(0) exportieren Drucken
Alle erweitern

Übersicht über Identität, Authentifizierung und Autorisierung in Office 2013

Office 2013
 

Gilt für: Office 365 ProPlus, Office 2013

Letztes Änderungsdatum des Themas: 2014-02-11

Zusammenfassung: Hier finden Sie eine Beschreibung der Authentifizierung und Anmeldetypen in Office 2013. Darüber hinaus wird erläutert, wie Sie mithilfe von Registrierungseinstellungen festlegen können, welche Benutzeridentitäten bei der Benutzeranmeldung zur Verfügung stehen.

Zielgruppe: IT-Spezialisten

Viele Abschnitte in diesem Artikel basieren auf dem Poster zur Identität und Authentifizierung in Office 2013, das Sie online anzeigen oder im Download Center herunterladen können.

Miniaturansicht des Posters: Authentifizierung und Identität

Office-Anwendungen werden im neuen Office sowohl für geschäftliche als auch für private Aktivitäten verwendet. So kann sich ein Benutzer in Excel beispielsweise tagsüber mit den Widget-Verkaufszahlen für das zweite Quartal und nach Feierabend mit der Statistik der Weltmeisterschaft beschäftigen oder in Word tagsüber Produktspezifikationen und nach Feierabend Kurzgeschichten verfassen. Da Office von der gleichen Person in zwei unterschiedlichen Rollen verwendet wird, bietet das neue Office zwei Identitäten, mit denen sich Benutzer bei Office 2013 anmelden können:

  • Ein Microsoft-Konto, das von den meisten Benutzern für private Zwecke verwendet wird

  • Eine von Microsoft zugewiesene Organisations-ID, die von den meisten Benutzern bei ihrer Tätigkeit für eine Organisation (beispielsweise ein Unternehmen, eine wohltätige Organisation oder eine Bildungseinrichtung) verwendet wird

Die verwendeten Anmeldeinformationen werden als persönliche oder organisationsbezogene Anmeldeinformationen erkannt. Die Anmeldeidentität stellt gewissermaßen den Startbereich des Benutzers dar und bestimmt, auf welche Dokumente der Benutzer in SharePoint, OneDrive oder Office 365-Diensten in der jeweiligen Sitzung zugreifen kann. Jede eindeutige Anmeldeidentität wird in einer Liste mit zuletzt verwendeten Elementen gespeichert, sodass komfortabel zwischen Identitäten gewechselt werden kann, ohne die Office-Umgebung zu verlassen.

Darüber hinaus können Benutzer einen Onlinedokumentdienst in ihre Identitäten einbinden, um den Zugriff auf diesen Dienst noch komfortabler zu gestalten. So kann beispielsweise ein persönliches OneDrive in eine Organisationsidentität eingebunden werden, um auf der Arbeit oder in der Schule ohne Identitätswechsel auf persönliche Dokumente zugreifen zu können. Wenn sich ein Benutzer mit einer Identität anmeldet, gilt diese Authentifizierung zudem für alle Office-Anwendungen (also nicht nur für die, bei der er sich angemeldet hat).

Und das Beste daran: All dies ist bereits standardmäßig für die Benutzer verfügbar.

WichtigWichtig:
Dieser Artikel ist Bestandteil der Inhaltsübersicht für Office 2013-Identitäts, Authentifizierungs- und Autorisierungseinstellungen für IT-Spezialisten. Verwenden Sie diese Übersicht als Ausgangspunkt für Artikel, Downloads, Poster und Videos, mit deren Hilfe Sie die Office 2013-Identität bewerten können.
Suchen Sie nach Hilfethemen zu einzelnen Office 2013-Anwendungen? Sie können die gewünschten Informationen finden, indem Sie auf Office.com danach suchen.

