Czym jest samoobsługowa rejestracja dla Microsoft Entra ID?

W tym artykule wyjaśniono, jak używać rejestracji samoobsługowej w celu wypełnienia organizacji w usłudze Microsoft Entra ID, części firmy Microsoft Entra. Jeśli chcesz przejąć nazwę domeny z niezarządzanej organizacji firmy Microsoft Entra, zobacz Przejmowanie niezarządzanej dzierżawy jako administrator.

Dlaczego warto korzystać z rejestracji samoobsługowej?

• Uzyskiwanie klientom usług, których chcą szybciej
• Tworzenie ofert opartych na wiadomościach e-mail dla usługi
• Tworzenie przepływów rejestracji opartych na wiadomościach e-mail, które szybko umożliwiają użytkownikom tworzenie tożsamości przy użyciu łatwych w zapamiętaniu służbowych aliasów poczty e-mail
• Samoobsługowa dzierżawa firmy Microsoft Entra może zostać przekształcona w dzierżawę zarządzaną, która może być używana dla innych usług

Warunki i definicje

• Samoobsługowa rejestracja to metoda, za pomocą której użytkownik zapisuje się do usługi w chmurze i automatycznie tworzona jest dla niego tożsamość w usłudze Microsoft Entra ID na podstawie domeny e-mail.
• niezarządzana dzierżawa Microsoft Entra to dzierżawa, w której tworzona jest ta tożsamość. Dzierżawa niezarządzana to dzierżawa, która nie ma administratora globalnego.
• Użytkownik zweryfikowany drogą e-mail () jest typem konta użytkownika w usłudze Microsoft Entra ID. Użytkownik, który ma tożsamość utworzoną automatycznie po zarejestrowaniu się w ofercie samoobsługi, jest znany jako użytkownik zweryfikowany pocztą e-mail. Użytkownik zweryfikowany pocztą e-mail jest zwykłym członkiem dzierżawy oznaczonej tagiem creationmethod=EmailVerified.

Jak mogę kontrolować ustawienia samoobsługi?

Administratorzy mają dziś dwie kontrolki samoobsługi. Mogą kontrolować, czy:

• Użytkownicy mogą dołączać do dzierżawy za pośrednictwem poczty e-mail
• Użytkownicy mogą licencjonować się na aplikacje i usługi

Jak mogę kontrolować te możliwości?

Administrator może skonfigurować te możliwości przy użyciu następujących parametrów polecenia cmdlet Update-MgPolicyAuthorizationPolicy firmy Microsoft Entra:

• allowEmailVerifiedUsersToJoinOrganization określa, czy użytkownicy mogą dołączyć do dzierżawy za pomocą weryfikacji poczty e-mail. Aby dołączyć, użytkownik musi mieć adres e-mail w domenie zgodnej z jedną ze zweryfikowanych domen w dzierżawie. To ustawienie jest stosowane dla całej firmy dla wszystkich domen w dzierżawie. Jeśli ustawisz ten parametr na $false, żaden użytkownik zweryfikowany pocztą e-mail nie może dołączyć do dzierżawy.
• allowedToSignUpEmailBasedSubscriptions kontroluje możliwość samoobsługowego rejestrowania się użytkowników. Jeśli ustawisz ten parametr na $false, żaden użytkownik nie będzie mógł wykonać rejestracji samoobsługowej.

allowEmailVerifiedUsersToJoinOrganization i allowedToSignUpEmailBasedSubscriptions to ustawienia dla całej dzierżawy, które można zastosować do dzierżawy zarządzanej lub niezarządzanej. Oto przykład, w którym:

• Administrowanie dzierżawą przy użyciu zweryfikowanej domeny, takiej jak contoso.com
• Współpraca B2B z innej dzierżawy umożliwia zapraszanie użytkownika, który jeszcze nie istnieje (userdoesnotexist@contoso.com) w dzierżawie głównej contoso.com
• Najemca domu ma włączoną funkcję allowedToSignUpEmailBasedSubscriptions

Jeśli powyższe warunki są spełnione, użytkownik członkowski zostanie utworzony w dzierżawie głównej, a użytkownik-gość B2B zostanie utworzony w dzierżawie zapraszającej.

Uwaga

Użytkownicy usługi Office 365 for Education są obecnie jedynymi, którzy są dodawani do istniejących dzierżaw zarządzanych nawet wtedy, gdy ten przełącznik jest włączony

Aby uzyskać więcej informacji na temat rejestracji w wersji próbnej usług Flow i Power Apps, zobacz następujące artykuły:

• Jak uniemożliwić istniejącym użytkownikom rozpoczęcie korzystania z usługi Power BI?
• Przepływ w organizacji — pytania i pytania

Jak działają razem kontrolki?

Te dwa parametry można użyć w połączeniu, aby zdefiniować bardziej precyzyjną kontrolę nad rejestracją samoobsługową. Na przykład następujące polecenie umożliwia użytkownikom wykonywanie rejestracji samoobsługowej, ale tylko wtedy, gdy ci użytkownicy mają już konto w usłudze Microsoft Entra ID (innymi słowy, użytkownicy, którzy będą musieli utworzyć konto zweryfikowane pocztą e-mail, nie mogą najpierw wykonać rejestracji samoobsługowej):

Import-Module Microsoft.Graph.Identity.SignIns
connect-MgGraph -Scopes "Policy.ReadWrite.Authorization"
$param = @{
 allowedToSignUpEmailBasedSubscriptions=$true
 allowEmailVerifiedUsersToJoinOrganization=$false
 }
Update-MgPolicyAuthorizationPolicy -BodyParameter $param

W poniższym schemacie blokowym wyjaśniono różne kombinacje tych parametrów oraz wynikowe warunki rejestracji dzierżawy i samoobsługi.

Szczegóły tego ustawienia można pobrać przy użyciu polecenia cmdlet programu PowerShell Get-MgPolicyAuthorizationPolicy. Aby uzyskać więcej informacji, zobacz Get-MgPolicyAuthorizationPolicy.

Get-MgPolicyAuthorizationPolicy | Select-Object AllowedToSignUpEmailBasedSubscriptions, AllowEmailVerifiedUsersToJoinOrganization

Aby uzyskać więcej informacji i przykładów używania tych parametrów, zobacz Update-MgPolicyAuthorizationPolicy.

Następne kroki

• Dodawanie niestandardowej nazwy domeny do identyfikatora entra firmy Microsoft
• Instalowanie i konfigurowanie programu Azure PowerShell
• Azure PowerShell
• Dokumentacja poleceń cmdlet platformy Azure
• Update-MgPolicyAuthorizationPolicy
• Zamykanie konta służbowego w niezarządzanej dzierżawie