Что такое самостоятельная регистрация в Microsoft Entra ID?

В этой статье объясняется, как использовать самостоятельную регистрацию для заполнения организации в идентификаторе Microsoft Entra, части Microsoft Entra. Если вы хотите взять на себя доменное имя из неуправляемой организации Microsoft Entra, см. статью "Взять на себя неуправляемый клиент от имени администратора".

Зачем нужна самостоятельная регистрация?

• Предоставить клиентам нужные службы как можно быстрее.
• Создать предложения на основе электронной почты для службы.
• Создать потоки регистрации на основе электронной почты, которые позволяют пользователям быстро создавать удостоверения с помощью легко запоминаемых псевдонимов рабочих электронных адресов.
• Самостоятельно созданный клиент Microsoft Entra можно превратить в управляемый клиент, который можно использовать для других служб.

Термины и определения

• Самостоятельная регистрация — это метод, с помощью которого пользователь регистрируется в облачной службе, и для него автоматически создается учетная запись в Microsoft Entra ID на основе его домена электронной почты.
• неуправляемый клиент Microsoft Entra является клиентом, в котором создается это удостоверение. Неуправляемый клиент — это клиент, не имеющий глобального администратора.
• проверенного пользователем электронной почты является типом учетной записи пользователя в идентификаторе Microsoft Entra. Пользователь, который получает автоматически созданное после регистрации для предложения самообслуживания удостоверение, называется проверяемым с помощью электронной почты пользователем. Проверяемый с помощью электронной почты пользователь является регулярным участником клиента с тегом creationmethod=EmailVerified.

Как контролировать параметры самообслуживания?

На сегодняшний день у администраторов есть два способа самообслуживаемого управления. Они могут управлять:

• возможностью присоединения пользователей к клиенту с помощью электронной почты;
• лицензированием пользователями самих себя для приложений и служб.

Как контролировать эти возможности?

Администратор может настроить эти возможности с помощью следующих параметров командлета Microsoft Entra Update-MgPolicyAuthorizationPolicy:

• allowEmailVerifiedUsersToJoinOrganization определяет, могут ли пользователи присоединиться к организации посредством валидации электронной почты. Для присоединения пользователь должен иметь адрес электронной почты в домене, который соответствует одному из проверенных доменов в клиенте. Этот параметр применяется ко всей организации для всех доменов в клиенте. Если задать для этого параметра значение $false, учетная запись пользователя, проверяемая с помощью электронной почты, не сможет присоединиться к клиенту.
• allowedToSignUpEmailBasedSubscriptions управляет возможностью самостоятельной регистрации пользователей. Если задать для этого параметра значение $false, пользователи не смогут выполнять самостоятельную регистрацию.

allowEmailVerifiedUsersToJoinOrganization и allowedToSignUpEmailBasedSubscriptions — это параметры на уровне арендатора, которые можно применить к управляемому или неуправляемому клиенту. Ниже приведен пример.

• Вы администрируете клиента с проверенным доменом, например contoso.com.
• Вы используете совместную работу B2B из другого клиента, чтобы пригласить пользователя, который еще не существует (userdoesnotexist@contoso.com) в домашнем клиенте contoso.com
• У домашнего арендатора включена функция разрешения на регистрацию подписок по электронной почте.

Если эти условия выполнены, то в домашнем клиенте создается пользователь-участник, а в приглашающем клиенте создается гостевой пользователь B2B.

Примечание.

Пользователи Office 365 для образовательных учреждений в настоящее время являются единственными, которые добавляются в существующие управляемые клиенты, даже если этот переключатель включен.

Дополнительные сведения о пробных подписках на Flow и PowerApps см. в следующих статьях.

• Как запретить имеющимся пользователям начать работу с Power BI?
• Вопросы и ответы об использовании Flow в организации

Как совместно использовать эти элементы управления?

Эти два параметра можно использовать совместно для избирательного управления самостоятельной регистрацией. Например, следующая команда позволяет пользователям самостоятельно регистрироваться, но только если у этих пользователей уже есть учетная запись в идентификаторе Microsoft Entra (другими словами, пользователи, которым нужна учетная запись, проверенная по электронной почте, сначала не может выполнять самостоятельную регистрацию):

Import-Module Microsoft.Graph.Identity.SignIns
connect-MgGraph -Scopes "Policy.ReadWrite.Authorization"
$param = @{
 allowedToSignUpEmailBasedSubscriptions=$true
 allowEmailVerifiedUsersToJoinOrganization=$false
 }
Update-MgPolicyAuthorizationPolicy -BodyParameter $param

На блок-схеме ниже показаны разные сочетания этих параметров и результирующие условия для клиента и самостоятельной регистрации.

Сведения об этом параметре можно получить с помощью командлета Get-MgPolicyAuthorizationPolicy. Дополнительные сведения см. в разделе Get-MgPolicyAuthorizationPolicy.

Get-MgPolicyAuthorizationPolicy | Select-Object AllowedToSignUpEmailBasedSubscriptions, AllowEmailVerifiedUsersToJoinOrganization

Дополнительные сведения и примеры использования этих параметров см. в разделе Update-MgPolicyAuthorizationPolicyPolicy.

Следующие шаги

• Добавление имени личного домена в идентификатор Microsoft Entra
• Как установить и настроить Azure PowerShell
• Azure PowerShell
• Справка по командлетам Azure
• Update-MgPolicyAuthorizationPolicy
• Закрытие рабочей или учебной учетной записи в неуправляемом клиенте