Office 2016 的身分識別、驗證及授權

  • 發行項

總結: 描述 Office 2016 驗證、登入類型,以及如何使用登錄設定來判斷使用者登入時提供哪些使用者身分識別。

Office 應用程式同時用於商務和非商務活動。 在一天中,使用者可能會使用 Excel 來分析 Q2 小工具銷售數位,並依每天細分。 依夜間,同一個人可以切換到在 Excel 中處理世界盃統計資料。 同樣地,他們也可以使用Word在工作時間草擬產品規格,然後改用在閒事時間撰寫短篇故事。 Office 是不同角色的個人所使用的多功能工具。 為了因應此問題,Office 2016 允許使用者使用兩個不同的身分識別登入:

  • Microsoft帳戶,大部分人用於個人商務

  • 由 Microsoft 指派的組織識別碼, 大部分的人在為組織工作時會使用此識別碼,例如企業、學生或學校。

用來登入的認證可辨識為個人或組織。 該登入身分識別會成為使用者的「主領域」,並決定使用者可存取 SharePoint、OneDrive 或Office 365 Services 上特定會話的檔。 每個唯一的登入身分識別都會儲存在最近使用的清單中,以便在不離開 Office 體驗的情況下輕鬆切換身分識別。

為了方便起見,使用者可以選擇將線上檔服務掛接至其身分識別,以方便存取。 例如,個人 OneDrive 可以掛接到組織身分識別,以便在公司或學校存取個人檔,而不需要切換身分識別。 此外,當使用者使用身分識別進行驗證時,此驗證對所有 Office 應用程式都有效,而不只是他們登入的應用程式。

好消息是,這些功能預設只適用于使用者,且是現用的功能。

Office 驗證通訊協定

在 Office 中,使用者會使用 Forms-Based 驗證 (FBA) 、Windows 整合式驗證 (WIA) 或 Passport Server 端包含 (SSI) 驗證來進行驗證,也稱為「Passport Tweener」。在 Office 2016 中,您仍然可以使用 FBA 或 WIA,但我們現在使用新的開放式標準權杖型 Open Authorization 2.0 (OAuth 2.0) ,而不是 SSI。 如需可搭配 Office 使用的驗證通訊協定概觀,請參閱下表。

Office 驗證通訊協定

用戶端 Office 版本 驗證通訊協定 伺服器
Office 2010、Office 2013、Office 2016
 Forms-Based 驗證 (FBA) 。 表單型驗證會使用用戶端重新導向,將未經驗證的使用者轉送到 HTML 表單,讓他們可以在其中輸入其認證。 驗證認證之後,系統會將使用者重新導向至他們要求的資源。
SharePoint Online
Office 2010、Office 2013、Office 2016
 WINDOWS 整合式驗證 (WIA) 。 這會交涉,如同 Kerberos 通訊協定或 NTLM 一樣。 在此案例中,作業系統會提供驗證。
SharePoint 2010、SharePoint 2013、SharePoint 2016
Office 2010、Office 2013、Office 2016
 SSI 或 Passport Tweener、驗證。 當使用者提供 Windows Live ID 認證或 Microsoft 帳戶時,Windows Live ID 服務會傳回用戶端用來存取 Windows Live 服務的 Passport「票證」。
OneDrive
Office 2013、Office 2016
 開啟授權 2.0 (OAuth 2.0) 。 OAuth 2.0 提供暫時性的重新導向型授權。 代表使用者的使用者或 Web 應用程式可以要求授權,以暫時從資源擁有者存取指定的網路資源。 如需詳細資訊,請參閱 OAuth 2.0
 OneDrive
Office 2013、Office 2016
 Microsoft Online Services 登入小幫手。 Microsoft Online Services Sign-In Assistant 提供 Microsoft Online Services 的使用者登入功能,例如Office 365。 如需 Microsoft Online Services 登入小幫手和 IT 專業人員的詳細資訊,請參閱 適用于 IT 專業人員的 Microsoft Online Services Sign-In 小幫手 RTW。 下載是使用Microsoft Configuration Manager或類似的軟體發佈系統,在Office 365用戶端部署過程中散發到受控用戶端系統。
Office 365 服務

Office 2016 中的登入類型

Office 2016 支援兩種類型的使用者登入:Microsoft 帳戶或 Microsoft 指派的組織識別碼。

Microsoft 帳戶 (使用者的個別帳戶) 。 此帳戶先前稱為 Microsoft ID,是使用者向 Microsoft 網路進行驗證所需的認證。 它用於個人或非商業工作,例如自願工作。 若要建立 Microsoft 帳戶,使用者會提供使用者名稱和密碼、特定人口統計資訊和「帳戶證明」,例如替代的電子郵件地址或電話號碼。

由 Microsoft 指派的組織識別碼/Office 365由 Microsoft 指派的帳戶識別碼。 此帳戶是針對商務用途所建立。 Office 365帳戶可以是三種類型之一:純Office 365識別碼、Active Directory 識別碼或Active Directory 同盟服務識別碼。

