Microsoft 帐户

适用范围

• Windows 10

IT 专业人员的本主题介绍了 Microsoft 帐户如何提高用户的安全性和隐私性，以及如何在组织中管理此使用者帐户类型。

Microsoft 站点、服务和属性以及运行Windows 10的计算机可以使用 Microsoft 帐户来标识用户。 Microsoft 帐户以前称为 Windows Live ID。 它具有用户定义的机密，并包含唯一的电子邮件地址和密码。

当用户使用 Microsoft 帐户登录时，设备将连接到云服务。 可以跨设备共享用户的许多设置、首选项和应用。

Microsoft 帐户的工作原理

Microsoft 帐户允许用户使用一组凭据登录到支持此服务的网站。 用户的凭据由与网站关联的 Microsoft 帐户身份验证服务器进行验证。 Microsoft Store 就是此关联的一个示例。 当新用户登录到启用了使用 Microsoft 帐户的网站时，他们将被重定向到最近的身份验证服务器，该服务器要求用户名和密码。 Windows 使用 Schannel 安全支持提供程序为此函数打开传输级别安全/安全套接字层 (TLS/SSL) 连接。 然后，用户可以选择使用凭据管理器来存储其凭据。

当用户登录到启用使用 Microsoft 帐户的网站时，其计算机上会安装一个限时 Cookie，其中包括三个 DES 加密 ID 标记。 身份验证服务器和网站之间已商定此加密 ID 标记。 此 ID 标记将发送到网站，网站会在用户的计算机上安装另一个时间限制的加密 HTTP Cookie。 当这些 Cookie 有效时，不需要用户提供用户名和密码。 如果用户主动注销其 Microsoft 帐户，则会删除这些 Cookie。

重要提示
本地 Windows 帐户功能尚未删除，它仍然是在托管环境中使用的选项。

如何创建 Microsoft 帐户

为了防止欺诈，Microsoft 系统会在用户创建帐户时验证 IP 地址。 尝试创建具有相同 IP 地址的多个 Microsoft 帐户的用户将停止。

Microsoft 帐户的设计不是分批创建的，例如针对企业中的一组域用户。

创建 Microsoft 帐户有两种方法：

• 使用现有电子邮件地址。

  用户可以使用其有效的电子邮件地址注册 Microsoft 帐户。 该服务将请求用户的电子邮件地址转换为 Microsoft 帐户。 用户也可以选择其个人密码。

• 注册 Microsoft 电子邮件地址。

  用户可以使用 Microsoft 的 Webmail 服务注册电子邮件帐户。 此帐户可用于登录已启用 Microsoft 帐户的网站。

如何保护 Microsoft 帐户信息

凭据信息已加密两次。 第一个加密基于帐户的密码。 通过 Internet 发送凭据时，会再次加密凭据。 存储的数据不适用于其他 Microsoft 或非 Microsoft 服务。

• 需要强密码。

  不允许使用空白密码。

  有关详细信息，请参阅如何帮助确保 Microsoft 帐户的安全。

• 需要辅助身份证明。

  第一次在第二台受支持的 Windows 计算机上访问用户配置文件信息和设置之前，必须通过提供辅助标识证明来为该设备建立信任。 这可以通过向 Windows 提供发送到移动电话号码的代码或按照用户在帐户设置中指定的备用电子邮件地址发送的说明来实现。

• 所有用户配置文件数据在传输到云之前都会在客户端上进行加密。

  默认情况下，用户数据不会在无线广域网 (WWAN) 上漫游，从而保护配置文件数据。 离开设备的所有数据和设置都通过 TLS/SSL 协议传输。

添加了 Microsoft 帐户安全信息。

用户可以通过运行受支持 Windows 版本的计算机上的 “帐户 ”界面将安全信息添加到其 Microsoft 帐户。 此功能允许用户更新他们在创建帐户时提供的安全信息。 此安全信息包括备用电子邮件地址或电话号码，因此，如果他们的密码遭到泄露或遗忘，则可以发送验证码来验证其身份。 用户可能使用其 Microsoft 帐户将公司数据存储在个人 OneDrive 或电子邮件应用上，因此帐户所有者可以安全地使此安全信息保持最新。

企业中的 Microsoft 帐户

尽管 Microsoft 帐户旨在为使用者提供服务，但你可能会发现域用户可以通过在企业中使用其个人 Microsoft 帐户来受益的情况。 下面的列表介绍了一些优势。

• 下载 Microsoft Store 应用：

  如果你的企业选择通过 Microsoft Store 分发软件，则用户可以使用其 Microsoft 帐户在运行任何版本的Windows 10、Windows 8.1、Windows 8或Windows RT的最多五台设备上下载和使用它们。

• 单一登录：

  用户可以使用 Microsoft 帐户凭据登录到运行Windows 10、Windows 8.1、Windows 8或Windows RT的设备。 执行此操作时，Windows 会与 Microsoft Store 应用配合使用，为他们提供经过身份验证的体验。 用户可以将 Microsoft 帐户与其 Microsoft Store 应用或网站的登录凭据相关联，以便这些凭据在运行这些受支持版本的任何设备上漫游。

• 个性化设置同步：

  用户可以将其最常用的操作系统设置与 Microsoft 帐户相关联。 每当用户在运行受支持的 Windows 版本并连接到云的任何设备上使用该帐户登录时，这些设置都可用。 用户登录后，设备会自动尝试从云中获取用户的设置并将其应用到设备。

