Co je samoobslužná registrace k Microsoft Entra ID?

Tento článek vysvětluje, jak pomocí samoobslužné registrace naplnit organizaci v Microsoft Entra ID, která je součástí Microsoft Entra. Pokud chcete převzít název domény z nespravované organizace Microsoft Entra, přečtěte si téma Převzetí nespravovaného tenanta jako správce.

Proč používat samoobslužnou registraci?

• Rychlejší získání zákazníků ke službám, které chtějí
• Vytvoření e-mailových nabídek pro službu
• Vytváření toků registrace založených na e-mailech, které uživatelům umožňují rychle vytvářet identity pomocí snadno zapamatovatelného pracovního e-mailového aliasu
• Samoobslužný tenant Microsoft Entra se dá převést na spravovaného tenanta, který se dá použít pro jiné služby.

Termíny a definice

• Samoobslužná registrace: Jedná se o metodu, pomocí které se uživatel zaregistruje ke cloudové službě a má pro ně automaticky vytvořenou identitu v Microsoft Entra ID na základě e-mailové domény.
• Nespravovaný tenant Microsoft Entra: Jedná se o tenanta, ve kterém se tato identita vytvoří. Nespravovaný tenant je tenant, který nemá globálního správce.
• Uživatel ověřený e-mailem: Jedná se o typ uživatelského účtu v MICROSOFT Entra ID. Uživatel, který má identitu vytvořenou automaticky po registraci samoobslužné nabídky, se označuje jako uživatel ověřený e-mailem. Uživatel ověřený e-mailem je běžný člen tenanta označeného creationmethod=EmailVerified.

Návody řídit samoobslužná nastavení?

Správa mají dnes dvě samoobslužné kontroly. Můžou řídit, jestli:

• Uživatelé se můžou k tenantovi připojit e-mailem.
• Uživatelé se můžou licencovat pro aplikace a služby.

Jak můžu tyto možnosti řídit?

Správce může tyto funkce nakonfigurovat pomocí následujících parametrů rutiny Microsoft Entra Set-MsolCompany Nastavení:

• AllowEmailVerifiedUsers určuje, jestli se uživatelé můžou k tenantovi připojit ověřením e-mailu. Aby se uživatel mohl připojit, musí mít e-mailovou adresu v doméně, která odpovídá jedné z ověřených domén v tenantovi. Toto nastavení se použije pro všechny domény v tenantovi pro celou společnost. Pokud tento parametr nastavíte na $false, nemůže se k tenantovi připojit žádný uživatel ověřený e-mailem.
• AllowAdHocSubscriptions řídí schopnost uživatelů provádět samoobslužnou registraci. Pokud tento parametr nastavíte na $false, nebude moct samoobslužná registrace provádět žádný uživatel.

AllowEmailVerifiedUsers a AllowAdHocSubscriptions jsou nastavení pro celého tenanta, která je možné použít u spravovaného nebo nespravovaného tenanta. Tady je příklad, kde:

• Tenanta spravujete s ověřenou doménou, jako je contoso.com
• Spolupráce B2B z jiného tenanta slouží k pozvání uživatele, který ještě neexistuje (userdoesnotexist@contoso.com) v domovském tenantovi contoso.com
• Domovský tenant má zapnuté AllowEmailVerifiedUsers.

Pokud jsou splněné předchozí podmínky, vytvoří se člen v domovském tenantovi a v zvaní se vytvoří uživatel typu host B2B.

Poznámka:

Uživatelé Office 365 for Education jsou aktuálně jedinými uživateli, kteří jsou přidaní do stávajících spravovaných tenantů, i když je tento přepínač povolený.

Další informace o registraci služby Flow a zkušební verze Power Apps najdete v následujících článcích:

• Jak můžu stávajícím uživatelům zabránit v používání Power BI?
• Tok ve vaší organizaci – Q&A

Jak fungují ovládací prvky společně?

Tyto dva parametry lze použít ve spojení k definování přesnější kontroly nad samoobslužnou registraci. Následující příkaz například umožňuje uživatelům provádět samoobslužnou registraci, ale jenom v případě, že tito uživatelé už mají účet v MICROSOFT Entra ID (jinými slovy, uživatelé, kteří potřebují vytvoření e-mailového ověřeného účtu, nemůžou samoobslužnou registraci provést):

Import-Module Microsoft.Graph.Identity.SignIns
connect-MgGraph -Scopes "Policy.ReadWrite.Authorization"
$param = @{
 allowedToSignUpEmailBasedSubscriptions=$true
 allowEmailVerifiedUsersToJoinOrganization=$false
 }
Update-MgPolicyAuthorizationPolicy -BodyParameter $param

Následující vývojový diagram vysvětluje různé kombinace těchto parametrů a výsledné podmínky pro tenanta a samoobslužnou registraci.

Podrobnosti tohoto nastavení se můžou načíst pomocí rutiny PowerShellu Get-MsolCompanyInformation. Další informace o tom naleznete v tématu Get-MsolCompanyInformation.

Get-MgPolicyAuthorizationPolicy | Select-Object AllowedToSignUpEmailBasedSubscriptions, AllowEmailVerifiedUsersToJoinOrganization

Další informace a příklady použití těchto parametrů naleznete v tématu Update-MgPolicyAuthorizationPolicy.

Další kroky

• Přidání vlastního názvu domény do ID Microsoft Entra
• Jak nainstalovat a nakonfigurovat Azure PowerShell
• Azure PowerShell
• Referenční informace k rutinám Azure
• Set-MsolCompany Nastavení
• Zavření pracovního nebo školního účtu v nespravovaném tenantovi