Kommentar
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Förstå hur ett Microsoft-konto fungerar för att förbättra säkerheten och sekretessen för användare och hur du kan hantera typer av konsumentkonton i din organisation.
Vad är ett Microsoft-konto?
Microsofts webbplatser, tjänster, egenskaper och datorer som kör Windows 10 kan använda ett Microsoft-konto som ett sätt att identifiera en användare. Ett Microsoft-konto kallades tidigare ett Windows Live-ID. Ett Microsoft-konto har användardefinierade hemligheter och består av en unik e-postadress och ett lösenord.
När en användare loggar in med ett Microsoft-konto är enheten ansluten till molntjänster. Användaren kan dela många av sina inställningar, inställningar och appar på olika enheter.
Så här fungerar ett Microsoft-konto
En användare kan använda ett Microsoft-konto för att logga in på webbplatser som stöder den här tjänsten med hjälp av en enda uppsättning autentiseringsuppgifter. En användares autentiseringsuppgifter verifieras av en Microsoft-kontoautentiseringsserver som är associerad med en webbplats. Microsoft Store är ett exempel på den här associationen. När en ny användare loggar in på en webbplats som har aktiverats för att använda Microsoft-konton omdirigeras användaren till närmaste autentiseringsserver, som ber om ett användarnamn och lösenord. Windows använder Schannel Security Support Provider för att öppna en TLS/SSL-anslutning (Transport Level Security/Secure Sockets Layer) för den här funktionen. Användare har möjlighet att använda Credential Manager för att lagra sina autentiseringsuppgifter.
När en användare loggar in på en webbplats som har aktiverats för att använda ett Microsoft-konto installeras en tidsbegränsad cookie på datorn. Cookien innehåller en trippel-DES-krypterad ID-tagg. Den krypterade ID-taggen har överenskommits mellan autentiseringsservern och webbplatsen. ID-taggen skickas till webbplatsen och webbplatsen placerar en annan tidsbegränsad krypterad HTTP-cookie på användarens dator. Även om cookien är giltig behöver användaren inte ange ett användarnamn och lösenord. Om en användare aktivt loggar ut från sitt Microsoft-konto tas dessa cookies bort.
Note
Lokal Windows-kontofunktion är fortfarande ett alternativ som du kan använda i en hanterad miljö.
Så här skapas ett Microsoft-konto
För att förhindra bedrägeri verifierar Microsoft-systemet en användares IP-adress när användaren skapar ett Microsoft-konto. En användare som försöker skapa flera Microsoft-konton med samma IP-adress stoppas från att skapa fler konton. Microsoft-konton är inte utformade för att skapas i batchar, till exempel för en grupp domänanvändare i företaget.
För att skapa ett Microsoft-konto har en användare två alternativ:
Använd en befintlig e-postadress. Användaren kan använda sin giltiga e-postadress för att registrera sig för ett Microsoft-konto. Tjänsten omvandlar den begärande användarens e-postadress till ett Microsoft-konto. Användaren kan välja ett separat lösenord som ska användas för Microsoft-kontot.
Registrera dig för en Microsoft-e-postadress. En användare kan registrera sig för ett e-postkonto via Microsofts webbmailtjänster. Användaren kan använda kontot för att logga in på webbplatser som är aktiverade för att använda Microsoft-konton.
Så här skyddas Microsoft-kontoinformation
Information om autentiseringsuppgifter krypteras två gånger. Den första krypteringen baseras på kontolösenordet. Autentiseringsuppgifter krypteras igen när de skickas via Internet. De lagrade autentiseringsuppgifterna är inte tillgängliga för andra Microsoft-tjänster eller andra tjänster än Microsoft.
Ett starkt lösenord krävs. Tomma lösenord tillåts inte.
Mer information finns i Så här skyddar du ditt Microsoft-konto.
Sekundärt identitetsbevis krävs. Innan en användare kan komma åt information och inställningar för användarprofiler på en andra Windows-dator som stöds för första gången måste förtroende upprättas för den enheten. För att upprätta förtroende måste användaren tillhandahålla sekundärt identitetsbevis. Användaren kan bevisa sin identitet genom att ange en kod som skickas till ett mobiltelefonnummer eller genom att följa anvisningarna som skickas till en alternativ e-postadress som en användare anger i kontoinställningarna.
