Microsoft 帳戶
瞭解 Microsoft 帳戶的運作方式以增強使用者的安全性和隱私權,以及如何管理組織中的取用者帳戶類型。
什麼是 Microsoft 帳戶?
執行 Windows 10 的 Microsoft 網站、服務、屬性和電腦可以使用 Microsoft 帳戶作為可識別使用者的方式。 Microsoft 帳戶先前稱為 Windows Live ID。 Microsoft 帳戶具有使用者定義的秘密,而且由唯一的電子郵件地址和密碼所組成。
使用者使用 Microsoft 帳戶登入時,會將裝置連線至雲端服務。 使用者可以跨裝置共用其許多設定、喜好設定和應用程式。
Microsoft 帳戶的運作方式
使用者可以使用 Microsoft 帳戶來登入支援此服務的網站,方法是使用一組認證。 與網站相關聯的 Microsoft 帳戶驗證伺服器會驗證使用者的認證。 Microsoft Store 是此關聯的範例。 新的使用者登入已啟用可使用 Microsoft 帳戶的網站時,會將使用者重新導向至最接近的驗證伺服器,而這會要求使用者名稱和密碼。 Windows 會使用安全通道安全性支援提供者來開啟此函數的傳輸層級安全性/安全通訊端層 (TLS/SSL) 連線。 使用者可以選擇使用認證管理員來儲存其認證。
使用者登入已啟用可使用 Microsoft 帳戶的網站時,其電腦上已安裝限時 Cookie。 Cookie 包括三重 DES 加密識別碼標記。 驗證伺服器與網站之間已同意加密識別碼標記。 識別碼標記會傳送至網站,而網站會在使用者電腦上放置另一個限時加密 HTTP Cookie。 Cookie 有效時,使用者不需要輸入使用者名稱和密碼。 如果使用者主動登出其 Microsoft 帳戶,則會移除這些 Cookie。
注意
本機 Windows 帳戶功能仍然是您可以在受管理環境中使用的選項。
Microsoft 帳戶的建立方式
為了防止詐騙,Microsoft 系統會在使用者建立 Microsoft 帳戶時驗證使用者的 IP 位址。 如果使用者嘗試使用相同的 IP 位址來建立多個 Microsoft 帳戶,則會停止其建立更多帳戶。 Microsoft 帳戶並未設計成批次建立,例如企業中的一組網域使用者。
若要建立 Microsoft 帳戶,使用者有兩個選項:
使用現有電子郵件地址。 使用者可以使用其有效的電子郵件地址來註冊 Microsoft 帳戶。 服務會將要求使用者的電子郵件地址轉換成 Microsoft 帳戶。 使用者可以選擇要用於 Microsoft 帳戶的個別密碼。
註冊 Microsoft 電子郵件地址。 使用者可以透過 Microsoft Webmail 服務來註冊電子郵件帳戶。 使用者可以使用該帳戶來登入已啟用可使用 Microsoft 帳戶的網站。
Microsoft 帳戶資訊的保護方式
認證資訊會加密兩次。 第一個加密是以帳戶密碼為基礎。 認證會在透過網際網路傳送時再次加密。 所儲存的認證資料不適用於其他 Microsoft 服務或非 Microsoft 服務。
需要強式密碼。 不允許空白密碼。
如需詳細資訊,請參閱如何協助保護您的 Microsoft 帳戶安全。
需要身分識別的次要證明。 使用者第一次可以在第二部支援的 Windows 電腦上存取使用者設定檔資訊和設定之前,必須建立該裝置的信任。 若要建立信任,使用者必須提供次要身分識別證明。 使用者可以證明其身分識別,方法是輸入傳送至行動電話號碼的代碼,或遵循傳送至使用者在帳戶設定中所指定替代電子郵件地址的指示。
所有使用者設定檔資料都會先在用戶端上加密後再傳輸至雲端。 使用者資料預設不會透過無線廣域網路進行漫遊,因此設定檔資料會受到保護。 所有離開裝置的資料和設定都會透過 TLS/SSL 通訊協定進行傳輸。
