Identidade, autenticação e autorização no Office 2016
Resumo: Descreve a autenticação do Office 2016, os tipos de início de sessão e como utilizar as definições de registo para determinar que identidades de utilizador são oferecidas no início de sessão do utilizador.
As aplicações do Office são utilizadas para atividades empresariais e não empresariais. Durante o dia, uma pessoa pode utilizar o Excel para analisar números de vendas de widgets Q2, dividindo-os por cada dia. À noite, o mesmo indivíduo pode mudar para estatísticas do Campeonato do Mundo no Excel. Da mesma forma, podem utilizar o Word para elaborar esboços de especificações de produtos durante o horário de trabalho e, em seguida, passar para escrever contos nos seus tempos livres. O Office é uma ferramenta versátil utilizada por indivíduos em funções diferentes. Para acomodar esta situação, o Office 2016 permite que os utilizadores iniciem sessão com duas identidades separadas:
Uma conta Microsoft, que a maioria das pessoas utiliza para empresas pessoais
Um ID de organização atribuído pela Microsoft, que a maioria das pessoas utiliza quando trabalha para uma organização, como uma empresa, uma instituição de caridade ou uma escola.
As credenciais usadas para entrada são reconhecidas como pessoais ou organizacionais. Essa identidade de início de sessão torna-se o "domínio principal" do utilizador e determina os documentos aos quais o utilizador tem acesso no SharePoint, no OneDrive ou nos Serviços do Office 365 para uma sessão específica. Cada identidade de início de sessão exclusiva é guardada numa lista utilizada mais recentemente para que seja fácil alternar entre identidades sem sair da experiência do Office.
Para maior comodidade, os utilizadores podem optar por montar um serviço de documentos online nas respetivas identidades para facilitar o acesso. Por exemplo, um OneDrive pessoal pode ser montado numa identidade da organização para que os documentos pessoais possam ser acedidos no trabalho ou na escola sem nunca mudar de identidade. Além disso, quando um utilizador efetua a autenticação através de uma identidade, esta autenticação é válida para todas as aplicações do Office e não apenas para a aplicação em que iniciou sessão.
A boa notícia é que todas estas funcionalidades funcionam apenas para os utilizadores, por predefinição, e fora da caixa.
Protocolos de autenticação do Office
No Office, os utilizadores são autenticados com a Autenticação Forms-Based (FBA), a Autenticação Integrada do Windows (WIA) ou a Autenticação SSI (Passport Server Side Include), também conhecida como "Passport Tweener". No Office 2016, ainda pode utilizar FBA ou WIA, mas em vez de SSI, utilizamos agora o novo Open Authorization 2.0 (OAuth 2.0) baseado em tokens aberto. Consulte a tabela seguinte para obter uma descrição geral dos protocolos de autenticação que pode utilizar com o Office.
Protocolos de autenticação do Office
| Versão do Office do Cliente | Protocolo de autenticação | Servidor |
|---|---|---|
| Office 2010, Office 2013, Office 2016 |
Autenticação Baseada em Formulários (FBA). A autenticação baseada em formulários usam o redirecionamento do lado do cliente para encaminhar usuários não autenticados para um formulário HTML onde eles podem inserir suas credenciais. Após as credenciais serem validadas, os usuários são redirecionados para os recursos solicitados. |
SharePoint Online |
| Office 2010, Office 2013, Office 2016 |
Autenticação Integrada do Windows (WIA). Isto é negociado, da mesma forma que o protocolo Kerberos ou NTLM. Neste cenário, o sistema operacional oferece autenticação. |
SharePoint 2010, SharePoint 2013, SharePoint 2016 |
| Office 2010, Office 2013, Office 2016 |
Autenticação SSI ou Passport Tweener. Quando um utilizador fornece credenciais do Windows Live ID ou uma conta Microsoft, o serviço Windows Live ID devolve uma "permissão" de passaporte que o cliente utiliza para aceder aos serviços do Windows Live. |
OneDrive |
| Office 2013, Office 2016 |