Alla användarprofildata krypteras på klienten innan de överförs till molnet. Användardata överförs inte över ett trådlöst bredbandsnätverk som standardinställning för att profildata ska skyddas. Alla data och inställningar som lämnar en enhet överförs via TLS/SSL-protokollet.
Säkerhetsinformation för Microsoft-konto
En användare kan lägga till säkerhetsinformation till sitt Microsoft-konto via gränssnittet Konton på datorer som kör versioner av Windows som stöds. I Konton kan användaren uppdatera säkerhetsinformationen som de angav när de skapade sitt konto. Den här säkerhetsinformationen innehåller en alternativ e-postadress eller ett telefonnummer så att en verifieringskod kan skickas för att verifiera deras identitet om lösenordet komprometteras eller glöms bort. En användare kan potentiellt använda sitt Microsoft-konto för att lagra företagsdata i en personlig OneDrive- eller e-postapp. En säker metod är att kontoägaren behåller den här säkerhetsinformationen up-to-date.
Microsoft-konton i företaget
Även om Microsoft-kontot har utformats för att betjäna konsumenter kan du ha situationer där dina domänanvändare kan dra nytta av sina personliga Microsoft-konton i ditt företag. I följande lista beskrivs några fördelar:
Ladda ned Microsoft Store-appar. Om ditt företag väljer att distribuera appar eller programvara via Microsoft Store kan en företagsanvändare använda ett Microsoft-konto för att ladda ned och använda apparna på upp till fem enheter som kör valfri version av Windows 10, Windows 8.1, Windows 8 eller Windows RT.
Enkel inloggning. En företagsanvändare kan använda Microsoft-kontoautentiseringsuppgifter för att logga in på enheter som kör Windows 10, Windows 8.1, Windows 8 eller Windows RT. I det här scenariot fungerar Windows med din Microsoft Store-app för att tillhandahålla en autentiserad upplevelse i appen. En användare kan associera ett Microsoft-konto med sina inloggningsuppgifter för Microsoft Store-appar eller webbplatser så att dessa autentiseringsuppgifter flyttas över alla enheter som kör dessa versioner som stöds.
Synkronisering av anpassade inställningar. En användare kan associera sina vanligaste operativsysteminställningar med ett Microsoft-konto. De här inställningarna är tillgängliga när en användare loggar in med det kontot på alla enheter som kör en version av Windows som stöds och som är ansluten till molnet. När en användare har loggat in försöker enheten automatiskt hämta användarens inställningar från molnet och tillämpa dem på enheten.
Appsynkronisering. Microsoft Store-appar kan lagra användarspecifika inställningar så att de här inställningarna är tillgängliga för alla enheter. Precis som med inställningarna för operativsystemet är dessa användarspecifika appinställningar tillgängliga när användaren loggar in med samma Microsoft-konto på alla enheter som kör en version av Windows som stöds och som är ansluten till molnet. När användaren har loggat in laddar enheten automatiskt ned inställningarna från molnet och tillämpar dem när appen installeras.
Integrerade sociala medietjänster. Kontaktinformation och status för en användares vänner och medarbetare förblir automatiskt up-todatum från webbplatser som Outlook, Facebook, Twitter och LinkedIn. En användare kan också komma åt och dela foton, dokument och andra filer från webbplatser som OneDrive, Facebook och Flickr.
Hantera Microsoft-konton i domänen
Beroende på dina IT- och affärsmodeller kan introduktionen av Microsoft-konton i företaget öka komplexiteten eller så kan det ge lösningar. Du bör ta hänsyn till följande innan du tillåter användning av dessa kontotyper i företaget:
Begränsa användningen av Microsoft-konton
Följande grupprincipinställningar hjälper dig att styra användningen av Microsoft-konton i företaget:
Appar och tjänster: Blockera Användarautentisering för Microsoft-konto
Den här inställningen styr om en användare kan ange ett Microsoft-konto för autentisering för en app eller tjänst.
Om den här inställningen är aktiverad hindras alla appar och tjänster på en enhet från att använda ett Microsoft-konto för autentisering. Den här inställningen gäller både för befintliga enhetsanvändare och för alla nya användare.