• 应用同步：

  Microsoft Store 应用可以存储特定于用户的设置，以便这些设置可供任何设备使用。 与操作系统设置一样，每当用户在运行受支持的 Windows 版本并连接到云的任何设备上使用相同的 Microsoft 帐户登录时，这些特定于用户的应用设置就可用。 在用户登录之后，该设备将自动从云下载这些设置，然后在安装应用时应用这些设置。

• 集成的社交媒体服务：

  用户的朋友和同事的联系信息和状态会自动从 Hotmail、Outlook、Facebook、Twitter 和 LinkedIn 等网站保持最新状态。 用户还可以从 OneDrive、Facebook 和 Flickr 等网站访问和共享照片、文档和其他文件。

管理域中的 Microsoft 帐户

根据 IT 和业务模型，将 Microsoft 帐户引入企业可能会增加复杂性，也可能提供解决方案。 在允许在企业中使用这些帐户类型之前，应先解决以下注意事项：

• 限制 Microsoft 帐户的使用

• 配置连接的帐户

• 在企业中预配 Microsoft 帐户

• 审核帐户活动

• 执行密码重置

• 限制应用安装和使用

限制 Microsoft 帐户的使用

以下组策略设置有助于控制 Microsoft 帐户在企业中的使用：

• 阻止所有使用者 Microsoft 帐户用户身份验证
• 帐户: 阻止 Microsoft 帐户

阻止所有使用者 Microsoft 帐户用户身份验证

此设置控制用户是否可以为应用程序或服务提供 Microsoft 帐户进行身份验证。

如果启用此设置，设备上的所有应用程序和服务将无法使用 Microsoft 帐户进行身份验证。 这同时适用于设备的现有用户和可能添加的新用户。

但是，在身份验证缓存过期之前，任何已对用户进行身份验证的应用程序或服务都不会受到启用此设置的影响。 建议在任何用户登录到设备之前启用此设置，以防止缓存令牌存在。

如果禁用或未配置此设置，应用程序和服务可以使用 Microsoft 帐户进行身份验证。 默认情况下，此设置处于 禁用状态。

此设置不会影响用户是否可以使用 Microsoft 帐户登录到设备，也不影响用户通过浏览器通过基于 Web 的应用程序提供 Microsoft 帐户进行身份验证的能力。

此设置的路径为：

计算机配置\管理模板\Windows 组件\Microsoft 帐户

帐户: 阻止 Microsoft 帐户

此设置可防止使用 “设置” 应用为 Microsoft 服务和某些后台服务 (SSO) 身份验证添加 Microsoft 帐户，或使用 Microsoft 帐户对其他应用程序或服务进行单一登录。

如果启用此设置，则有两个选项：

• 用户无法添加 Microsoft 帐户 意味着现有连接的帐户仍然可以登录到设备 (并显示在“登录”屏幕上) 。 但是，用户无法使用 “设置” 应用 (添加新的连接帐户，或将本地帐户连接到 microsoft 帐户) 。
• 用户无法使用 Microsoft 帐户添加或登录 意味着用户无法添加新的连接帐户 (或将本地帐户连接到 microsoft 帐户) 或通过 “设置” 使用现有的连接帐户。

此设置不影响为应用程序身份验证添加 Microsoft 帐户。 例如，如果启用此设置，则用户仍可以向 Microsoft 帐户提供用于 对应用程序（如 Mail）进行身份验证，但用户不能将 Microsoft 帐户用于其他应用程序或服务的单一登录身份验证 (换句话说，系统会提示用户对其他应用程序或服务) 进行身份验证。

默认情况下， 未定义此设置。

此设置的路径为：

计算机配置\Windows 设置\安全设置\本地策略\安全选项

配置连接的帐户

用户可以将 Microsoft 帐户连接到其域帐户，并同步它们之间的设置和首选项。 这使用户能够在其其他设备上查看相同的桌面背景、应用设置、浏览器历史记录和收藏夹以及其他 Microsoft 帐户设置。

用户可以随时断开 Microsoft 帐户与其域帐户的连接，如下所示：在 电脑设置中，点击或单击 “用户”，点击或单击“ 断开连接”，然后点击或单击 “完成”。

注意
将 Microsoft 帐户与域帐户连接可以限制对 Windows 中某些高特权任务的访问。 例如，任务计划程序将评估连接的 Microsoft 帐户的访问和失败。 在这些情况下，帐户所有者应断开帐户连接。

在企业中预配 Microsoft 帐户

Microsoft 帐户是专用用户帐户。 Microsoft 没有为企业预配 Microsoft 帐户的方法。 企业应使用域帐户。

审核帐户活动

由于 Microsoft 帐户基于 Internet，因此在帐户与域帐户关联之前，Windows 没有审核其使用的机制。 但是，此关联不会限制用户断开帐户连接或脱离域。 无法审核未与域关联的帐户的活动。

执行密码重置

只有 Microsoft 帐户的所有者才能更改密码。 可以在 Microsoft 帐户登录门户中更改密码。

限制应用安装和使用

在组织中，可以设置应用程序控制策略来规范 Microsoft 帐户的应用安装和使用情况。 有关详细信息，请参阅 AppLocker 中的 AppLocker 和 打包应用和打包应用安装程序规则。

另请参阅

• 管理隐私：使用 Microsoft 帐户登录和生成 Internet 通信

• 访问控制概述