Office 2013 的身分識別、驗證及授權概觀
適用版本: Office 2013, Office 365 ProPlus
上次修改主題的時間: 2018-01-27
摘要:說明 Office 2013 驗證、登入類型,以及如何使用登錄設定來決定在使用者登入時提供的使用者身分識別。
對象: IT 專業人員
許多本文各節會根據身分識別與驗證中 Office 2013 海報,您可以從下載中心下載。
.gif "海報縮圖:身分識別與驗證")
在新的 Office 中,Office 應用程式可用於公事和非公事上的活動。使用者可以在白天使用 Excel 消化第二季 Widget 銷售數字,而在晚上消化世界杯比賽統計資料,或是使用 Word 在白天撰寫產品規格,而在晚上撰寫短篇故事。因為 Office 可由同一個人以兩種不同角色使用的工具,新的 Office 提供兩種身分識別讓使用者登入 Office 2013:
**Microsoft 帳戶:**供大部分使用者用於處理私事
Microsoft 指派的組織識別碼:供大部分使用者在為企業、慈善團體或學校等組織進行工作時使用。
用於登入的認證會辨識為個人或組織認證。登入身分識別會成為使用者的「主領域」,決定使用者的特定工作階段中,對 SharePoint、OneDrive 或 Office 365 服務中的哪些文件具有存取權。每個唯一的登入身分識別都會儲存在最近使用清單中,方便切換身分識別而不用離開 Office。
如果要更加便利,使用者可以選擇加掛線上文件服務到自己的身分識別以方便存取。例如,使用者可以將個人的 OneDrive 加掛到組織身分識別,如此就可以在工作地點或學校存取個人文件,而不需要切換身分識別。另外,使用者通過身分識別的驗證後,此驗證對於所有 Office 應用程式都有效,不只是使用者登入的應用程式。
好消息是以上所有功能預設都適用於使用者,且立即可用。
.gif "重要事項") 重要事項: |
|---|
| 本文為適用於 IT 專業人員的<Office 2013 身分識別、驗證及授權的藍圖>的一部分。請使用藍圖做為協助您評估 Office 2013 身分識別之文章、下載檔、海報及影片的起點。 您在尋找有關個別 Office 2013 應用程式的說明嗎?在 Office.com 上進行搜尋,即可找到此資訊。 |
本文內容:
Office 驗證通訊協定
使用登錄設定決定在登入時提供給使用者的識別碼類型
使用登錄設定防止使用者連線至網際網路上的 Office 2013 資源
刪除與已移除之登入身分識別相關聯的 Office 設定檔和認證
Office 驗證通訊協定
在 Office 2010 中,使用者是以表單型驗證 (FBA)、Windows 整合式驗證 (WIA) 或護照伺服器端包含 (SSI) 驗證 (也稱為 "Passport Tweener") 受到驗證。在 Office 2013 中,FBA 或 WIA 仍然可以使用,但 SSI 則改為使用新的開放式標準,即權杖型 Open Authorization 2.0 (OAuth 2.0)。請參閱下表以取得您可以用於 Office (包括 Office 2013) 的驗證通訊協定概觀。
Office 驗證通訊協定
| 用戶端 Office 版本 | 驗證通訊協定 | 伺服器 |
|---|---|---|
Office 2010、Office 2013 |
表單型驗證 (FBA)。表單型驗證會使用用戶端重新導向,將未驗證的使用者轉到 HTML 表單,使用者可以在其中輸入認證。認證經過驗證之後,使用者就會被重新導向至他們要求的資源。 |
SharePoint Online |
Office 2010、Office 2013 |
Windows 整合型驗證 (WIA)。如同 Kerberos 通訊協定或 NTLM,這是交涉型通訊協定。在此案例中,作業系統會提供驗證。 |
SharePoint 2010、SharePoint 2013 |
Office 2010、Office 2013 |
SSI (或 Passport Tweener) 驗證。當使用者提供 Windows Live ID 認證或 Microsoft 帳戶時,Windows Live ID 服務會傳回護照「票證」,供用戶端用來存取 Windows Live 服務。 |
