配置你的公司品牌

创建当用户登录到你组织的使用 Azure Active Directory (Azure AD) 作为标识提供者的基于 Web 的应用(例如 Microsoft 365)时一致的体验。 登录过程可以包含你的公司徽标和基于浏览器语言的自定义体验。

许可要求

添加自定义品牌并配置“使我保持登录状态”(KMSI) 选项需要以下许可证之一:

  • Azure AD Premium 1
  • Azure AD Premium 2
  • Office 365(对于 Office 应用)
  • Microsoft 365(仅 KMSI)

在中国,使用 Azure AD 全球实例的客户可以使用 Azure AD Premium 版本。 中国区 21Vianet 运营的 Azure 服务目前不支持 Azure AD Premium 版本。 有关许可和版本的详细信息,请参阅注册 Azure AD Premium

自定义默认登录体验

可以自定义当用户登录到组织的特定于租户的应用(例如 https://outlook.com/woodgrove.com)时或当传递域变量(例如 https://passwordreset.activedirectory.windowsazure.cn/?whr=woodgrove.com)时的登录体验。

用户登录后会显示自定义品牌。 在 www.office.com 等网站中启动登录过程的用户看不到品牌。 在用户登录后,品牌可能需要至少 15 分钟才能显示。

所有品牌元素都是可选的。 如果不做任何更改,默认设置将保持不变。 例如,如果你指定没有背景图像的横幅徽标,则登录页面将使用来自目标网站(例如 Microsoft 365)的默认背景图像显示你的徽标。 此外,登录页面品牌不会带到个人 Microsoft 帐户。 如果你的用户或来宾使用个人 Microsoft 帐户登录,则登录页面不会反映出你组织的品牌。

图像有不同的图像和文件大小要求。 记下每个选项的要求。 你可能需要使用照片编辑器来创建大小合适的图像。 所有图像的首选图像类型为 PNG,但也接受 JPG。

  1. 使用目录的全局管理员帐户登录到 Azure 门户

  2. 转到“Azure Active Directory”>“公司品牌”>“配置”。

  3. 在“配置公司品牌”页面上,提供以下任意或全部信息

    配置公司品牌页面,其中常规设置已完成

    • 语言 第一个自定义品牌配置的语言基于默认区域设置,无法更改。 创建默认登录体验后,可以添加特定于语言的自定义品牌。

    • 登录页面背景图像 选择要显示为你的登录页面背景的 PNG 或 JPG 图像文件。 图像将固定在浏览器中心,并缩放为可查看空间的大小。

      建议使用没有强主题焦点的图像。 屏幕中心将出现一个不透明的白色框,该框可能会根据可查看空间的尺寸覆盖图像的任何部分。

    • 横幅徽标 选择在用户在“我的应用”门户页面上输入用户名后要显示在登录页面上的徽标的 PNG 或 JPG 版本。

      建议使用透明图像,因为背景可能与你的徽标背景不匹配。 我们还建议不要在图像周围添加填充,否则可能会使徽标看起来很小。

    • 用户名提示 键入提示文本,如果用户忘记了他们的用户名将会向他们显示此提示文本。 此文本必须是 Unicode,不带链接或代码,且不能超过 64 个字符。 如果访客登录到应用,我们建议不添加此提示。

    • 登录页面文本 键入显示在登录页面底部的文本。 可使用此文本传达其他信息,例如技术支持的电话号码或法律声明。 此文本必须为 Unicode,并且不能超过 1024 个字符。

      若要开始新段落,请使用两次 Enter 键。 还可以更改文本格式以包括粗体、斜体、下划线或可单击的链接。 使用以下语法向文本添加格式:

      超链接:[text](link)

      粗体:**text**__text__

      斜体:*text*_text_

      下划线:++text++

    重要

    添加到登录页面文本的超链接在原生环境(例如桌面和移动应用程序)中呈现为文本。

  • 高级设置

    配置公司品牌页面,其中高级设置已完成

    • 登录页面背景色 指定在低带宽连接的情况下替代背景图像显示的十六进制颜色 (#FFFFFF)。 我们建议使用横幅徽标的主颜色或组织的颜色。

    • 方形徽标图像 选择要在新 Windows 10 企业版设备的安装过程中显示的组织徽标的 PNG 或 JPG 图像。 此图像仅用于 Windows 身份验证,并且仅显示在使用 Windows Autopilot 进行部署的租户上;或者在其他 Windows 10 体验中用于密码输入页面。 在某些情况下,它也可能出现在“同意”对话框中。

      我们建议使用透明图像,因为背景可能与徽标背景不匹配。 我们还建议不要在图像周围添加填充,否则可能会使徽标看起来很小。

    • 方形徽标图像,深色主题 与上面的方形徽标图像相同。 当在深色背景下使用(例如在开箱即用体验 (OOBE) 中使用已加入 Windows 10 Azure AD 的屏幕)时,此徽标图像取代方形徽标图像。 如果徽标在白色、深蓝色和黑色背景上看起来不错,则无需添加此图像。

