Wat is selfserviceregistratie voor Microsoft Entra ID?

In dit artikel wordt uitgelegd hoe u selfserviceregistratie gebruikt om een organisatie in te vullen in Microsoft Entra-id, onderdeel van Microsoft Entra. Als u een domeinnaam wilt overnemen van een niet-beheerde Microsoft Entra-organisatie, raadpleegt u Een niet-beheerde tenant overnemen als beheerder.

Wat is de selfservice voor registreren?

• Klanten sneller bij de services die ze willen, krijgen
• Op e-mail gebaseerde aanbiedingen voor een service maken
• Op e-mail gebaseerde aanmeldingsstromen maken waardoor gebruikers snel identiteiten kunnen maken met behulp van hun eenvoudig te onthouden zakelijke e-mailaliassen
• Een zelfservice gemaakte Microsoft Entra-tenant kan worden omgezet in een beheerde tenant die kan worden gebruikt voor andere services

Termen en definities

• Selfserviceregistratie: dit is de methode waarmee een gebruiker zich registreert voor een cloudservice en automatisch een identiteit heeft gemaakt in Microsoft Entra ID op basis van hun e-maildomein.
• Onbeheerde Microsoft Entra-tenant: dit is de tenant waar die identiteit wordt gemaakt. Een niet-beheerde tenant is een tenant die geen globale beheerder heeft.
• Door e-mail geverifieerde gebruiker: dit is een type gebruikersaccount in Microsoft Entra-id. Een gebruiker voor wie automatisch een identiteit wordt gemaakt na aanmelding voor een selfservice-aanbieding wordt ook wel een via e-mail geverifieerde gebruiker genoemd. Een via e-mail geverifieerde gebruiker is een gewoon lid van een tenant waaraan de tag creationmethod=EmailVerified is toegevoegd.

Hoe beheer ik de instellingen voor de selfservice?

Beheerders beschikken over twee besturingselementen voor selfservice. Ze kunnen bepalen of:

• gebruikers via e-mail mogen deelnemen aan de tenant
• gebruikers zichzelf kunnen licentiëren voor toepassingen en services

Hoe beheer ik deze mogelijkheden?

Een beheerder kan deze mogelijkheden configureren met behulp van de volgende Microsoft Entra-cmdlet Set-MsolCompanySettings-parameters:

• AllowEmailVerifiedUsers bepaalt of gebruikers via e-mailvalidatie kunnen deelnemen aan de tenant. Als u wilt deelnemen, moet de gebruiker een e-mailadres hebben in een domein dat overeenkomt met een van de geverifieerde domeinen in de tenant. Deze instelling wordt bedrijfsbreed toegepast voor alle domeinen in de tenant. Als u die parameter instelt op $false, kunnen via e-mail geverifieerde gebruikers niet aan de tenant deelnemen.
• Met AllowAdHocSubscriptions beheert u de mogelijkheid voor gebruikers om de selfservice voor aanmelden uit te voeren. Als u die parameter instelt op $false, kunnen gebruikers de selfservice voor aanmelden niet uitvoeren.

AllowEmailVerifiedUsers en AllowAdHocSubscriptions zijn instellingen die voor de hele tenant gelden en die kunnen worden toegepast op een beheerde of niet-beheerde tenant. Hier ziet u voorbeeld waarin:

• u een tenant met een geverifieerd domein zoals contoso.com beheert;
• U gebruikt B2B-samenwerking vanuit een andere tenant om een gebruiker uit te nodigen die nog niet bestaat (userdoesnotexist@contoso.com) in de thuistenant van contoso.com
• AllowEmailVerifiedUsers in de starttenant is ingeschakeld.

Als de bovenstaande voorwaarden true zijn, wordt vervolgens een lid-gebruiker gemaakt in de starttenant en wordt een B2B-gastgebruiker gemaakt in de tenant van waaruit de uitnodiging afkomstig is.

Notitie

Office 365 for Education-gebruikers zijn momenteel de enige gebruikers die worden toegevoegd aan bestaande beheerde tenants, zelfs wanneer deze wisselknop is ingeschakeld

Zie voor meer informatie over Flow en Power Apps-proefabonnementen de volgende artikelen:

• Hoe kan ik voorkomen dat mijn bestaande gebruikers Power BI gaan gebruiken?
• Veelgestelde vragen over Flow in uw organisatie

Hoe werken de besturingselementen samen?

Deze twee parameters kunnen samen worden gebruikt om nauwkeuriger beheer over de selfservice voor aanmelden te definiëren. Met de volgende opdracht kunnen gebruikers bijvoorbeeld selfservice-registratie uitvoeren, maar alleen als die gebruikers al een account in Microsoft Entra-id hebben (met andere woorden: gebruikers die een e-mail geverifieerd account nodig hebben om eerst te worden gemaakt, kunnen geen selfserviceregistratie uitvoeren):

Import-Module Microsoft.Graph.Identity.SignIns
connect-MgGraph -Scopes "Policy.ReadWrite.Authorization"
$param = @{
 allowedToSignUpEmailBasedSubscriptions=$true
 allowEmailVerifiedUsersToJoinOrganization=$false
 }
Update-MgPolicyAuthorizationPolicy -BodyParameter $param

In het volgende stroomdiagram worden de verschillende combinaties voor deze parameters en de daaruit volgende voorwaarden voor de tenant en de selfservice voor aanmelden uitgelegd.

De details van deze instelling kunnen worden opgehaald met behulp van de PowerShell-cmdlet Get-MsolCompanyInformation. Zie Get-MsolCompanyInformation voor meer informatie.

Get-MgPolicyAuthorizationPolicy | Select-Object AllowedToSignUpEmailBasedSubscriptions, AllowEmailVerifiedUsersToJoinOrganization

Zie Update-MgPolicyAuthorizationPolicyPolicy voor meer informatie en voorbeelden van het gebruik van deze parameters.

Volgende stappen

• Een aangepaste domeinnaam toevoegen aan Microsoft Entra-id
• Azure PowerShell installeren en configureren
• Azure PowerShell
• Azure-cmdlet-naslaginformatie
• Set-MsolCompanySettings
• Uw werk- of schoolaccount in een niet-beheerde map sluiten