Open Authorization 2.0 (OAuth 2.0). O OAuth 2.0 oferece autorização temporária baseada em redirecionamento. Um usuário ou aplicativo da Web que age em nome de um usuário pode solicitar autorização para acesso temporário aos recursos de rede especificados por um proprietário de recursos. Para obter mais informações, consulte OAuth 2.0. |
OneDrive |
| Office 2013, Office 2016 |
Assistente de Início de Sessão do Microsoft Online Services. O Assistente de Sign-In dos Serviços Online da Microsoft fornece capacidades de início de sessão do utilizador final ao Microsoft Online Services, como o Office 365. Para obter mais informações sobre o Assistente de Início de Sessão do Microsoft Online Services e o profissional de TI, consulte Microsoft Online Services Sign-In Assistant for IT Professionals RTW (Assistente do Microsoft Online Services para Profissionais de TI RTW). A transferência destina-se à distribuição para sistemas de cliente geridos como parte de uma implementação de cliente do Office 365, utilizando o Microsoft Configuration Manager ou sistemas de distribuição de software semelhantes. |
Serviços do Office 365 |
Tipos de início de sessão no Office 2016
O Office 2016 suporta dois tipos de inícios de sessão para utilizadores: uma conta Microsoft ou um ID de organização atribuído pela Microsoft.
Conta Microsoft (conta individual do utilizador). Esta conta, anteriormente denominada ID da Microsoft, é a credencial de que os utilizadores precisam para se autenticarem na rede da Microsoft. É utilizado para tarefas pessoais ou não empresariais, como trabalho voluntário. Para criar uma conta Microsoft, um utilizador fornece um nome de utilizador e palavra-passe, determinadas informações demográficas e "provas de conta", como um endereço de e-mail alternativo ou número de telefone.
Uma ID da organização atribuída pela ID de conta da Microsoft/Office 365 atribuída pela Microsoft. Esta conta é criada para uso comercial. Uma conta do Office 365 pode ser de três tipos: um ID do Office 365 puro, um ID do Active Directory ou um ID dos Serviços de Federação do Active Directory.
ID do Office 365. O ID do Office 365 é criado quando um administrador configura um domínio do Office 365 e assume o formulário <user>@<org.onmicrosoft.com>, por exemplo:
sally@contoso.onmicrosoft.com
Um ID da Organização atribuído pela Microsoft que é validado em relação ao ID do Active Directory de um utilizador.
Primeiro, uma pessoa que tenha um [domínio no local]\<conta de utilizador> tenta aceder aos recursos da organização.
Em seguida, o recurso solicita autenticação do usuário.
O usuário digita o nome de usuário e senha da sua organização.
Por fim, este nome de usuário e senha são validados no banco de dados AD da organização, o usuário é autenticado e é oferecido acesso para o recurso solicitado.
- Um ID de organização atribuído pela Microsoft e validado relativamente ao ID dos Serviços de Federação do Active Directory (AD FS) de um utilizador.
Primeiro, uma pessoa que possui um org.onmicrosoft.com tenta acessar os recursos da organização parceira.
Em seguida, o recurso solicita autenticação do usuário.
O usuário digita o nome de usuário e senha de sua organização.
Em seguida, esse nome de utilizador e palavra-passe são validados na base de dados do AD DS da organização.
Por fim, esse mesmo nome de utilizador e palavra-passe são transmitidos para a base de dados federada do AD DS do parceiro, o utilizador é autenticado e é-lhe concedido acesso ao recurso pedido.
Para recursos no local, o Office 2016 utiliza o nome de utilizador domain\alias para autenticação. Para recursos federados, o Office 2016 utiliza o alias@org.onmicrosoft.com nome de utilizador para autenticação.
Utilizar as definições de registo para determinar que tipos de ID oferecer a um utilizador ao iniciar sessão
Por predefinição, o Office 2016 está configurado com chaves de registo. Estas chaves apresentam o ID da conta Microsoft do utilizador e o ID da organização atribuído pela Microsoft quando um utilizador tenta aceder a um recurso do Office 2016. No entanto, pode alterar esta definição para que apenas a conta Microsoft seja apresentada, o ID da organização ou nenhum dos dois. Esta configuração é alterada no Registro do computador.