Inhalt dieses Artikels:

In Office 2010 erfolgt die Benutzerauthentifizierung mittels formularbasierter Authentifizierung (Forms-Based Authentication, FBA), integrierter Windows-Authentifizierung (Windows Integrated Authentication, WIA) oder serverseitigem Passport-Include (Server Side Include, SSI; auch "Passport-Tweener" genannt). In Office 2013 stehen FBA und WIA auch weiterhin zur Verfügung, SSI wird jedoch durch den neuen tokenbasierten offenen Standard "Open Authorization 2.0" (OAuth 2.0) ersetzt. Die folgende Tabelle enthält einen Überblick über die verfügbaren Authentifizierungsprotokolle für Office (einschließlich Office 2013):

Office-Authentifizierungsprotokolle

Office-Clientversion Authentifizierungsprotokoll Server

Office 2010, Office 2013

Formularbasierte Authentifizierung (Forms-Based Authentication, FBA). Bei der formularbasierten Authentifizierung werden nicht authentifizierte Benutzer mittels clientseitiger Umleitung zu einem HTML-Formular weitergeleitet, in das sie ihre Anmeldeinformationen eingeben können. Nach Überprüfung der Anmeldeinformationen werden die Benutzer dann zu den angeforderten Ressourcen weitergeleitet.

SharePoint Online

Office 2010, Office 2013

Integrierte Windows-Authentifizierung (Windows Integrated Authentication, WIA). Diese Authentifizierung ist aushandlungsbasiert (ebenso wie das Kerberos-Protokoll oder NTLM). In diesem Szenario wird die Authentifizierung vom Betriebssystem bereitgestellt.

SharePoint 2010, SharePoint 2013

Office 2010, Office 2013

SSI-Authentifizierung (auch: Passport-Tweener-Authentifizierung). Wenn ein Benutzer eine Windows Live ID oder ein Microsoft-Konto angibt, wird vom Windows Live ID-Dienst ein Passport-Ticket zurückgegeben, das vom Client für den Zugriff auf Windows Live-Dienste verwendet wird.

OneDrive

Office 2013

Open Authorization 2.0 (OAuth 2.0). OAuth 2.0 ermöglicht eine vorübergehende, umleitungsbasierte Autorisierung. Ein Benutzer oder eine im Namen eines Benutzers agierende Webanwendung kann eine Autorisierung anfordern, um vorübergehend auf bestimmte Netzwerkressourcen eines Ressourcenbesitzers zuzugreifen. Weitere Informationen finden Sie unter OAuth 2.0.

OneDrive

Office 2013

Microsoft Online Services-Anmelde-Assistent. Der Microsoft Online Services-Anmelde-Assistent stellt Endbenutzer-Anmeldefunktionen für Microsoft Online Services wie Office 365 bereit. IT-Spezialisten finden weitere Informationen zum Microsoft Online Services-Anmelde-Assistenten unter Microsoft Online Services-Anmelde-Assistent für IT-Experten RTW. Der Download ist für die Verteilung an verwaltete Clientsysteme im Rahmen einer Office 365-Clientbereitstellung mittels System Center Configuration Manager (SCCM) oder ähnlichen Softwareverteilungssystemen konzipiert.

Office 365-Dienste (für SharePoint Online 2013, Excel Online 2013 und Lync Online 2013)

Für die Benutzeranmeldung bei Office 2013 werden zwei Anmeldetypen unterstützt: ein Microsoft-Konto oder eine von Microsoft zugewiesene Organisations-ID.

Microsoft-Konto (das persönliche Konto des Benutzers). Bei diesem Konto, das früher als Microsoft-ID bezeichnet wurde, handelt es sich um die Anmeldeinformationen, mit deren Hilfe sich Benutzer gegenüber dem Microsoft-Netzwerk authentifizieren. Es wird häufig für persönliche oder nicht arbeitsbezogene Aufgaben (wie ehrenamtliche Tätigkeiten) verwendet. Zum Erstellen eines Microsoft-Kontos gibt ein Benutzer einen Benutzernamen und ein Kennwort, bestimmte demografische Informationen sowie Möglichkeiten zur Kontobestätigung (beispielsweise eine alternative E-Mail-Adresse oder eine Telefonnummer) an. Weitere Informationen zum neuen Microsoft-Konto finden Sie unter Was ist ein Microsoft-Konto?.