Microsoft 帳戶安全性資訊
使用者可以透過執行所支援 Windows 版本之電腦上的 Accounts 介面,以將安全性資訊新增至其 Microsoft 帳戶。 在 [帳戶] 中,使用者可以更新在建立其帳戶時所提供的安全性資訊。 此安全性資訊包括替代電子郵件地址或電話號碼,因此,如果其密碼遭到入侵或忘記,則可以傳送驗證碼來驗證其身分識別。 使用者可能會使用其 Microsoft 帳戶,以將公司資料儲存至個人 OneDrive 或電子郵件應用程式。 安全的做法是讓帳戶擁有者保有此安全性資訊的最新狀態。
企業中的 Microsoft 帳戶
雖然 Microsoft 帳戶的設計目的是為取用者提供服務,但您的網域使用者可能會受益於在企業中使用其個人 Microsoft 帳戶。 下列清單描述一些優點:
下載 Microsoft Store 應用程式。 如果您的企業選擇透過 Microsoft Store 散發應用程式或軟體,則企業使用者可以使用 Microsoft 帳戶,以最多在執行任何 Windows 10、Windows 8.1、Windows 8 或 Windows RT 版本的五個裝置上下載並使用應用程式。
單一登入。 企業使用者可以使用 Microsoft 帳戶認證來登入執行 Windows 10、Windows 8.1、Windows 8 或 Windows RT 的裝置。 在此案例中,Windows 會與您的 Microsoft Store 應用程式搭配運作,以在應用程式中提供已驗證的體驗。 使用者可以將 Microsoft 帳戶與其 Microsoft Store 應用程式或網站登入認證建立關聯,讓這些認證在任何執行這些已支援版本的裝置之間漫遊。
個人化設定同步處理。 使用者可以將其最常使用的作業系統設定與 Microsoft 帳戶建立關聯。 只要使用者在任何執行所支援 Windows 版本並連線至雲端的裝置上使用該帳戶進行登入,就可以使用這些設定。 使用者登入之後,裝置會自動嘗試從雲端中取得使用者設定,並將其套用至裝置。
應用程式同步處理。 Microsoft Store 應用程式可以儲存使用者特定設定,讓任何裝置都可以使用這些設定。 與作業系統設定相同,只要使用者使用相同的 Microsoft 帳戶登入任何執行所支援 Windows 版本並連線至雲端的裝置,就可以使用這些使用者特定應用程式設定。 使用者登入之後,該裝置便會自動從雲端下載設定,並在安裝好應用程式時套用這些設定。
整合式社交媒體服務。 Outlook、Facebook、Twitter 和 LinkedIn 這類網站之使用者朋友和同事的連絡資訊和狀態會自動保持最新狀態。 使用者也可以從 OneDrive、Facebook 和 Flickr 這類網站取得並分享相片、文件和其他檔案。
管理網域中的 Microsoft 帳戶
根據您的 IT 和商務模型,將 Microsoft 帳戶引進企業可能會增加複雜度,也可能提供解決方案。 您允許在企業中使用這些帳戶類型之前,應該先處理下列考量:
限制 Microsoft 帳戶的使用
下列群組原則設定可協助控制企業中 Microsoft 帳戶的使用:
應用程式和服務:封鎖 Microsoft 帳戶使用者驗證
此設定可控制使用者是否可以提供 Microsoft 帳戶來驗證應用程式或服務。
如果啟用此設定,則會防止裝置上的所有應用程式和服務使用 Microsoft 帳戶進行驗證。 此設定同時適用於現有裝置使用者和任何新使用者。
