Учетные записи МайкрософтMicrosoft Accounts

Область примененияApplies to

  • Windows 10Windows 10

В этом разделе для ИТ-специалистов объясняется, как учетная запись Майкрософт работает для повышения безопасности и конфиденциальности пользователей, а также как управлять этим типом учетной записи потребителя в организации.This topic for the IT professional explains how a Microsoft account works to enhance security and privacy for users, and how you can manage this consumer account type in your organization.

Сайты, службы и свойства Майкрософт, а также компьютеры под управлением Windows 10 могут использовать учетную запись Майкрософт для идентификации пользователя.Microsoft sites, services, and properties, as well as computers running Windows 10, can use a Microsoft account as a means of identifying a user. Учетная запись Майкрософт ранее называлась Windows Live ID.Microsoft account was previously called Windows Live ID. Он содержит определенные пользователем секреты и состоит из уникального адреса электронной почты и пароля.It has user-defined secrets, and consists of a unique email address and a password.

Когда пользователь подключается к учетной записи Майкрософт, устройство подключается к облачным службам.When a user signs in with a Microsoft account, the device is connected to cloud services. Многие параметры, настройки и приложения пользователя могут совместно использовать на разных устройствах.Many of the user's settings, preferences, and apps can be shared across devices.

Как работает учетная запись МайкрософтHow a Microsoft account works

Учетная запись Майкрософт позволяет пользователям в входа на веб-сайты, которые поддерживают эту службу, используя один набор учетных данных.The Microsoft account allows users to sign in to websites that support this service by using a single set of credentials. Учетные данные пользователей проверяются сервером проверки подлинности учетных записей Майкрософт, связанным с веб-сайтом.Users' credentials are validated by a Microsoft account authentication server that is associated with a website. Примером этой связи является Microsoft Store.The Microsoft Store is an example of this association. При входе новых пользователей на веб-сайты, которые могут использовать учетные записи Майкрософт, они перенаправляются на ближайший сервер проверки подлинности, который запросит имя пользователя и пароль.When new users sign in to websites that are enabled to use Microsoft accounts, they are redirected to the nearest authentication server, which asks for a user name and password. Windows использует поставщика поддержки безопасности Schannel для открытия подключения TLS/SSL для этой функции.Windows uses the Schannel Security Support Provider to open a Transport Level Security/Secure Sockets Layer (TLS/SSL) connection for this function. Затем пользователи могут использовать диспетчер учетных данных для хранения своих учетных данных.Users then have the option to use Credential Manager to store their credentials.

Когда пользователи входят на веб-сайты, для которых включена использование учетной записи Майкрософт, на их компьютерах устанавливается ограниченный по времени файл cookie, который включает три тега с зашифрованным кодом DES.When users sign in to websites that are enabled to use a Microsoft account, a time-limited cookie is installed on their computers, which includes a triple DES encrypted ID tag. Этот зашифрованный тег ID согласован между сервером проверки подлинности и веб-сайтом.This encrypted ID tag has been agreed upon between the authentication server and the website. Этот тег ID отправляется на веб-сайт, а на веб-сайте находится еще один ограниченный по времени зашифрованный HTTP-файл cookie на компьютере пользователя.This ID tag is sent to the website, and the website plants another time-limited encrypted HTTP cookie on the user’s computer. Если эти файлы cookie действительны, пользователям не требуется вводить имя пользователя и пароль.When these cookies are valid, users are not required to supply a user name and password. Если пользователь активно выходит из своей учетной записи Майкрософт, эти файлы cookie удаляются.If a user actively signs out of their Microsoft account, these cookies are removed.

Важно.Important
Функции локальной учетной записи Windows не были удалены и по-прежнему можно использовать в управляемых средах.Local Windows account functionality has not been removed, and it is still an option to use in managed environments.

Как создаются учетные записи МайкрософтHow Microsoft accounts are created

Чтобы предотвратить мошенничество, система Майкрософт проверяет IP-адрес при создании учетной записи пользователем.To prevent fraud, the Microsoft system verifies the IP address when a user creates an account. Пользователь, который пытается создать несколько учетных записей Майкрософт с одинаковым IP-адресом, остановлен.A user who tries to create multiple Microsoft accounts with the same IP address is stopped.

