Учетные записи Майкрософт
Область применения: Windows Server 2022, Windows Server 2019, Windows Server 2016
Узнайте, как работает учетная запись Майкрософт для повышения безопасности и конфиденциальности пользователей и способов управления типами учетных записей потребителей в организации.
Что такое учетная запись Майкрософт?
Сайты Майкрософт, службы, свойства и компьютеры под управлением Windows 10 могут использовать учетную запись Майкрософт в качестве способа идентификации пользователя. Учетная запись Майкрософт ранее называлась Windows Live ID. Учетная запись Майкрософт имеет определенные пользователем секреты и состоит из уникального адреса электронной почты и пароля.
При входе пользователя с помощью учетной записи Майкрософт устройство подключается к облачным службам. Пользователь может предоставлять общий доступ ко многим своим параметрам, предпочтениям и приложениям на разных устройствах.
Как работает учетная запись Майкрософт
Пользователь может использовать учетную запись Майкрософт для входа на веб-сайты, поддерживающие эту службу, с помощью одного набора учетных данных. Учетные данные пользователя проверяются сервером проверки подлинности учетной записи Майкрософт, связанным с веб-сайтом. Microsoft Store является примером этой связи. При входе нового пользователя на веб-сайт, который включен для использования учетных записей Майкрософт, пользователь перенаправляется на ближайший сервер проверки подлинности, который запрашивает имя пользователя и пароль. Windows использует поставщик поддержки безопасности Schannel, чтобы открыть для этой функции подключение уровня безопасности и защиты сокетов (TLS/SSL). Пользователи могут использовать диспетчер учетных данных для хранения учетных данных.
Когда пользователь входит на веб-сайт, который включен для использования учетной записи Майкрософт, на компьютере устанавливается ограниченный по времени файл cookie. Файл cookie включает тег идентификатора с тройным шифрованием DES. Тег зашифрованного идентификатора был согласован между сервером проверки подлинности и веб-сайтом. Тег идентификатора отправляется на веб-сайт, а веб-сайт помещает другой зашифрованный HTTP-файл cookie на компьютере пользователя. Хотя файл cookie действителен, пользователю не требуется вводить имя пользователя и пароль. Если пользователь активно выходит из учетной записи Майкрософт, эти файлы cookie удаляются.
Примечание.
Функции локальной учетной записи Windows по-прежнему можно использовать в управляемой среде.
Создание учетной записи Майкрософт
Чтобы предотвратить мошенничество, система Майкрософт проверяет IP-адрес пользователя при создании учетной записи Майкрософт. Пользователь, который пытается создать несколько учетных записей Майкрософт с помощью одного IP-адреса, останавливается при создании дополнительных учетных записей. Учетные записи Майкрософт не предназначены для создания в пакетах, например для группы пользователей домена в вашей организации.
Чтобы создать учетную запись Майкрософт, у пользователя есть два варианта:
Используйте существующий адрес электронной почты. Пользователь может использовать допустимый адрес электронной почты для регистрации учетной записи Майкрософт. Служба преобразует адрес электронной почты запрашивающего пользователя в учетную запись Майкрософт. Пользователь может выбрать отдельный пароль, используемый для учетной записи Майкрософт.
Зарегистрируйтесь по адресу электронной почты Майкрософт. Пользователь может зарегистрироваться для получения учетной записи электронной почты через службы веб-почты Майкрософт. Пользователь может использовать учетную запись для входа на веб-сайты, которые включены для использования учетных записей Майкрософт.
Защита сведений об учетной записи Майкрософт
Данные учетных данных шифруются дважды. Первое шифрование основано на пароле учетной записи. Учетные данные шифруются снова, когда они отправляются через Интернет. Данные учетных данных, хранящиеся, недоступны другим службы Майкрософт или не службы Майкрософт.
Требуется надежный пароль. Пустые пароли не допускаются.
Дополнительные сведения см. в статье "Как обеспечить безопасность и безопасность учетной записи Майкрософт".
Требуется дополнительное подтверждение личности. Прежде чем пользователь сможет получить доступ к сведениям профиля пользователя и параметрам на втором поддерживаемом компьютере Windows в первый раз, необходимо установить доверие для этого устройства. Чтобы установить доверие, пользователь должен предоставить дополнительное подтверждение удостоверения. Пользователь может подтвердить свое удостоверение, введя код, отправленный на номер мобильного телефона или следуя инструкциям, отправленным на альтернативный адрес электронной почты, указанный пользователем в параметрах учетной записи.
