Identidad, autenticación y autorización en Office 2016
Resumen: Describe la autenticación de Office 2016, los tipos de inicio de sesión y cómo usar la configuración del Registro para determinar qué identidades de usuario se ofrecen en el inicio de sesión de usuario.
Las aplicaciones de Office se usan para actividades empresariales y no comerciales. Durante el día, una persona podría usar Excel para analizar los números de ventas de widget de Q2, dividiéndolos por cada día. Por la noche, el mismo individuo podría cambiar a las estadísticas de la Copa Mundial en Excel. Del mismo modo, podrían usar Word para redactar especificaciones del producto durante el horario laboral y, a continuación, cambiar a escribir historias cortas en su tiempo libre. Office es una herramienta versátil que usan los usuarios en diferentes roles. Para dar cabida a esto, Office 2016 permite a los usuarios iniciar sesión con dos identidades independientes:
Una cuenta de Microsoft, que la mayoría de las personas usan para empresas personales
Identificador de organización asignado por Microsoft, que la mayoría de las personas usan al hacer trabajo para una organización, como una empresa, una organización benéfica o una escuela.
Las credenciales usadas para iniciar sesión se reconocen como identificación personal o identificación de la organización. Esa identidad de inicio de sesión se convierte en el "dominio principal" del usuario y determina a qué documentos tiene acceso el usuario en SharePoint, OneDrive u Office 365 Services para una sesión específica. Cada identidad de inicio de sesión única se guarda en una lista usada más recientemente para que sea fácil cambiar entre identidades sin salir de la experiencia de Office.
Para mayor comodidad, los usuarios pueden optar por montar un servicio de documentos en línea en sus identidades para facilitar el acceso. Por ejemplo, un OneDrive personal se puede montar en una identidad de organización para que se pueda acceder a documentos personales en el trabajo o la escuela sin cambiar nunca las identidades. Además, cuando un usuario se autentica mediante una identidad, esta autenticación es válida para todas las aplicaciones de Office, no solo para la aplicación en la que inició sesión.
La buena noticia es que todas estas características solo funcionan para los usuarios, de forma predeterminada y de forma inmediata.
Protocolos de autenticación de Office
En Office, los usuarios se autentican mediante la autenticación de Forms-Based (FBA), la autenticación integrada de Windows (WIA) o la autenticación de inclusión del lado del servidor de Passport (SSI), también conocida como "Passport Tweener". En Office 2016, todavía puede usar FBA o WIA, pero en lugar de SSI, ahora usamos el nuevo estándar abierto basado en tokens Open Authorization 2.0 (OAuth 2.0). Consulte la tabla siguiente para obtener información general sobre los protocolos de autenticación que puede usar con Office.
Protocolos de autenticación de Office
Versión de Office de cliente | Protocolo de autenticación | Servidor |
---|---|---|
Office 2010, Office 2013, Office 2016 |
Autenticación basada en formularios (FBA). La autenticación basada en formularios usa la redirección del lado cliente para reenviar usuarios no autenticados a un formulario HTML donde pueden especificar sus credenciales. Después de validarlas, se redirecciona a los usuarios a los recursos que solicitaron. |
SharePoint Online |
Office 2010, Office 2013, Office 2016 |
Autenticación integrada de Windows (WIA). Esto se negocia, como ocurre con el protocolo Kerberos o NTLM. En este escenario, el sistema operativo proporciona la autenticación. |
SharePoint 2010, SharePoint 2013, SharePoint 2016 |
Office 2010, Office 2013, Office 2016 |
Autenticación SSI o Passport Tweener. Cuando un usuario proporciona credenciales de Windows Live ID o una cuenta Microsoft, el servicio Windows Live ID devuelve un "vale" de pasaporte que el cliente usa para acceder a los servicios de Windows Live. |
OneDrive |
Office 2013, Office 2016 |
Open Authorization 2.0 (OAuth 2.0). OAuth 2.0 proporciona una autorización temporal, basada en el redireccionamiento. Los usuarios de aplicaciones web que actúen en representación de otro usuario pueden solicitar autorización para tener acceso, de forma temporal, a recursos de red especificados de un propietario de recursos. Para obtener más información, vea OAuth 2.0. |
OneDrive |
Office 2013, Office 2016 |
Asistente de inicio de sesión de Microsoft Online Services. Microsoft Online Services Sign-In Assistant proporciona funcionalidades de inicio de sesión de usuario final a Microsoft Online Services, como Office 365. Para obtener más información sobre el Asistente de inicio de sesión de Microsoft Online Services y el profesional de TI, consulte Microsoft Online Services Sign-In Assistant for IT Professionals RTW. La descarga se realiza para la distribución a sistemas cliente administrados como parte de una implementación de cliente de Office 365, mediante Microsoft Configuration Manager o sistemas de distribución de software similares. |
Servicios de Office 365 |
Tipos de inicio de sesión en Office 2016
Office 2016 admite dos tipos de inicios de sesión para los usuarios: una cuenta microsoft o un identificador de organización asignado por Microsoft.