Para alterar os tipos de início de sessão do Office 2016 oferecidos ao utilizador
No Editor de Registro, navegue para:
HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Common\SignIn\SignInOptions
Defina o valor de SignInOptions como um dos valores da tabela a seguir. O modelo definido para a configuração SignInOptions é DWORD.
Configurações de SignInOptions
| Ao definir SignInOptions para… | Ou seja | Este é o efeito nos usuários |
|---|---|---|
|
0 |
Conta da Microsoft ou ID da organização |
Os utilizadores podem iniciar sessão para aceder a conteúdos do Office com a respetiva conta Microsoft ou uma conta atribuída pela organização. |
|
1 |
Apenas conta da Microsoft |
Os usuários podem fazer o logon apenas usando sua conta da Microsoft . |
|
2 |
Apenas organização |
Os utilizadores têm de iniciar sessão com o ID de utilizador atribuído pela organização. Podem utilizar um ID de utilizador no Microsoft Entra ID ou um ID de utilizador nos Serviços de Domínio do Active Directory (AD DS) no Windows Server. |
|
3 |
Somente AD DS |
Os usuários apenas podem entrar usando uma ID de usuário no AD DS (Serviços de Domínio do Active Directory) do Windows Server. |
|
4 |
Nenhum é permitido |
Os usuários não podem entrar com IDs. |
Se desativar ou não configurar a definição Bloquear início de sessão no Office , a predefinição é 0, o que significa que os utilizadores podem iniciar sessão com a respetiva conta Microsoft ou uma que seja atribuída pela sua organização.
Utilizar uma definição de registo para impedir que um utilizador se ligue aos recursos do Office 2016 na Internet
Por predefinição, o Office 2016 dá aos utilizadores acesso a ficheiros do Office 2016 que residem na Internet. É possível alterar esta configuração para que um usuário não possa ver estes recursos.
Para permitir ou impedir que um utilizador se ligue aos recursos da Internet do Office 2016
No Editor de Registro, navegue para:
Computer\HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Common\Internet\UseOnlineContent
Defina UseOnlineContent como um dos seguintes valores:
Valores UseOnlineContent do Office 2016
| Valor UseOnlineContent | Value type | Descrição |
|---|---|---|
| 0 |
DWORD |
Não permitir que o utilizador aceda aos recursos do Office 2016 na Internet. |
| 1 |
DWORD |
Permitir que o utilizador opte por aceder aos recursos do Office 2016 na Internet. |
| 2 |
DWORD |
(Predefinição) Permite que o utilizador aceda aos recursos do Office 2016 na Internet. |
Eliminar o Perfil do Office e as credenciais associadas a uma identidade de início de sessão removida
Quando um utilizador inicia sessão numa aplicação do Office com o ID da conta Microsoft ou o ID da organização, o sistema cria um perfil e credenciais do Office correspondentes para essa identidade no registo. A página de início de sessão fornece ao utilizador a opção de remover essa identidade. Esta opção encontra-se imediatamente abaixo de "Não é o seu nome?" pergunta, perto do avatar ou fotografia e nome do utilizador. Se os utilizadores decidirem remover uma das opções de identidade, esta será removida da página de início de sessão. No entanto, o perfil e as credenciais do Office correspondentes permanecem na cache por um curto período de tempo. Se manter informações na cache criar um risco de segurança, por exemplo, quando um utilizador sai da sua organização, elimine imediatamente essa definição de perfil do Office do registo.
Para excluir um perfil do Office que ainda pode estar em cache
No Editor de Registro, navegue para:
HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Common\Identity\Identities
Selecione o perfil do Office que pretende eliminar e, em seguida, selecione Eliminar.
Da seção Identidade, navegue para o nó Perfis, escolha a mesma identidade, abra o menu de atalho (clique com o botão direito do mouse) e escolha Excluir.