Учетные записи Майкрософт не создаются пакетно, например для группы пользователей домена в организации.Microsoft accounts are not designed to be created in batches, such as for a group of domain users within your enterprise.

Существует два способа создания учетной записи Майкрософт:There are two methods for creating a Microsoft account:

  • Используйте существующий адрес электронной почты.Use an existing email address.

    Пользователи могут использовать свои допустимые адреса электронной почты для регистрации в учетных записях Майкрософт.Users are able to use their valid email addresses to sign up for Microsoft accounts. Служба превращает адрес электронной почты запрашивающих пользователей в учетную запись Майкрософт.The service turns the requesting user's email address into a Microsoft account. Пользователи также могут выбрать свои личные пароли.Users can also choose their personal passwords.

  • Зарегистрився на адрес электронной почты Майкрософт.Sign up for a Microsoft email address.

    Пользователи могут зарегистрироваться для регистрации учетной записи электронной почты в службах веб-почты Майкрософт.Users can sign up for an email account with Microsoft's webmail services. Эту учетную запись можно использовать для входа на веб-сайты, которые могут использовать учетные записи Майкрософт.This account can be used to sign in to websites that are enabled to use Microsoft accounts.

Защита сведений учетной записи МайкрософтHow the Microsoft account information is safeguarded

Данные учетных данных шифруются дважды.Credential information is encrypted twice. Первое шифрование основано на пароле учетной записи.The first encryption is based on the account’s password. Учетные данные снова шифруются при их отправлении через Интернет.Credentials are encrypted again when they are sent across the Internet. Хранимые данные недоступны другим службам Майкрософт или другим службам.The data that is stored is not available to other Microsoft or non-Microsoft services.

  • Требуется надежный пароль.Strong password is required.

    Пустые пароли не допускаются.Blank passwords are not allowed.

    Дополнительные сведения см. в обзоре безопасности учетной записи Майкрософт.For more information, see Microsoft Account Security Overview.

  • Требуется дополнительное подтверждение личности.Secondary proof of identity is required.

    Перед первым доступом к данным и настройкам профиля пользователя на втором поддерживаемом компьютере с Windows необходимо установить доверие для этого устройства, предоставив дополнительное подтверждение личности.Before user profile information and settings can be accessed on a second supported Windows computer for the first time, trust must established for that device by providing secondary proof of identity. Это можно сделать, предоставив Windows код, который отправляется на номер мобильного телефона, или следуя инструкциям, которые отправляются на альтернативный адрес электронной почты, указанный пользователем в параметрах учетной записи.This can be accomplished by providing Windows with a code that is sent to a mobile phone number or by following the instructions that are sent to an alternate email address that a user specifies in the account settings.

  • Все данные профиля пользователя шифруются на клиентеперед их передачей в облако.All user profile data is encrypted on the client before it is transmitted to the cloud.

    Пользовательские данные не перемещаются по беспроводной сети (WWAN) по умолчанию, тем самым защищая данные профилей.User data does not roam over a wireless wide area network (WWAN) by default, thereby protecting profile data. Все данные и параметры, которые покидают устройство, передаются по протоколу TLS/SSL.All data and settings that leave a device are transmitted through the TLS/SSL protocol.

Добавлены сведения о безопасности учетной записи Майкрософт.Microsoft account security information is added.

Пользователи могут добавлять сведения о безопасности в свои учетные записи Майкрософт через интерфейс учетных записей на компьютерах под управлением поддерживаемых версий Windows.Users can add security information to their Microsoft accounts through the Accounts interface on computers running the supported versions of Windows. Эта функция позволяет пользователю обновлять сведения о безопасности, которые были предоставлены при их создания учетных записей.This feature allows the user to update the security information that they provided when they created their accounts. Эти сведения о безопасности включают альтернативный адрес электронной почты или номер телефона, поэтому если пароль скомпрометирован или забыт, можно отправить код проверки для проверки их личности.This security information includes an alternate email address or phone number so if their password is compromised or forgotten, a verification code can be sent to verify their identity. Пользователи могут использовать свои учетные записи Майкрософт для хранения корпоративных данных в личном хранилище OneDrive или почтовом приложении, поэтому владельцу учетной записи будет безопасно поддерживать эти сведения о безопасности в последние данные.Users can potentially use their Microsoft accounts to store corporate data on a personal OneDrive or email app, so it is safe practice for the account owner to keep this security information up-to-date.

