Identità, autenticazione e autorizzazione in Office 2016

Riepilogo: Descrive l'autenticazione di Office 2016, i tipi di accesso e come usare le impostazioni del Registro di sistema per determinare quali identità utente vengono offerte all'accesso dell'utente.

Le applicazioni di Office vengono usate sia per le attività aziendali che per le attività non aziendali. Durante il giorno, una persona potrebbe usare Excel per analizzare i numeri di vendita dei widget Q2, suddividendoli di ogni giorno. Di notte, lo stesso individuo potrebbe passare a statistiche di Coppa del Mondo scricchiolanti in Excel. Analogamente, potrebbero usare Word per elaborare le specifiche del prodotto durante l'orario di lavoro e quindi passare alla scrittura di brevi storie nel tempo libero. Office è uno strumento versatile usato da utenti con ruoli diversi. A tale scopo, Office 2016 consente agli utenti di accedere con due identità separate:

  • Un account Microsoft, che la maggior parte delle persone usa per le aziende personali

  • ID organizzazione assegnato da Microsoft, che la maggior parte delle persone usa quando lavora per un'organizzazione, ad esempio un'azienda, un ente di beneficenza o un istituto di istruzione.

Le credenziali utilizzate per l'accesso possono essere di tipo personale o aziendale. Tale identità di accesso diventa l'"area di autenticazione principale" dell'utente e determina a quali documenti l'utente ha accesso in SharePoint, OneDrive o Office 365 Services per una sessione specifica. Ogni identità di accesso univoca viene salvata in un elenco usato più di recente, in modo che sia facile passare da un'identità all'altra senza uscire dall'esperienza di Office.

Per maggiore praticità, gli utenti possono scegliere di montare un servizio documenti online sulle proprie identità per un facile accesso. Ad esempio, un OneDrive personale può essere montato in un'identità dell'organizzazione in modo che sia possibile accedere ai documenti personali all'ufficio o all'istituto di istruzione senza mai cambiare identità. Inoltre, quando un utente esegue l'autenticazione usando un'identità, questa autenticazione è valida per tutte le applicazioni di Office, non solo per l'applicazione a cui ha eseguito l'accesso.

La buona notizia è che tutte queste funzionalità funzionano solo per gli utenti, per impostazione predefinita e fuori dagli schemi.

Protocolli di autenticazione di Office

In Office, gli utenti vengono autenticati usando l'autenticazione Forms-Based (FBA), l'autenticazione integrata di Windows (WIA) o l'autenticazione SSI (Passport Server Side Include), nota anche come "Passport Interpoler". In Office 2016 è comunque possibile usare FBA o WIA, ma invece di SSI, ora si usa il nuovo open standard open standard, Open Authorization 2.0 basato su token (OAuth 2.0). Vedere la tabella seguente per una panoramica dei protocolli di autenticazione che è possibile usare con Office.

Protocolli di autenticazione di Office

Versione di Office client Protocollo di autenticazione Server
Office 2010, Office 2013, Office 2016
Autenticazione basata su moduli (FBA). L'autenticazione basata su moduli si serve del reindirizzamento lato client per indirizzare gli utenti non autenticati a un modulo HTML nel quale viene loro richiesto di immettere le credenziali. Dopo che le credenziali sono convalidate, gli utenti sono reindirizzati alle risorse richieste.
SharePoint Online
Office 2010, Office 2013, Office 2016
Autenticazione integrata di Windows (WIA). È una autenticazione negoziata, come nel protocollo Kerberos o NTLM. In questo scenario, è il sistema operativo a fornire l'autenticazione.
SharePoint 2010, SharePoint 2013, SharePoint 2016
Office 2010, Office 2013, Office 2016
Autenticazione SSI o Passport Tweener. Quando un utente fornisce le credenziali di Windows Live ID o un account Microsoft, il servizio Windows Live ID restituisce un "ticket" passport usato dal client per accedere ai servizi Windows Live.
OneDrive
Office 2013, Office 2016
Open Authorization 2.0 (OAuth 2.0). OAuth 2.0 fornisce un'autenticazione temporanea e basata sul reindirizzamento. Un utente o un'applicazione Web che agisce per conto di un utente può richiedere l'autorizzazione ad accedere temporaneamente a determinate risorse di rete a un proprietario di risorse. Per altre informazioni, vedere OAuth 2.0.
OneDrive
Office 2013, Office 2016
Assistente per l'accesso a Microsoft Online Services. Microsoft Online Services Sign-In Assistant offre funzionalità di accesso dell'utente finale a Microsoft Online Services, ad esempio Office 365. Per altre informazioni su Microsoft Online Services Sign-In Assistant e sul professionista IT, vedere Microsoft Online Services Sign-In Assistant for IT Professionals RTW. Il download è destinato alla distribuzione a sistemi client gestiti come parte di una distribuzione client Office 365, usando Microsoft Configuration Manager o sistemi di distribuzione software simili.
Servizi di Office 365

Tipi di accesso in Office 2016

Office 2016 supporta due tipi di accessi per gli utenti: un account Microsoft o un ID organizzazione assegnato da Microsoft.

Account Microsoft (account singolo dell'utente). Questo account, denominato in precedenza ID Microsoft, è la credenziale che gli utenti devono autenticare con la rete Microsoft. Viene usato per attività personali o non aziendali, come il lavoro volontario. Per creare un account Microsoft, un utente fornisce un nome utente e una password, alcune informazioni demografiche e "prove dell'account", ad esempio un indirizzo di posta elettronica alternativo o un numero di telefono.

ID organizzazione assegnato da Microsoft/Office 365 ID account assegnato da Microsoft. Questo account viene creato per l'uso aziendale. Un account Office 365 può essere di tre tipi: un ID Office 365 puro, un ID Active Directory o un ID Active Directory Federation Services.

  • Office 365 ID. L'ID Office 365 viene creato quando un amministratore configura un dominio Office 365 e assume il formato <user>@<org.onmicrosoft.com>, ad esempio:

    sally@contoso.onmicrosoft.com

  • ID organizzazione assegnato da Microsoft convalidato in base all'ID Active Directory di un utente.

  1. In primo luogo, una persona che ha un [dominio locale]\<account utente> tenta di accedere alle risorse dell'organizzazione.

  2. Le risorse richiedono quindi l'autenticazione dell'utente.

  3. A questo punto, l'utente digita il nome utente e la password aziendali.

  4. Nome utente e password sono quindi convalidati dal database Active Directory dell'organizzazione, l'utente viene autenticato e riceve l'accesso alla risorsa richiesta.

  • ID organizzazione assegnato da Microsoft e convalidato in base all'ID Active Directory Federation Services (AD FS) di un utente.
  1. Per prima cosa, una persona che dispone di un dominio org.onmicrosoft.com tenta di accedere alle risorse dell'organizzazione partner.

  2. Le risorse richiedono quindi l'autenticazione dell'utente.

  3. A questo punto, l'utente digita il nome utente e la password aziendali.

  4. Il nome utente e la password vengono quindi convalidati in base al database di Active Directory Domain Services dell'organizzazione.

  5. Infine, lo stesso nome utente e la stessa password vengono passati al database federato di Servizi di dominio Active Directory del partner, l'utente viene autenticato e viene concesso l'accesso alla risorsa richiesta.

Per le risorse locali, Office 2016 usa il nome utente dominio\alias per l'autenticazione. Per le risorse federate, Office 2016 usa il nome utente per l'autenticazione alias@org.onmicrosoft.com .

Usare le impostazioni del Registro di sistema per determinare quali tipi di ID offrire a un utente all'accesso

Per impostazione predefinita, Office 2016 è configurato con chiavi del Registro di sistema. Queste chiavi visualizzano l'ID account Microsoft dell'utente e l'ID organizzazione assegnato da Microsoft quando un utente tenta di accedere a una risorsa di Office 2016. Tuttavia, è possibile modificare questa impostazione in modo che venga visualizzato solo l'account Microsoft, il relativo ID organizzazione o nessuno dei due. È possibile modificare questa impostazione nel Registro di sistema del computer.

Per modificare i tipi di accesso di Office 2016 offerti all'utente

  1. Nell'editor del Registro di sistema, passare a:

    HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Common\SignIn\SignInOptions

  2. Impostare il valore SignInOptions su uno dei valori nella tabella seguente. Il tipo per l'impostazione SignInOptions è DWORD.

    Impostazioni di SignInOptions

Impostazione di SignInOptions Significato Effetto sugli utenti
0
ID organizzazione o account Microsoft
Gli utenti possono accedere al contenuto di Office con il proprio account Microsoft o un account assegnato dalla propria organizzazione.
1
Solo account Microsoft
Gli utenti possono accedere solo tramite l'account Microsoft.
2
Solo società
Gli utenti devono accedere con l'ID utente assegnato dalla propria organizzazione. Possono usare un ID utente in Microsoft Entra ID o un ID utente in Active Directory Domain Services (AD DS) in Windows Server.
3
Solo ADDS
Gli utenti possono accedere solo tramite un ID utente in Active Directory Domain Services (ADDS) in Windows Server.
4
Nessuno consentito
Gli utenti non possono accedere con qualsiasi ID.

Se si disabilita o non si configura l'impostazione Blocca l'accesso a Office , l'impostazione predefinita è 0, il che significa che gli utenti possono accedere usando il proprio account Microsoft o uno assegnato dall'organizzazione.

Usare un'impostazione del Registro di sistema per impedire a un utente di connettersi alle risorse di Office 2016 su Internet

Per impostazione predefinita, Office 2016 consente agli utenti di accedere ai file di Office 2016 che risiedono su Internet. È possibile modificare questa impostazione in modo tale che gli utenti non visualizzano queste risorse.

Per consentire o impedire a un utente di connettersi alle risorse Internet di Office 2016

  1. Nell'editor del Registro di sistema, passare a:

    Computer\HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Common\Internet\UseOnlineContent

  2. Impostare UseOnlineContent su uno dei valori seguenti:

    Valori UseOnlineContent di Office 2016

Valore UseOnlineContent Tipo valore Descrizione
0
DWORD
Non consentire all'utente di accedere alle risorse di Office 2016 su Internet.
1
DWORD
Consentire all'utente di acconsentire esplicitamente all'accesso alle risorse di Office 2016 su Internet.
2
DWORD
(Impostazione predefinita) Consente all'utente di accedere alle risorse di Office 2016 su Internet.

Eliminare il profilo di Office e le credenziali associate a un'identità di accesso rimossa

Quando un utente accede a un'app di Office usando l'ID account Microsoft o l'ID organizzazione, il sistema crea un profilo e le credenziali di Office corrispondenti per tale identità nel Registro di sistema. La pagina di accesso offre all'utente l'opzione per rimuovere tale identità. Questa opzione si trova proprio sotto il 'Non il tuo nome?' in prossimità dell'avatar o della foto e del nome dell'utente. Se gli utenti decidono di rimuovere una delle opzioni di identità, questa viene rimossa dalla pagina di accesso. Tuttavia, il profilo e le credenziali di Office corrispondenti rimangono nella cache per un breve periodo di tempo. Se mantenere le informazioni nella cache crea un rischio per la sicurezza, ad esempio quando un utente lascia l'organizzazione, eliminare immediatamente l'impostazione del profilo di Office dal Registro di sistema.

Per eliminare un profilo di Office che potrebbe essere presente nella cache

  1. Nell'editor del Registro di sistema, passare a:

    HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Common\Identity\Identities

  2. Scegliere il profilo di Office da eliminare e quindi scegliere Elimina.

  3. Nell'hive Identità, passare al nodo Profili, scegliere la stessa identità, aprire il menu di scelta rapida (pulsante destro del mouse), quindi selezionare Elimina.