Identidade, autenticação e autorização no Office 2016

Resumo: Descreve Office autenticação 2016, tipos de logon e como usar as configurações do Registro para determinar quais identidades de usuário são oferecidas no logon do usuário.

No novo Office, Office aplicativos são usados para atividades comerciais e não comerciais. Uma pessoa pode usar o Excel para triturar números de vendas de widgets Q2 por dia e analisar estatísticas da Copa do Mundo à noite ou usar o Word para escrever especificações do produto por dia e contos à noite. Como Office é uma ferramenta usada pelo mesmo indivíduo em duas funções diferentes, o novo Office oferece duas identidades com as quais os usuários podem fazer logoff no Office 2016:

  • Uma conta da Microsoft, que a maioria das pessoas usa para empresas pessoais

  • Uma ID da organização atribuída pela Microsoft, que a maioria das pessoas usa ao trabalhar para uma organização, como uma empresa, uma instituição de caridade ou uma escola.

As credenciais usadas para entrar são reconhecidas como pessoais ou organizacionais. Essa identidade de entrada se torna o "domínio da casa" do usuário e determina a quais documentos o usuário tem acesso SharePoint, OneDrive ou serviços Office 365 para uma sessão específica. Cada identidade de logon exclusiva é salva em uma lista usada mais recentemente para que seja fácil alternar entre identidades sem sair da experiência Office.

Para maior conveniência, os usuários podem optar por montar um serviço de documento online em suas identidades para facilitar o acesso. Por exemplo, um arquivo OneDrive pode ser montado em uma identidade de organização para que documentos pessoais possam ser acessados no trabalho ou na escola sem nunca alternar identidades. Além disso, quando um usuário autentica usando uma identidade, essa autenticação é válida para todos os aplicativos Office, e não apenas para o aplicativo no que ele ou ela se inscreveu.

A boa notícia é que tudo isso funciona apenas para usuários, por padrão, e fora da caixa.

Office protocolos de autenticação

No Office, os usuários são autenticados usando a Autenticação Forms-Based (FBA), a autenticação integrada (WIA) Windows ou a Autenticação do Lado do Servidor do Passport (SSI), também conhecida como "Passport Tweener". No Office 2016, você ainda pode usar FBA ou WIA, mas, em vez de SSI, agora usamos o novo padrão aberto, open-based Open Authorization 2.0 (OAuth 2.0). Consulte a tabela a seguir para ver uma visão geral dos protocolos de autenticação que você pode usar com Office.

Office protocolos de autenticação

Versão Office cliente Protocolo de autenticação Servidor
Office 2010, Office 2013, Office 2016
Forms-Based Autenticação (FBA). A autenticação baseada em formulários usa redirecionamento do lado do cliente para encaminhar usuários não autenticados para um formulário HTML onde eles podem inserir suas credenciais. Depois que as credenciais são validadas, os usuários são redirecionados para os recursos solicitados.
SharePoint Online
Office 2010, Office 2013, Office 2016
Windows Autenticação Integrada (WIA). Isso é negociado, como no protocolo Kerberos ou NTLM. Nesse cenário, o sistema operacional fornece autenticação.
SharePoint 2010, SharePoint 2013, SharePoint 2016
Office 2010, Office 2013, Office 2016
Autenticação SSI ou Passport Tweener. Quando um usuário fornece Windows credenciais do Live ID ou uma conta da Microsoft, o serviço de ID do Windows Live retorna um "tíquete" de passaporte que o cliente usa para acessar os serviços Windows Live.
OneDrive
Office 2013, Office 2016
Abra Autorização 2.0 (OAuth 2.0). OAuth 2.0 fornece autorização temporária baseada em redirecionamento. Um usuário ou um aplicativo Web que age em nome de um usuário pode solicitar autorização para acessar temporariamente os recursos de rede especificados de um proprietário de recursos. Para obter mais informações, consulte OAuth 2.0.
OneDrive
Office 2013, Office 2016
Microsoft Online Services Assistente de Login. O Microsoft Online Services Sign-In assistente fornece recursos de login do usuário final para Microsoft Online Services, como Office 365. Para obter mais informações sobre Microsoft Online Services Assistente de Login e o profissional de TI, consulte Microsoft Online Services Sign-In Assistente para Profissionais de TI RTW. O download é para distribuição para sistemas cliente gerenciados como parte de uma implantação Office 365 cliente, usando Microsoft Endpoint Configuration Manager ou sistemas de distribuição de software semelhantes.
Office 365 Serviços

Tipos de logon no Office 2016

Dois tipos de logon são suportados quando os usuários fazem logon no Office 2016, uma conta da Microsoft ou uma ID da organização atribuída pela Microsoft.

Conta da Microsoft (conta individual do usuário). Essa conta, anteriormente conhecida como ID da Microsoft, é a credencial que os usuários usam para autenticar com a rede da Microsoft e é frequentemente usada para trabalho pessoal ou não comercial, como trabalho voluntário. Para criar uma conta da Microsoft, um usuário fornece um nome de usuário e senha, determinadas informações demográficas e "prova de conta", como um endereço de email alternativo ou número de telefone.

