Учетные записи Майкрософт

Область применения

  • Windows 10

В этой статье для ИТ-специалистов объясняется, как работает учетная запись Майкрософт, чтобы улучшить безопасность и конфиденциальность пользователей, а также как управлять этим типом учетной записи получателя в Организации.

Сайты, службы и свойства Майкрософт, а также компьютеры под управлением Windows 10, могут использовать учетную запись Майкрософт в качестве средства идентификации пользователя. Учетная запись Майкрософт ранее называлась Виндовсливе ID. Он содержит пользовательские секреты и состоит из уникального адреса электронной почты и пароля.

Когда пользователь входит в систему с помощью учетной записи Майкрософт, устройство подключается к облачным службам. Многие параметры, настройки и приложения пользователя могут совместно использоваться на разных устройствах.

Как работает учетная запись Майкрософт

Учетная запись Майкрософт позволяет пользователям входить на веб-сайты, которые поддерживают эту службу, используя один набор учетных данных. Учетные данные пользователей проверяются сервером проверки подлинности учетной записи Майкрософт, связанным с веб-сайтом. Microsoft Store — это пример этой связи. Когда новые пользователи входят на веб-сайты, на которых разрешено использовать учетные записи Майкрософт, они перенаправляются на ближайший сервер проверки подлинности, который запрашивает имя пользователя и пароль. Windows использует поставщика поддержки безопасности SChannel для открытия подключения TLS/SSL для этой функции на транспортном уровне. Пользователи также смогут использовать диспетчер учетных данных для хранения своих учетных данных.

Когда пользователи входят на веб-сайты, на которых разрешена использование учетной записи Майкрософт, на них устанавливается файл cookie с ограниченным временем, который включает тег зашифрованного идентификатора Triple DES. Этот тег зашифрованного идентификатора согласован между сервером проверки подлинности и веб-сайтом. Этот тег идентификатора отправляется на веб-сайт, и на веб-сайте задаются другие зашифрованные файлы cookie HTTP с ограниченным временем на компьютере пользователя. Если эти cookie-файлы являются допустимыми, пользователи не обязаны вводить имя пользователя и пароль. Если пользователь активно выходит из своей учетной записи Майкрософт, эти файлы cookie удаляются.

Важные возможности локальной учетной записи Windows не были удалены, и по-прежнему можно использовать в управляемых средах.

Создание учетных записей Майкрософт

Чтобы предотвратить мошенничество, система Microsoft проверяет IP-адрес, когда пользователь создает учетную запись. Пользователь, который пытается создать несколько учетных записей Майкрософт с одним и тем же IP-адресом, остановлен.

Учетные записи Майкрософт не предназначены для создания в пакетах, например для группы пользователей домена в Организации.

Существует два способа создания учетной записи Майкрософт.

  • Используйте существующий адрес электронной почты.

    Пользователи смогут использовать их действительные адреса электронной почты для регистрации в учетных записях Майкрософт. Служба включит адрес электронной почты запрашивающего пользователя в учетную запись Майкрософт. Пользователи также могут выбирать свои личные пароли.

  • Подпишитесь на адрес электронной почты Майкрософт.

    Пользователи могут зарегистрироваться для доступа к учетной записи электронной почты в службах электронной почты Майкрософт. Эта учетная запись может использоваться для входа на веб-сайты, на которых разрешено использовать учетные записи Майкрософт.

Защита данных учетной записи Майкрософт

Учетные данные шифруются дважды. Первое шифрование основывается на пароле учетной записи. Учетные данные снова шифруются при отправке через Интернет. Хранимые данные недоступны для других служб Майкрософт и не в Microsoft.

  • Требуется надежный пароль.

    Пустые пароли не допускаются.

    Дополнительные сведения можно найти в статье Обзор системы безопасности учетной записи Майкрософт.

  • Требуется дополнительная проверка личности.

    Прежде чем вы сможете получить доступ к сведениям и параметрам профиля пользователя на второй поддерживаемой системе Windows, необходимо установить для него дополнительное подтверждение подлинности. Это можно сделать, предоставляя Windows код, отправленный на мобильный телефон или следуя инструкциям, которые пользователь указывает в параметрах учетной записи.

  • Все данные профиля пользователя шифруются на клиенте перед передачей в облако.