Eine von Microsoft zugewiesene Organisations-ID/Office 365-Konto-ID. Dieses Konto wird für die geschäftliche Verwendung erstellt. Office 365-Konten sind in drei Varianten verfügbar: als reine Office 365-ID, als Active Directory-ID oder als Active Directory-Verbunddienste-ID. Diese werden im Anschluss näher beschrieben:

  • Office 365-ID. Diese ID wird erstellt, wenn ein Administrator eine Office 365-Domäne einrichtet. Sie weist das Format "<Benutzer>@<Organisation>.onmicrosoft.com" auf. Beispiel:

    sally@contoso.onmicrosoft.com

  • Von Microsoft zugewiesene Organisations-ID, die anhand der Active Directory-ID eines Benutzers überprüft wird. Eine Organisations-ID, die von Microsoft zugewiesen und wie folgt anhand einer Active Directory-ID überprüft wird:

    1. Eine Person versucht, mit einem Konto vom Typ "[lokale Domäne]\<Benutzer>" auf Organisationsressourcen zuzugreifen.

    2. Von der Ressource wird eine Benutzerauthentifizierung angefordert.

    3. Der Benutzer gibt den Organisationsbenutzernamen und das entsprechende Kennwort ein.

    4. Benutzername und Kennwort werden anhand der AD-Datenbank der Organisation überprüft. Anschließend wird der Benutzer authentifiziert und erhält Zugriff auf die angeforderte Ressource.

  • Eine von Microsoft zugewiesene Organisations-ID, die anhand der Active Directory-Verbunddienste-ID eines Benutzers überprüft wird. Eine Organisations-ID, die von Microsoft zugewiesen und wie folgt mithilfe der Active Directory-Verbunddienste (Active Directory Federation Services, ADFS) überprüft wird:

    1. Eine Person mit "org.onmicrosoft.com" versucht, auf Partnerorganisationsressourcen zuzugreifen.

    2. Von der Ressource wird eine Benutzerauthentifizierung angefordert.

    3. Der Benutzer gibt den Organisationsbenutzernamen und das entsprechende Kennwort ein.

    4. Benutzername und Kennwort werden anhand der AD-Datenbank der Organisation überprüft.

    5. Benutzername und Kennwort werden an die AD-Verbunddatenbank des Partners weitergeleitet. Anschließend wird der Benutzer authentifiziert und erhält Zugriff auf die angeforderte Ressource.

Bei lokalen Ressourcen wird von Office 2013 zur Authentifizierung der Benutzername im Format "Domäne\Alias" verwendet. Bei Verbundressourcen wird von Office 2013 zur Authentifizierung der Benutzername im Format "alias@org.onmicrosoft.com" verwendet.

Für den Zugriff auf eine Office 2013-Ressource durch einen Benutzer enthält Office 2013 standardmäßig Registrierungsschlüssel, die zum Anzeigen der Microsoft-Konto-ID und der von Microsoft zugewiesenen Organisations-ID eines Benutzers konfiguriert sind. Diese Konfiguration kann geändert werden, sodass entweder nur das Microsoft-Konto, nur die Organisations-ID oder keine der beiden Optionen angezeigt wird. Die Einstellung muss in der Computerregistrierung geändert werden.

HinweisHinweis:
Sie können alle Aufgaben in Office 2013-Produktfamilien mit einer Maus, mit Tastenkombinationen oder per Fingereingabe ausführen. Informationen zum Verwenden von Tastenkombinationen und der Fingereingabe in Office-Produkten und -Diensten finden Sie unter Tastenkombinationen und Office-Leitfaden für die Gestensteuerung.

So ändern Sie die für den Benutzer verfügbaren Office 2013-Anmeldetypen

  1. Navigieren Sie im Registrierungs-Editor zu folgendem Eintrag:

    HKEY_CURRENT_USER\Software\Microsoft\Office\15.0\Common\SignIn\SignInOptions

  2. Legen Sie den Wert für "SignInOptions" auf einen der folgenden Werte fest:

    SignInOptions-Werte für Office 2013

    SignInOptions-Wert Werttyp Beschreibung

    0

    DWORD

    (Standard) Zeigt als Anmeldeidentitätsoptionen sowohl die Microsoft-Konto-ID als auch die von Microsoft zugewiesene Organisations-ID des Benutzers an.

    1

    DWORD

    Zeigt nur die Microsoft-Konto-ID an.

    2

    DWORD

    Zeigt nur die Organisations-ID an.

    3

    DWORD

    Zeigt keinen der ID-Typen an. Der Benutzer kann sich nicht anmelden. Wenn Sie "SignInOptions" auf "3" festlegen und ein Benutzer die Anmeldeseite auslöst, werden dem Benutzer keine ID-Typen angezeigt. Stattdessen erscheint eine Meldung mit dem Hinweis, dass die Anmeldung deaktiviert wurde.

Standardmäßig wird Benutzern von Office 2013 Zugriff auf Office 2013-Dateien im Internet gewährt. Diese Einstellung kann geändert werden, sodass diese Ressourcen dem Benutzer nicht angezeigt werden.

So ermöglichen oder verhindern Sie das Herstellen einer Verbindung mit Office 2013-Internetressourcen durch einen Benutzer

  1. Navigieren Sie im Registrierungs-Editor zu folgendem Eintrag:

    Computer\HKEY_CURRENT_USER\Software\Microsoft\Office\15.0\Common\Internet\UseOnlineContent

  2. Legen Sie den Wert für "UseOnlineContent" auf einen der folgenden Werte fest:

    UseOnlineContent-Werte für Office 2013

    UseOnlineContent-Wert Werttyp Beschreibung

    0

    DWORD

    Benutzer können nicht auf Office 2013-Ressourcen im Internet zugreifen.

    1

    DWORD

    Benutzer können den Zugriff auf Office 2013-Ressourcen im Internet abonnieren.

    2

    DWORD

    (Standard) Benutzer können auf Office 2013-Ressourcen im Internet zugreifen.

Wenn sich ein Benutzer unter Verwendung der Microsoft-Konto-ID oder der Organisations-ID bei einer Office-App anmeldet, werden in der Registrierung ein passendes Office-Profil und entsprechende Anmeldeinformationen für diese Identität erstellt. Auf der Anmeldeseite hat der Benutzer die Möglichkeit, die Identität zu entfernen (direkt unter der Frage "Sie sind nicht <Benutzername>?" neben dem Benutzeravatar oder -foto und dem Namen). Wenn sich ein Benutzer entschließt, eine seiner Identitätsoptionen zu entfernen, wird diese zwar von der Anmeldeseite entfernt, das zugehörige Office-Profil und die entsprechenden Anmeldeinformationen befinden sich jedoch noch kurze Zeit im Cache. Sollte dies ein Sicherheitsproblem darstellen (beispielsweise bei der Entlassung eines Benutzers), empfiehlt es sich, die Office-Profileinstellung umgehend aus der Registrierung zu löschen. Navigieren Sie hierzu in der Registrierung zum Office-Profil des Benutzers, und löschen Sie es.

So löschen Sie ein möglicherweise noch im Cache vorhandenes Office-Profil

  1. Navigieren Sie im Registrierungs-Editor zu folgendem Eintrag:

    HKEY_CURRENT_USER\Software\Microsoft\Office\15.0\Common\Identity\Identities

  2. Wählen Sie das zu löschende Office-Profil aus, und klicken Sie auf Löschen.

  3. Navigieren Sie in der Identitätsstruktur zum Knoten "Profile", wählen Sie die gleiche Identität aus, öffnen Sie das Kontextmenü (Rechtsklick), und klicken Sie auf Löschen.

Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Vielen Dank für Ihr Feedback.
Anzeigen:
© 2014 Microsoft