Uma ID da organização atribuída pela Microsoft/Office 365 de conta atribuída pela Microsoft. Essa conta é criada para uso comercial. Uma Office 365 pode ser um dos três tipos: uma ID pura Office 365, uma ID do Active Directory ou uma ID dos Serviços de Federação do Active Directory. Estes são descritos abaixo:

  • Office 365 ID. Essa ID é criada quando um administrador configura um domínio Office 365 e assume o formulário <user> @ <org> .onmicrosoft.com, por exemplo:

    sally@contoso.onmicrosoft.com

  • ID da organização atribuída pela Microsoft que é validada em relação à ID do Active Directory de um usuário. Uma ID da organização atribuída pela Microsoft e validada no Active Directory da seguinte forma:

  1. Primeiro, uma pessoa que tem uma conta de usuário [domínio local] \<tenta acessar recursos da > organização.

  2. Em seguida, o recurso solicita autenticação do usuário.

  3. Em seguida, o usuário digita o nome de usuário e a senha da organização.

  4. Por fim, esse nome de usuário e senha são validados no banco de dados do AD da organização, o usuário é autenticado e recebe acesso ao recurso solicitado.

  • Uma ID da organização atribuída pela Microsoft que é validada em relação à ID dos Serviços de Federação do Active Directory de um usuário. Uma ID da organização atribuída pela Microsoft e validada em relação aos Serviços de Federação do Active Directory (AD FS) da seguinte forma:
  1. Primeiro, uma pessoa que tem uma org.onmicrosoft.com tenta acessar recursos da organização de parceiros.

  2. Em seguida, o recurso solicita autenticação do usuário.

  3. Em seguida, o usuário digita o nome de usuário e a senha da organização.

  4. Em seguida, esse nome de usuário e senha são validados no banco de dados do AD DS da organização.

  5. Por fim, esse mesmo nome de usuário e senha são passados para o banco de dados federado do AD DS do parceiro, o usuário é autenticado e recebe acesso ao recurso solicitado.

Para recursos locais, o Office 2016 usa o nome de usuário domain\alias para autenticação. Para recursos federados, Office 2016 usa o alias@org.onmicrosoft.com de usuário para autenticação.

Use as configurações do Registro para determinar quais tipos de ID oferecer a um usuário no logon

Por padrão, quando um usuário tenta acessar um recurso do Office 2016, o Office 2016 inclui chaves do Registro definidas para exibir a ID da conta microsoft de um usuário e a ID da organização atribuída pela Microsoft. Porém, você pode alterar isso para que somente a conta da Microsoft seja exibida, ou a ID da organização, ou nenhuma delas. Essa configuração é alterada no registro do computador.

Para alterar os tipos de logon Office 2016 oferecidos ao usuário

  1. No Editor do Registro, navegue até:

    HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Common\SignIn\SignInOptions

  2. De definir o valor de SignInOptions como um dos valores na tabela a seguir. O tipo para a configuração SignInOptions é DWORD.

    Configurações signInOptions

Se você definir SignInOptions como este... Isso é o que significa Esse é o efeito sobre os usuários
0
ID da conta ou da organização da Microsoft
Os usuários podem entrar e acessar Office conteúdo usando sua conta da Microsoft ou uma atribuída pela sua organização.
1
Somente conta da Microsoft
Os usuários só podem entrar usando sua conta da Microsoft.
2
Somente organização
Os usuários só podem entrar usando a ID de usuário atribuída pela sua organização. Pode ser uma ID de usuário no Azure Active Directory ou uma ID de usuário nos Serviços de Domínio do Active Directory (AD DS) no Windows Server.
3
Somente AD DS
Os usuários só podem entrar usando uma ID de usuário no Active Directory Domain Services (AD DS) no Windows Server.
4
Nenhum permitido
Os usuários não podem entrar com nenhuma ID.

Se você desabilitar ou não configurar a configuração Bloquear a Office, a configuração padrão será 0, o que significa que os usuários podem entrar usando sua conta da Microsoft ou uma atribuída pela sua organização.

Use uma configuração do Registro para impedir que um usuário se conecte aos recursos Office 2016 na Internet

Por padrão, Office 2016 oferece aos usuários acesso Office arquivos 2016 que residem na Internet. Você pode alterar essa configuração para que um usuário não possa ver esses recursos.

Para permitir ou impedir que um usuário se conecte Office recursos da Internet 2016

  1. No Editor do Registro, navegue até:

    Computer\HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Common\Internet\UseOnlineContent

  2. De definir o valor de UseOnlineContent como um dos seguintes:

    Office 2016 UseOnlineContent values

Valor UseOnlineContent Tipo do valor Descrição
0
DWORD
Não permita que o usuário acesse Office recursos 2016 na Internet.
1
DWORD
Permitir que o usuário opte pelo acesso a recursos Office 2016 na Internet.
2
DWORD
(Padrão) Permite que o usuário acesse Office recursos 2016 na Internet.

Excluir o Office e as credenciais, associadas a uma identidade de logon removida

Quando um usuário faz login em um Aplicativo do Office usando sua ID de conta da Microsoft ou sua ID da organização, um perfil de Office e credenciais correspondentes para essa identidade são criados no Registro. A página de logon oferece ao usuário a opção de remover essa identidade, logo abaixo do "Nome de usuário não?" question near the user avatar or photo and name. Se os usuários optarem por remover uma de suas opções de identidade, ela será removida da página de logon. Mas, esse perfil Office e credenciais correspondentes permanecerão no cache por um curto período. Se isso for um problema de segurança, como quando um usuário é disparado de sua organização, você deve excluir imediatamente essa configuração Office perfil do Registro. Para fazer isso, navegue até o perfil Office usuário no Registro e exclua-o.

Para excluir um Office que ainda pode ser armazenado em cache

  1. No Editor do Registro, navegue até:

    HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Common\Identity\Identities

  2. Escolha o Office perfil que você deseja excluir e, em seguida, escolha Excluir.

  3. No hive Identidade, navegue até o nó Perfis, escolha a mesma identidade, abra o menu de atalho (clique com o botão direito do mouse) e escolha Excluir.