SSL 使用埠 443 加密。 驗證流量會針對Microsoft服務使用可忽略的頻寬百分比。

新式驗證- 新式驗證會將Microsoft驗證程式庫型登入帶入跨平臺的 Office 用戶端應用程式。 如此可啟用類似 Multi-Factor Authentication (MFA)、具備 Office 用戶端應用程式的 SAML 型第三方識別提供者,以及智慧卡及憑證式驗證等的登入功能。 同時也會移除 Microsoft Outlook 使用基本驗證通訊協定的需求。 如需詳細資訊,包括 Office 應用程式的新式驗證可用性,請 參閱新式驗證如何適用于 Office 2013 和 Office 2016 用戶端應用程式。 Exchange Online預設會開啟新式驗證。 若要瞭解如何開啟或關閉它,請參閱在 Exchange Online 中啟用新式驗證

雲端身分識別驗證 - 具有雲端身分識別的使用者會使用傳統挑戰/回應進行驗證。 網頁瀏覽器會重新導向至Microsoft登入服務,您可以在其中輸入公司或學校帳戶的使用者名稱和密碼。 The sign-in service authenticates your credentials and generates a service token, which the web browser posts to the requested service and logs you in.

同盟身分識別驗證 - 具有同盟身分識別的使用者會使用 Active Directory 同盟服務 (AD FS) 2.0 或其他安全性權杖服務進行驗證。 網頁瀏覽器會重新導向至Microsoft登入服務,您會在其中以使用者主體名稱的形式輸入公司識別碼, (UPN) ,例如: isabel@contoso.com 。 登入服務會判斷您是同盟網域的一部分,並提供將您重新導向至內部部署同盟伺服器進行驗證的供應專案。 如果您已登入已加入網域) 的桌面 (網域,則會使用 Kerberos 或 NTLMv2) 驗證 (,而內部部署安全性權杖服務會產生登入權杖,網頁瀏覽器會將其張貼至Microsoft登入服務。 Using the logon token, the sign-in service generates a service token that the web browser posts to the requested service and logs you in. For a list of available Security Token Services available, see Single sign-on roadmap.

Multi-Factor Authentication: 使用 Multi-Factor Authentication 時,使用者必須在正確輸入密碼之後,在其智慧型手機上認可通話、簡訊或代理程式更新。 Only after this second authentication can the user sign in. Microsoft系統管理員可以在Microsoft 365 系統管理中心中註冊使用者進行多重要素驗證。 深入瞭解 Multi-Factor Authentication

豐富的用戶端驗證:對於豐富型用戶端,例如Microsoft Office 桌面應用程式,驗證可以透過兩種方式進行:Microsoft線上服務Sign-In小幫手透過 SSL 進行基本/Proxy 驗證。 若要確保正確探索和驗證Microsoft服務,系統管理員必須將一組元件和更新套用至每個工作站,這些工作站會使用豐富的用戶端 (,例如 Microsoft Office 2010) ,並聯機到Office 365。 桌面設定是一種自動化工具,可使用必要的更新來設定工作站。 如需詳細資訊,請 參閱使用我目前的 Office 傳統型應用程式

Microsoft線上服務Sign-In小幫手 - 桌面安裝程式所安裝的登入小幫手包含用戶端服務,可從登入服務取得服務權杖,並將其傳回給豐富型用戶端。 如果您有雲端身分識別,您會收到認證提示,用戶端服務會將認證傳送至登入服務,以使用 WS-Trust) 進行驗證 (。 如果您有同盟身分識別,用戶端服務會先連絡 AD FS 2.0 伺服器,以使用 Kerberos 或 NTLMv2) 驗證 (認證,並取得使用 WS-Federation 和 WS-Trust) 傳送至登入服務 (的登入權杖。

透過 SSL 進行基本/Proxy 驗證- Outlook 用戶端會透過 SSL 將基本驗證認證傳遞給Exchange Online。 Exchange Online向身分識別平臺代理驗證要求,然後內部部署的 Active Directory SSO) 的同盟伺服器 (。

登入體驗: 登入體驗會根據使用中的身分識別類型而變更:

Service 雲端身分識別 同盟身分識別
Outlook 2016 登入每個工作階段 1 登入每個工作階段 2
Outlook 2013 登入每個工作階段 1 登入每個工作階段 2
Outlook 2010 或 Office 2007 在 Windows 7 登入每個工作階段 1 登入每個工作階段 2
Outlook 2010 或 Office Outlook 2007 在 Windows Vista 登入每個工作階段 1 登入每個工作階段 2
Microsoft Exchange ActiveSync 登入每個工作階段 1 登入每個工作階段 2
POP、IMAP、Outlook for Mac 登入每個工作階段 1 登入每個工作階段 2
Web 體驗:Microsoft 365 系統管理中心/Outlook 網頁版/SharePoint Online/Office 網頁版 登入每個瀏覽器工作階段4 登入每個工作階段 3
Office 2010 或 Office 2007 使用 SharePoint Online 登入每個 SharePoint Online 工作階段 4 登入每個 SharePoint Online 工作階段3
商務用 Skype Online 登入每個工作階段 1 無提示
Mac 版 Outlook 登入每個工作階段 1 登入每個工作階段 2

1 第一次出現提示時,您可以儲存密碼以供日後使用。 在您變更密碼之前,您不會收到另一個提示。
2 您輸入公司認證。 您可以儲存密碼,而且在密碼變更之前不會再次出現提示。
3 所有應用程式都需要您輸入或選取要登入的使用者名稱。 如果您的電腦已加入網域,系統不會提示您輸入密碼。 如果您選取 [ 讓我保持登入], 在登出之前,系統不會再次提示您。
4 如果您選取 [ 讓我保持登入], 則在登出之前不會再次提示您。

