O que é a inscrição personalizada no Microsoft Entra ID?

Este artigo explica como usar a inscrição de autoatendimento para preencher uma organização no Microsoft Entra ID, parte do Microsoft Entra. Se você quiser assumir um nome de domínio de uma organização não gerenciada do Microsoft Entra, consulte Assumir um locatário não gerenciado como administrador.

Por que usar a inscrição de autoatendimento?

• Leve os clientes aos serviços que eles querem mais rapidamente
• Criar ofertas baseadas em e-mail para um serviço
• Crie fluxos de inscrição baseados em email que permitem rapidamente que os usuários criem identidades usando seus aliases de e-mail de trabalho fáceis de lembrar
• Um locatário do Microsoft Entra criado por autoatendimento pode ser transformado em um locatário gerenciado que pode ser usado para outros serviços

Termos e definições

• Inscrição de autoatendimento é o método pelo qual um utilizador se inscreve num serviço de nuvem e tem uma identidade criada automaticamente no Microsoft Entra ID, baseada no seu domínio de email.
• Um locatário não gerenciado do Microsoft Entra é o locatário onde essa identidade é criada. Um locatário não gerenciado é um locatário que não tem Administrador Global.
• Um utilizador verificado por email é um tipo de conta de utilizador no Microsoft Entra ID. Um usuário que tem uma identidade criada automaticamente depois de se inscrever em uma oferta de autoatendimento é conhecido como um usuário verificado por e-mail. Um usuário verificado por e-mail é um membro regular de um locatário marcado com creationmethod=EmailVerified.

Como faço para controlar as configurações de autoatendimento?

Atualmente, os administradores têm dois controles de autoatendimento. Podem controlar se:

• Os usuários podem ingressar no locatário por e-mail
• Os usuários podem licenciar-se para aplicativos e serviços

Como posso controlar essas capacidades?

Um administrador pode configurar esses recursos usando os seguintes parâmetros Update-MgPolicyAuthorizationPolicy cmdlet do Microsoft Entra:

• allowEmailVerifiedUsersToJoinOrganization controla se os utilizadores podem ingressar na entidade por validação de email. Para participar, o usuário deve ter um endereço de e-mail em um domínio que corresponda a um dos domínios verificados no locatário. Essa configuração é aplicada em toda a empresa para todos os domínios no locatário. Se você definir esse parâmetro como $false, nenhum usuário verificado por email poderá ingressar no locatário.
• allowedToSignUpEmailBasedSubscriptions controla a capacidade dos utilizadores de realizar a inscrição autónoma. Se você definir esse parâmetro como $false, nenhum usuário poderá realizar a inscrição de autoatendimento.

allowEmailVerifiedUsersToJoinOrganization e allowedToSignUpEmailBasedSubscriptions são configurações de todo o locatário que podem ser aplicadas a um locatário gerenciado ou não gerenciado. Aqui está um exemplo onde:

• Você administra um locatário com um domínio verificado, como contoso.com
• Você usa a colaboração B2B de um locatário diferente para convidar um usuário que ainda não existe (userdoesnotexist@contoso.com) no locatário doméstico de contoso.com
• O locatário principal tem o campo allowedToSignUpEmailBasedSubscriptions ativado.

Se as condições anteriores forem verdadeiras, um usuário membro será criado no locatário doméstico e um usuário convidado B2B será criado no locatário convidado.

Nota

Os usuários do Office 365 para Educação são atualmente os únicos que são adicionados aos locatários gerenciados existentes, mesmo quando essa alternância está habilitada

Para obter mais informações sobre inscrições de avaliação do Flow e do Power Apps, consulte os seguintes artigos:

• Como posso impedir que meus usuários existentes comecem a usar o Power BI?
• Fluxo nas Perguntas e Respostas da sua organização

Como é que os controlos funcionam em conjunto?

Esses dois parâmetros podem ser usados em conjunto para definir um controle mais preciso sobre a inscrição de autoatendimento. Por exemplo, o comando a seguir permite que os usuários executem a inscrição de autoatendimento, mas somente se esses usuários já tiverem uma conta no Microsoft Entra ID (em outras palavras, os usuários que precisariam de uma conta verificada por email para ser criada primeiro não podem executar a inscrição de autoatendimento):

Import-Module Microsoft.Graph.Identity.SignIns
connect-MgGraph -Scopes "Policy.ReadWrite.Authorization"
$param = @{
 allowedToSignUpEmailBasedSubscriptions=$true
 allowEmailVerifiedUsersToJoinOrganization=$false
 }
Update-MgPolicyAuthorizationPolicy -BodyParameter $param

O fluxograma a seguir explica as diferentes combinações para esses parâmetros e as condições resultantes para o locatário e a inscrição de autoatendimento.

Você pode recuperar os detalhes dessa configuração usando o cmdlet do PowerShell Get-MgPolicyAuthorizationPolicy. Para obter mais informações, consulte Get-MgPolicyAuthorizationPolicy.

Get-MgPolicyAuthorizationPolicy | Select-Object AllowedToSignUpEmailBasedSubscriptions, AllowEmailVerifiedUsersToJoinOrganization

Para obter mais informações e exemplos de como usar esses parâmetros, consulte Update-MgPolicyAuthorizationPolicy.

Próximos passos

• Adicionar um nome de domínio personalizado ao Microsoft Entra ID
• Como instalar e configurar o Azure PowerShell
• Azure PowerShell
• Referência de Cmdlet do Azure
• Update-MgPolicyAuthorizationPolicy
• Fechar a sua conta escolar ou profissional num inquilino não gerido