除非驗證快取到期,否則啟用此設定並不會影響任何應用程式或服務,而這些應用程式或服務已驗證過使用 Microsoft 帳戶的使用者。 建議您在任何使用者登入裝置之前啟用此設定,以防止快取的權杖驗證 Microsoft 帳戶。
如果停用或未設定此設定,則應用程式和服務可以使用 Microsoft 帳戶來進行驗證。 預設會停用此設定。
此設定不會影響使用者是否可以使用 Microsoft 帳戶來登入裝置,或使用者是否能夠透過瀏覽器來提供 Microsoft 帳戶,以向 Web 型應用程式進行驗證。
此設定的路徑是「電腦設定\系統管理範本\Windows 元件\Microsoft 帳戶」。
帳戶: 封鎖 Microsoft 帳戶
此設定可防止使用 [設定] 應用程式來新增 Microsoft 帳戶以進行 Microsoft 服務和一些背景服務的單一登入驗證,或防止使用 Microsoft 帳戶以單一登入其他應用程式或服務。
如果啟用此設定,則使用者會有兩個選項:
使用者無法新增 Microsoft 帳戶。 現有的已連線帳戶仍然可以登入至裝置 (而且其會出現在 [登入] 頁面上)。 不過,使用者無法使用 [設定] 應用程式來新增新連線的帳戶,或將本機帳戶連線至 Microsoft 帳戶。
使用者無法新增 Microsoft 帳戶或使用 Microsoft 帳戶進行登入。 使用者無法新增已連線的帳戶 (或將本機帳戶連線至 Microsoft 帳戶),或透過 [設定] 來使用現有的已連線帳戶。
此設定不會影響新增 Microsoft 帳戶以進行應用程式驗證。 例如,如果已啟用此設定,則使用者仍然可以提供 Microsoft 帳戶以向 Mail 這類應用程式進行驗證,但使用者無法針對其他應用程式或服務使用 Microsoft 帳戶以進行單一登入驗證。 針對其他應用程式和服務,系統會提示使用者進行驗證。
預設不會設定此設定。
此設定的路徑為「電腦設定\Windows 設定\安全性設定\本機原則\安全性選項」。
設定已連線帳戶
使用者可以將 Microsoft 帳戶連線至其網域帳戶,並在帳戶之間同步處理設定和喜好設定。 同步處理帳戶之間的設定和喜好設定,使用者就會看到相同的桌面背景、應用程式設定、瀏覽器歷程記錄和我的最愛,以及其他裝置上的其他 Microsoft 帳戶設定。
中斷已連線帳戶的連線
使用者隨時可以中斷 Microsoft 帳戶與其網域帳戶的連線:在 [電腦設定] 中,選取 [使用者] > [中斷連線] > [完成]。
注意
將 Microsoft 帳戶連線至網域帳戶可能會限制對 Windows 中一些高權限工作的存取。 例如,工作排程器評估已連線的 Microsoft 帳戶的存取,而且失敗。 在此案例中,帳戶擁有者應該中斷帳戶的連線。
在企業中佈建 Microsoft 帳戶
Microsoft 帳戶是私人使用者帳戶。 Microsoft 未提供針對企業佈建 Microsoft 帳戶的方式。 企業應該使用網域帳戶。
稽核帳戶活動
因為 Microsoft 帳戶是以網際網路為基礎,所以除非帳戶與網域帳戶相關聯,否則 Windows 不會有方法來稽核 Microsoft 帳戶。 您無法稽核與網域無關的帳戶活動,因為使用者可以中斷帳戶連線,或隨時離開網域。
重設密碼
只有 Microsoft 帳戶的擁有者才能變更與帳戶相關聯的密碼。 使用者可以在 Microsoft 帳戶登入入口網站中變更其 Microsoft 帳戶的密碼。
限制應用程式安裝和使用方式
在您的組織內,您可以設定應用程式控制原則,以規範 Microsoft 帳戶的應用程式安裝和使用方式。 如需詳細資訊,請參閱 AppLocker 和 AppLocker 中的已封裝應用程式和已封裝應用程式安裝程式規則。