Все данные профиля пользователя шифруются на клиенте перед передачей в облако. Данные пользователей по умолчанию не перемещаются по беспроводной широкой сети, чтобы защитить данные профиля. Все данные и параметры, которые покидают устройство, передаются через протокол TLS/SSL.
Сведения о безопасности учетной записи Майкрософт
Пользователь может добавить сведения о безопасности в свою учетную запись Майкрософт через интерфейс учетных записей на компьютерах под управлением поддерживаемых версий Windows. В учетных записях пользователь может обновить сведения о безопасности, предоставленные при создании учетной записи. Эти сведения о безопасности включают альтернативный адрес электронной почты или номер телефона, чтобы если пароль скомпрометирован или забылся, код проверки можно отправить для проверки их личности. Пользователь может использовать свою учетную запись Майкрософт для хранения корпоративных данных в личном приложении OneDrive или электронной почты. Безопасная практика заключается в том, чтобы владелец учетной записи обновлял эту информацию безопасности.
Учетные записи Майкрософт в организации
Хотя учетная запись Майкрософт предназначена для обслуживания потребителей, у вас могут возникнуть ситуации, в которых пользователи домена могут воспользоваться своей личной учетной записью Майкрософт в вашей организации. В следующем списке описаны некоторые преимущества.
Скачайте приложения Microsoft Store. Если ваше предприятие выбирает распространение приложений или программного обеспечения через Microsoft Store, корпоративный пользователь может использовать учетную запись Майкрософт для скачивания и использования приложений на до пяти устройствах под управлением любой версии Windows 10, Windows 8.1, Windows 8 или Windows RT.
Единый вход. Корпоративный пользователь может использовать учетные данные учетной записи Майкрософт для входа на устройства под управлением Windows 10, Windows 8.1, Windows 8 или Windows RT. В этом сценарии Windows работает с приложением Microsoft Store, чтобы обеспечить проверку подлинности в приложении. Пользователь может связать учетную запись Майкрософт с учетными данными входа для приложений или веб-сайтов Microsoft Store, чтобы эти учетные данные перемещались по всем устройствам, выполняющим эти поддерживаемые версии.
Синхронизация персонализированных параметров. Пользователь может связать наиболее часто используемые параметры операционной системы с учетной записью Майкрософт. Эти параметры доступны всякий раз, когда пользователь входит с помощью этой учетной записи на любом устройстве под управлением поддерживаемой версии Windows и подключен к облаку. После входа пользователя устройство автоматически пытается получить параметры пользователя из облака и применить их к устройству.
Синхронизация приложений. Приложения Microsoft Store могут хранить пользовательские параметры, чтобы эти параметры были доступны любому устройству. Как и в случае с параметрами операционной системы, эти параметры приложения для конкретных пользователей доступны при входе пользователя с той же учетной записью Майкрософт на любом устройстве, на котором работает поддерживаемая версия Windows и подключенная к облаку. После входа пользователя это устройство автоматически загружает настройки из облака и применяет их при установке приложения.
Интегрированные службы социальных сетей. Контактные данные и статус друзей и связей пользователя автоматически остаются актуальными на таких сайтах, как Outlook, Facebook, Twitter и LinkedIn. Пользователь также может получить доступ к фотографиям, документам и другим файлам с сайтов, таких как OneDrive, Facebook и Flickr.
Управление учетными записями Майкрософт в домене
В зависимости от ИТ-моделей и бизнес-моделей, внедрение учетных записей Майкрософт в вашей организации может добавить сложность или предоставить решения. Перед тем как разрешить использование этих типов учетных записей в организации, необходимо выполнить следующие рекомендации.
Ограничение использования учетных записей Майкрософт
Следующие параметры групповой политики помогают управлять использованием учетных записей Майкрософт в организации:
Приложения и службы: блокировка проверки подлинности пользователя учетной записи Майкрософт
Этот параметр определяет, может ли пользователь предоставить учетную запись Майкрософт для проверки подлинности для приложения или службы.
Если этот параметр включен, все приложения и службы на устройстве не могут использовать учетную запись Майкрософт для проверки подлинности. Этот параметр применяется как к существующим пользователям устройств, так и к новым пользователям.
