Übersicht über Identität, Authentifizierung und Autorisierung in Office 2013

Office 2013
 

Gilt für:Office 2013, Office 365 ProPlus

Letztes Änderungsdatum des Themas:2016-12-16

Zusammenfassung: Hier finden Sie eine Beschreibung der Authentifizierung und Anmeldetypen in Office 2013. Darüber hinaus wird erläutert, wie Sie mithilfe von Registrierungseinstellungen festlegen können, welche Benutzeridentitäten bei der Benutzeranmeldung zur Verfügung stehen.

Zielgruppe: IT-Spezialisten

Viele Abschnitte in diesem Artikel basieren auf dem Poster zur Identität und Authentifizierung in Office 2013, das Sie online anzeigen oder im Download Center herunterladen können.

Miniaturansicht des Posters: Authentifizierung und Identität

Office-Anwendungen werden im neuen Office sowohl für geschäftliche als auch für private Aktivitäten verwendet. So kann sich ein Benutzer in Excel beispielsweise tagsüber mit den Widget-Verkaufszahlen für das zweite Quartal und nach Feierabend mit der Statistik der Weltmeisterschaft beschäftigen oder in Word tagsüber Produktspezifikationen und nach Feierabend Kurzgeschichten verfassen. Da Office von der gleichen Person in zwei unterschiedlichen Rollen verwendet wird, bietet das neue Office zwei Identitäten, mit denen sich Benutzer bei Office 2013 anmelden können:

  • Ein Microsoft-Konto, das von den meisten Benutzern für private Zwecke verwendet wird

  • Eine von Microsoft zugewiesene Organisations-ID, die von den meisten Benutzern bei ihrer Tätigkeit für eine Organisation (beispielsweise ein Unternehmen, eine wohltätige Organisation oder eine Bildungseinrichtung) verwendet wird

Die verwendeten Anmeldeinformationen werden als persönliche oder organisationsbezogene Anmeldeinformationen erkannt. Die Anmeldeidentität stellt gewissermaßen den Startbereich des Benutzers dar und bestimmt, auf welche Dokumente der Benutzer in SharePoint, OneDrive oder Office 365-Diensten in der jeweiligen Sitzung zugreifen kann. Jede eindeutige Anmeldeidentität wird in einer Liste mit zuletzt verwendeten Elementen gespeichert, sodass komfortabel zwischen Identitäten gewechselt werden kann, ohne die Office-Umgebung zu verlassen.

Darüber hinaus können Benutzer einen Onlinedokumentdienst in ihre Identitäten einbinden, um den Zugriff auf diesen Dienst noch komfortabler zu gestalten. So kann beispielsweise ein persönliches OneDrive in eine Organisationsidentität eingebunden werden, um auf der Arbeit oder in der Schule ohne Identitätswechsel auf persönliche Dokumente zugreifen zu können. Wenn sich ein Benutzer mit einer Identität anmeldet, gilt diese Authentifizierung zudem für alle Office-Anwendungen (also nicht nur für die, bei der er sich angemeldet hat).

Und das Beste daran: All dies ist bereits standardmäßig für die Benutzer verfügbar.

WichtigWichtig:
Dieser Artikel ist Bestandteil der Übersicht über Office 2013-Identitäts-, Authentifizierungs- und Autorisierungseinstellungen für IT-Spezialisten. Verwenden Sie diese Übersicht als Ausgangspunkt für Artikel, Downloads, Poster und Videos, mit deren Hilfe Sie die Office 2013-Identität bewerten können.
Sie interessieren sich für bestimmte Office 2013-Anwendungen? Sie finden diese Informationen, indem Sie auf Office.com suchen.