Учетная запись Майкрософт на предприятииThe Microsoft account in the enterprise

Хотя учетная запись Майкрософт предназначена для обслуживания потребителей, вы можете обнаружить ситуации, когда пользователи домена могут воспользоваться преимуществами своей личной учетной записи Майкрософт на вашем предприятии.Although the Microsoft account was designed to serve consumers, you might find situations where your domain users can benefit by using their personal Microsoft account in your enterprise. В следующем списке описываются некоторые преимущества.The following list describes some advantages.

  • Скачайте приложения Microsoft Store:Download Microsoft Store apps:

    Если ваше предприятие выбирает распространение программного обеспечения через Microsoft Store, пользователи могут использовать свои учетные записи Майкрософт для скачивания и использования их на пяти устройствах под управлением любой версии Windows 10, Windows 8.1, Windows 8 или Windows RT.If your enterprise chooses to distribute software through the Microsoft Store, your users can use their Microsoft accounts to download and use them on up to five devices running any version of Windows 10, Windows 8.1, Windows 8, or Windows RT.

  • Единый вход:Single sign-on:

    Пользователи могут использовать учетные данные Майкрософт для входа на устройства под управлением Windows 10, Windows 8.1, Windows 8 или Windows RT.Your users can use Microsoft account credentials to sign in to devices running Windows 10, Windows 8.1, Windows 8 or Windows RT. Когда они делают это, Windows работает с вашим приложением Microsoft Store, чтобы предоставить им аутентификацию.When they do this, Windows works with your Microsoft Store app to provide authenticated experiences for them. Пользователи могут связать учетную запись Майкрософт со своими учетными данными для входа в приложения или веб-сайты Microsoft Store, чтобы эти учетные данные перемещались на любые устройства, на которые запущены эти поддерживаемые версии.Users can associate a Microsoft account with their sign-in credentials for Microsoft Store apps or websites, so that these credentials roam across any devices running these supported versions.

  • Синхронизация параметров персонализации:Personalized settings synchronization:

    Пользователи могут связать свои наиболее часто используемые параметры операционной системы с учетной записью Майкрософт.Users can associate their most commonly used operating-system settings with a Microsoft account. Эти параметры доступны всякий раз, когда пользователь подключается к этой учетной записи на любом устройстве под управлением поддерживаемой версии Windows и подключено к облаку.These settings are available whenever a user signs in with that account on any device that is running a supported version of Windows and is connected to the cloud. После того как пользователь войт, устройство автоматически пытается получить параметры пользователя из облака и применить их к устройству.After a user signs in, the device automatically attempts to get the user's settings from the cloud and apply them to the device.

  • Синхронизация приложений:App synchronization:

    Приложения Microsoft Store могут хранить пользовательские параметры, чтобы эти параметры были доступны на любом устройстве.Microsoft Store apps can store user-specific settings so that these settings are available to any device. Как и в случае с настройками операционной системы, эти параметры приложения, связанные с пользователем, доступны всякий раз, когда пользователь подключается с помощью одной и той же учетной записи Майкрософт на любом устройстве с поддерживаемой версией Windows и подключенном к облаку.As with operating system settings, these user-specific app settings are available whenever the user signs in with the same Microsoft account on any device that is running a supported version of Windows and is connected to the cloud. После того как пользователь воймут, это устройство автоматически скачивает параметры из облака и применяет их при установке приложения.After the user signs in, that device automatically downloads the settings from the cloud and applies them when the app is installed.

  • Интегрированные службы социальных сетей:Integrated social media services:

    Контактные данные и состояние друзей и партнеров пользователей автоматически остаются в курсе таких сайтов, как Hotmail, Outlook, Facebook, Twitter и LinkedIn.Contact information and status for your users’ friends and associates automatically stay up-to-date from sites such as Hotmail, Outlook, Facebook, Twitter, and LinkedIn. Пользователи также могут получать доступ к фотографиям, документам и другим файлам с таких сайтов, как OneDrive, Facebook и Flickr, а также делиться ими.Users can also access and share photos, documents, and other files from sites such as OneDrive, Facebook, and Flickr.

