Identität, Authentifizierung und Autorisierung in Office 2016
Zusammenfassung: Beschreibt die Office 2016-Authentifizierung, Anmeldetypen und die Verwendung von Registrierungseinstellungen, um zu bestimmen, welche Benutzeridentitäten bei der Benutzeranmeldung angeboten werden.
Office-Anwendungen werden sowohl für geschäftliche als auch für nicht geschäftliche Aktivitäten verwendet. Während des Tages kann eine Person Excel verwenden, um die Verkaufszahlen des Q2-Widgets zu analysieren und sie nach jedem Tag aufzuschlüsseln. In der Nacht könnte dieselbe Person in Excel zum Knirschen von WM-Statistiken wechseln. Ebenso können sie Word verwenden, um während der Arbeitszeit Produktspezifikationen zu entwerfen und dann in ihrer Freizeit kurz zu schreiben. Office ist ein vielseitiges Tool, das von Einzelpersonen in verschiedenen Rollen verwendet wird. Um dies zu bewältigen, ermöglicht Office 2016 Benutzern die Anmeldung mit zwei separaten Identitäten:
Ein Microsoft-Konto, das die meisten Personen für persönliche Unternehmen verwenden
Eine organization-ID, die von Microsoft zugewiesen wird, die die meisten Personen bei der Arbeit für ein organization verwenden, z. B. ein Unternehmen, eine Wohltätigkeitsorganisation oder eine Schule.
Die Anmeldeinformationen, die für die Anmeldung verwendet werden, werden entweder als persönlich oder als organisationsbezogen erkannt. Diese Anmeldeidentität wird zum "Startbereich" des Benutzers und bestimmt, auf welche Dokumente der Benutzer zugriff auf SharePoint, OneDrive oder Office 365 Services für eine bestimmte Sitzung hat. Jede eindeutige Anmeldeidentität wird in einer Liste der zuletzt verwendeten Identitäten gespeichert, sodass es einfach ist, zwischen Identitäten zu wechseln, ohne die Office-Benutzeroberfläche zu verlassen.
Zur Vereinfachung können Benutzer einen Onlinedokumentdienst in ihre Identitäten einbinden, um den Zugriff zu erleichtern. Für instance kann ein persönliches OneDrive in eine organization Identität eingebunden werden, sodass auf persönliche Dokumente am Arbeitsplatz oder in der Schule zugegriffen werden kann, ohne jemals die Identitäten zu wechseln. Wenn sich ein Benutzer mit einer Identität authentifiziert, ist diese Authentifizierung außerdem für alle Office-Anwendungen gültig, nicht nur für die Anwendung, bei der er sich angemeldet hat.
Die gute Nachricht ist, dass alle diese Features nur für Benutzer funktionieren, standardmäßig und sofort einsatzbereit.
Office-Authentifizierungsprotokolle
In Office werden Benutzer mit Forms-Based Authentication (FBA), Windows Integrated Authentication (WIA) oder Passport Server Side Include (SSI)-Authentifizierung (Passport Tweener) authentifiziert. In Office 2016 können Sie weiterhin FBA oder WIA verwenden, aber anstelle von SSI verwenden wir jetzt den neuen offenen Standard, tokenbasierte Open Authorization 2.0 (OAuth 2.0). In der folgenden Tabelle finden Sie eine Übersicht über die Authentifizierungsprotokolle, die Sie mit Office verwenden können.
Office-Authentifizierungsprotokolle
| Office-Clientversion | Authentifizierungsprotokoll | Server |
|---|---|---|
| Office 2010, Office 2013, Office 2016 |
Forms-Based-Authentifizierung (FBA). Die formularbasierte Authentifizierung verwendet clientseitige Umleitung, um nicht authentifizierte Benutzer an ein HTML-Formular weiterzuleiten, in dem sie ihre Anmeldeinformationen eingeben können. Nachdem die Anmeldeinformationen überprüft wurden, werden Benutzer zu den angeforderten Ressourcen umgeleitet. |
SharePoint Online |
| Office 2010, Office 2013, Office 2016 |
Integrierte Windows-Authentifizierung (Windows Integrated Authentication, WIA). Dies wird ausgehandelt, wie beim Kerberos-Protokoll oder NTLM. In diesem Szenario stellt das Betriebssystem die Authentifizierung bereit. |
SharePoint 2010, SharePoint 2013, SharePoint 2016 |
| Office 2010, Office 2013, Office 2016 |
SSI oder Passport Tweener, Authentifizierung. Wenn ein Benutzer Windows Live ID-Anmeldeinformationen oder ein Microsoft-Konto bereitstellt, gibt der Windows Live ID-Dienst ein Passport-"Ticket" zurück, das der Client für den Zugriff auf Windows Live-Dienste verwendet. |
OneDrive |
| Office 2013, Office 2016 |
Öffnen Sie Autorisierung 2.0 (OAuth 2.0). OAuth 2.0 bietet eine temporäre umleitungsbasierte Autorisierung. Ein Benutzer oder eine Webanwendung, die im Auftrag eines Benutzers ausgeführt wird, kann Autorisierung anfordern, um vorübergehenden Zugriff auf angegebene Netzwerkressourcen von einem Ressourcenbesitzer zu erhalten. Weitere Informationen finden Sie unter OAuth 2.0. |
OneDrive |
| Office 2013, Office 2016 |
Microsoft Online Services-Anmelde-Assistent. Der Microsoft Online Services Sign-In Assistant bietet Endbenutzer-Anmeldefunktionen für Microsoft Online Services, z. B. Office 365. Weitere Informationen zum Microsoft Online Services-Anmelde-Assistenten und zum IT-Experten finden Sie unter Microsoft Online Services Sign-In Assistant for IT Professionals RTW. Der Download ist für die Verteilung auf verwaltete Clientsysteme im Rahmen einer Office 365 Clientbereitstellung mit Microsoft Configuration Manager oder ähnlichen Softwareverteilungssystemen vorgesehen. |
Office 365-Dienste |
Anmeldetypen in Office 2016
Office 2016 unterstützt zwei Arten von Anmeldungen für Benutzer: ein Microsoft-Konto oder eine von Microsoft zugewiesene organization-ID.
Microsoft-Konto (das individuelle Konto des Benutzers). Dieses Konto, das zuvor als Microsoft-ID bezeichnet wurde, ist die Anmeldeinformationen, die Benutzer benötigen, um sich beim Microsoft-Netzwerk zu authentifizieren. Es wird für persönliche oder nicht geschäftliche Aufgaben verwendet, z. B. für freiwilligen Einsatz. Um ein Microsoft-Konto zu erstellen, stellt ein Benutzer einen Benutzernamen und ein Kennwort, bestimmte demografische Informationen und "Kontonachweise" bereit, z. B. eine alternative E-Mail-Adresse oder Telefonnummer.
Eine organization-ID, die von Microsoft/Office 365 konto-ID zugewiesen wird, die von Microsoft zugewiesen wird. Dieses Konto wird für die geschäftliche Verwendung erstellt. Ein Office 365 Konto kann einer von drei Typen sein: eine reine Office 365-ID, eine Active Directory-ID oder eine Active Directory-Verbunddienste (AD FS)-ID.
Office 365-ID. Die Office 365-ID wird erstellt, wenn ein Administrator eine Office 365 Domäne einrichte und das Format <user>@<org.onmicrosoft.com> annimmt, z. B.:
sally@contoso.onmicrosoft.com
Eine von Microsoft zugewiesene Organisations-ID, die anhand der Active Directory-ID eines Benutzers überprüft wird.
Zunächst versucht eine Person, die über ein [lokale Domäne]\<Benutzerkonto> verfügt, auf organization Ressourcen zuzugreifen.
Als Nächstes fordert die Ressource die Authentifizierung vom Benutzer an.
Anschließend gibt der Benutzer seinen organization Benutzernamen und das Kennwort ein.
Schließlich werden der Benutzername und das Kennwort anhand der organization AD-Datenbank überprüft, der Benutzer wird authentifiziert und erhält Zugriff auf die angeforderte Ressource.
- Eine organization-ID, die von Microsoft zugewiesen und anhand der Active Directory-Verbunddienste (AD FS)(AD FS)-ID eines Benutzers überprüft wird.
Zunächst versucht eine Person, die über eine org.onmicrosoft.com verfügt, auf Partnerressourcen organization zuzugreifen.
Anschließend fordert die Ressource die Authentifizierung vom Benutzer an.
Als Nächstes gibt der Benutzer seinen organization Benutzernamen und Kennwort ein.
Anschließend werden der Benutzername und das Kennwort anhand der organization AD DS-Datenbank überprüft.
Schließlich werden derselbe Benutzername und dasselbe Kennwort an die AD DS-Verbunddatenbank des Partners übergeben, der Benutzer wird authentifiziert und erhält Zugriff auf die angeforderte Ressource.
Für lokale Ressourcen verwendet Office 2016 den Benutzernamen domäne\alias für die Authentifizierung. Für Verbundressourcen verwendet Office 2016 den Benutzernamen für die alias@org.onmicrosoft.com Authentifizierung.
Verwenden von Registrierungseinstellungen, um zu bestimmen, welche ID-Typen einem Benutzer bei der Anmeldung angeboten werden sollen
Standardmäßig ist Office 2016 mit Registrierungsschlüsseln konfiguriert. Diese Schlüssel zeigen die Microsoft-Konto-ID des Benutzers und die von Microsoft zugewiesene organization-ID an, wenn ein Benutzer versucht, auf eine Office 2016-Ressource zuzugreifen. Sie können diese Einstellung jedoch so ändern, dass nur das Microsoft-Konto oder die organization-ID angezeigt wird. Diese Einstellung wird in der Computerregistrierung geändert.