Inhalt dieses Artikels:

In Office 2010 erfolgt die Benutzerauthentifizierung mittels formularbasierter Authentifizierung (Forms-Based Authentication, FBA), integrierter Windows-Authentifizierung (Windows Integrated Authentication, WIA) oder serverseitigem Passport-Include (Server Side Include, SSI; auch "Passport-Tweener" genannt). In Office 2013 stehen FBA und WIA auch weiterhin zur Verfügung, SSI wird jedoch durch den neuen tokenbasierten offenen Standard "Open Authorization 2.0" (OAuth 2.0) ersetzt. Die folgende Tabelle enthält einen Überblick über die verfügbaren Authentifizierungsprotokolle für Office (einschließlich Office 2013):

Office-Authentifizierungsprotokolle

Office-Clientversion Authentifizierungsprotokoll Server

Office 2010, Office 2013

Formularbasierte Authentifizierung (Forms-Based Authentication, FBA). Bei der formularbasierten Authentifizierung werden nicht authentifizierte Benutzer mittels clientseitiger Umleitung zu einem HTML-Formular weitergeleitet, in das sie ihre Anmeldeinformationen eingeben können. Nach Überprüfung der Anmeldeinformationen werden die Benutzer dann zu den angeforderten Ressourcen weitergeleitet.

SharePoint Online

Office 2010, Office 2013

Integrierte Windows-Authentifizierung (Windows Integrated Authentication, WIA). Diese Authentifizierung ist aushandlungsbasiert (ebenso wie das Kerberos-Protokoll oder NTLM). In diesem Szenario wird die Authentifizierung vom Betriebssystem bereitgestellt.

SharePoint 2010, SharePoint 2013

Office 2010, Office 2013

SSI-Authentifizierung (auch: Passport-Tweener-Authentifizierung). Wenn ein Benutzer eine Windows Live ID oder ein Microsoft-Konto angibt, wird vom Windows Live ID-Dienst ein Passport-Ticket zurückgegeben, das vom Client für den Zugriff auf Windows Live-Dienste verwendet wird.

OneDrive

Office 2013

Open Authorization 2.0 (OAuth 2.0). OAuth 2.0 ermöglicht eine vorübergehende, umleitungsbasierte Autorisierung. Ein Benutzer oder eine im Namen eines Benutzers agierende Webanwendung kann eine Autorisierung anfordern, um vorübergehend auf bestimmte Netzwerkressourcen eines Ressourcenbesitzers zuzugreifen. Weitere Informationen finden Sie unter OAuth 2.0.

OneDrive

Office 2013

Microsoft Online Services-Anmelde-Assistent. Der Microsoft Online Services-Anmelde-Assistent stellt Endbenutzer-Anmeldefunktionen für Microsoft Online Services wie Office 365 bereit. IT-Spezialisten finden weitere Informationen zum Microsoft Online Services-Anmelde-Assistenten unter Microsoft Online Services-Anmelde-Assistent für IT-Experten RTW. Der Download ist für die Verteilung an verwaltete Clientsysteme im Rahmen einer Office 365-Clientbereitstellung mittels System Center Configuration Manager (SCCM) oder ähnlichen Softwareverteilungssystemen konzipiert.

Office 365-Dienste (für SharePoint Online 2013, Excel Online 2013 und Lync Online 2013)

Für die Benutzeranmeldung bei Office 2013 werden zwei Anmeldetypen unterstützt: ein Microsoft-Konto oder eine von Microsoft zugewiesene Organisations-ID.

Microsoft-Konto (das persönliche Konto des Benutzers). Bei diesem Konto, das früher als Microsoft-ID bezeichnet wurde, handelt es sich um die Anmeldeinformationen, mit deren Hilfe sich Benutzer gegenüber dem Microsoft-Netzwerk authentifizieren. Es wird häufig für persönliche oder nicht arbeitsbezogene Aufgaben (wie ehrenamtliche Tätigkeiten) verwendet. Zum Erstellen eines Microsoft-Kontos gibt ein Benutzer einen Benutzernamen und ein Kennwort, bestimmte demografische Informationen sowie Möglichkeiten zur Kontobestätigung (beispielsweise eine alternative E-Mail-Adresse oder eine Telefonnummer) an. Weitere Informationen zum neuen Microsoft-Konto finden Sie unter Was ist ein Microsoft-Konto?.

