User account management

Microsoft 支援下列建立、管理和驗證使用者的方法。

注意

本主題不包含允許或禁止存取個別 Microsoft 資源的安全性功能相關資訊 (例如,Microsoft Exchange Online中的角色型存取控制,或在 Microsoft Office SharePoint Online) 中設定安全性。 如需這些功能的詳細資訊,請參閱Exchange Online服務描述SharePoint Online 服務描述

如果您需要可協助您執行系統管理工作的工具相關資訊,請參閱 管理 Microsoft 帳戶的工具。 若要瞭解如何執行日常管理工作,請參閱 一般管理工作

需要登入、安裝或卸載或取消訂用帳戶的協助嗎?

取得協助:登入 | 安裝或卸載 Office | Canceling Office 365

如需其他問題,請造訪 Microsoft 支援中心。 若要取得中國的 21Vianet 運作的 Office 365 的支援,請連絡 21Vianet 支援小組

登入選項

Microsoft 有兩個系統可用於使用者身分識別:

  • 公司或學校帳戶 (雲端身分識別) - 使用者會收到與其他桌面或公司認證不同的Azure Active Directory雲端認證,以登入 Microsoft 雲端服務。 這是預設也是建議身分識別,以便將部署複雜度降至最低。 工作或學校帳戶的密碼請使用Azure Active Directory 密碼原則

  • 同盟帳戶 (同盟 身分識別) - 對於具有使用單一登入 (SSO) 之內部部署的 Active Directory組織中的所有訂用帳戶,使用者可以使用其 Active Directory 認證登入Microsoft 服務。 公司Active Directory 儲存和控制密碼原則。 如需有關 SSO 的資訊,請參閱 單一登入藍圖

身分類型影響使用者經驗及使用者帳戶管理選項,還有硬體和軟體需求及其他部署考量。

自訂網域和身分選項

當您建立新的使用者時,使用者的登入名稱和電子郵件地址會指派給預設網域,如Microsoft 365 系統管理中心中所設定。 若要深入瞭解,請 參閱新增您的使用者和網域

根據預設,訂用帳戶會使用<帳戶建立的公司名稱 > .onmicrosoft.com 網域。 如果您使用的是 21Vianet 在中國營運的Office 365,預設網域會<companyname.onmsChina.cn > 。**** 您可以將一或多個自訂網域新增至 Microsoft,而不是保留 onmicrosoft.com 網域,也可以指派使用者以任何已驗證的網域登入。 每個使用者指派的網域都是會出現在已傳送和接收的電子郵件訊息上的電子郵件地址。

您最多可以裝載 900 個已註冊的網際網路網域,每個網域都由不同的命名空間表示。

針對採用單一登入的組織,網域上的所有使用者都必須使用相同的身份識別系統:雲端身份或同盟身份。 例如,您可以有一個使用者群組只需要雲端身分識別,因為他們不會存取內部部署系統,而另一個使用者群組則使用 Microsoft 和內部部署系統。 您會將兩個網域新增至Office 365,例如 contractors.contoso.comstaff.contoso.com,並且只設定其中一個網域的 SSO。 您可以將整個網域從雲端身分識別轉換為同盟身分識別,或者從同盟身分識別轉換為雲端身分識別。

如需 Office 365 之網域相關資訊,請參閱 網域 服務說明。

驗證

除了使用 SharePoint Online 建立之匿名存取的網際網路網站外,使用者在存取Microsoft 服務時必須經過驗證。

  • 新式驗證 - 新 式驗證可讓 Microsoft 驗證程式庫型登入跨平臺Office用戶端應用程式。 如此可啟用類似 Multi-Factor Authentication (MFA)、具備 Office 用戶端應用程式的 SAML 型第三方識別提供者,以及智慧卡及憑證式驗證等的登入功能。 同時也會移除 Microsoft Outlook 使用基本驗證通訊協定的需求。 如需詳細資訊,包括跨Office應用程式的新式驗證可用性,請參閱新式驗證如何適用于 Office 2013 和 Office 2016 用戶端應用程式

    Exchange Online預設會開啟新式驗證。 若要瞭解如何開啟或關閉它,請參閱在 Exchange Online 中啟用新式驗證

  • 雲端身分識別驗證 - 具有雲端身分識別的使用者會使用傳統挑戰/回應進行驗證。 網頁瀏覽器會重新導向至 Microsoft 登入服務,您可以在其中輸入公司或學校帳戶的使用者名稱和密碼。 The sign-in service authenticates your credentials and generates a service token, which the web browser posts to the requested service and logs you in.

