Visão geral de identidade, autenticação e autorização no Office 2013

  • Artigo

 

Aplica-se a: Office 2013, Office 365 ProPlus

Tópico modificado em: 2018-01-27

Resumo: descreve a autenticação, tipos de logon e o uso de configurações do Registro do Office 2013 para determinar quais identidades do usuário são oferecidas no logon do usuário.

Público: profissionais de TI

Várias das seções neste artigo são baseadas de identidade e autenticação no Office 2013 cartaz, que você pode baixar no Centro de Download da.

Miniatura do pôster: identidade e autenticação

No novo Office, os aplicativos do Office são usados para atividades comerciais e não comerciais. Uma pessoa pode usar o Excel para detalhar os números de vendas do widget do segundo trimestre por dia e detalhar as estatísticas da Copa do Mundo por noite ou usar o Word para gravar especificações de produto por dia ou históricas curtas por noite. Como o Office é uma ferramenta usada pelo mesmo indivíduo em duas funções diferentes, o novo Office oferece duas identidades com as quais os usuários podem fazer o logon no Office 2013:

  • Uma conta da Microsoft, que a maioria das pessoas usa para negócios pessoais

  • Uma ID da organização atribuída pela Microsoft, que a maioria das pessoas usa ao trabalhar em uma organização, como uma empresa, instituição de caridade ou escola.

As credenciais usadas para entrada são reconhecidas como pessoais ou organizacionais. Essa identidade de entrada se torna o "realm inicial" do usuário e determina quais documentos o usuário poderá acessar no SharePoint, no OneDrive ou no Office 365 Services, para uma sessão específica. Cada identidade de entrada exclusiva é salva em uma lista de usos recentes para facilitar a alternância entre identidades, sem que o usuário saia da experiência do Office.

Para proporcionar maior comodidade, os usuários podem optar pela montagem de um serviço de documentos online em suas identidades, para facilitar o acesso. Por exemplo, um OneDrive pessoal pode ser montado em uma identidade organizacional para que os documentos pessoais possam ser acessados no trabalho ou na escola, sem qualquer alternância de identidades. Além disso, quando um usuário se autentica usando uma identidade, essa autenticação é válida para todos os aplicativos do Office, e não só para o aplicativo em que o usuário entrou.

A boa notícia é que tudo isso funciona apenas para usuários, por padrão, e de forma inesperada.

ImportanteImportante
Este artigo faz parte do Mapa de identidade, autenticação e autorização do Office 2013 para profissionais de TI. Use o mapa como um ponto inicial para artigos, scripts, cartazes e vídeos que ajudam você a avaliar a identidade do Office 2013.
Você está procurando ajuda sobre aplicativos individuais do Office 2013? É possível encontrar essas informações pesquisando no Office.com.

Neste artigo:

  • Protocolos de autenticação do Office

  • Usar as configurações do Registro para determinar quais tipos de ID oferecer ao usuário no login

  • Usar uma configuração de Registro para evitar que um usuário se conecte aos recursos do Office 2013 na Internet

  • Excluir o Perfil do Office e credenciais associados com uma identidade de login removida

Protocolos de autenticação do Office

No Office 2010, os usuários são autenticados utilizando a Autenticação Baseada em Formulários (FBA), Autenticação Integrada do Windows (WIA) ou Autenticação SSI, também conhecida como "Passport Tweener". No Office 2013, ainda é possível usar o FBA ou WIA, mas ao invés do SSI, usamos agora o novo padrão aberto, Open Authorization 2.0 (OAuth 2.0) baseado em token. Consulte a tabela a seguir para obter uma visão geral dos protocolos de autenticação que você pode usar com o Office, incluindo o Office 2013.

Protocolos de autenticação do Office

Versão do cliente Office Protocolo de autenticação Servidor

Office 2010, Office 2013

Autenticação Baseada em Formulários (FBA). A autenticação baseada em formulários usam o redirecionamento do lado do cliente para encaminhar usuários não autenticados para um formulário HTML onde eles podem inserir suas credenciais. Após as credenciais serem validadas, os usuários são redirecionados para os recursos solicitados.

SharePoint Online

Office 2010, Office 2013

Autenticação Integrada do Windows (WIA). Isto é negociado, da mesma forma que o protocolo Kerberos ou NTLM. Neste cenário, o sistema operacional oferece autenticação.