Eine von Microsoft zugewiesene Organisations-ID/Office 365-Konto-ID. Dieses Konto wird für die geschäftliche Verwendung erstellt. Office 365-Konten sind in drei Varianten verfügbar: als reine Office 365-ID, als Active Directory-ID oder als Active Directory-Verbunddienste-ID. Diese werden im Anschluss näher beschrieben:

  • Office 365-ID. Diese ID wird erstellt, wenn ein Administrator eine Office 365-Domäne einrichtet. Sie weist das Format "<Benutzer>@<Organisation>.onmicrosoft.com" auf. Beispiel:

    sally@contoso.onmicrosoft.com

  • Von Microsoft zugewiesene Organisations-ID, die anhand der Active Directory-ID eines Benutzers überprüft wird. Eine Organisations-ID, die von Microsoft zugewiesen und wie folgt anhand einer Active Directory-ID überprüft wird:

    1. Eine Person versucht, mit einem Konto vom Typ "[lokale Domäne]\<Benutzer>" auf Organisationsressourcen zuzugreifen.

    2. Von der Ressource wird eine Benutzerauthentifizierung angefordert.

    3. Der Benutzer gibt den Organisationsbenutzernamen und das entsprechende Kennwort ein.

    4. Benutzername und Kennwort werden anhand der AD-Datenbank der Organisation überprüft. Anschließend wird der Benutzer authentifiziert und erhält Zugriff auf die angeforderte Ressource.

  • Eine von Microsoft zugewiesene Organisations-ID, die anhand der Active Directory-Verbunddienste-ID eines Benutzers überprüft wird. Eine Organisations-ID, die von Microsoft zugewiesen und wie folgt mithilfe der Active Directory-Verbunddienste (Active Directory Federation Services, ADFS) überprüft wird:

    1. Eine Person mit "org.onmicrosoft.com" versucht, auf Partnerorganisationsressourcen zuzugreifen.

    2. Von der Ressource wird eine Benutzerauthentifizierung angefordert.

    3. Der Benutzer gibt den Organisationsbenutzernamen und das entsprechende Kennwort ein.

    4. Benutzername und Kennwort werden anhand der AD-Datenbank der Organisation überprüft.

    5. Benutzername und Kennwort werden an die AD-Verbunddatenbank des Partners weitergeleitet. Anschließend wird der Benutzer authentifiziert und erhält Zugriff auf die angeforderte Ressource.

Bei lokalen Ressourcen wird von Office 2013 zur Authentifizierung der Benutzername im Format "Domäne\Alias" verwendet. Bei Verbundressourcen wird von Office 2013 zur Authentifizierung der Benutzername im Format "alias@org.onmicrosoft.com" verwendet.

Für den Zugriff auf eine Office 2013-Ressource durch einen Benutzer enthält Office 2013 standardmäßig Registrierungsschlüssel, die zum Anzeigen der Microsoft-Konto-ID und der von Microsoft zugewiesenen Organisations-ID eines Benutzers konfiguriert sind. Diese Konfiguration kann geändert werden, sodass entweder nur das Microsoft-Konto, nur die Organisations-ID oder keine der beiden Optionen angezeigt wird. Die Einstellung muss in der Computerregistrierung geändert werden.

So ändern Sie die für den Benutzer verfügbaren Office 2013-Anmeldetypen

  1. Navigieren Sie im Registrierungs-Editor zu folgendem Eintrag:

    HKEY_CURRENT_USER\Software\Microsoft\Office\15.0\Common\SignIn\SignInOptions

  2. Legen Sie den Wert für „SignInOptions“ auf einen der Werte aus der Tabelle fest: Der Typ für die SignInOptions-Einstellung ist DWORD.

    SignInOptions-Einstellungen

    SignInOptions-Einstellung Bedeutung Auswirkungen auf Benutzer

    0

    Microsoft-Konto oder Organisations-ID

    Benutzer können sich anmelden und mithilfe ihres Microsoft-Kontos oder eines Kontos, das von Ihrer Organisation zugewiesen wurde, Zugriff auf Office-Inhalte erhalten.