  • 同盟身 分識別驗證 - 具有同盟身分識別的使用者會使用 Active Directory 同盟服務 (AD FS) 2.0 或其他安全性權杖服務進行驗證。 網頁瀏覽器會重新導向至 Microsoft 登入服務,您會在其中以使用者主體名稱的形式輸入公司識別碼, (UPN) ,例如: isabel@contoso.com。 The sign-in service determines that you are part of a federated domain and offers to redirect you to the on-premises Federation Server for authentication. 如果您已登入已加入網域的桌面 (網域) ,您會 (使用 Kerberos 或 NTLMv2) 進行驗證,而內部部署安全性權杖服務會產生登入權杖,網頁瀏覽器會將其張貼至 Microsoft 登入服務。 Using the logon token, the sign-in service generates a service token that the web browser posts to the requested service and logs you in. For a list of available Security Token Services available, see Single sign-on roadmap.

Microsoft 會使用表單型驗證,而透過網路的驗證流量一律會使用埠 443 以 TLS/SSL 加密。 驗證流量針對Microsoft 服務使用可忽略的頻寬百分比。

多重要素驗證

使用 Multi-Factor Authentication 時,使用者必須在正確輸入密碼之後,在其智慧型手機上認可通話、簡訊或代理程式更新。 Only after this second authentication can the user sign in. Microsoft 系統管理員可以在Microsoft 365 系統管理中心中註冊使用者進行多重要素驗證。 深入瞭解 Multi-Factor Authentication

豐富型用戶驗證

針對如 Microsoft Office 桌面應用程式的豐富型用戶端,驗證的方式有兩種:

  • Microsoft Online Services Sign-In小 幫手 - 由桌面安裝程式安裝的登入小幫手包含用戶端服務,可從登入服務取得服務權杖,並將其傳回給豐富型用戶端。

    • 如果您有雲端身分識別,您會收到認證提示,用戶端服務會將認證傳送至登入服務,以使用 WS-Trust) 進行驗證 (。

    • 如果您有同盟身分識別,用戶端服務會先連絡 AD FS 2.0 伺服器,以使用 Kerberos 或 NTLMv2) 驗證 (認證,並取得使用 WS-Federation 和 WS-Trust) 傳送至登入服務 (的登入權杖。

  • 透過 SSL 進行基本/Proxy 驗證- Outlook用戶端會透過 SSL 將基本驗證認證傳遞給Exchange Online。 Exchange Online向身分識別平臺代理驗證要求,然後內部部署的 Active Directory SSO) 的同盟伺服器 (。

若要確保正確探索和驗證Microsoft 服務,系統管理員必須將一組元件和更新套用至每個工作站,這些工作站會使用豐富的用戶端 (,例如 Microsoft Office 2010) ,並聯機到Office 365。 桌面設定是一種自動化工具,可使用必要的更新來設定工作站。 如需詳細資訊,請參閱使用我目前的Office桌面應用程式

登入經驗

登入體驗會根據使用中的身分識別類型而變更:

