Panoramica di identità, autenticazione e autorizzazione in Office 2013

  • Articolo

 

Si applica a: Office 2013, Office 365 ProPlus

Ultima modifica dell'argomento: 2018-01-27

Riepilogo: in questo articolo vengono fornite informazioni sull'autenticazione di Office 2013, i tipi di accesso e l'utilizzo delle impostazioni del Registro di sistema per determinare le identità utente offerte all'accesso dell'utente.

Destinatari: professionisti IT

Molte sezioni di questo articolo si basano sull'identità e autenticazione nel poster di Office 2013, è possibile scaricare dall'area Download.

Anteprima del poster: Identità e autenticazione

Nel nuovo Office, le applicazioni di Office sono utilizzate per attività commerciali e non commerciali. È possibile utilizzare Excel per lavorare sui dati delle vendite dei widget nel Q2 di giorno, e analizzare i risultati della Coppa del mondo la sera. Oppure, è possibile utilizzare Word per scrivere specifiche dei prodotti durante il giorno, e brevi storie la sera. Poiché Office è uno strumento utilizzato da una stessa persona in due ruoli diversi, il nuovo Office offre due identità con le quali l'utente può accedere a Office 2013:

  • Un account Microsoft, utilizzato da molte persone per attività personali

  • Un ID aziendale assegnato da Microsoft, utilizzato dalla maggior parte delle persone che lavorano per una organizzazione, come un'attività commerciale, un'attività di beneficenza o una scuola.

Le credenziali utilizzate per l'accesso possono essere di tipo personale o aziendale. Questa identità di accesso diviene l'"area di autenticazione" dell'utente e definisce i documenti ai quali l'utente ha accesso in SharePoint, OneDrive o nei servizi di Office 365 per una determinata sessione. Ciascuna identità di accesso univoca viene salvata in un elenco usato di recente, che consente di passare facilmente da un'identità all'altra, senza uscire dall'esperienza di Office.

Per maggiore comodità, gli utenti possono decidere di montare un servizio di documenti online sulle proprie identità, in modo da ottenere un accesso facilitato. Ad esempio, è possibile montare un account OneDrive personale all'identità dell'organizzazione, per accedere ai documenti personali anche da scuola o dall'ufficio, senza dover passare a un'altra identità. Inoltre, quando un utente effettua l'autenticazione utilizzando un'identità, l'autenticazione sarà valida per tutte le applicazioni di Office, non solo per quella alla quale l'utente ha effettuato l'accesso.

La buona notizia è che tutto ciò è disponibile per l'utente in maniera predefinita.

Importante Importante:
Questo articolo fa parte della Guida di orientamento per l'identità, l'autenticazione e l'autorizzazione di Office 2013 destinata ai professionisti IT. Utilizzare tale guida come punto di partenza per accedere ad articoli, download, poster e video utili per valutare l'identità in Office 2013.
Ulteriori informazioni sulle singole applicazioni di Office 2013 Per informazioni, è possibile effettuare ricerche in Office.com.

Contenuto dell'articolo:

  • Protocolli di autenticazione di Office

  • Utilizzare le impostazioni del Registro di sistema per determinare quali tipi di ID offrire all'utente durante l'accesso

  • Utilizzare un'impostazione del Registro di sistema per impedire a un utente di connettersi alle risorse di Office 2013 su Internet

  • Eliminare il profilo Office e tutte le credenziali associate a un'identità di accesso eliminata

Protocolli di autenticazione di Office

In Office 2010, gli utenti vengono autenticati attraverso autenticazione basata su moduli (FBA), Autenticazione integrata di Windows (WIA) o Autenticazione SSI (Passport Server Side Include), detta anche "Passport Tweener." In Office 2013 è possibile utilizzare l'autenticazione FBA o WIA, ma al posto di SSI si utilizza un nuovo standard aperto e basato su token, Open Authorization 2.0 (OAuth 2.0). Per una panoramica dei protocolli di autenticazione che è possibile utilizzare con Office, incluso Office 2013, vedere la tabella seguente.

Protocolli di autenticazione di Office

Versione client di Office Protocollo di autenticazione Server

Office 2010, Office 2013

Autenticazione basata su moduli (FBA). L'autenticazione basata su moduli si serve del reindirizzamento lato client per indirizzare gli utenti non autenticati a un modulo HTML nel quale viene loro richiesto di immettere le credenziali. Dopo che le credenziali sono convalidate, gli utenti sono reindirizzati alle risorse richieste.

SharePoint Online

Office 2010, Office 2013

Autenticazione integrata di Windows (WIA). È una autenticazione negoziata, come nel protocollo Kerberos o NTLM. In questo scenario, è il sistema operativo a fornire l'autenticazione.