OneDrive |
Office 2013 |
Open Authorization 2.0 (OAuth 2.0)。OAuth 2.0 提供暫時、重新導向型授權。 使用者或代表使用者的 Web 應用程式可要求驗證暫時存取資源擁有者的指定網路資源。如需詳細資訊,請參閱<OAuth 2.0>。 |
OneDrive |
Office 2013 |
Microsoft Online Services 登入小幫手。Microsoft Online Services 登入小幫手提供使用者登入 Microsoft Online Services (例如 Office 365) 的功能。如需關於 Microsoft Online Services 登入小幫手和 IT 專業人員的詳細資訊,請參閱<適用於 IT 專業人員的 Microsoft Online Services 登入小幫手 RTW>。下載檔是在 Office 365 用戶端部署時,透過 System Center 設定管理員 (SCCM) 或類似的軟體散佈系統來散佈至受管理用戶端系統。 |
Office 365 服務 (若是 SharePoint Online 2013、Excel Online 2013 及 Lync Online 2013) |
Office 2013 中的登入類型
當使用者登入 Office 2013 時支援的登入類型有兩種,即 Microsoft 帳戶或 Microsoft 指派的組織識別碼。
Microsoft 帳戶 (使用者個人帳戶):此帳戶先前稱為 Microsoft 識別碼,是使用者用來向 Microsoft 網路驗證自己身分的認證,經常用於私事或非公事上的工作,例如志工工作。若要建立 Microsoft 帳戶,使用者需提供使用者名稱和密碼、特定人口統計資訊以及「帳戶證明」,例如替代的電子郵件地址或電話號碼。如需關於新 Microsoft 帳戶的詳細資訊,請參閱<什麼是 Microsoft 帳戶?>。
Microsoft 指派的組織識別碼 / Microsoft 指派的 Office 365 帳戶識別碼:此帳戶是針對公事用途建立。Office 365 帳戶可以是下列三種類型之一:純粹 Office 365 識別碼、Active Directory 識別碼,或 Active Directory Federation Services 識別碼。茲說明如下:
**Office 365 識別碼:**此識別碼是在系統管理員架設 Office 365 網域時建立,格式為:<使用者>@<組織>.onmicrosoft.com,例如:
sally@contoso.onmicrosoft.com
**由 Microsoft 指派,根據使用者的 Active Directory 識別碼進行驗證的組織識別碼:**由 Microsoft 指派,根據 Active Directory 進行驗證的組織識別碼如下所示:
首先,具有 [內部部署網域]\<使用者> 帳戶的使用者嘗試存取組織資源。
接著,資源要求使用者提供身分驗證資料。
然後,使用者輸入組織使用者名稱和密碼。
最後,系統根據組織 AD 資料庫驗證使用者名稱和密碼,使用者通過驗證,並獲得對所要求資源的存取權。
**由 Microsoft 指派,根據使用者的 Active Directory Federation Services 識別碼進行驗證的組織識別碼:**由 Microsoft 指派,根據 Active Directory Federation Services (ADFS) 進行驗證的組織識別碼如下所示:
首先,具有 org.onmicrosoft.com 的使用者嘗試存取「夥伴」組織資源。
然後,資源要求使用者提供身分驗證資料。
接著,使用者輸入組織使用者名稱和密碼。
系統根據組織 AD 資料庫驗證該使用者名稱和密碼。
最後,相同的使用者名稱和密碼傳到夥伴的同盟 AD 資料庫,使用者通過驗證,並獲得對所要求資源的存取權。
對於內部部署資源,Office 2013 使用網域\別名使用者名稱進行驗證。對於同盟資源,Office 2013 使用別名@組織.onmicrosoft.com 使用者名稱進行驗證。
使用登錄設定決定在登入時提供給使用者的識別碼類型