    重要

    方形徽标图像支持透明徽标。 透明徽标中使用的调色板可能与使用方形徽标图像的 Microsoft 365 应用和服务中所用的背景(例如白色、浅灰色、深灰色和黑色背景)冲突。 可能需要使用纯色背景来确保在所有情况下都能正确呈现方形图像徽标。

    • 显示保持登录状态的选项 你可以选择让用户保持登录到 Azure AD,直到明确注销。如果取消选中此选项,用户在每次关闭并重新打开浏览器时必须登录。 本文中了解“保持登录状态?”提示的这一部分详细介绍了此功能。
  1. 在完成添加你的品牌后,选择配置面板左上角的“保存”。

    此过程将创建你的第一个自定义品牌配置,并且此配置将成为你的租户默认配置。 默认的自定义品牌配置可作为回退选项应用于所有特定于语言的品牌配置。 创建配置后无法将其删除。

    重要

    要向租户添加更多公司品牌配置,你必须在“Contoso - 公司品牌”页面上选择“新语言”。 这将打开“配置公司品牌”页面,你可以按照上述相同步骤进行操作

按浏览器语言自定义登录体验

若要为所有用户创建非独占体验,可以根据浏览器语言自定义登录体验。 必须首先创建默认的自定义品牌体验,然后才能添加新语言。

  1. 使用目录的全局管理员帐户登录到 Azure 门户

  2. 选择“Azure Active Directory”>“公司品牌”>“+ 新语言”。

自定义体验的过程与默认登录体验相同,只不过你需要从下拉列表中选择“语言”。

建议使用所选的语言添加“登录页面文本”。

编辑自定义品牌元素

如果已将自定义品牌添加到你的租户,则可以编辑所提供的详细信息。 请参阅本文中添加自定义品牌的这一部分中每个设置的详细信息和说明。

  1. 使用目录的全局管理员帐户登录到 Azure 门户

  2. 转到“Azure Active Directory”>“公司品牌”。

  3. 从列表中选择一个自定义品牌项。

  4. 在“编辑公司品牌”页面上,编辑任何必要的详细信息。

  5. 选择“保存”。

    最长可能需要一个小时才能显示用户对登录页的品牌元素所做的任何更改。

了解“保持登录状态?” prompt

在用户成功登录后将显示“保持登录状态?”提示。 此过程称为“使我保持登录状态”(KMSI)。 如果用户对此提示的回答为“是”,则 KMSI 服务向用户提供永久刷新令牌。 对于联合租户,此提示在使用联合标识服务成功进行身份验证后显示。

下图显示了使用 KMSI 提示的托管租户和联合租户的用户登录流。 该流包含智能逻辑,如果机器学习系统检测到高风险登录或来自共享设备的登录,就不会显示“保持登录状态?”选项。

KMSI 仅适用于默认自定义品牌。 无法将它添加到特定于语言的品牌。 SharePoint Online 和 Office 2010 的某些功能取决于用户能否选择保持登录状态。 如果取消选中“显示保持登录状态的选项”选项,则用户在登录过程中可能会看到其他的意外提示。

显示托管与联合租户的用户登录流的图示

对于使用 KMSI 服务,请参阅许可证要求部分。

排查“保持登录状态?” issues

如果用户没有针对“保持登录状态?”提示进行操作而是舍弃了登录提示,则在 Azure AD“登录”页面中将显示一个登录日志条目。 用户看到的提示称为“中断”。

“保持登录状态?”提示的示例

可以在 Azure AD 中的“登录日志”中找到登录错误的详细信息。 从列表中选择受影响的用户,并在“基本信息”部分中找到下面的详细信息。

  • 登录错误代码:50140
  • 失败原因:此错误是由于用户登录时出现“使我保持登录状态”中断而发生的。

你可以通过在高级品牌设置中将“显示保持登录状态的选项”设置为“否”来阻止用户看到中断信息 。 对于 Azure AD 目录中的所有用户,此设置会禁用 KMSI 提示。

你还可以使用条件访问中的持久性浏览器会话控制来防止用户看到 KMSI 提示。 此选项使你能够对选择的用户组(例如全局管理员)禁用 KMSI 提示,而不会影响目录中其他人员的登录行为。

为了确保 KMSI 提示只在有益于用户的情况下显示,在以下情况下我们有意不显示 KMSI 提示:

  • 用户通过无缝 SSO 和集成 Windows 身份验证 (IWA) 登录
  • 用户是通过 Active Directory 联合身份验证服务和 IWA 登录的
  • 用户是租户中的来宾
  • 用户的风险评分高
  • 登录发生在用户或管理员同意流期间
  • 持久性浏览器会话控制在条件访问策略中配置

后续步骤