SharePoint 2010, SharePoint 2013

Office 2010, Office 2013

Autenticazione SSI o Passport Tweener. Quando un utente fornisce credenziali di Windows Live ID o di un account Microsoft, il servizio Windows Live ID fornisce un "ticket" utilizzato dal client per accedere ai servizi di Windows Live.

OneDrive

Office 2013

Open Authorization 2.0 (OAuth 2.0). OAuth 2.0 fornisce un'autenticazione temporanea e basata sul reindirizzamento. Un utente o un'applicazione Web che agisce per conto di un utente può richiedere l'autorizzazione ad accedere temporaneamente a determinate risorse di rete a un proprietario di risorse. Per ulteriori informazioni, vedere OAuth 2.0.

OneDrive

Office 2013

Assistente per l'accesso a Microsoft Online Services. L'Assistente per l'accesso a Microsoft Online Services fornisce funzionalità di accesso dell'utente finale a Microsoft Online Services, come Office 365. Per ulteriori informazioni sull'Assistente per l'accesso a Microsoft Online Services e per i professionisti IT, vedere Assistente per l'accesso a Microsoft Online Services per professionisti IT - RTW. Questo download è destinato alla distribuzione in sistemi client gestiti come parte di una distribuzione client di Office 365 tramite System Center Configuration Manager (SCCM) o sistemi di distribuzione di software simili.

Servizi di Office 365 (per SharePoint Online 2013, Excel Online 2013 e Lync Online 2013)

Tipi di accesso in Office 2013

Quando gli utenti effettuano l'accesso a Office 2013, sono supportati due tipi di accesso: un account Microsoft e un ID aziendale assegnato da Microsoft.

Microsoft account (l'account individuale dell'utente). Questo account, già noto come ID Microsoft, rappresenta le credenziali utilizzate dall'utente per l'autenticazione alla rete Microsoft ed è spesso utilizzato per attività commerciali o non commerciali, ad esempio lavoro volontario. Per creare un account Microsoft, gli utenti devono fornire un nome utente e una password, alcuni dati demografici e "dati per la conferma dell'account", ad esempio un indirizzo di posta elettronica alternativo o un numero di telefono. Per ulteriori informazioni sul nuovo account Microsoft, vedere Definizione di un account Microsoft.

Un ID aziendale assegnato da Microsoft / un ID account di Office 365 assegnato da Microsoft. Questo account è creato per scopi commerciali. Un account di Office 365 può essere di tre tipi: un ID Office 365 puro, un ID Active Directory o un ID Active Directory Federation Services, tutti descritti in seguito:

  • ID Office 365. Questo ID viene creato quando un amministratore configura un dominio di Office 365 il cui formato è <utente>@<org>.onmicrosoft.com, ad esempio:

    sally@contoso.onmicrosoft.com

  • Un ID aziendale assegnato da Microsoft, convalidato dall'ID Active Directory dell'utente. Un ID aziendale che è assegnato da Microsoft e convalidato da Active Directory come segue:

    1. Per prima cosa, una persona che dispone di un account [locale]\<utente> tenta di accedere alle risorse aziendali.

    2. Le risorse richiedono quindi l'autenticazione dell'utente.

    3. A questo punto, l'utente digita il nome utente e la password aziendali.

    4. Nome utente e password sono quindi convalidati dal database Active Directory dell'organizzazione, l'utente viene autenticato e riceve l'accesso alla risorsa richiesta.

  • Un ID aziendale assegnato da Microsoft, convalidato dall'ID Active Directory Federation Services dell'utente. Un ID aziendale che è assegnato da Microsoft e convalidato da Active Directory Federation Services come segue:

    1. Per prima cosa, una persona che dispone di un dominio org.onmicrosoft.com tenta di accedere alle risorse dell'organizzazione partner.

    2. Le risorse richiedono quindi l'autenticazione dell'utente.

    3. A questo punto, l'utente digita il nome utente e la password aziendali.

    4. Nome utente e password sono quindi convalidati dal database Active Directory dell'organizzazione.

    5. Per finire, nome utente e password vengono passati al database Active Directory federato dell'organizzazione partner, l'utente viene autenticato e riceve l'accesso alla risorsa richiesta.

In relazione alle risorse locali, Office 2013 si serve del nome utente dominio\alias per l'autenticazione. In relazione alle risorse federate, Office 2013 si serve del nome utente alias@org.onmicrosoft.com per l'autenticazione.