根據預設,當使用者嘗試存取 Office 2013 資源時,Office 2013 包含的登錄機碼是設定為顯示使用者的 Microsoft 帳戶識別碼和 Microsoft 指派的組織識別碼。但是,您可以變更為只顯示 Microsoft 帳戶或組織識別碼,或都不顯示。此設定是在電腦登錄中變更。
變更提供給使用者的 Office 2013 登入類型
從登錄編輯程式,瀏覽至:
HKEY_CURRENT_USER\Software\Microsoft\Office\15.0\Common\SignIn\SignInOptions
將 SignInOptions 值設為下表其中一個值。SignInOptions 設定的類型是 DWORD。
SignInOptions 設定
如果將 SignInOptions 設為… 其意思是 使用者受到的影響 0
Microsoft 帳戶或組織識別碼
使用者可以使用其 Microsoft 帳戶或組織指派的帳戶登入並存取 Office。
1
僅限 Microsoft 帳戶
使用者只能使用 Microsoft 帳戶登入。
2
僅限組織
使用者只能使用組織指派的使用者識別碼登入。這可以是 Azure Active Directory 中的使用者識別碼或 Windows Server 的 Active Directory 網域服務 (AD DS) 中的使用者識別碼。
3
僅限 AD DS
使用者只能使用 Windows Server 的 Active Directory 網域服務 (AD DS) 中的使用者識別碼來登入。
4
都不允許
使用者無法使用任何識別碼來登入。
如果您停用或未設定 [禁止登入 Office] 設定,則預設設定為 0,表示使用者可以使用其 Microsoft 帳戶或組織指派的帳戶來登入。
使用登錄設定防止使用者連線至網際網路上的 Office 2013 資源
根據預設,Office 2013 可讓使用者存取位於網際網路上的 Office 2013 檔案。您可以變更此設定讓使用者無法看到這些資源。
允許或防止使用者連線至 Office 2013 網際網路資源
從登錄編輯程式,瀏覽至:
Computer\HKEY_CURRENT_USER\Software\Microsoft\Office\15.0\Common\Internet\UseOnlineContent
將 UseOnlineContent 值設為下列其中之一:
Office 2013 UseOnlineContent 值
UseOnlineContent 值 值類型 描述 0
DWORD
不允許使用者存取網際網路上的 Office 2013 資源。
1
DWORD
允許使用者選擇是否存取網際網路上的 Office 2013 資源。
2
DWORD
(預設) 允許使用者存取網際網路上的 Office 2013 資源。
刪除與已移除之登入身分識別相關聯的 Office 設定檔和認證
當使用者以 Microsoft 帳戶識別碼或組織識別碼登入 Office 應用程式時,登錄中會建立該身分識別的相符 Office 設定檔和認證。登入頁面會提供移除該身分識別的選項給使用者,此選項就在使用者虛擬人偶或相片和名稱附近的「不是使用者名稱?」問題底下。如果使用者選擇移除其中一個身分識別選項,該身分識別選項就會自登入頁面中移除。但是,對應的 Office 設定檔和認證實際上仍會暫時留在快取中。如果這是安全性問題,例如使用者已被組織革職時,您應該立即從登錄刪除該 Office 設定檔設定。若要執行此動作,請瀏覽至登錄中該使用者的 Office 設定檔,然後刪除。
刪除仍留在快取中的 Office 設定檔
從登錄編輯程式,瀏覽至:
HKEY_CURRENT_USER\Software\Microsoft\Office\15.0\Common\Identity\Identities
選擇您要刪除的 Office 設定檔,然後選擇 [刪除]。
從 Identity 登錄區,瀏覽至 Profiles 節點,選擇同一個身分識別,開啟捷徑功能表 (按一下滑鼠右鍵),然後選擇 [刪除]。
另請參閱
Office 2013 的安全性概觀
什麼是 Microsoft 帳戶?
OAuth 2.0
適用於 IT 專業人員的 Microsoft Online Services 登入小幫手 RTW