Alla appar eller tjänster som redan har autentiserat en användare som använde ett Microsoft-konto påverkas inte av att aktivera den här inställningen förrän autentiseringscacheminnet upphör att gälla. Vi rekommenderar att du aktiverar den här inställningen innan någon användare loggar in på en enhet för att förhindra cachelagrade token från att autentisera ett Microsoft-konto.
Om den här inställningen är inaktiverad eller inte konfigurerad kan appar och tjänster använda ett Microsoft-konto för autentisering. Den här inställningen är inaktiverad som standard.
Den här inställningen påverkar inte om en användare kan logga in på en enhet med hjälp av ett Microsoft-konto eller en användares möjlighet att tillhandahålla ett Microsoft-konto via webbläsaren för autentisering med en webbaserad app.
Sökvägen till den här inställningen är Datorkonfiguration\Administrativa mallar\Windows-komponenter\Microsoft-konto.
Konton: Blockera Microsoft-konton
Den här inställningen förhindrar användning av appen Inställningar för att lägga till ett Microsoft-konto för enkel inloggningsautentisering för Microsoft-tjänster och vissa bakgrundstjänster eller med ett Microsoft-konto för enkel inloggning till andra appar eller tjänster.
Om den här inställningen är aktiverad har en användare två alternativ:
Användaren kan inte lägga till ett Microsoft-konto. Befintliga anslutna konton kan fortfarande logga in på enheten (och de visas på inloggningssidan ). En användare kan dock inte använda appen Inställningar för att lägga till ett nytt anslutet konto eller för att ansluta ett lokalt konto till ett Microsoft-konto.
Användaren kan inte lägga till eller logga in med ett Microsoft-konto. En användare kan inte lägga till ett nytt anslutet konto (eller ansluta ett lokalt konto till ett Microsoft-konto) eller använda ett befintligt anslutet konto via Inställningar.
Den här inställningen påverkar inte att lägga till ett Microsoft-konto för appautentisering. Om den här inställningen till exempel är aktiverad kan en användare fortfarande tillhandahålla ett Microsoft-konto för autentisering med en app som E-post, men användaren kan inte använda Microsoft-kontot för enkel inloggningsautentisering för andra appar eller tjänster. För andra appar och tjänster uppmanas användaren att autentisera.
Den här inställningen är inte konfigurerad som standard.
Sökvägen till den här inställningen är Datorkonfiguration\Windows-inställningar\Säkerhetsinställningar\Lokala principer\Säkerhetsalternativ.
Konfigurera anslutna konton
En användare kan ansluta ett Microsoft-konto till sitt domänkonto och synkronisera inställningarna och inställningarna mellan kontona. Genom att synkronisera inställningar och inställningar mellan konton ser användaren samma skrivbordsbakgrund, appinställningar, webbläsarhistorik och favoriter och andra Microsoft-kontoinställningar på sina andra enheter.
Koppla från ett anslutet konto
En användare kan när som helst koppla från ett Microsoft-konto från sitt domänkonto: I datorinställningarna väljer du Användare>Koppla från>Slutför.
Note
Att ansluta ett Microsoft-konto till ett domänkonto kan begränsa åtkomsten till vissa högprivilegierade uppgifter i Windows. Schemaläggaren utvärderar till exempel det anslutna Microsoft-kontot för åtkomst och misslyckas. I det här scenariot bör kontoägaren koppla bort kontot.
Etablera Microsoft-konton i företaget
Ett Microsoft-konto är ett privat användarkonto. Microsoft tillhandahåller inte något sätt att etablera Microsoft-konton för ett företag. Företag bör använda domänkonton.
Granska kontoaktivitet
Eftersom ett Microsoft-konto är internetbaserat kan Windows inte granska ett Microsoft-konto om inte kontot är associerat med ett domänkonto. Du kan inte granska aktiviteten för konton som inte är associerade med din domän eftersom en användare kan koppla från kontot eller lämna domänen när som helst.
Återställ ett lösenord
Endast ägaren till ett Microsoft-konto kan ändra lösenordet som är kopplat till kontot. En användare kan ändra lösenordet för sitt Microsoft-konto i inloggningsportalen för Microsoft-kontot.
Begränsa appinstallation och användning
I din organisation kan du ange principer för programkontroll för att reglera appinstallation och användning för Microsoft-konton. Mer information finns i AppLocker och Paketerade appar och paketerade appinstallationsregler i AppLocker.