So ändern Sie die Office 2016-Anmeldetypen, die dem Benutzer angeboten werden
Navigieren Sie im Registrierungs-Editor zu:
HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Common\SignIn\SignInOptions
Legen Sie den Wert von SignInOptions auf einen der Werte in der folgenden Tabelle fest. Der Typ für die Einstellung SignInOptions ist DWORD.
SignInOptions-Einstellungen
| SignInOptions-Einstellung | Bedeutung | Auswirkungen auf Benutzer |
|---|---|---|
| 0 |
Microsoft-Konto oder Organisations-ID |
Benutzer können sich für den Zugriff auf Office-Inhalte mit ihrem Microsoft-Konto oder einem Konto anmelden, das von ihren organization zugewiesen wird. |
| 1 |
Nur Microsoft-Konto |
Benutzer können sich nur mit ihrem Microsoft-Konto anmelden. |
| 2 |
Nur Organisation |
Benutzer müssen sich mit der Benutzer-ID anmelden, die ihrem organization zugewiesen ist. Sie können entweder eine Benutzer-ID in Microsoft Entra ID oder eine Benutzer-ID in Active Directory Domain Services (AD DS) unter Windows Server verwenden. |
| 3 |
Nur AD DS |
Benutzer können sich nur mithilfe einer Benutzer-ID in Active Directory Domain Services (AD DS) unter Windows Server anmelden. |
| 4 |
Keine |
Die Benutzer können nicht mit jeder ID anmelden. |
Wenn Sie die Einstellung Anmeldung bei Office blockieren deaktivieren oder nicht konfigurieren, lautet die Standardeinstellung 0. Dies bedeutet, dass sich Benutzer mit ihrem Microsoft-Konto oder einem Konto anmelden können, das von Ihrem organization zugewiesen wurde.
Verwenden einer Registrierungseinstellung, um zu verhindern, dass ein Benutzer eine Verbindung mit Office 2016-Ressourcen im Internet herstellt
Standardmäßig gewährt Office 2016 Benutzern Zugriff auf Office 2016-Dateien, die sich im Internet befinden. Sie können diese Einstellung ändern, sodass ein Benutzer diese Ressourcen nicht sehen kann.
So erlauben oder verhindern Sie, dass ein Benutzer eine Verbindung mit Office 2016-Internetressourcen herstellt
Navigieren Sie im Registrierungs-Editor zu:
Computer\HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Common\Internet\UseOnlineContent
Legen Sie UseOnlineContent auf einen der folgenden Werte fest:
Office 2016 UseOnlineContent-Werte
| UseOnlineContent-Wert | Werttyp | Beschreibung |
|---|---|---|
| 0 |
DWORD |
Benutzer dürfen nicht auf Office 2016-Ressourcen im Internet zugreifen. |
| 1 |
DWORD |
Ermöglichen Sie benutzern, den Zugriff auf Office 2016-Ressourcen im Internet zu aktivieren. |
| 2 |
DWORD |
(Standard) Ermöglicht dem Benutzer den Zugriff auf Office 2016-Ressourcen im Internet. |
Löschen des Office-Profils und der Anmeldeinformationen, die einer entfernten Anmeldeidentität zugeordnet sind
Wenn sich ein Benutzer mit seiner Microsoft-Konto-ID oder seiner organization-ID bei einer Office-App anmeldet, erstellt das System ein übereinstimmende Office-Profil und Anmeldeinformationen für diese Identität in der Registrierung. Die Anmeldeseite bietet dem Benutzer die Möglichkeit, diese Identität zu entfernen. Diese Option befindet sich direkt unter "Nicht Ihr Name?". Frage, in der Nähe des Avatars oder Fotos des Benutzers und Name. Wenn Benutzer eine ihrer Identitätsoptionen entfernen möchten, wird sie von der Anmeldeseite entfernt. Das entsprechende Office-Profil und die Anmeldeinformationen verbleiben jedoch für kurze Zeit im Cache. Wenn das Speichern von Informationen im Cache ein Sicherheitsrisiko darstellt, z. B. wenn ein Benutzer Ihre organization verlässt, löschen Sie diese Office-Profileinstellung sofort aus der Registrierung.
So löschen Sie ein Office-Profil, das möglicherweise noch zwischengespeichert wird
Navigieren Sie im Registrierungs-Editor zu:
HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Common\Identity\Identities
Wählen Sie das Office-Profil aus, das Sie löschen möchten, und wählen Sie dann Löschen aus.
Navigieren Sie in der Identitätsstruktur zum Knoten Profile, wählen Sie dieselbe Identität aus, öffnen Sie das Kontextmenü (klicken Sie mit der rechten Maustaste), und wählen Sie dann Löschen aus.
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für