Cuenta Microsoft (cuenta individual del usuario). Esta cuenta, anteriormente denominada Microsoft ID, es la credencial que los usuarios necesitan autenticarse con la red de Microsoft. Se usa para tareas personales o no laborales, como el trabajo voluntario. Para crear una cuenta de Microsoft, un usuario proporciona un nombre de usuario y una contraseña, cierta información demográfica y "pruebas de cuenta", como una dirección de correo electrónico o un número de teléfono alternativos.
Un identificador de organización asignado por el identificador de cuenta Microsoft / Office 365, asignado a su vez por Microsoft. Esta cuenta se crea para emplearla en el negocio. Una cuenta de Office 365 puede ser uno de tres tipos: un identificador puro de Office 365, un identificador de Active Directory o un identificador de servicios de federación de Active Directory.
Identificador de Office 365. El identificador de Office 365 se crea cuando un administrador configura un dominio de Office 365 y toma el formato <user>@<org.onmicrosoft.com>, por ejemplo:
sally@contoso.onmicrosoft.com
Identificador de organización asignado por Microsoft que se valida con el identificador de Active Directory de un usuario.
En primer lugar, una persona que tiene un [dominio local]\<cuenta de usuario> intenta acceder a los recursos de la organización.
Después, el recurso solicita que el usuario se autentique.
Luego, el usuario escribe su nombre de usuario de la organización y la contraseña.
Por último, el nombre de usuario y la contraseña se validan comparándolos con la base de datos AD de la organización, se autentica al usuario y se le da acceso al recurso solicitado.
- Identificador de organización asignado por Microsoft y validado con el identificador de servicios de federación de Active Directory (AD FS) de un usuario.
Primero, una persona que tiene un org.onmicrosoft.com intenta obtener acceso a los recursos de la organización asociada.
Después, el recurso solicita que el usuario se autentique.
Luego, el usuario escribe su nombre de usuario de la organización y la contraseña.
A continuación, ese nombre de usuario y contraseña se validan en la base de datos de AD DS de la organización.
Por último, ese mismo nombre de usuario y contraseña se pasan a la base de datos de AD DS federada del asociado, se autentica el usuario y se le da acceso al recurso solicitado.
Para los recursos locales, Office 2016 usa el nombre de usuario domain\alias para la autenticación. Para los recursos federados, Office 2016 usa el nombre de usuario para la alias@org.onmicrosoft.com autenticación.
Usar la configuración del Registro para determinar qué tipos de identificador ofrecer a un usuario al iniciar sesión
De forma predeterminada, Office 2016 está configurado con claves del Registro. Estas claves muestran el identificador de cuenta de Microsoft del usuario y el identificador de organización asignados por Microsoft cuando un usuario intenta acceder a un recurso de Office 2016. Sin embargo, puede cambiar esta configuración para que solo se muestre la cuenta Microsoft, su identificador de organización o ninguno de ellos. Esta configuración se cambia en el Registro del equipo.
