Sdílet prostřednictvím


Co je samoobslužná registrace k Microsoft Entra ID?

Tento článek vysvětluje, jak pomocí samoobslužné registrace naplnit organizaci v Microsoft Entra ID, která je součástí Microsoft Entra. Pokud chcete převzít název domény z nespravované organizace Microsoft Entra, přečtěte si téma Převzetí nespravovaného tenanta jako správce.

Proč používat samoobslužnou registraci?

  • Rychlejší získání zákazníků ke službám, které chtějí
  • Vytvoření e-mailových nabídek pro službu
  • Vytváření toků registrace založených na e-mailech, které uživatelům umožňují rychle vytvářet identity pomocí snadno zapamatovatelného pracovního e-mailového aliasu
  • Samoobslužný tenant Microsoft Entra se dá převést na spravovaného tenanta, který se dá použít pro jiné služby.

Termíny a definice

  • samoobslužná registrace je metoda, pomocí které se uživatel zaregistruje ke cloudové službě a má pro ně automaticky vytvořenou identitu v Microsoft Entra ID na základě e-mailové domény.
  • nespravovaného tenanta Microsoft Entra je tenant, ve kterém se tato identita vytvoří. Nespravovaný tenant je tenant, který nemá globálního správce.
  • uživatele ověřený e-mailem je typ uživatelského účtu v Microsoft Entra ID. Uživatel, který má identitu vytvořenou automaticky po registraci samoobslužné nabídky, se označuje jako uživatel ověřený e-mailem. Uživatel ověřený e-mailem je běžný člen tenanta označeného creationmethod=EmailVerified.

Návody řídit samoobslužná nastavení?

Správci mají dnes dvě samoobslužné kontroly. Můžou řídit, jestli:

  • Uživatelé se můžou k tenantovi připojit e-mailem.
  • Uživatelé se můžou licencovat pro aplikace a služby.

Jak můžu tyto možnosti řídit?

Správce může tyto schopnosti nakonfigurovat pomocí následujícího cmdletu Microsoft Entra s parametrem Update-MgPolicyAuthorizationPolicy:

  • allowEmailVerifiedUsersToJoinOrganization určuje, jestli se uživatelé můžou k tenantovi připojit ověřením e-mailu. Aby se uživatel mohl připojit, musí mít e-mailovou adresu v doméně, která odpovídá jedné z ověřených domén v tenantovi. Toto nastavení se použije pro všechny domény v tenantovi pro celou společnost. Pokud tento parametr nastavíte na $false, nemůže se k tenantovi připojit žádný uživatel ověřený e-mailem.
  • allowedToSignUpEmailBasedSubscriptions ovládá schopnost uživatelů provádět samostatnou registraci. Pokud tento parametr nastavíte na $false, nebude moct samoobslužná registrace provádět žádný uživatel.

allowEmailVerifiedUsersToJoinOrganization a allowedToSignUpEmailBasedSubscriptions jsou nastavení pro celého tenanta, která je možné použít u spravovaného nebo nespravovaného tenanta. Tady je příklad, kde:

  • Tenanta spravujete s ověřenou doménou, jako je contoso.com
  • Spolupráce B2B z jiného tenanta slouží k pozvání uživatele, který ještě neexistuje (userdoesnotexist@contoso.com) v domovském tenantovi contoso.com
  • Domovský tenant má zapnutou možnost allowedToSignUpEmailBasedSubscriptions.

Pokud jsou splněné předchozí podmínky, vytvoří se člen v domovském tenantovi a v zvaní se vytvoří uživatel typu host B2B.

Poznámka:

Uživatelé Office 365 for Education jsou aktuálně jedinými uživateli, kteří jsou přidaní do stávajících spravovaných tenantů, i když je tento přepínač povolený.

Další informace o registraci služby Flow a zkušební verze Power Apps najdete v následujících článcích:

Jak fungují ovládací prvky společně?

Tyto dva parametry lze použít ve spojení k definování přesnější kontroly nad samoobslužnou registraci. Následující příkaz například umožňuje uživatelům provádět samoobslužnou registraci, ale jenom v případě, že tito uživatelé už mají účet v MICROSOFT Entra ID (jinými slovy, uživatelé, kteří potřebují vytvoření e-mailového ověřeného účtu, nemůžou samoobslužnou registraci provést):

Import-Module Microsoft.Graph.Identity.SignIns
connect-MgGraph -Scopes "Policy.ReadWrite.Authorization"
$param = @{
 allowedToSignUpEmailBasedSubscriptions=$true
 allowEmailVerifiedUsersToJoinOrganization=$false
 }
Update-MgPolicyAuthorizationPolicy -BodyParameter $param

Následující vývojový diagram vysvětluje různé kombinace těchto parametrů a výsledné podmínky pro tenanta a samoobslužnou registraci.

vývojový diagram samoregistračních ovládacích prvků.

Podrobnosti o tomto nastavení můžete načíst pomocí rutiny PowerShellu Get-MgPolicyAuthorizationPolicy. Pro více informací se podívejte na Get-MgPolicyAuthorizationPolicy.

Get-MgPolicyAuthorizationPolicy | Select-Object AllowedToSignUpEmailBasedSubscriptions, AllowEmailVerifiedUsersToJoinOrganization

Další informace a příklady použití těchto parametrů naleznete v tématu Update-MgPolicyAuthorizationPolicy.

Další kroky