O que é a inscrição de autoatendimento do Microsoft Entra ID?
Este artigo explica como usar a inscrição por autoatendimento para preencher uma organização no Microsoft Entra ID, parte do Microsoft Entra. Se você deseja assumir um nome de domínio de uma organização do Microsoft Entra não gerenciada, confira Assumir um locatário não gerenciado como administrador.
Por que usar a inscrição por autoatendimento?
- Leve aos clientes os serviços que eles desejam mais rápido
- Crie ofertas baseadas em email para um serviço
- Crie fluxos de inscrição baseados em email que permitem rapidamente que os usuários criem identidades usando seus aliases de email de trabalho fáceis de lembrar
- Um autoatendimento criado no locatário do Microsoft Entra pode ser convertido em um locatário gerenciado que pode ser usado para outros serviços
Termos e definições
- Inscrição por autoatendimento: Esse é o método pelo qual um usuário se inscreve em um serviço de nuvem e tem uma identidade criada automaticamente para ele no Microsoft Entra ID, com base em seu domínio de email.
- Locatário não gerado do Microsoft Entra:esse é o locatário em que essa identidade é criada. Um locatário não gerenciado é um locatário que não possui Administrador global.
- Usuário verificado por email: Este é um tipo de conta de usuário no Microsoft Entra ID. Um usuário que tem uma identidade criada automaticamente após a inscrição para uma oferta de autoatendimento é conhecido como um usuário verificado por email. Um usuário verificado por email é um membro comum de um locatário marcado com creationmethod=EmailVerified.
Como controlar as configurações de autoatendimento?
Os administradores têm dois controles de autoatendimento atualmente. Eles podem controlar se:
- Os usuários podem ingressar no locatário por email
- Os usuários podem licenciar eles próprios para aplicativos e serviços
Como posso controlar esses recursos?
Um administrador pode configurar esses recursos usando os parâmetros Set-MsolCompanySettings do cmdlet do Microsoft Entra a seguir:
- AllowEmailVerifiedUsers controla se os usuários podem ingressar no locatário por validação de email. Para ingressar, o usuário deve ter um endereço de email em um domínio que corresponde a um dos domínios verificados no locatário. Essa configuração é aplicada em toda a empresa para todos os domínios no locatário. Se você definir esse parâmetro como $false, nenhum usuário verificado por email poderá ingressar no locatário.
- AllowAdHocSubscriptions controla a capacidade dos usuários de executarem a inscrição por autoatendimento. Se você definir esse parâmetro como $false, nenhum usuário poderá realizar a inscrição por autoatendimento.
AllowEmailVerifiedUsers e AllowAdHocSubscriptions são as configurações de todo o locatário que podem ser aplicadas a um gerenciado ou um locatário não gerenciado. Aqui está um exemplo onde:
- Você administra um locatário com um domínio verificado como contoso.com
- Você usa a colaboração B2B de um locatário diferente para convidar um usuário que ainda não existe (userdoesnotexist@contoso.com) no locatário base do contoso.com
- O locatário base tem o AllowEmailVerifiedUsers ativado
Se as condições anteriores forem verdadeiras, em seguida, um usuário de membro é criado no locatário inicial e um usuário de convidado B2B é criado no locatário que convida.
Observação
Os usuários do Office 365 para Educação atualmente são os únicos adicionados aos locatários gerenciados existentes, mesmo quando essa alternância está habilitada
Para saber mais sobre as inscrições na avaliação gratuita do Flow e do Power Apps, confira os seguintes artigos:
- Como posso impedir meus usuários existentes de começarem a usar o Power BI?
- Perguntas e respostas sobre o Flow na sua organização
Como os controles funcionam juntos?
Esses dois parâmetros podem ser usados em conjunto para definir um controle mais preciso sobre a inscrição por autoatendimento. Por exemplo, o seguinte comando permitirá que os usuários realizem a inscrição para autoatendimento, mas apenas se os usuários já tiverem uma conta no Microsoft Entra ID (em outras palavras, os usuários que precisarem criar uma conta verificada por email primeiro não poderão realizar a inscrição para autoatendimento):
Import-Module Microsoft.Graph.Identity.SignIns
connect-MgGraph -Scopes "Policy.ReadWrite.Authorization"
$param = @{
allowedToSignUpEmailBasedSubscriptions=$true
allowEmailVerifiedUsersToJoinOrganization=$false
}
Update-MgPolicyAuthorizationPolicy -BodyParameter $param
O fluxograma a seguir explica as diferentes combinações desses parâmetros e as condições resultantes para o locatário e para a inscrição por autoatendimento.
Os detalhes dessa configuração podem ser recuperados usando o cmdlet Get-MsolCompanyInformation do PowerShell. Para obter mais informações sobre isso, confira Get-MsolCompanyInformation.
Get-MgPolicyAuthorizationPolicy | Select-Object AllowedToSignUpEmailBasedSubscriptions, AllowEmailVerifiedUsersToJoinOrganization
Para obter mais informações e exemplos de como usar esses parâmetros, consulte Update-MgPolicyAuthorizationPolicy.