SharePoint 2010, SharePoint 2013

Office 2010, Office 2013

Autenticação SSI ou Passport Tweener. Quando um usuário oferece credenciais de ID do Windows Live ou uma conta da Microsoft, o serviço de ID do Windows Live retorna um "tíquete" de passaporte que o cliente usa para acessar os serviços do Windows Live.

OneDrive

Office 2013

Open Authorization 2.0 (OAuth 2.0). O OAuth 2.0 oferece autorização temporária baseada em redirecionamento. Um usuário ou aplicativo da Web que age em nome de um usuário pode solicitar autorização para acesso temporário aos recursos de rede especificados por um proprietário de recursos. Para saber mais, confira o artigo OAuth 2.0.

OneDrive

Office 2013

Assistente de Conexão do Microsoft Online Services. O Assistente de Conexão do Microsoft Online Services oferece capacidades de login ao usuário final ao Microsoft Online Services, como o Office 365. Para obter mais informações sobre o Assistente de Conexão do Microsoft Online Services e o profissional de TI, confira Assistente de Conexão do Microsoft Online Services para profissionais de TI RTW. O download é para distribuição de sistemas de cliente gerenciados como uma implantação cliente do Office 365, usando o System Center Configuration Manager (SCCM) ou sistemas de distribuição de software semelhantes.

Office 365 Services (para SharePoint Online 2013, Excel Online 2013 e Lync Online 2013)

Tipos de login no Office 2013

Dois tipos de login são suportados quando os usuários fazem o login no Office 2013, uma conta da Microsoft ou uma ID de organização atribuída pela Microsoft.

Conta da Microsoft (a conta individual do usuário). Esta conta, anteriormente conhecida como ID da Microsoft, é a credencial que os usuários utilizam para autenticar com a rede da Microsoft e é usada frequentemente para trabalho pessoal ou não relacionado ao comércio, como um trabalho voluntário. Para criar uma conta da Microsoft, um usuário oferece um nome de usuário e senha, determinadas informações demográficas e "provas de conta" como um endereço de email alternativo ou número de telefone. Para obter mais informações sobre a nova conta da Microsoft, confira O que é uma conta da Microsoft?.

Uma ID da organização atribuída pela ID de conta da Microsoft/Office 365 atribuída pela Microsoft. Esta conta é criada para uso comercial. Uma conta do Office 365 pode ser um dos três tipos: uma ID do Office 365 simples, uma ID do Active Directory ou uma ID dos Serviços de Federação do Active Directory. Elas estão descritas abaixo:

  • ID do Office 365. Esta ID é criada quando um administrador configura um domínio do Office 365 e toma a forma de <usuário>@<org>.onmicrosoft.com, por exemplo:

    sally@contoso.onmicrosoft.com

  • A ID da organização atribuída pela Microsoft é validada pela ID do Active Directory do usuário. Uma ID da organização atribuída pela Microsoft e validada no Active Directory como a seguir:

    1. Primeiro, uma pessoa com uma conta [domínio local]\<usuário> tenta acessar os recursos da organização.

    2. Em seguida, o recurso solicita autenticação do usuário.

    3. O usuário digita o nome de usuário e senha da sua organização.

    4. Por fim, este nome de usuário e senha são validados no banco de dados AD da organização, o usuário é autenticado e é oferecido acesso para o recurso solicitado.

  • Uma ID da organização atribuída pela Microsoft validada na ID dos Serviços de Federação do Active Directory do usuário. Uma ID de organização atribuída pela Microsoft e validada nos Serviços de Federação do Active Directory (ADFS) como a seguir:

    1. Primeiro, uma pessoa que possui um org.onmicrosoft.com tenta acessar os recursos da organização parceira.

    2. Em seguida, o recurso solicita autenticação do usuário.

    3. O usuário digita o nome de usuário e senha de sua organização.

    4. Este nome de usuário e senha são validados no banco de dados AD da organização.

    5. Por fim, o mesmo nome de usuário e senha são passados para o banco de dados AD federado do parceiro, o usuário é autenticado e oferecido acesso para o recurso solicitado.

Para recursos locais, o Office 2013 usa nome de domínio de alias/domínio para autenticação. Para recursos federados, o Office 2013 usa o nome de usuário alias@org.onmicrosoft.com para autenticação.

Usar as configurações do Registro para determinar quais tipos de ID oferecer ao usuário no login

Por padrão, quando um usuário tenta acessar um recurso do Office 2013, o Office 2013 inclui as chaves de Registro definidas para exibir a ID da conta da Microsoft do usuário e a ID de organização atribuída pela Microsoft. Mas, é possível alterar isso para que apenas a conta da Microsoft seja exibida ou a ID da organização ou nem dos dois. Esta configuração é alterada no Registro do computador.

Para mudar os tipos de login do Office 2013 oferecidos para o usuário

  1. No Editor de Registro, navegue para:

    HKEY_CURRENT_USER\Software\Microsoft\Office\15.0\Common\SignIn\SignInOptions

  2. Defina o valor de SignInOptions como um dos valores da tabela a seguir. O modelo definido para a configuração SignInOptions é DWORD.

    Configurações de SignInOptions

    Ao definir SignInOptions para… Ou seja Este é o efeito nos usuários

    0

    Conta da Microsoft ou ID da organização

    Os usuários podem entrar e acessar o conteúdo do Office usando suas contas da Microsoft ou uma conta atribuída pela organização.

    1

    Apenas conta da Microsoft

    Os usuários podem fazer o logon apenas usando sua conta da Microsoft .

    2

    Apenas organização

    Os usuários podem fazer o logon usando a ID de usuário atribuída por sua organização. Pode ser uma ID de usuário no Azure Active Directory ou no AD DS (Serviços de Domínio do Active Directory) do Windows Server.

    3

    Somente AD DS

    Os usuários apenas podem entrar usando uma ID de usuário no AD DS (Serviços de Domínio do Active Directory) do Windows Server.

    4

    Nenhum é permitido

    Os usuários não podem entrar com IDs.

    Se você desabilitar ou não definir a configuração Bloquear entrada no Office, a configuração padrão é 0, o que significa que os usuários podem entrar usando uma conta da Microsoft ou uma conta atribuída pela organização.

Use uma configuração do Registro para evitar que um usuário se conecte aos recursos do Office 2013 na Internet

Por padrão, o Office 2013 oferece acesso aos usuários para arquivos do Office 2013 que estão na Internet. É possível alterar esta configuração para que um usuário não possa ver estes recursos.

Para permitir ou evitar que um usuário se conecte aos recursos da Internet do Office 2013

  1. No Editor de Registro, navegue para:

    Computer\HKEY_CURRENT_USER\Software\Microsoft\Office\15.0\Common\Internet\UseOnlineContent

  2. Defina o valor de UseOnlineContent para um dos seguintes:

    Valores do UseOnlineContent do Office 2013

    Valor UseOnlineContent Tipo do valor Descrição

    0

    DWORD

    Não permite o usuário acessar recursos do Office 2013 na Internet.

    1

    DWORD

    Permite os usuários optarem acessar os recursos do Office 2013 na Internet.

    2

    DWORD

    (Padrão) Permite o usuário acessar os recursos do Office 2013 na Internet.

Excluir o Perfil do Office e credenciais associados com uma identidade de login removida

Quando um usuário faz o login em um aplicativo do Office utilizando a ID de conta da Microsoft ou sua ID de organização, um perfil do Office correspondente e credenciais desta identidade são criados no Registro. A página de login oferece ao usuário a opção de remover esta identidade, apenas abaixo da pergunta "Sem nome de usuário?" próximo ao avatar do usuário ou foto e nome. Se os usuários escolherem remover uma das suas opções de identidade, será removido da página de login. Mas, este perfil de Office correspondente e credenciais irão realmente permanecer no cache por um curto período de tempo. Se este é um problema de segurança, como quando um usuário é despedido da sua organização, você deve excluir imediatamente esta configuração de perfil do Office do Registro. Para fazer isso, navegue para o perfil do Office do usuário no Registro e exclua-o.

Para excluir um perfil do Office que ainda pode estar em cache

  1. No Editor de Registro, navegue para:

    HKEY_CURRENT_USER\Software\Microsoft\Office\15.0\Common\Identity\Identities

  2. Escolha o perfil do Office que deseja excluir e escolha Excluir.

  3. Da seção Identidade, navegue para o nó Perfis, escolha a mesma identidade, abra o menu de atalho (clique com o botão direito do mouse) e escolha Excluir.

Consulte também

Mapa de identidade, autenticação e autorização do Office 2013

Visão geral de segurança do Office 2013
O que é uma conta da Microsoft?
OAuth 2.0
Assistente de Conexão do Microsoft Online Services para Profissionais de TI RTW

dn151329(v=office.15).md