服務 雲端身分識別 同盟身分識別
Outlook 2016
登入每個工作階段 1
登入每個工作階段 2
Outlook 2013
登入每個工作階段 1
登入每個工作階段 2
Outlook 2010 或 Office 2007 在 Windows 7
登入每個工作階段 1
登入每個工作階段 2
Outlook 2010 或 Office Outlook 2007 在 Windows Vista
登入每個工作階段 1
登入每個工作階段 2
Microsoft Exchange ActiveSync
登入每個工作階段 1
登入每個工作階段 2
POP、IMAP、Outlook for Mac
登入每個工作階段 1
登入每個工作階段 2
Web 體驗:Microsoft 365 系統管理中心/ Outlook 網頁版/ SharePoint Online / Office 網頁版
登入每個瀏覽器工作階段4
登入每個工作階段 3
Office 2010 或 Office 2007 使用 SharePoint Online
登入每個 SharePoint Online 工作階段 4
登入每個 SharePoint Online 工作階段3
商務用 Skype Online
登入每個工作階段 1
無提示
Mac 版 Outlook
登入每個工作階段 1
登入每個工作階段 2

注意

1 第一次出現提示時,您可以儲存密碼以供日後使用。 在您變更密碼之前,您不會收到另一個提示。
2 您輸入公司認證。 您可以儲存密碼,直到您的密碼變更之後才會再次出現提示。
3 所有應用程式都需要您輸入或選取要登入的使用者名稱。 如果您的電腦已加入網域,系統不會提示您輸入密碼。 如果您選取 [ 讓我保持登入], 則在登出之前不會再次提示您。
4 如果您選取 [ 讓我保持登入], 在登出之前不會再次提示您。

Create user accounts

有多種方式可讓您新增使用者。 若要深入瞭解,請參閱個別或大量新增使用者 - 系統管理說明在 Microsoft 365 系統管理中心 Preview 中新增、移除和管理使用者。 如果您在中國使用由 21Vianet 提供的 Office 365,請參閱在由 21Vianet 提供的 Office 365 中建立或編輯使用者帳戶 - 管理中心說明

刪除使用者帳戶

如何刪除帳戶端視您是否使用目錄同步處理:

  • 如果您不是使用目錄同步處理,則可以使用管理頁面或使用 Windows PowerShell 來刪除帳戶。

  • 若您使用目錄同步處理,您必須從本機 Active Directory,而非從 Office 365 刪除使用者。

當帳戶被刪除,它將變為非作用狀態。 帳戶刪除約 30 日之後,您可以復原帳戶。 如需刪除和還原帳戶的詳細資訊,請參閱刪除使用者還原使用者,或者,如果您使用的是 21Vianet 在中國運作的Office 365,請參閱在 21Vianet - Admin Help 營運的Office 365中建立或編輯使用者帳戶

密碼管理

密碼管理的原則和程序依身份識別系統而定。

雲端身分識別密碼管理

使用雲端身分時,在建立帳戶時會自動產生密碼。

  • 如需雲端身分識別密碼強度需求,請參閱密碼原則

  • 若要提高安全性,使用者必須在第一次存取Microsoft 服務時變更其密碼。 因此,使用者必須先登入Microsoft 365 系統管理中心,提示他們變更密碼,才能存取Microsoft 服務。

  • 管理員可以設定密碼到期原則。如需詳細資訊,請參閱設定使用者的密碼到期原則

下列為具備雲端身份之使用者可用的密碼重設工具:

  • 系統管理員重設密碼- 如果使用者遺失或忘記密碼,系統管理員可以在系統管理中心或使用Windows PowerShell重設使用者的密碼。 使用者必須知道自己的現有密碼,才能變更密碼。

    針對企業方案,如果系統管理員遺失或忘記其密碼,具有全域管理員角色的不同系統管理員可以在Microsoft 365 系統管理中心中或使用Windows PowerShell重設系統管理員的密碼。 有關詳細資訊,請參閱重置管理員密碼。 如果您在中國使用 21Vianet 運作的 Office 365,請參閱在 21Vianet 運作的 Office 365 中建立或重設密碼

  • 使用者使用Outlook 網頁版變更密碼- [Outlook 網頁版選項] 頁面包含 [變更密碼] 超連結,可將使用者重新導向至 [變更密碼] 頁面。 使用者必須知道他們先前的密碼。 如需詳細資訊,請參閱 變更密碼 。 如果您在中國使用 21Vianet 運作的 Office 365,請參閱在 21Vianet 運作的 Office 365 中建立或重設密碼

  • 角色型重設密碼許可權 - 針對企業方案,技術服務人員等授權使用者可以獲指派 重設密碼 使用者權限,以及使用預先定義或自訂角色變更密碼的許可權,而不需要成為完整的服務管理員。 根據預設,在企業方案中,具有全域管理員、密碼管理員或使用者管理系統管理員角色的系統管理員可以變更密碼。 For more information, see Assigning admin roles.