Управление учетной записью Майкрософт в доменеManaging the Microsoft account in the domain

В зависимости от ИТ-моделей и бизнес-моделей внедрение учетных записей Майкрософт на предприятии может усложнить или предоставить решения.Depending on your IT and business models, introducing Microsoft accounts into your enterprise might add complexity or it might provide solutions. Прежде чем разрешить использование этих типов учетных записей на предприятии, необходимо учесть следующие соображения:You should address the following considerations before you allow the use of these account types in your enterprise:

Ограничение использования учетной записи МайкрософтRestrict the use of the Microsoft account

Следующие параметры групповой политики помогают контролировать использование учетных записей Майкрософт на предприятии:The following Group Policy settings help control the use of Microsoft accounts in the enterprise:

Блокировка проверки подлинности всех пользователей учетной записи МайкрософтBlock all consumer Microsoft account user authentication

Этот параметр управляет тем, могут ли пользователи предоставлять учетные записи Майкрософт для проверки подлинности для приложений или служб.This setting controls whether users can provide Microsoft accounts for authentication for applications or services.

Если этот параметр включен, все приложения и службы на устройстве не могут использовать учетные записи Майкрософт для проверки подлинности.If this setting is enabled, all applications and services on the device are prevented from using Microsoft accounts for authentication. Это относится как к существующим пользователям устройства, так и к новым пользователям, которые могут быть добавлены.This applies both to existing users of a device and new users who may be added.

Однако все приложения или службы, которые уже сдали проверку подлинности пользователя, не будут затронуты включением этого параметра, пока не истечет срок действия кэша проверки подлинности.However, any application or service that has already authenticated a user will not be affected by enabling this setting until the authentication cache expires. Рекомендуется включить этот параметр до того, как какой-либо пользователь вошел на устройство, чтобы кэшные маркеры не присутствовали.It is recommended to enable this setting before any user signs in to a device to prevent cached tokens from being present.

Если этот параметр отключен или не настроен, приложения и службы могут использовать учетные записи Майкрософт для проверки подлинности.If this setting is disabled or not configured, applications and services can use Microsoft accounts for authentication. По умолчанию этот параметр отключен.By default, this setting is Disabled.

Этот параметр не влияет на то, могут ли пользователи выполнять вход на устройства с помощью учетных записей Майкрософт или предоставлять учетные записи Майкрософт через браузер для проверки подлинности в веб-приложениях.This setting does not affect whether users can sign in to devices by using Microsoft accounts, or the ability for users to provide Microsoft accounts via the browser for authentication with web-based applications.

Путь к этому параметру:The path to this setting is:

Конфигурация компьютера\Административные шаблоны\Компоненты Windows\Учетная запись МайкрософтComputer Configuration\Administrative Templates\Windows Components\Microsoft account

Учетные записи: блокирование учетных записей МайкрософтAccounts: Block Microsoft accounts

Этот параметр не **** позволяет использовать приложение "Параметры" для добавления учетной записи Майкрософт для проверки подлинности с единым входом для служб Майкрософт и некоторых фоновых служб или использовать учетную запись Майкрософт для единого входов в другие приложения или службы.This setting prevents using the Settings app to add a Microsoft account for single sign-on (SSO) authentication for Microsoft services and some background services, or using a Microsoft account for single sign-on to other applications or services.

Если этот параметр включен, есть два варианта:There are two options if this setting is enabled:

  • Пользователи не могут добавлять учетные записи Майкрософт, что означает, что существующие подключенные учетные записи по-прежнему могут войти на устройство (и отображаться на экране вход).Users can’t add Microsoft accounts means that existing connected accounts can still sign in to the device (and appear on the Sign in screen). Однако пользователи не **** могут использовать приложение "Параметры" для добавления новых подключенных учетных записей (или подключения локальных учетных записей к учетным записям Майкрософт).However, users cannot use the Settings app to add new connected accounts (or connect local accounts to Microsoft accounts).
  • Пользователи не могут добавлять или входить с помощью учетных записей Майкрософт, что означает, что пользователи не могут добавлять новые подключенные учетные записи (или подключать локальные учетные записи к учетным записям Майкрософт) или использовать существующие подключенные учетные записи с помощью параметров. ****Users can’t add or log on with Microsoft accounts means that users cannot add new connected accounts (or connect local accounts to Microsoft accounts) or use existing connected accounts through Settings.

