Office 2016 的标识、身份验证和授权

总结: 介绍 Office 2016 身份验证、登录类型,以及如何使用注册表设置来确定在用户登录时提供的用户标识。

Office 应用程序用于业务和非商业活动。 在白天,用户可能会使用 Excel 分析第 2 季度小组件销售数字,并按每天进行细分。 到晚上,同一个人可以切换到处理 Excel 中的世界杯统计数据。 同样,他们可能会使用Word在工作时间起草产品规格,然后在闲暇时间改写短篇小说。 Office 是不同角色的个人使用的通用工具。 为了适应这一点,Office 2016 允许用户使用两个单独的标识登录:

  • Microsoft 帐户, 大多数人用于个人业务

  • 由 Microsoft 分配的组织 ID, 大多数人在为组织(如企业、慈善机构或学校)工作时使用该 ID。

用于登录的凭据被认为是个人凭据或组织凭据。 该登录标识将成为用户的“主领域”,并确定用户在特定会话的 SharePoint、OneDrive 或Office 365服务上有权访问的文档。 每个唯一的登录标识都保存在最近使用的列表中,以便在标识之间轻松切换,而无需离开 Office 体验。

为方便起见,用户可以选择将联机文档服务装载到其标识,以便于访问。 例如,可以将个人 OneDrive 装载到组织标识,以便在工作或学校访问个人文档,而无需切换标识。 此外,当用户使用标识进行身份验证时,此身份验证对所有 Office 应用程序都有效,而不仅仅是他们登录的应用程序。

好消息是,默认情况下,所有这些功能都只对用户有效,并且是现用的。

Office 身份验证协议

在 Office 中,使用 Forms-Based 身份验证 (FBA) 、Windows 集成身份验证 (WIA) 或 Passport 服务器端包括 (SSI) 身份验证(也称为“Passport Tweener”)进行身份验证。在 Office 2016 中,你仍然可以使用 FBA 或 WIA,但我们现在使用新的开放标准、基于令牌的 Open Authorization 2.0 (OAuth 2.0) ,而不是 SSI。 有关可用于 Office 的身份验证协议的概述,请参阅下表。

Office 身份验证协议

客户端 Office 版本 身份验证协议 服务器
Office 2010、Office 2013、Office 2016
基于表单的身份验证 (FBA)。 基于表单的身份验证使用客户端重定向来将未经身份验证的用户转移到用户可将其凭据输入到的 HTML 表单。 验证这些凭据后,用户将重定向到其请求的资源。
SharePoint Online
Office 2010、Office 2013、Office 2016
Windows 集成身份验证 (WIA)。 与 Kerberos 协议或 NTLM 一样,这是一个协商式方案。 在此方案中,操作系统将提供身份验证。
SharePoint 2010、SharePoint 2013、SharePoint 2016
Office 2010、Office 2013、Office 2016
SSI 或 Passport Tweener 身份验证。 当用户提供 Windows Live ID 凭据或 Microsoft 帐户时,Windows Live ID 服务将返回客户端用于访问 Windows Live 服务的护照“票证”。
OneDrive
Office 2013、Office 2016
Open Authorization 2.0 (OAuth 2.0)。 OAuth 2.0 提供基于重定向的临时授权。 用户或代表用户的 Web 应用程序可以请求授权以便临时访问资源所有者的指定网络资源。 有关详细信息,请参阅 OAuth 2.0
OneDrive
Office 2013、Office 2016
Microsoft Online Services 登录助手。 Microsoft Online Services Sign-In 助手为 Microsoft Online Services 提供最终用户登录功能,例如Office 365。 有关 Microsoft Online Services 登录助手和 IT 专业人员的详细信息,请参阅 适用于 IT 专业人员 RTW 的 Microsoft Online Services Sign-In 助手。 下载内容用于使用Microsoft Configuration Manager或类似的软件分发系统,作为Office 365客户端部署的一部分分发到托管客户端系统。
Office 365 服务

Office 2016 中的登录类型

Office 2016 支持两种类型的用户登录:Microsoft 帐户或 Microsoft 分配的组织 ID。

Microsoft 帐户 (用户的个人帐户) 。 此帐户以前称为 Microsoft ID,是用户向 Microsoft 网络进行身份验证所需的凭据。 它用于个人或非业务任务,例如志愿者工作。 若要创建 Microsoft 帐户,用户需提供用户名和密码、某些人口统计信息以及“帐户证明”,例如备用电子邮件地址或电话号码。

由 Microsoft 分配的组织 ID/由 Microsoft 分配的 Office 365 帐户 ID。 创建此帐户以用于业务用途。 Office 365帐户可以是以下三种类型之一:纯Office 365 ID、Active Directory ID 或Active Directory 联合身份验证服务 ID。