Utilizzare le impostazioni del Registro di sistema per determinare quali tipi di ID offrire all'utente durante l'accesso

Per impostazione predefinita, quando un utente tenta di accedere a una risorsa di Office 2013, Office 2013 include chiavi del Registro di sistema configurate in modo tale da mostrare l'ID dell'account Microsoft dell'utente e l'ID aziendale assegnato da Microsoft. È possibile modificare questa impostazione affinché venga visualizzato solo l'account Microsoft, solo l'ID aziendale, o nessuno dei due. È possibile modificare questa impostazione nel Registro di sistema del computer.

Per modificare i tipi di accesso a Office 2013 forniti all'utente

  1. Nell'editor del Registro di sistema, passare a:

    HKEY_CURRENT_USER\Software\Microsoft\Office\15.0\Common\SignIn\SignInOptions

  2. Impostare il valore SignInOptions su uno dei valori nella tabella seguente. Il tipo per l'impostazione SignInOptions è DWORD.

    Impostazioni di SignInOptions

    Impostazione di SignInOptions Significato Effetto sugli utenti

    0

    ID organizzazione o account Microsoft

    Gli utenti possono registrarsi e accedere al contenuto di Office tramite il proprio account Microsoft o con uno assegnato loro dall'organizzazione.

    1

    Solo account Microsoft

    Gli utenti possono accedere solo tramite l'account Microsoft.

    2

    Solo società

    Gli utenti possono accedere solo tramite l'ID utente assegnato dall'organizzazione. Può trattarsi di un ID utente in Azure Active Directory o un ID Active Directory Domain Services (ADDS) in Windows Server.

    3

    Solo ADDS

    Gli utenti possono accedere solo tramite un ID utente in Active Directory Domain Services (ADDS) in Windows Server.

    4

    Nessuno consentito

    Gli utenti non possono accedere con qualsiasi ID.

    Se si disattiva o non si configura l'impostazione Blocca accesso a Office, l'impostazione predefinita è 0, il che significa che gli utenti possono accedere attraverso il proprio account Microsoft o un account assegnato loro dall'organizzazione.

Utilizzare un'impostazione del Registro di sistema per impedire a un utente di connettersi alle risorse di Office 2013 su Internet

Per impostazione predefinita, Office 2013 fornisce agli utenti l'accesso ai file di Office 2013 che risiedono su Internet. È possibile modificare questa impostazione in modo tale che gli utenti non visualizzano queste risorse.

Per consentire o impedire a un utente di connettersi alle risorse di Office 2013 su Internet

  1. Nell'editor del Registro di sistema, passare a:

    Computer\HKEY_CURRENT_USER\Software\Microsoft\Office\15.0\Common\Internet\UseOnlineContent

  2. Impostare il valore UseOnlineContent su uno dei valori seguenti:

    Valori UseOnlineContent di Office 2013

    Valore UseOnlineContent Tipo valore Descrizione

    0

    DWORD

    Non consentire all'utente di accedere alle risorse di Office 2013 su Internet.

    1

    DWORD

    Consente all'utente se optare per l'accesso alle risorse di Office 2013 su Internet.

    2

    DWORD

    (Predefinito) Consente all'utente di accedere alle risorse di Office 2013 su Internet.

Eliminare il profilo Office e tutte le credenziali associate a un'identità di accesso eliminata

Quando un utente effettua l'accesso a una app di Office tramite l'ID di un account Microsoft o un ID aziendale, nel Registro di sistema vengono creati un profilo e delle credenziali di Office corrispondenti all'identità. Nella pagina di accesso l'utente può rimuovere questa identità selezionando &quot;Accedi con un altro nome utente&quot; accanto alla foto e al nome. L'opzione di identità rimossa dall'utente non comparirà più nella pagina di accesso, ma il profilo e le credenziali di Office corrispondenti resteranno nella cache per un certo lasso di tempo. Se ciò rappresenta un problema per la sicurezza, ad esempio se un utente viene licenziato dall'organizzazione, è necessario eliminare immediatamente le impostazioni di quel profilo di Office dal Registro di sistema. Per farlo, passare al profilo di Office dell'utente nel Registro di sistema, quindi eliminarlo.

Per eliminare un profilo di Office che potrebbe essere presente nella cache

  1. Nell'editor del Registro di sistema, passare a:

    HKEY_CURRENT_USER\Software\Microsoft\Office\15.0\Common\Identity\Identities

  2. Scegliere il profilo Office che si desidera eliminare, quindi scegliere Elimina.

  3. Nell'hive Identità, passare al nodo Profili, scegliere la stessa identità, aprire il menu di scelta rapida (pulsante destro del mouse), quindi selezionare Elimina.

Vedere anche

Guida di orientamento per l'identità, l'autenticazione e l'autorizzazione di Office 2013

Panoramica della sicurezza per Office 2013
Definizione di un account Microsoft
OAuth 2.0
Assistente per l'accesso a Microsoft Online Services per professionisti IT - RTW

dn151329(v=office.15).md