建立使用者帳戶: 有多種方式可讓您新增使用者。 若要深入瞭解,請參閱個別或大量新增使用者 - 管理員說明新增使用者並指派授權 - Microsoft 365 系統管理員|Microsoft Docs。如果您使用的Office 365是由 21Vianet 在中國運作,請參閱在 21Vianet 營運的Office 365中建立或編輯使用者帳戶 - 管理員說明。

刪除使用者帳戶: 刪除帳戶的方式取決於您是否使用目錄同步處理。 如果您不是使用目錄同步處理,則可以使用管理頁面或使用 Windows PowerShell 來刪除帳戶。 如果您使用目錄同步處理,則必須從本機 Active Directory 刪除使用者,而不是從Office 365刪除使用者。

已刪除的帳戶: 刪除帳戶時,它會變成非使用中狀態。 帳戶刪除約 30 日之後,您可以復原帳戶。 如需刪除和還原帳戶的詳細資訊,請參閱刪除使用者還原使用者,或者,如果您使用的是 21Vianet 在中國營運的Office 365,請參閱在 21Vianet 營運的Office 365中建立或編輯使用者帳戶 - 管理員說明。

密碼管理: 密碼管理的原則和程式取決於身分識別系統。

雲端身分識別密碼管理: 使用雲端身分識別時,會在建立帳戶時自動產生密碼。 如需雲端身分識別密碼強度需求,請參閱密碼原則。 若要提高安全性,使用者必須在第一次存取Microsoft服務時變更其密碼。 因此,使用者必須先登入Microsoft 365 系統管理中心,系統會提示他們變更其密碼,才能存取Microsoft服務。 管理員可以設定密碼到期原則。 如需詳細資訊,請參閱設定使用者的密碼到期原則

雲端身分識別密碼重設:有數個工具可為具有雲端身分識別的使用者重設密碼:管理員重設密碼、使用Outlook 網頁版使用者變更密碼角色型重設密碼許可權,以及使用Windows PowerShell重設密碼

管理員重設密碼- 如果使用者遺失或忘記密碼,系統管理員可以在系統管理中心或使用Windows PowerShell重設使用者的密碼。 使用者必須知道自己的現有密碼,才能變更密碼。 針對企業方案,如果系統管理員遺失或忘記其密碼,具有全域管理員角色的不同系統管理員可以在Microsoft 365 系統管理中心中或使用Windows PowerShell重設系統管理員的密碼。 有關詳細資訊,請參閱重置管理員密碼。 如果您是在中國 21Vianet 營運的Office 365中工作,請參閱變更或重設 21Vianet 營運Office 365中的密碼

使用者使用Outlook 網頁版變更密碼- [Outlook 網頁版選項] 頁面包含 [變更密碼] 超連結,可將使用者重新導向至 [變更密碼]頁面。 使用者必須知道他們先前的密碼。 如需詳細資訊,請參閱 變更密碼 。 如果您使用的是 21Vianet 在中國運作的Office 365,請參閱變更或重設 21Vianet 營運Office 365中的密碼

角色型重設密碼許可權 - 針對企業方案,技術服務人員等授權使用者可以獲指派 重設密碼 使用者權限,以及使用預先定義或自訂角色變更密碼的許可權,而不需要成為完整的服務管理員。 根據預設,在企業方案中,具有全域管理員、密碼管理員或使用者管理系統管理員角色的系統管理員可以變更密碼。 For more information, see Assigning admin roles.

使用 Windows PowerShell 重設密碼- 服務管理員可以使用Windows PowerShell來重設密碼。

同盟身分識別密碼管理: 使用同盟身分識別時,會在 Active Directory 中管理密碼。 內部部署安全性權杖服務會與同盟閘道交涉驗證,而不會透過網際網路將使用者的本機 Active Directory 密碼傳遞給Office 365。 使用本機密碼原則,或如果是網頁用戶端則使用雙因素驗證。 Outlook 網頁版不包含變更密碼超連結。 使用者變更密碼,使用標準的內部部署工具,或經由桌面 PC 登入選項。

目錄同步: 如果您已在組織環境中啟用具有 單一登入 (SSO) 的 Directory Sync ,而且中斷會影響您的同盟識別提供者,同盟登入的密碼同步備份會提供手動將網域切換至密碼同步的選項。使用密碼同步可讓您的使用者在中斷已修正時存取。 瞭解 如何從單一Sign-On切換至密碼同步

授權管理:授權可讓使用者存取一組Microsoft服務。 針對使用者需要存取之服務,管理員會指派一個授權給每位使用者。 例如,您可以指派使用者商務用 Skype Online 而非 SharePoint Online 的存取權。

計費:Microsoft計費管理員可以變更訂用帳戶詳細資料,例如使用者授權數目和公司使用的其他服務數目。 請參閱 指派或移除授權。 如果您使用由 21Vianet 營運的Office 365,請參閱在 21Vianet 營運的Office 365中指派或移除授權

群組管理: SharePoint Online 中會使用安全性群組來控制網站的存取權。 安全性群組可以在Microsoft 365 系統管理中心中建立。 有關安全性群組的詳細資訊,請參閱建立、編輯或刪除安全性群組

Azure Active Directory 服務:Azure Active Directory (AD) 為Office 365帶來完整的身分識別和存取管理功能。 它結合了目錄服務、進階身分識別管理、應用程式存取管理以及豐富的標準型開發人員平台。 若要深入了解 Office 365 中的 AD 功能,請參閱登入頁面商標及雲端使用者自助式密碼重設。 深入了解 Azure Active Directory 版本

功能可用性:若要檢視跨方案的功能可用性,請參閱 Microsoft 365 和Office 365平臺服務描述