    1

    Nur Microsoft-Konto

    Benutzer können sich nur mit ihrem Microsoft-Konto anmelden.

    2

    Nur Organisation

    Benutzer können sich nur mit der von Ihrer Organisation zugewiesenen Benutzer-ID anmelden. Dies kann entweder eine Benutzer-ID in Azure Active Directory oder eine Benutzer-ID in Active Directory Domain Services (AD DS) unter Windows Server sein.

    3

    Nur AD DS

    Benutzer können sich nur mithilfe einer Benutzer-ID in Active Directory Domain Services (AD DS) unter Windows Server anmelden.

    4

    Keine

    Die Benutzer können nicht mit jeder ID anmelden.

    Wenn Sie die Einstellung Office-Anmeldung blockieren deaktivieren oder nicht konfigurieren, gilt die Standardeinstellung 0. Das bedeutet, Benutzer können sich mit ihrem Microsoft-Konto oder einem von Ihrer Organisation zugewiesenen Konto anmelden.

Standardmäßig wird Benutzern von Office 2013 Zugriff auf Office 2013-Dateien im Internet gewährt. Diese Einstellung kann geändert werden, sodass diese Ressourcen dem Benutzer nicht angezeigt werden.

So ermöglichen oder verhindern Sie das Herstellen einer Verbindung mit Office 2013-Internetressourcen durch einen Benutzer

  1. Navigieren Sie im Registrierungs-Editor zu folgendem Eintrag:

    Computer\HKEY_CURRENT_USER\Software\Microsoft\Office\15.0\Common\Internet\UseOnlineContent

  2. Legen Sie den Wert für "UseOnlineContent" auf einen der folgenden Werte fest:

    UseOnlineContent-Werte für Office 2013

    UseOnlineContent-Wert Werttyp Beschreibung

    0

    DWORD

    Benutzer können nicht auf Office 2013-Ressourcen im Internet zugreifen.

    1

    DWORD

    Benutzer können den Zugriff auf Office 2013-Ressourcen im Internet abonnieren.

    2

    DWORD

    (Standard) Benutzer können auf Office 2013-Ressourcen im Internet zugreifen.

Wenn sich ein Benutzer unter Verwendung der Microsoft-Konto-ID oder der Organisations-ID bei einer Office-App anmeldet, werden in der Registrierung ein passendes Office-Profil und entsprechende Anmeldeinformationen für diese Identität erstellt. Auf der Anmeldeseite hat der Benutzer die Möglichkeit, die Identität zu entfernen (direkt unter der Frage "Sie sind nicht <Benutzername>?" neben dem Benutzeravatar oder -foto und dem Namen). Wenn sich ein Benutzer entschließt, eine seiner Identitätsoptionen zu entfernen, wird diese zwar von der Anmeldeseite entfernt, das zugehörige Office-Profil und die entsprechenden Anmeldeinformationen befinden sich jedoch noch kurze Zeit im Cache. Sollte dies ein Sicherheitsproblem darstellen (beispielsweise bei der Entlassung eines Benutzers), empfiehlt es sich, die Office-Profileinstellung umgehend aus der Registrierung zu löschen. Navigieren Sie hierzu in der Registrierung zum Office-Profil des Benutzers, und löschen Sie es.

So löschen Sie ein möglicherweise noch im Cache vorhandenes Office-Profil

  1. Navigieren Sie im Registrierungs-Editor zu folgendem Eintrag:

    HKEY_CURRENT_USER\Software\Microsoft\Office\15.0\Common\Identity\Identities

  2. Wählen Sie das zu löschende Office-Profil aus, und klicken Sie auf Löschen.

  3. Navigieren Sie in der Identitätsstruktur zum Knoten "Profile", wählen Sie die gleiche Identität aus, öffnen Sie das Kontextmenü (Rechtsklick), und klicken Sie auf Löschen.

Anzeigen: