Che cos'è la registrazione self-service per Microsoft Entra ID?

Questo articolo spiega come usare la registrazione self-service per configurare un'organizzazione in Microsoft Entra ID, parte di Microsoft Entra. Se si vuole assumere il controllo di un nome di dominio da un'organizzazione Microsoft Entra non gestita, vedere Acquisire il controllo di un tenant non gestito come amministratore.

Perché usare la registrazione autoservizio?

• Portare i clienti ai servizi che desiderano più velocemente
• Creare offerte basate sulla posta elettronica per un servizio
• Creare flussi di iscrizione basati sulla posta elettronica che consentono rapidamente agli utenti di creare identità usando i relativi alias di posta elettronica aziendali facili da ricordare
• Un tenant Microsoft Entra creato in modalità self-service può essere trasformato in un tenant gestito che può essere usato per altri servizi

Termini e definizioni

• L'iscrizione self-service è il metodo con cui un utente si registra a un servizio cloud e un'identità viene creata automaticamente per loro in Microsoft Entra ID in base al dominio del loro indirizzo email.
• Un tenant non gestito di Microsoft Entra è il tenant in cui viene creata quell'identità. Un tenant non gestito è un tenant senza amministratore globale.
• Un account utente con verifica tramite email è un tipo di account utente in Microsoft Entra ID. Un utente che dispone di un'identità creata automaticamente a seguito dell'iscrizione per un'offerta self-service è noto come utente di posta elettronica verificato. Un utente verificato tramite posta elettronica è un membro regolare di un tenant contrassegnato con creationmethod=EmailVerified.

Come controllare le impostazioni di self-service?

Gli amministratori attualmente dispongono di due controlli self-service. Possono controllare:

• Gli utenti possono partecipare al tenant tramite posta elettronica
• Gli utenti possono ottenere autonomamente la licenza per applicazioni e servizi

Come è possibile controllare queste funzionalità?

Un amministratore può configurare queste funzionalità usando il cmdlet Microsoft Entra con i seguenti parametri di Update-MgPolicyAuthorizationPolicy:

• allowEmailVerifiedUsersToJoinOrganization controlla se gli utenti possono partecipare al tenant tramite convalida tramite posta elettronica. Per partecipare, l'utente deve avere un indirizzo di posta elettronica in un dominio che corrisponda a uno dei domini verificati del tenant. Questa impostazione viene applicata a livello aziendale per tutti i domini nel tenant. Se si imposta tale parametro su $false, nessun utente verificato tramite posta elettronica può partecipare al tenant.
• allowedToSignUpEmailBasedSubscriptions gestisce la possibilità per gli utenti di registrarsi autonomamente. Se tale parametro è impostato su $false, nessun utente può eseguire l'iscrizione self-service.

allowEmailVerifiedUsersToJoinOrganization e allowedToSignUpEmailBasedSubscriptions sono impostazioni a livello di tenant che possono essere applicate a un tenant gestito o non gestito. Ad esempio:

• Si amministra un tenant con un dominio verificato, ad esempio contoso.com
• Si usa la collaborazione B2B da un tenant diverso per invitare un utente che non esiste già (userdoesnotexist@contoso.com) nel tenant d'origine di contoso.com
• Il tenant di casa ha attivato l'opzione allowedToSignUpEmailBasedSubscriptions.

Se le condizioni precedenti sono vere, viene creato un utente membro nel tenant principale e viene creato un utente guest B2B nel tenant che invita.

Nota

Gli utenti di Office 365 for Education sono attualmente gli unici che vengono aggiunti ai tenant gestiti esistenti anche quando questo interruttore è abilitato

Per altre informazioni sulle sottoscrizioni di valutazione di Flow e Power Apps, vedere gli articoli seguenti:

• Come è possibile impedire agli utenti di iniziare a usare Power BI?
• Domande e risposte su Flow nell'organizzazione

Come operano congiuntamente i controlli?

Questi due parametri possono essere usati congiuntamente per definire un controllo più preciso sull'iscrizione autonoma. Ad esempio, il comando seguente consente agli utenti di eseguire l'iscrizione self-service, ma solo se gli utenti hanno già un account in Microsoft Entra ID (in altre parole, gli utenti che necessitano di un account verificato tramite posta elettronica per la creazione non possono eseguire l'iscrizione self-service):

Import-Module Microsoft.Graph.Identity.SignIns
connect-MgGraph -Scopes "Policy.ReadWrite.Authorization"
$param = @{
 allowedToSignUpEmailBasedSubscriptions=$true
 allowEmailVerifiedUsersToJoinOrganization=$false
 }
Update-MgPolicyAuthorizationPolicy -BodyParameter $param

Il diagramma di flusso seguente illustra le diverse combinazioni per questi parametri e le condizioni risultanti per il tenant e la registrazione self-service.

È possibile recuperare i dettagli di questa impostazione usando il cmdlet di PowerShell Get-MgPolicyAuthorizationPolicy. Per altre informazioni, vedere Get-MgPolicyAuthorizationPolicy.

Get-MgPolicyAuthorizationPolicy | Select-Object AllowedToSignUpEmailBasedSubscriptions, AllowEmailVerifiedUsersToJoinOrganization

Per ulteriori informazioni ed esempi su come utilizzare questi parametri, vedere Update-MgPolicyAuthorizationPolicy.

Passaggi successivi

• Aggiungere un nome di dominio personalizzato all'ID Microsoft Entra
• Come installare e configurare Azure PowerShell
• Azure PowerShell
• Informazioni di riferimento sui cmdlet di Azure
• Update-MgPolicyAuthorizationPolicy
• Chiudere l'account di lavoro o scolastico in un tenant non gestito