    Данные пользователей не перемещаются в беспроводную сеть по умолчанию (WWAN), тем самым защищая данные профиля. Все данные и параметры, которые оставляют устройство, передаются по протоколу TLS/SSL.

Добавлены сведения о безопасности учетной записи Майкрософт.

Пользователи могут добавлять сведения о безопасности в учетные записи Майкрософт через интерфейс учетные записи на компьютерах, на которых работают Поддерживаемые версии Windows. Эта функция позволяет пользователю обновлять сведения о безопасности, которые они предоставил при создании учетных записей. Эти сведения о безопасности включают запасной адрес электронной почты или номер телефона, поэтому если пароль скомпрометирован или забыт, можно отправить проверочный код для подтверждения их личности. Пользователи могут использовать свои учетные записи Майкрософт для хранения корпоративных данных в личном приложении OneDrive или электронной почты, поэтому для владельца учетной записи можно безопасно сохранить эти сведения о безопасности.

Учетная запись Майкрософт в компании

Несмотря на то, что учетная запись Майкрософт разработана для потребителей, вы можете столкнуться с ситуациями, когда пользователи домена могут получить преимущество с помощью личной учетной записи Майкрософт в Организации. В списке ниже описаны некоторые преимущества.

  • Скачайте приложение Microsoft Store:

    Если в вашей организации выбрано распространение программного обеспечения через Microsoft Store, пользователи смогут использовать свои учетные записи Майкрософт для их загрузки и использования на пяти устройствах, работающих под управлением любой версии Windows 10, Windows 8,1, Windows8 или Виндовсрт.

  • Единый вход.

    Пользователи могут использовать учетные данные учетной записи Майкрософт для входа на устройства под управлением Windows 10, Windows 8,1, Windows8 или Windows RT. После этого Windows использует приложение Microsoft Store для предоставления им для проверки подлинности. Пользователи могут связать учетную запись Майкрософт со своими учетными данными для входа в Microsoft Store для приложений или сайтов, чтобы эти учетные данные переходили на всех устройствах, на которых запущены эти поддерживаемые версии.

  • Синхронизация личных параметров.

    Пользователи могут сопоставить наиболее часто используемые параметры операционной системы с учетной записью Майкрософт. Эти параметры доступны при каждом входе пользователя с учетной записью на любом устройстве, работающем под управлением поддерживаемой версии Windows и подключенном к облаку. После того как пользователь войдет в систему, устройство автоматически пытается получить параметры пользователя из облака и применить его к устройству.

  • Синхронизация приложений:

    Приложения Microsoft Store могут хранить параметры для определенного пользователя, чтобы эти параметры были доступны на любом устройстве. Как и в случае с параметрами операционной системы, эти пользовательские параметры приложения доступны каждый раз, когда пользователь входит в одну и ту же учетную запись Майкрософт на любом устройстве, работающем под управлением поддерживаемой версии Windows и подключенном к облаку. После того как пользователь войдет в приложение, оно будет автоматически скачивать параметры из облака и применять их при установке приложения.

  • Интегрированные социальные службы мультимедиа:

    Контактные данные и сведения о состоянии пользователей, а также о том, что они автоматически Оставайтесь на связи с сайтами, такими как Hotmail, Outlook, Facebook, Twitter и LinkedIn. Пользователи также могут получать доступ к фотографиям, документам и другим файлам с сайтов, таких как OneDrive, Facebook и Flickr, и предоставлять к ним общий доступ.

Управление учетной записью Майкрософт в домене

В зависимости от ваших бизнес-моделей, а также с учетными записями Майкрософт в вашей организации могут быть добавлены сложности, которые могут привести к решению проблем. Прежде чем разрешить использование этих типов учетных записей в Организации, необходимо решить следующие вопросы:

Ограничение использования учетной записи Майкрософт

Ниже перечислены параметры групповой политики, помогающие управлять использованием учетных записей Майкрософт в предприятии.

Блокировка проверки подлинности пользователей учетной записи Майкрософт

Этот параметр определяет, могут ли пользователи предоставлять учетные записи Майкрософт для проверки подлинности для приложений или служб.

Если этот параметр включен, для проверки подлинности в приложениях и службах на устройстве запрещено использовать учетные записи Майкрософт. Это применимо как к существующим пользователям устройства, так и к новым пользователям, которые могут быть добавлены.

