适用范围

介绍 帐户：阻止 Microsoft 帐户 安全策略设置的最佳做法、位置、值、管理和安全注意事项。

重要提示

在 Windows 10 版本 1703 及更高版本中，此策略不再有效，因为添加 Microsoft 帐户的过程已更改。 对于Windows 10版本 1703 及更高版本，请使用“计算机配置\管理模板\Windows 组件\Microsoft 帐户”下的“阻止所有使用者 Microsoft 用户帐户身份验证”策略，而不是使用此策略。

此设置阻止使用 “设置” 应用添加 Microsoft 帐户进行单一登录 (SSO) Microsoft 服务和某些后台服务的身份验证，或使用 Microsoft 帐户对其他应用程序或服务进行单一登录。 有关详细信息，请参阅 Microsoft 帐户。

如果启用此设置，则有两个选项：

用户无法添加 Microsoft 帐户 意味着现有连接的帐户仍可以登录到设备 (并显示在登录屏幕上) 。 但是，用户无法使用 “设置” 应用来添加新的已连接帐户 (或) 将本地帐户连接到 Microsoft 帐户。

用户无法使用 Microsoft 帐户添加或登录 意味着用户无法添加新的连接帐户 (或将本地帐户连接到 microsoft 帐户) 或通过 “设置”使用现有连接帐户。

如果禁用或未配置此策略 (建议) ，用户将能够将 Microsoft 帐户与 Windows 配合使用。

默认情况下，此设置未在域控制器上定义，在独立服务器上禁用。

计算机配置\Windows 设置\安全设置\本地策略\安全选项

下表列出了此策略的实际和有效的默认值。 默认值也列在策略的属性页上。

本部分介绍了可用于帮助管理此策略的功能和工具。

无。 当在本地保存或通过组策略分发对此策略进行的更改时，这些更改无需重启设备即可立即生效。

本部分介绍攻击者如何利用某个功能或其配置、如何实施对策，以及实现对策的可能负面后果。

虽然 Microsoft 帐户受密码保护，但它们也有可能在企业外部进行更大的曝光。 此外，如果 Microsoft 帐户的所有者不容易区分，审核和取证将变得更加困难。

通过限制 Microsoft 帐户的使用，在企业中仅需要域帐户。 单击“ 用户无法添加 Microsoft 帐户 ”设置选项，以便用户无法在设备上创建新的 Microsoft 帐户、将本地帐户切换到 Microsoft 帐户或将域帐户连接到 Microsoft 帐户。

在组织中建立对帐户的更大控制可以为你提供更安全的管理功能，包括密码重置过程。

安全选项