Identité, authentification et autorisation dans Office 2016
Résumé: Décrit l’authentification Office 2016, les types de connexion et l’utilisation des paramètres du Registre pour déterminer les identités d’utilisateur proposées lors de la connexion de l’utilisateur.
Les applications Office sont utilisées pour les activités professionnelles et non commerciales. Pendant la journée, une personne peut utiliser Excel pour analyser les chiffres de ventes des widgets Q2, en les décomposant chaque jour. La nuit, le même individu pourrait basculer vers les statistiques de coupe du monde croquantes dans Excel. De même, ils peuvent utiliser Word pour rédiger des spécifications de produit pendant les heures de travail, puis passer à l’écriture de nouvelles histoires pendant leur temps libre. Office est un outil polyvalent utilisé par les individus dans différents rôles. Pour ce faire, Office 2016 permet aux utilisateurs de se connecter avec deux identités distinctes :
Un compte Microsoft, que la plupart des gens utilisent pour les affaires personnelles
Id de organization attribué par Microsoft, que la plupart des utilisateurs utilisent pour travailler pour un organization, tel qu’une entreprise, un organisme de bienfaisance ou un établissement scolaire.
Les informations d’identification qui sont utilisées pour se connecter sont reconnues comme personnelles ou organisationnelles. Cette identité de connexion devient le « domaine d’accueil » de l’utilisateur et détermine les documents auxquels l’utilisateur a accès sur SharePoint, OneDrive ou Office 365 Services pour une session spécifique. Chaque identité de connexion unique est enregistrée dans une liste utilisée le plus récemment afin qu’il soit facile de basculer entre les identités sans quitter l’expérience Office.
Pour plus de commodité, les utilisateurs peuvent choisir de monter un service de documents en ligne sur leurs identités pour faciliter l’accès. Par instance, un OneDrive personnel peut être monté sur une identité organization afin que les documents personnels soient accessibles au travail ou à l’école sans changer d’identité. En outre, lorsqu’un utilisateur s’authentifie à l’aide d’une identité, cette authentification est valide pour toutes les applications Office, et pas seulement pour l’application à laquelle il s’est connecté.
La bonne nouvelle est que toutes ces fonctionnalités fonctionnent uniquement pour les utilisateurs, par défaut, et prêtes à l’emploi.
Protocoles d'authentification Office
Dans Office, les utilisateurs sont authentifiés à l’aide de l’authentification Forms-Based (FBA), de l’authentification intégrée Windows (WIA) ou de l’authentification SSI (Passport Server Side Include), également appelée « Passport Tweener ». Dans Office 2016, vous pouvez toujours utiliser FBA ou WIA, mais au lieu de SSI, nous utilisons désormais la nouvelle open standard open authorization 2.0 basée sur des jetons (OAuth 2.0). Consultez le tableau suivant pour obtenir une vue d’ensemble des protocoles d’authentification que vous pouvez utiliser avec Office.
Protocoles d'authentification Office
| Version d’Office client | Protocole d'authentification | Server |
|---|---|---|
| Office 2010, Office 2013, Office 2016 |
Forms-Based Authentication (FBA). L'authentification basée sur les formulaires utilise la redirection côté client pour transférer les utilisateurs non authentifiés vers un formulaire HTML où ils peuvent entrer leurs informations d'identification. Une fois les informations d'identification validées, les utilisateurs sont redirigés vers les ressources qu'ils demandaient. |
SharePoint Online |
| Office 2010, Office 2013, Office 2016 |
Windows Integrated Authentication (WIA). Fait l'objet d'une négociation, comme avec le protocole Kerberos ou NTLM. Dans ce scénario, le système d'exploitation fournit l'authentification. |
SharePoint 2010, SharePoint 2013, SharePoint 2016 |
| Office 2010, Office 2013, Office 2016 |
Authentification SSI, ou Passport Tweener. Lorsqu’un utilisateur fournit des informations d’identification Windows Live ID ou un compte Microsoft, le service Windows Live ID retourne un « ticket » de passeport que le client utilise pour accéder aux services Windows Live. |
OneDrive |
| Office 2013, Office 2016 |
Open Authorization 2.0 (OAuth 2.0). OAuth 2.0 fournit une autorisation temporaire basée sur une redirection. Un utilisateur ou une application web qui agit pour le compte d’un utilisateur peut demander l’autorisation d’accéder temporairement aux ressources réseau spécifiées depuis un propriétaire de ressources. Pour plus d’informations, consultez OAuth 2.0. |
OneDrive |
| Office 2013, Office 2016 |
Assistant de connexion Microsoft Online Services. Microsoft Online Services Sign-In Assistant fournit des fonctionnalités de connexion de l’utilisateur final à Microsoft Online Services, telles que Office 365. Pour plus d’informations sur l’Assistant de connexion Microsoft Online Services et les professionnels de l’informatique, consultez Microsoft Online Services Sign-In Assistant pour les professionnels de l’informatique RTW. Le téléchargement est destiné à être distribué aux systèmes clients managés dans le cadre d’un déploiement de client Office 365, à l’aide de systèmes de distribution de logiciels Microsoft Configuration Manager ou similaires. |
Services Office 365 |
Types de connexion dans Office 2016
Office 2016 prend en charge deux types de connexions pour les utilisateurs : un compte Microsoft ou un ID organization attribué par Microsoft.