Любое приложение или служба, уже прошедшие проверку подлинности пользователя, который использовал учетную запись Майкрософт, не влияет на включение этого параметра до истечения срока действия кэша проверки подлинности. Рекомендуется включить этот параметр перед входом любого пользователя на устройство, чтобы предотвратить проверку подлинности учетной записи Майкрософт кэшированных маркеров.
Если этот параметр отключен или не настроен, приложения и службы могут использовать учетную запись Майкрософт для проверки подлинности. Этот флажок по умолчанию снят.
Этот параметр не влияет на возможность входа пользователя на устройство с помощью учетной записи Майкрософт или возможности пользователя предоставить учетную запись Майкрософт через браузер для проверки подлинности с веб-приложением.
Путь к этому параметру — конфигурация компьютера\Администратор istrative templates\Windows Components\Microsoft Account.
Учетные записи: блокирование учетных записей Майкрософт
Этот параметр предотвращает использование приложения Параметры для добавления учетной записи Майкрософт для проверки подлинности единого входа для службы Майкрософт и некоторых фоновых служб или использования учетной записи Майкрософт для единого входа в другие приложения или службы.
Если этот параметр включен, у пользователя есть два варианта:
Пользователь не может добавить учетную запись Майкрософт. Существующие подключенные учетные записи по-прежнему могут войти на устройство (и они отображаются на странице входа ). Однако пользователь не может использовать приложение Параметры для добавления новой подключенной учетной записи или подключения локальной учетной записи к учетной записи Майкрософт.
Пользователь не может добавить или войти с помощью учетной записи Майкрософт. Пользователь не может добавить новую подключенную учетную запись (или подключить локальную учетную запись к учетной записи Майкрософт) или использовать существующую подключенную учетную запись через Параметры.
Этот параметр не влияет на добавление учетной записи Майкрософт для проверки подлинности приложений. Например, если этот параметр включен, пользователь по-прежнему может предоставить учетную запись Майкрософт для проверки подлинности с помощью приложения, например Mail, но пользователь не может использовать учетную запись Майкрософт для проверки подлинности единого входа для других приложений или служб. Для других приложений и служб пользователю предлагается пройти проверку подлинности.
Этот параметр не настроен по умолчанию.
Путь к этому параметру — конфигурация компьютера\Windows Параметры\Безопасность Параметры\Локальные политики\Параметры безопасности.
Настройка подключенных учетных записей
Пользователь может подключить учетную запись Майкрософт к учетной записи домена и синхронизировать параметры и настройки между учетными записями. Синхронизируя параметры и настройки между учетными записями, пользователь видит тот же фон рабочего стола, параметры приложения, журнал браузера и избранное, а также другие параметры учетной записи Майкрософт на других устройствах.
Отключение подключенной учетной записи
Пользователь может отключить учетную запись Майкрософт от учетной записи домена в любое время: в параметрах компьютера выберите "Пользователи> отключать>готово".
Примечание.
Подключение учетной записи Майкрософт учетной записи домена может ограничить доступ к некоторым задачам с высоким уровнем привилегий в Windows. Например, планировщик задач оценивает подключенную учетную запись Майкрософт для доступа и завершается сбоем. В этом сценарии владелец учетной записи должен отключить учетную запись.
Подготовка учетных записей Майкрософт в организации
Учетная запись Майкрософт — это частная учетная запись пользователя. Корпорация Майкрософт не предоставляет способ подготовки учетных записей Майкрософт для предприятия. Предприятия должны использовать учетные записи домена.
Аудит действий учетной записи
Так как учетная запись Майкрософт находится в Интернете, Windows не имеет способа аудита учетной записи Майкрософт, если учетная запись не связана с учетной записью домена. Вы не можете проверить активность учетных записей, которые не связаны с доменом, так как пользователь может отключить учетную запись или оставить домен в любое время.
Сброс пароля
Только владелец учетной записи Майкрософт может изменить пароль, связанный с учетной записью. Пользователь может изменить пароль учетной записи Майкрософт на портале входа в учетную запись Майкрософт.
Ограничение установки и использования приложений
В организации можно настроить политики управления приложениями для регулирования установки и использования приложений для учетных записей Майкрософт. Дополнительные сведения см. в разделе AppLocker и Упакованные приложения и правила установщика упакованных приложений в AppLocker.