Однако это не повлияет на любые приложения или службы, которые уже прошли проверку подлинности пользователя, пока не истечет срок действия кэша для проверки подлинности. Рекомендуется включать этот параметр перед входом в устройство, чтобы предотвратить появление кэшированных маркеров.

Если этот параметр отключен или не настроен, приложения и службы могут использовать для проверки подлинности учетные записи Майкрософт. По умолчанию этот параметр отключен.

Этот параметр не влияет на то, могут ли пользователи входить на устройства с помощью учетных записей Майкрософт, или предоставить пользователям возможность предоставлять учетные записи Майкрософт через браузер для проверки подлинности с помощью веб-приложений.

Путь к этому параметру:

Конфигурация компьютера \ административные шаблоны \ компоненты Components\Microsoft учетная запись

Учетные записи: блокирование учетных записей Майкрософт

Этот параметр запрещает использовать приложение " Параметры ", чтобы добавить учетную запись Майкрософт для проверки подлинности единого входа (SSO) для служб Майкрософт и некоторых фоновых служб, а также использовать учетную запись Майкрософт для единого входа в другие приложения или службы.

Если этот параметр включен, существует два варианта:

  • Пользователи не могут добавлять учетные записи Майкрософт , так как существующие подключенные учетные записные книжки по-прежнему смогут входить на устройство (и отображаться на экране входа). Однако пользователи не могут использовать приложение " Параметры " для добавления новых подключенных учетных записей (или подключения локальных учетных записей к учетным записям Microsoft).
  • Пользователи не могут добавлять учетные записи Майкрософт и входить в нее, поэтому пользователи не могут добавлять новые подключенные учетные записи (или подключать локальные учетные записи в учетные записи Майкрософт) или использовать существующие подключенные учетные записи с помощью параметров.

Этот параметр не влияет на Добавление учетной записи Майкрософт для проверки подлинности приложения. Например, если этот параметр включен, пользователи по-прежнему могут использовать учетную запись Майкрософт для проверки подлинности в приложении, таком как почта, но пользователь не может войти в учетную запись Майкрософт для проверки подлинности с единым входом для других приложений или служб ( другими словами, пользователю будет предложено выполнить проверку подлинности для других приложений или служб.

По умолчанию этот параметр не определен.

Путь к этому параметру:

Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности

Настройка подключенных учетных записей

Пользователи могут подключить учетную запись Майкрософт к своей учетной записи домена и синхронизировать параметры и настройки между ними. Это позволяет пользователям просматривать один и тот же фон рабочего стола, параметры приложений, историю браузера и Избранное, а также другие параметры учетной записи Майкрософт на других устройствах.

Пользователи могут в любое время отключить учетную запись Майкрософт от своей учетной записи домена: в окне " Параметры компьютера" выберите пункт Пользователи, нажмите кнопку Отключить, а затем нажмите кнопку Готово.

Примечание . Подключение учетных записей Майкрософт с помощью учетных записей домена может ограничить доступ к некоторым задачам с высоким уровнем привилегий в Windows. Например, планировщик заданий оценивает подключенную учетную запись Майкрософт для доступа и завершается сбоем. В этих случаях владелец учетной записи должен отключить учетную запись.

Подготовка учетных записей Майкрософт в корпоративном масштабе

Учетные записи Майкрософт являются личными учетными записями пользователей. Для подготовки учетных записей Майкрософт для предприятия не предусмотрены методы, предоставляемые корпорацией Майкрософт. Предприятия должны использовать учетные записи домена.

Аудит действий с учетной записью

Поскольку учетные записи Майкрософт используются в Интернете, Windows не имеет механизма для аудита их использования до тех пор, пока учетная запись не будет связана с учетной записью домена. Но эта ассоциация не ограничивает пользователя отключением учетной записи от домена. Не удается выполнить аудит действий с учетными записями, которые не связаны с вашим доменом.

Сброс пароля

Только владелец учетной записи Майкрософт может изменить пароль. Пароли можно изменить на портале входа в учетную запись Майкрософт.

Ограничение установки и использования приложений

В Организации можно настроить политики управления приложениями, чтобы регулировать установку и использование приложений для учетных записей Майкрософт. Дополнительные сведения можно найти в разделе AppLocker и Упакованные приложения и правила установщика упакованных приложений в AppLocker.

Статьи по теме