  • Office 365識別碼。 系統管理員設定Office 365網域並採用 <> user@ < org.onmicrosoft.com > 格式時,會建立Office 365識別碼,例如:

    sally@contoso.onmicrosoft.com

  • Microsoft 指派的組織識別碼,會根據使用者的 Active Directory 識別碼進行驗證。

  1. 首先,擁有 [內部部署網域]\ < 使用者帳戶的人員 > 會嘗試存取組織資源。

  2. 接下來,資源會向使用者要求驗證。

  3. 然後,使用者在其組織中輸入使用者名稱和密碼。

  4. 最後,該使用者名稱和密碼會根據組織 AD 資料庫進行驗證、驗證使用者,並獲得所要求資源的存取權。

  • 由 Microsoft 指派並根據使用者的Active Directory 同盟服務 (AD FS) 識別碼進行驗證的組織識別碼。

  1. 首先,有一位 org.onmicrosoft.com 的人員嘗試存取 夥伴 組織資源。

  2. 然後,資源會向使用者要求驗證。

  3. 接下來,使用者會在其組織中輸入使用者名稱和密碼。

  4. 然後,該使用者名稱和密碼會針對組織 AD DS 資料庫進行驗證。

  5. 最後,相同的使用者名稱和密碼會傳遞至合作夥伴的同盟 AD DS 資料庫、驗證使用者,並獲得所要求資源的存取權。

針對內部部署資源,Office 2016 會使用 domain\alias 使用者名稱進行驗證。 針對同盟資源,Office 2016 會使用 alias@org.onmicrosoft.com 使用者名稱進行驗證。

使用登錄設定來判斷要在登入時提供給使用者的識別碼類型

根據預設,Office 2016 會設定登錄機碼。 當使用者嘗試存取 Office 2016 資源時,這些金鑰會顯示使用者的 Microsoft 帳戶識別碼和 Microsoft 指派的組織識別碼。 但是,您可以變更此設定,只顯示 Microsoft 帳戶或其組織識別碼,或兩者皆不顯示。 此設定會在電腦登錄中變更。

若要變更提供給使用者的 Office 2016 登入類型

  1. 從 [登錄編輯程式],流覽至:

    HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Common\SignIn\SignInOptions

  2. 將 SignInOptions 的值設定為下表中的其中一個值。 SignInOptions 設定的類型是 DWORD。

    SignInOptions 設定

如果將 SignInOptions 設為… 其意思是 使用者受到的影響
0
Microsoft 帳戶或組織識別碼
使用者可以使用其 Microsoft 帳戶或其組織指派的帳戶來登入以存取 Office 內容。
1
僅限 Microsoft 帳戶
使用者只能使用 Microsoft 帳戶登入。
2
僅限組織
使用者必須使用其組織指派的使用者識別碼登入。 他們可以在Microsoft Entra識別碼中使用使用者識別碼,或在 Windows Server 上的 Active Directory 網域服務 (AD DS) 中使用使用者識別碼。
3
僅限 AD DS
使用者只能使用 Windows Server 的 Active Directory 網域服務 (AD DS) 中的使用者識別碼來登入。
4
都不允許
使用者無法使用任何識別碼來登入。

如果您停用或未設定 [封鎖登入 Office ] 設定,預設設定為 0,這表示使用者可以使用其 Microsoft 帳戶或貴組織指派的帳戶登入。

使用登錄設定來防止使用者連線到網際網路上的 Office 2016 資源

根據預設,Office 2016 可讓使用者存取位於網際網路上的 Office 2016 檔案。 您可以變更此設定,讓使用者看不到這些資源。

允許或防止使用者連線到 Office 2016 網際網路資源

  1. 從 [登錄編輯程式],流覽至:

    Computer\HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Common\Internet\UseOnlineContent

  2. 將 UseOnlineContent 設定為下列其中一個值:

    Office 2016 UseOnlineContent 值

UseOnlineContent 值 Value type 描述
0
 DWORD
 不允許使用者存取網際網路上的 Office 2016 資源。
1
 DWORD
 允許使用者選擇在網際網路上存取 Office 2016 資源。
2
 DWORD
 (預設) 允許使用者存取網際網路上的 Office 2016 資源。

刪除與已移除登入身分識別相關聯的 Office 設定檔和認證

當使用者使用其 Microsoft 帳戶識別碼或組織識別碼登入 Office 應用程式時,系統會在登錄中為該身分識別建立相符的 Office 設定檔和認證。 登入頁面會為使用者提供移除該身分識別的選項。 此選項位於 [不是您的名稱?] 底下 問題,接近使用者的虛擬人偶或相片和名稱。 如果使用者決定移除其中一個身分識別選項,則會從登入頁面中移除。 不過,對應的 Office 設定檔和認證會在快取中保留一小段時間。 如果將資訊保留在快取中會造成安全性風險,例如,當使用者離開您的組織時,立即從登錄中刪除該 Office 設定檔設定。

若要刪除可能仍可快取的 Office 設定檔

  1. 從 [登錄編輯程式],流覽至:

    HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Common\Identity\Identities

  2. 選擇您要刪除的 Office 設定檔,然後選擇 [ 刪除]

  3. 從 [身分識別] Hive,流覽至 [設定檔] 節點,選擇相同的身分識別,開啟快捷方式功能表 (以滑鼠右鍵按一下 [) ],然後選擇 [ 刪除]