  • Office 365 ID。 Office 365 ID 是在管理员设置Office 365域并采用 user>@<org.onmicrosoft.com> 格式<时创建的,例如:

    sally@contoso.onmicrosoft.com

  • Microsoft 分配的组织 ID,根据用户的 Active Directory ID 进行验证。

  1. 首先,具有 [本地域]\<用户帐户> 的用户尝试访问组织资源。

  2. 紧接着,该资源请求来自用户的身份验证。

  3. 然后,用户键入其组织用户名和密码。

  4. 最后,根据组织 AD 数据库验证此用户名和密码,将对该用户进行身份验证并向其授予对请求的资源的访问权。

  • 由 Microsoft 分配并针对用户的Active Directory 联合身份验证服务 (AD FS 验证的组织 ID) ID。
  1. 首先,具有 org.onmicrosoft.com 的用户尝试访问合作伙伴 组织资源。

  2. 紧接着,该资源请求来自用户的身份验证。

  3. 然后,用户键入其组织用户名和密码。

  4. 然后,针对组织 AD DS 数据库验证该用户名和密码。

  5. 最后,相同的用户名和密码将传递给合作伙伴的联合 AD DS 数据库,对用户进行身份验证,并被授予对所请求资源的访问权限。

对于本地资源,Office 2016 使用域\别名用户名进行身份验证。 对于联合资源,Office 2016 使用 alias@org.onmicrosoft.com 用户名进行身份验证。

使用注册表设置确定在登录时为用户提供的 ID 类型

默认情况下,Office 2016 配置了注册表项。 当用户尝试访问 Office 2016 资源时,这些密钥显示用户的 Microsoft 帐户 ID 和 Microsoft 分配的组织 ID。 但是,可以更改此设置,以便仅显示 Microsoft 帐户或其组织 ID,或者两者均不显示。 将在计算机注册表中更改此设置。

更改提供给用户的 Office 2016 登录类型

  1. 从注册表编辑器浏览到:

    HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Common\SignIn\SignInOptions

  2. 将 SignInOptions 的值设置为下表中的其中一个值。 SignInOptions 设置的类型为 DWORD。

    SignInOptions 设置

在将 SignInOptions 设置为以下数值的情况下 含义 对用户产生的影响
0
Microsoft 帐户或组织 ID
用户可以使用其 Microsoft 帐户或组织分配的帐户登录以访问 Office 内容。
1
仅 Microsoft 帐户
用户只能使用其 Microsoft 帐户登录。
2
仅组织
用户必须使用其组织分配的用户 ID 登录。 他们可以在 Windows Server 上使用 Microsoft Entra ID 中的用户 ID 或 Active Directory 域服务 (AD DS) 中的用户 ID。
3
仅 AD DS
用户只能使用 Windows Server 上 Active Directory 域服务 (AD DS) 中的用户 ID 登录。
4
都不允许
用户不能使用任何 ID 登录。

如果禁用或未配置 “阻止登录到 Office ”设置,默认设置为 0,这意味着用户可以使用其 Microsoft 帐户或组织分配的帐户登录。

使用注册表设置阻止用户连接到 Internet 上的 Office 2016 资源

默认情况下,Office 2016 允许用户访问驻留在 Internet 上的 Office 2016 文件。 您可以更改此设置,以使用户无法看到这些资源。

允许或阻止用户连接到 Office 2016 Internet 资源

  1. 从注册表编辑器浏览到:

    Computer\HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Common\Internet\UseOnlineContent

  2. 将 UseOnlineContent 设置为以下值之一:

    Office 2016 UseOnlineContent 值

UseOnlineContent 值 值类型 说明
0
DWORD
不允许用户访问 Internet 上的 Office 2016 资源。
1
DWORD
允许用户选择在 Internet 上访问 Office 2016 资源。
2
DWORD
(默认) 允许用户访问 Internet 上的 Office 2016 资源。

删除与已删除的登录标识关联的 Office 配置文件和凭据

当用户使用 Microsoft 帐户 ID 或组织 ID 登录到 Office 应用时,系统会在注册表中为该标识创建匹配的 Office 配置文件和凭据。 登录页为用户提供了删除该标识的选项。 此选项位于“不是你的名字?” 问题,靠近用户的头像或照片和名称。 如果用户决定删除其其中一个标识选项,则会从登录页中删除该选项。 但是,相应的 Office 配置文件和凭据在缓存中保留的时间很短。 如果在缓存中保留信息会产生安全风险(例如,当用户离开组织时),请立即从注册表中删除该 Office 配置文件设置。

删除可能仍被缓存的 Office 配置文件

  1. 从注册表编辑器浏览到:

    HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Common\Identity\Identities

  2. 选择要删除的 Office 配置文件,然后选择 “删除”。

  3. 从标识配置单元中,导航到“配置文件”节点,选择相同的标识,再打开快捷菜单(右键单击),然后选择“删除”