Compte Microsoft (compte individuel de l’utilisateur). Ce compte, précédemment appelé ID Microsoft, correspond aux informations d’identification dont les utilisateurs ont besoin pour s’authentifier auprès du réseau Microsoft. Il est utilisé pour des tâches personnelles ou non professionnelles, comme le travail bénévole. Pour créer un compte Microsoft, un utilisateur fournit un nom d’utilisateur et un mot de passe, certaines informations démographiques et des « preuves de compte », telles qu’une autre adresse e-mail ou un numéro de téléphone.
ID d'organisation attribué par Microsoft / ID de compte Office 365 attribué par Microsoft. Ce compte est créé pour une utilisation professionnelle. Un compte Office 365 peut être de trois types : un ID Office 365 pur, un ID Active Directory ou un ID Services ADFS.
ID Office 365. L’ID de Office 365 est créé lorsqu’un administrateur configure un domaine Office 365 et prend la forme <user>@<org.onmicrosoft.com>, par exemple :
sally@contoso.onmicrosoft.com
ID d’organisation attribué par Microsoft qui est validé par rapport à l’ID Active Directory d’un utilisateur.
Tout d’abord, une personne disposant d’un [domaine local]\<compte d’utilisateur> tente d’accéder aux ressources organization.
La ressource demande ensuite à l'utilisateur de s'authentifier.
L'utilisateur tape alors son nom d'utilisateur et mot de passe d'organisation.
Enfin, le nom d'utilisateur et le mot de passe sont validés par rapport à la base de données AD de l'organisation, l'utilisateur est authentifié et reçoit l'accès à la ressource demandée.
- ID organization attribué par Microsoft et validé par rapport à l’ID de Services ADFS (AD FS) d’un utilisateur.
D'abord, une personne qui possède un org.onmicrosoft.com essaie d'accéder aux ressources d'organisation d'un partenaire.
La ressource demande ensuite à l'utilisateur de s'authentifier.
L'utilisateur tape alors son nom d'utilisateur et mot de passe d'organisation.
Ensuite, ce nom d’utilisateur et ce mot de passe sont validés par rapport à la base de données AD DS organization.
Enfin, ce même nom d’utilisateur et ce même mot de passe sont passés à la base de données AD DS fédérée du partenaire, l’utilisateur est authentifié et a accès à la ressource demandée.
Pour les ressources locales, Office 2016 utilise le nom d’utilisateur domaine\alias pour l’authentification. Pour les ressources fédérées, Office 2016 utilise le nom d’utilisateur pour l’authentification alias@org.onmicrosoft.com .
Utiliser les paramètres du Registre pour déterminer les types d’ID à proposer à un utilisateur lors de la connexion
Par défaut, Office 2016 est configuré avec des clés de Registre. Ces clés affichent l’ID de compte Microsoft de l’utilisateur et l’ID de organization attribués par Microsoft lorsqu’un utilisateur tente d’accéder à une ressource Office 2016. Toutefois, vous pouvez modifier ce paramètre afin que seul le compte Microsoft soit affiché, ou leur ID de organization, ou aucun des deux. Ce paramètre se définit dans le Registre de l'ordinateur.
Pour modifier les types d’ouverture de session Office 2016 proposés à l’utilisateur
À partir de l'Éditeur du Registre, accédez à :
HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Common\SignIn\SignInOptions
Définissez la valeur de SignInOptions sur l’une des valeurs du tableau suivant. Le type du paramètre SignInOptions est DWORD.
Paramètres SignInOptions
| Si vous définissez SignInOptions à… | Cela signifie | Impact sur les utilisateurs |
|---|---|---|
| 0 |
ID d’organisation ou compte Microsoft |
Les utilisateurs peuvent se connecter pour accéder au contenu Office avec leur compte Microsoft ou un compte attribué par leur organization. |
| 1 |
Compte Microsoft uniquement |
Les utilisateurs ne peuvent se connecter qu'avec leur compte Microsoft. |
| 2 |
Organisation uniquement |
Les utilisateurs doivent se connecter avec l’ID utilisateur attribué par leur organization. Ils peuvent utiliser un ID utilisateur dans Microsoft Entra ID ou un ID utilisateur dans services de domaine Active Directory (AD DS) sur Windows Server. |
| 3 |
AD DS uniquement |
Les utilisateurs peuvent se connecter uniquement à l’aide d’un identifiant utilisateur dans les services de domaine Active Directory (AD DS) sur Windows Server. |
| 4 |
Aucun n'est autorisé |
Les utilisateurs ne peuvent pas se connecter avec n’importe quel ID. |
Si vous désactivez ou ne configurez pas le paramètre Bloquer la connexion à Office, le paramètre par défaut est 0, ce qui signifie que les utilisateurs peuvent se connecter à l’aide de leur compte Microsoft ou d’un compte attribué par votre organization.
Utiliser un paramètre de Registre pour empêcher un utilisateur de se connecter à des ressources Office 2016 sur Internet
Par défaut, Office 2016 donne aux utilisateurs l’accès aux fichiers Office 2016 qui résident sur Internet. Vous pouvez changer ce paramètre pour que l'utilisateur ne puisse pas voir ces ressources.
Pour autoriser ou empêcher un utilisateur de se connecter à des ressources Internet Office 2016
À partir de l'Éditeur du Registre, accédez à :
Computer\HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Common\Internet\UseOnlineContent
Définissez UseOnlineContent sur l’une des valeurs suivantes :
Valeurs UseOnlineContent Office 2016
| Valeur UseOnlineContent | Type de valeur | Description |
|---|---|---|
| 0 |
DWORD |
N’autorisez pas l’utilisateur à accéder aux ressources Office 2016 sur Internet. |
| 1 |
DWORD |
Autoriser l’utilisateur à accéder aux ressources Office 2016 sur Internet. |
| 2 |
DWORD |
(Par défaut) Permet à l’utilisateur d’accéder aux ressources Office 2016 sur Internet. |
Supprimer le profil Office et les informations d’identification associés à une identité de connexion supprimée
Lorsqu’un utilisateur se connecte à une application Office à l’aide de son ID de compte Microsoft ou de son ID de organization, le système crée un profil Office et des informations d’identification correspondants pour cette identité dans le registre. La page de connexion offre à l’utilisateur la possibilité de supprimer cette identité. Cette option se trouve juste sous « Pas votre nom ? » question, près de l’avatar ou de la photo et du nom de l’utilisateur. Si les utilisateurs décident de supprimer l’une de leurs options d’identité, elle est supprimée de la page de connexion. Toutefois, le profil Office et les informations d’identification correspondants restent dans le cache pendant une courte période. Si la conservation d’informations dans le cache crée un risque pour la sécurité, par exemple lorsqu’un utilisateur quitte votre organization, supprimez immédiatement ce paramètre de profil Office du Registre.
Pour supprimer un profil Office qui peut se trouver encore en cache
À partir de l'Éditeur du Registre, accédez à :
HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Common\Identity\Identities
Choisissez le profil Office que vous souhaitez supprimer, puis choisissez Supprimer.
Dans la ruche Identité, naviguez jusqu'au nœud Profils, cliquez avec le bouton droit sur l'identité, puis choisissez Supprimer dans le menu contextuel.
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour