O que é a inscrição de autoatendimento do Microsoft Entra ID?

Este artigo explica como usar a inscrição por autoatendimento para preencher uma organização no Microsoft Entra ID, parte do Microsoft Entra. Se você deseja assumir um nome de domínio de uma organização do Microsoft Entra não gerenciada, confira Assumir um locatário não gerenciado como administrador.

Por que usar a inscrição por autoatendimento?

• Leve aos clientes os serviços que eles desejam mais rápido
• Crie ofertas baseadas em email para um serviço
• Crie fluxos de inscrição baseados em email que permitem rapidamente que os usuários criem identidades usando seus aliases de email de trabalho fáceis de lembrar
• Um autoatendimento criado no locatário do Microsoft Entra pode ser convertido em um locatário gerenciado que pode ser usado para outros serviços

Termos e definições

• Inscrição self-service é o método pelo qual um usuário se inscreve em um serviço de nuvem e tem uma identidade criada automaticamente no Microsoft Entra ID com base em seu domínio de email.
• Locatário não gerenciado do Microsoft Entra é o locatário em que essa identidade é criada. Um locatário não gerenciado é um locatário que não possui Administrador global.
• Usuário verificado por e-mail é um tipo de conta de usuário no Microsoft Entra ID. Um usuário que tem uma identidade criada automaticamente após a inscrição para uma oferta de autoatendimento é conhecido como um usuário verificado por email. Um usuário verificado por email é um membro comum de um locatário marcado com creationmethod=EmailVerified.

Como controlar as configurações de autoatendimento?

Os administradores têm dois controles de autoatendimento atualmente. Eles podem controlar se:

• Os usuários podem ingressar no locatário por email
• Os usuários podem licenciar eles próprios para aplicativos e serviços

Como posso controlar esses recursos?

Um administrador pode configurar esses recursos usando o cmdlet Update-MgPolicyAuthorizationPolicy do Microsoft Entra com os seguintes parâmetros:

• allowEmailVerifiedUsersToJoinOrganization controla se os usuários podem ingressar no locatário por meio de validação de email. Para ingressar, o usuário deve ter um endereço de email em um domínio que corresponde a um dos domínios verificados no locatário. Essa configuração é aplicada em toda a empresa para todos os domínios no locatário. Se você definir esse parâmetro como $false, nenhum usuário verificado por email poderá ingressar no locatário.
• allowedToSignUpEmailBasedSubscriptions define se os usuários podem realizar a inscrição por self-service. Se você definir esse parâmetro como $false, nenhum usuário poderá realizar a inscrição por autoatendimento.

allowEmailVerifiedUsersToJoinOrganization e allowedToSignUpEmailBasedSubscriptions são configurações aplicáveis a todo o locatário que podem ser aplicadas a um locatário gerenciado ou não gerenciado. Aqui está um exemplo onde:

• Você administra um locatário com um domínio verificado como contoso.com
• Você usa a colaboração B2B de um locatário diferente para convidar um usuário que ainda não existe (userdoesnotexist@contoso.com) no locatário base do contoso.com
• O locatário de base tem a configuração allowedToSignUpEmailBasedSubscriptions ativada

Se as condições anteriores forem verdadeiras, em seguida, um usuário de membro é criado no locatário inicial e um usuário de convidado B2B é criado no locatário que convida.

Observação

Os usuários do Office 365 para Educação atualmente são os únicos adicionados aos locatários gerenciados existentes, mesmo quando essa alternância está habilitada

Para saber mais sobre as inscrições na avaliação gratuita do Flow e do Power Apps, confira os seguintes artigos:

• Como posso impedir meus usuários existentes de começarem a usar o Power BI?
• Perguntas e respostas sobre o Flow na sua organização

Como os controles funcionam juntos?

Esses dois parâmetros podem ser usados em conjunto para definir um controle mais preciso sobre a inscrição por autoatendimento. Por exemplo, o seguinte comando permitirá que os usuários realizem a inscrição para autoatendimento, mas apenas se os usuários já tiverem uma conta no Microsoft Entra ID (em outras palavras, os usuários que precisarem criar uma conta verificada por email primeiro não poderão realizar a inscrição para autoatendimento):

Import-Module Microsoft.Graph.Identity.SignIns
connect-MgGraph -Scopes "Policy.ReadWrite.Authorization"
$param = @{
 allowedToSignUpEmailBasedSubscriptions=$true
 allowEmailVerifiedUsersToJoinOrganization=$false
 }
Update-MgPolicyAuthorizationPolicy -BodyParameter $param

O fluxograma a seguir explica as diferentes combinações desses parâmetros e as condições resultantes para o locatário e para a inscrição por autoatendimento.

Você pode recuperar os detalhes dessa configuração usando o cmdlet Get-MgPolicyAuthorizationPolicy do PowerShell. Para obter mais informações, confira Get-MgPolicyAuthorizationPolicy.

Get-MgPolicyAuthorizationPolicy | Select-Object AllowedToSignUpEmailBasedSubscriptions, AllowEmailVerifiedUsersToJoinOrganization

Para obter mais informações e exemplos de como usar esses parâmetros, consulte Update-MgPolicyAuthorizationPolicy.

Próximas etapas

• Adicionar um nome de domínio personalizado ao Microsoft Entra ID
• Como instalar e configurar o PowerShell do Azure
• Azure PowerShell
• Referência de Cmdlets do Azure
• Update-MgPolicyAuthorizationPolicy
• Fechar sua conta corporativa ou de estudante em um locatário não gerenciado