Co je samoobslužná registrace k Microsoft Entra ID?

Tento článek vysvětluje, jak pomocí samoobslužné registrace naplnit organizaci v Microsoft Entra ID, která je součástí Microsoft Entra. Pokud chcete převzít doménové jméno z nespravované organizace Microsoft Entra, viz Převzetí nespravovaného tenanta jako správce.

Proč používat samoobslužnou registraci?

• Zajistěte, aby se zákazníci rychleji dostali ke službám, které chtějí
• Vytvoření e-mailových nabídek pro službu
• Vytváření toků registrace založených na e-mailech, které uživatelům umožňují rychle vytvářet identity pomocí snadno zapamatovatelného pracovního e-mailového aliasu
• Samoobslužný tenant Microsoft Entra se dá převést na spravovaného tenanta, který se dá použít pro jiné služby.

Pojmy a definice

• samoobslužná registrace je metoda, pomocí které se uživatel zaregistruje ke cloudové službě a má pro ně automaticky vytvořenou identitu v Microsoft Entra ID na základě e-mailové domény.
• Nespravovaný tenant Microsoft Entra je tenant, ve kterém je tato identita vytvořena. Nespravovaný tenant je tenant, který nemá globálního správce.
• uživatel ověřený e-mailem je typ uživatelského účtu v Microsoft Entra ID. Uživatel, který má identitu vytvořenou automaticky po registraci samoobslužné nabídky, se označuje jako uživatel ověřený e-mailem. Uživatel ověřený e-mailem je běžný člen tenanta označeného creationmethod=EmailVerified.

Jak mohu ovládat samoobslužná nastavení?

Správci mají dnes dvě samoobslužné kontroly. Mohou ovládat, zda:

• Uživatelé se můžou k tenantovi připojit e-mailem.
• Uživatelé se můžou licencovat pro aplikace a služby.

Jak můžu tyto možnosti řídit?

Správce může tyto schopnosti nakonfigurovat pomocí následujícího cmdletu Microsoft Entra s parametrem Update-MgPolicyAuthorizationPolicy:

• allowEmailVerifiedUsersToJoinOrganization určuje, jestli se uživatelé můžou k tenantovi připojit ověřením e-mailu. Aby se uživatel mohl připojit, musí mít e-mailovou adresu v doméně, která odpovídá jedné z ověřených domén v tenantovi. Toto nastavení se použije pro všechny domény v rámci tenanta napříč celou společností. Pokud tento parametr nastavíte na $false, nemůže se k tenantovi připojit žádný uživatel ověřený e-mailem.
• allowedToSignUpEmailBasedSubscriptions ovládá schopnost uživatelů provádět samostatnou registraci. Pokud tento parametr nastavíte na $false, nebude moct samoobslužná registrace provádět žádný uživatel.

allowEmailVerifiedUsersToJoinOrganization a také allowedToSignUpEmailBasedSubscriptions jsou nastavení na úrovni tenanta, která lze použít u spravovaného nebo nespravovaného tenanta. Tady je příklad, kde:

• Tenanta spravujete s ověřenou doménou, jako je contoso.com
• K pozvání uživatele, který ještě neexistuje (userdoesnotexist@contoso.com) v domovském tenantovi contoso.com, používáte spolupráci B2B z jiného tenanta.
• Domovský tenant má zapnutou možnost allowedToSignUpEmailBasedSubscriptions.

Pokud jsou splněné předchozí podmínky, vytvoří se uživatel-člen v domovském tenantovi a uživatel typu host B2B se vytvoří v tenantovi, který zval.

Poznámka:

Uživatelé Office 365 for Education jsou aktuálně jedinými uživateli, kteří jsou přidaní do stávajících spravovaných tenantů, i když je tento přepínač povolený.

Další informace o registraci služby Flow a zkušební verze Power Apps najdete v následujících článcích:

• Jak můžu stávajícím uživatelům zabránit v používání Power BI?
• Proudění ve vaší organizaci – Q&A

Jak fungují ovládací prvky společně?

Tyto dva parametry lze použít ve spojení k definování přesnější kontroly nad samoobslužnou registraci. Následující příkaz například umožňuje uživatelům provádět samoobslužnou registraci, ale jenom v případě, že tito uživatelé už mají účet v MICROSOFT Entra ID (jinými slovy, uživatelé, kteří potřebují vytvoření e-mailového ověřeného účtu, nemůžou samoobslužnou registraci provést):

Import-Module Microsoft.Graph.Identity.SignIns
connect-MgGraph -Scopes "Policy.ReadWrite.Authorization"
$param = @{
 allowedToSignUpEmailBasedSubscriptions=$true
 allowEmailVerifiedUsersToJoinOrganization=$false
 }
Update-MgPolicyAuthorizationPolicy -BodyParameter $param

Následující vývojový diagram vysvětluje různé kombinace těchto parametrů a výsledné podmínky pro tenanta a samoobslužnou registraci.

Podrobnosti o tomto nastavení můžete načíst pomocí rutiny PowerShellu Get-MgPolicyAuthorizationPolicy. Pro více informací se podívejte na Get-MgPolicyAuthorizationPolicy.

Get-MgPolicyAuthorizationPolicy | Select-Object AllowedToSignUpEmailBasedSubscriptions, AllowEmailVerifiedUsersToJoinOrganization

Další informace a příklady použití těchto parametrů viz Update-MgPolicyAuthorizationPolicy.

Další kroky

• Přidání vlastního názvu domény do ID Microsoft Entra
• Jak nainstalovat a nakonfigurovat Azure PowerShell
• Azure PowerShell
• Referenční příručka Azure Cmdlet
• Update-MgPolicyAuthorizationPolicy
• Uzavření pracovního nebo školního účtu v nespravovaném prostředí