  • 使用 Windows PowerShell 重設密碼- 服務管理員可以使用Windows PowerShell來重設密碼。

同盟身分識別密碼管理

使用同盟身分時,密碼會在 Active Directory 中管理。 內部部署安全性權杖服務會與同盟閘道交涉驗證,而不會透過網際網路將使用者的本機 Active Directory 密碼傳遞給Office 365。 使用本機密碼原則,或如果是網頁用戶端則使用雙因素驗證。 Outlook 網頁版不包含變更密碼超連結。 使用者變更密碼,使用標準的內部部署工具,或經由桌面 PC 登入選項。

如果您已在組織環境中啟用具有 單一登入 (SSO) 的 Directory Sync ,而且中斷會影響您的同盟識別提供者,同盟登入的密碼同步備份會提供手動將網域切換至密碼同步的選項。使用密碼同步可讓您的使用者在中斷已修正時存取。 瞭解 如何從單一Sign-On切換至密碼同步

授權管理

授權可讓使用者存取一組Microsoft 服務。 針對使用者需要存取之服務,管理員會指派一個授權給每位使用者。 例如,您可以指派使用者商務用 Skype Online 而非 SharePoint Online 的存取權。

Microsoft 計費系統管理員可以變更訂用帳戶詳細資料,例如使用者授權數目和公司所使用的其他服務數目。 請參閱 指派或移除授權。 如果您使用 21Vianet 運作的 Office 365,請參閱在 21Vianet 運作的 Office 365 中指派或移除授權

群組管理

安全性群組使用於 SharePoint Online 以控制制對網站之存取。 安全性群組可以在Microsoft 365 系統管理中心中建立。 有關安全性群組的詳細資訊,請參閱建立、編輯或刪除安全性群組

系統管理員角色

企業Office 365遵循角色型存取控制 (RBAC) 模型:許可權和功能是由管理角色所定義。 系統會自動將代替組織註冊使用 Office 365 的人員設為全域管理員或高階管理員。 共有五種管理員角色:全域管理員、帳務管理員、密碼管理員、服務管理員和使用者管理管理員。 如需企業Office 365中系統管理員角色的詳細資訊,包括其如何套用至 Exchange Online、SharePoint Online 和 商務用 Skype Online 管理,請參閱指派系統管理員角色。 如果您在中國使用 21Vianet 運作的 Office 365,請參閱在 Office 365 for business 中指派系統管理員角色

委派合作夥伴管理和支援

合作夥伴可以被授權管理客戶帳戶。 客戶不需要合作夥伴使用的使用者帳戶,而且在授與委派的系統管理授權單位時不會使用授權。 合作夥伴可以將完全或有限存取權限分配給他們的組織內的使用者。 Limited 有限存取包括重設密碼、管理服務要求,以及監督服務健全之權力。

注意

使用並將夥伴指定為委派系統管理員的能力依地區而有所不同。

Azure Active Directory 服務

Azure Active Directory (AD) 將完整的身分識別與存取管理功能帶到 Office 365。它結合了目錄服務、進階身分識別管理、應用程式存取管理以及豐富的標準型開發人員平台。若要深入了解 Office 365 中的 AD 功能,請參閱登入頁面商標及雲端使用者自助式密碼重設。深入了解 Azure Active Directory 版本

功能可用性

若要檢視跨方案、獨立選項和內部部署解決方案的功能可用性,請參閱Microsoft 365和Office 365平臺服務描述