Co je samoobslužná registrace k Microsoft Entra ID?
Tento článek vysvětluje, jak pomocí samoobslužné registrace naplnit organizaci v Microsoft Entra ID, která je součástí Microsoft Entra. Pokud chcete převzít název domény z nespravované organizace Microsoft Entra, přečtěte si téma Převzetí nespravovaného tenanta jako správce.
Proč používat samoobslužnou registraci?
- Rychlejší získání zákazníků ke službám, které chtějí
- Vytvoření e-mailových nabídek pro službu
- Vytváření toků registrace založených na e-mailech, které uživatelům umožňují rychle vytvářet identity pomocí snadno zapamatovatelného pracovního e-mailového aliasu
- Samoobslužný tenant Microsoft Entra se dá převést na spravovaného tenanta, který se dá použít pro jiné služby.
Termíny a definice
- samoobslužná registrace je metoda, pomocí které se uživatel zaregistruje ke cloudové službě a má pro ně automaticky vytvořenou identitu v Microsoft Entra ID na základě e-mailové domény.
- nespravovaného tenanta Microsoft Entra je tenant, ve kterém se tato identita vytvoří. Nespravovaný tenant je tenant, který nemá globálního správce.
- uživatele ověřený e-mailem je typ uživatelského účtu v Microsoft Entra ID. Uživatel, který má identitu vytvořenou automaticky po registraci samoobslužné nabídky, se označuje jako uživatel ověřený e-mailem. Uživatel ověřený e-mailem je běžný člen tenanta označeného creationmethod=EmailVerified.
Návody řídit samoobslužná nastavení?
Správci mají dnes dvě samoobslužné kontroly. Můžou řídit, jestli:
- Uživatelé se můžou k tenantovi připojit e-mailem.
- Uživatelé se můžou licencovat pro aplikace a služby.
Jak můžu tyto možnosti řídit?
Správce může tyto schopnosti nakonfigurovat pomocí následujícího cmdletu Microsoft Entra s parametrem Update-MgPolicyAuthorizationPolicy:
- allowEmailVerifiedUsersToJoinOrganization určuje, jestli se uživatelé můžou k tenantovi připojit ověřením e-mailu. Aby se uživatel mohl připojit, musí mít e-mailovou adresu v doméně, která odpovídá jedné z ověřených domén v tenantovi. Toto nastavení se použije pro všechny domény v tenantovi pro celou společnost. Pokud tento parametr nastavíte na $false, nemůže se k tenantovi připojit žádný uživatel ověřený e-mailem.
- allowedToSignUpEmailBasedSubscriptions ovládá schopnost uživatelů provádět samostatnou registraci. Pokud tento parametr nastavíte na $false, nebude moct samoobslužná registrace provádět žádný uživatel.
allowEmailVerifiedUsersToJoinOrganization a allowedToSignUpEmailBasedSubscriptions jsou nastavení pro celého tenanta, která je možné použít u spravovaného nebo nespravovaného tenanta. Tady je příklad, kde:
- Tenanta spravujete s ověřenou doménou, jako je contoso.com
- Spolupráce B2B z jiného tenanta slouží k pozvání uživatele, který ještě neexistuje (userdoesnotexist@contoso.com) v domovském tenantovi contoso.com
- Domovský tenant má zapnutou možnost allowedToSignUpEmailBasedSubscriptions.
Pokud jsou splněné předchozí podmínky, vytvoří se člen v domovském tenantovi a v zvaní se vytvoří uživatel typu host B2B.
Poznámka:
Uživatelé Office 365 for Education jsou aktuálně jedinými uživateli, kteří jsou přidaní do stávajících spravovaných tenantů, i když je tento přepínač povolený.
Další informace o registraci služby Flow a zkušební verze Power Apps najdete v následujících článcích:
Jak fungují ovládací prvky společně?
Tyto dva parametry lze použít ve spojení k definování přesnější kontroly nad samoobslužnou registraci. Následující příkaz například umožňuje uživatelům provádět samoobslužnou registraci, ale jenom v případě, že tito uživatelé už mají účet v MICROSOFT Entra ID (jinými slovy, uživatelé, kteří potřebují vytvoření e-mailového ověřeného účtu, nemůžou samoobslužnou registraci provést):
Import-Module Microsoft.Graph.Identity.SignIns
connect-MgGraph -Scopes "Policy.ReadWrite.Authorization"
$param = @{
allowedToSignUpEmailBasedSubscriptions=$true
allowEmailVerifiedUsersToJoinOrganization=$false
}
Update-MgPolicyAuthorizationPolicy -BodyParameter $param
Následující vývojový diagram vysvětluje různé kombinace těchto parametrů a výsledné podmínky pro tenanta a samoobslužnou registraci.
Podrobnosti o tomto nastavení můžete načíst pomocí rutiny PowerShellu Get-MgPolicyAuthorizationPolicy. Pro více informací se podívejte na Get-MgPolicyAuthorizationPolicy.
Get-MgPolicyAuthorizationPolicy | Select-Object AllowedToSignUpEmailBasedSubscriptions, AllowEmailVerifiedUsersToJoinOrganization
Další informace a příklady použití těchto parametrů naleznete v tématu Update-MgPolicyAuthorizationPolicy.