Para cambiar los tipos de inicio de sesión de Office 2016 que se ofrecen al usuario
En el editor del Registro, vaya a:
HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Common\SignIn\SignInOptions
Establezca el valor de SignInOptions en uno de los valores de la tabla siguiente. El tipo de la opción SignInOptions es DWORD.
Configuración de SignInOptions
Si establece SignInOptions en… | Significa | Este es el efecto en los usuarios |
---|---|---|
0 |
Cuenta Microsoft o id. de la organización |
Los usuarios pueden iniciar sesión para acceder al contenido de Office con su cuenta Microsoft o una cuenta asignada por su organización. |
1 |
Solo la cuenta de Microsoft |
Los usuarios pueden iniciar sesión solo con la cuenta de Microsoft. |
2 |
Solo la organización |
Los usuarios deben iniciar sesión con el identificador de usuario asignado por su organización. Pueden usar un identificador de usuario en Microsoft Entra ID o un identificador de usuario en Active Directory Domain Services (AD DS) en Windows Server. |
3 |
Solo AD DS |
Los usuarios pueden iniciar sesión solo con un identificador de usuario en Servicios de dominio de Active Directory (AD DS) en Windows Server. |
4 |
Ninguno permitido |
Los usuarios no pueden iniciar sesión con ningún identificador. |
Si deshabilita o no configura la opción Bloquear inicio de sesión en Office , la configuración predeterminada es 0, lo que significa que los usuarios pueden iniciar sesión con su cuenta Microsoft o con una asignada por su organización.
Uso de una configuración del Registro para evitar que un usuario se conecte a recursos de Office 2016 en Internet
De forma predeterminada, Office 2016 proporciona a los usuarios acceso a los archivos de Office 2016 que residen en Internet. Puede cambiar esta configuración para que los usuarios no puedan ver esos recursos.
Para permitir o impedir que un usuario se conecte a los recursos de Internet de Office 2016
En el editor del Registro, vaya a:
Computer\HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Common\Internet\UseOnlineContent
Establezca UseOnlineContent en uno de los siguientes valores:
Valores de UseOnlineContent de Office 2016
Valor UseOnlineContent | Tipo de valor | Descripción |
---|---|---|
0 |
DWORD |
No permita que el usuario acceda a los recursos de Office 2016 en Internet. |
1 |
DWORD |
Permitir que el usuario opte por acceder a los recursos de Office 2016 en Internet. |
2 |
DWORD |
(Valor predeterminado) Permite al usuario acceder a los recursos de Office 2016 en Internet. |
Elimine el perfil de Office y las credenciales asociados a una identidad de inicio de sesión eliminada.
Cuando un usuario inicia sesión en una aplicación de Office con su identificador de cuenta de Microsoft o su identificador de organización, el sistema crea un perfil de Office y credenciales coincidentes para esa identidad en el Registro. La página de inicio de sesión proporciona al usuario la opción de quitar esa identidad. Esta opción se encuentra justo debajo de "No es tu nombre". pregunta, cerca del avatar del usuario o foto y nombre. Si los usuarios deciden quitar una de sus opciones de identidad, se quita de la página de inicio de sesión. Sin embargo, el perfil y las credenciales de Office correspondientes permanecen en la memoria caché durante un breve período de tiempo. Si mantener información en la memoria caché crea un riesgo de seguridad, por ejemplo, cuando un usuario deja la organización, elimine inmediatamente esa configuración de perfil de Office del Registro.
Para eliminar un perfil de Office que pueda seguir estando en caché
En el editor del Registro, vaya a:
HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Common\Identity\Identities
Elija el perfil de Office que desea eliminar y, a continuación, elija Eliminar.
En el subárbol Identity, vaya al nodo Profiles, elija esa identidad, abra el menú contextual (haciendo clic con el botón secundario) y seleccione Eliminar.