Этот параметр не влияет на добавление учетной записи Майкрософт для проверки подлинности приложений.This setting does not affect adding a Microsoft account for application authentication. Например, если этот параметр включен, пользователь по-прежнему может предоставить учетную **** запись Майкрософт для проверки подлинности в приложении, например "Почта", но не может использовать учетную запись Майкрософт для проверки подлинности единого входа для других приложений или служб (другими словами, пользователю будет предложено проверить подлинность других приложений или служб).For example, if this setting is enabled, a user can still provide a Microsoft account for authentication with an application such as Mail, but the user cannot use the Microsoft account for single sign-on authentication for other applications or services (in other words, the user will be prompted to authenticate for other applications or services).

По умолчанию этот параметр не определен.By default, this setting is Not defined.

Путь к этому параметру:The path to this setting is:

Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасностиComputer Configuration\Windows Settings\Security Settings\Local Policies\Security Options

Настройка подключенных учетных записейConfigure connected accounts

Пользователи могут подключить учетную запись Майкрософт к своей учетной записи домена и синхронизировать между собой параметры и настройки.Users can connect a Microsoft account to their domain account and synchronize the settings and preferences between them. Это позволяет пользователям видеть один и тот же фон рабочего стола, параметры приложения, историю браузера и избранное, а также другие параметры учетной записи Майкрософт на других устройствах.This enables users to see the same desktop background, app settings, browser history and favorites, and other Microsoft account settings on their other devices.

Пользователи могут отсоединить учетную запись Майкрософт от своей учетной записи домена в любое время следующим образом: в параметрах компьютера нажмитеили щелкните "Пользователи", **** нажмите или щелкните "Отключить", **** а затем нажмите кнопку "Готово" или "Готово".Users can disconnect a Microsoft account from their domain account at any time as follows: In PC settings, tap or click Users, tap or click Disconnect, and then tap or click Finish.

Примечание.Note
Подключение учетных записей Майкрософт к учетным записям домена может ограничить доступ к некоторым задачам с высоким уровнем привилегий в Windows.Connecting Microsoft accounts with domain accounts can limit access to some high-privileged tasks in Windows. Например, планировать задачи будет оценивать подключенную учетную запись Майкрософт для доступа и сбой.For example, Task Scheduler will evaluate the connected Microsoft account for access and fail. В таких ситуациях владелец учетной записи должен отключить учетную запись.In these situations, the account owner should disconnect the account.

Подготовка учетных записей Майкрософт на предприятииProvision Microsoft accounts in the enterprise

Учетные записи Майкрософт — это частные учетные записи пользователей.Microsoft accounts are private user accounts. Корпорация Майкрософт не предоставляет методы для предоставления учетных записей Майкрософт для предприятия.There are no methods provided by Microsoft to provision Microsoft accounts for an enterprise. Предприятия должны использовать учетные записи доменов.Enterprises should use domain accounts.

Аудит действий с учетной записьюAudit account activity

Поскольку учетные записи Майкрософт основаны на Интернете, Windows не имеет механизма для аудита их использования, пока учетная запись не будет связана с учетной записью домена.Because Microsoft accounts are Internet-based, Windows does not have a mechanism to audit their use until the account is associated with a domain account. Но эта связь не ограничивает пользователя от отключения учетной записи или отсоединение от домена.But this association does not restrict the user from disconnecting the account or disjoining from the domain. Аудит действий учетных записей, не связанных с вашим доменом, невозможен.It is not possible to audit the activity of accounts that are not associated with your domain.

Выполнение сброса паролейPerform password resets

Только владелец учетной записи Майкрософт может изменить пароль.Only the owner of the Microsoft account can change the password. Пароли можно изменить на портале для входов в учетную запись Майкрософт.Passwords can be changed in the Microsoft account sign-in portal.

Ограничение установки и использования приложенияRestrict app installation and usage

В организации можно настроить политики управления приложениями для управления установкой и использованием приложений для учетных записей Майкрософт.Within your organization, you can set application control policies to regulate app installation and usage for Microsoft accounts. Дополнительные сведения см. в приложениях AppLocker и Packaged Apps, а также в правилах установщика упакованных приложений в AppLocker.For more information, see AppLocker and Packaged Apps and Packaged App Installer Rules in AppLocker.

См. такжеSee also