Présentation de l’inscription en libre-service pour Azure Active Directory

Cet article explique comment utiliser l’inscription en libre-service pour renseigner une organisation dans Azure Active Directory (Azure AD); qui fait partie de Microsoft Entra. Si vous souhaitez prendre le contrôle d’un nom de domaine d’une organisation Azure AD non managée, consultez Prendre le contrôle d’un locataire non managé en tant qu’administrateur.

Pourquoi utiliser l’inscription libre-service ?

• Permettre aux clients de bénéficier plus rapidement des services dont ils ont besoin.
• Créer des offres envoyées par e-mail pour un service.
• Créer des flux d’inscription par e-mail permettant aux utilisateurs de créer rapidement des identités à l’aide de leurs alias de messagerie professionnelle, faciles à mémoriser
• Un locataire Azure AD créé en libre-service peut être transformé en locataire managé pouvant être utilisé pour d’autres services

Termes et définitions

• Inscription libre- service : méthode selon laquelle un utilisateur s‘abonne à un service cloud et bénéficie automatiquement d’une identité créée pour lui dans Azure AD en fonction de son domaine de messagerie.
• Locataire Azure AD non managé : il s’agit du locataire dans lequel cette identité est créée. Un locataire non managé est un locataire sans administrateur général.
• Utilisateur vérifié par e-mail : type de compte d’utilisateur dans Azure AD. Un utilisateur qui possède une identité créée automatiquement après s’être abonné à une offre libre-service est considéré comme un utilisateur vérifié par e-mail. Un utilisateur vérifié par e-mail est un membre ordinaire d’un locataire avec l’étiquette creationmethod=EmailVerified.

Comment vérifier les paramètres libre-service ?

Les administrateurs peuvent désormais effectuer deux vérifications libre-service. Ils peuvent contrôler si :

• Les utilisateurs peuvent joindre le locataire par e-mail
• Les utilisateurs peuvent s’abonner eux-mêmes aux applications et services

Comment puis-je vérifier ces fonctionnalités ?

Un administrateur peut configurer ces fonctionnalités à l’aide des paramètres Set-MsolCompanySettings d’applet de commande Azure AD suivants :

• AllowEmailVerifiedUsers contrôle si les utilisateurs peuvent joindre le locataire via la validation par e-mail. Pour le joindre, l’utilisateur doit avoir une adresse e-mail dans un domaine qui correspond à l’un des domaines vérifiés dans le locataire. Ce paramètre est appliqué à l’ensemble de l’entreprise pour tous les domaines du locataire. Si vous définissez ce paramètre sur $false, aucun utilisateur vérifié par e-mail ne peut joindre le locataire.
• AllowAdHocSubscriptions vérifie la capacité des utilisateurs à réaliser une inscription libre-service. Si vous définissez ce paramètre sur $false, aucun utilisateur ne peut effectuer une inscription libre-service.

AllowEmailVerifiedUsers et AllowAdHocSubscriptions sont des paramètres à l’échelle du locataire qui peuvent être appliqués à un locataire managé ou non managé. Voici un exemple où :

• Vous administrez un locataire avec un domaine vérifié, par exemple contoso.com
• Vous utilisez la collaboration B2B à partir d’un autre locataire pour inviter un utilisateur qui n’existe pas encore (userdoesnotexist@contoso.com) dans le locataire de base de contoso.com
• AllowEmailVerifiedUsers est activé pour le locataire de base

Si les conditions précédentes sont remplies, un utilisateur membre est créé dans le locataire de base et un utilisateur invité B2B est créé dans le locataire à l’origine de l’invitation.

Notes

Office 365 pour les utilisateurs éducation, sont actuellement les seuls qui sont ajoutés aux locataires managés existants, même lorsque ce bouton bascule est activé

Pour plus d’informations sur les inscriptions d’essai à Microsoft Flow et Power Apps, consultez les articles suivants :

• Comment faire pour empêcher les utilisateurs existants de commencer à utiliser Power BI ?
• Questions et réponses sur Flow dans l’organisation

Comment les vérifications parviennent-elles à fonctionner ensemble ?

Ces deux paramètres peuvent être utilisés conjointement pour définir une vérification plus précise de l’inscription libre-service. Par exemple, la commande suivante permet aux utilisateurs de réaliser une inscription libre-service, mais uniquement si ces utilisateurs possèdent déjà un compte dans Azure AD (en d’autres termes, les utilisateurs qui ont besoin d’un compte vérifié par e-mail ne peuvent pas réaliser d’inscription libre-service) :

    Set-MsolCompanySettings -AllowEmailVerifiedUsers $false -AllowAdHocSubscriptions $true

L‘organigramme suivant décrit les différentes combinaisons de paramètres et les conditions qui en résultent pour le locataire et l’inscription en libre-service.

Les détails de ce paramètre peuvent être récupérés à l’aide de l’applet de commande PowerShell Get-MsolCompanyInformation. Pour plus d’informations à ce sujet, consultez Get-MsolCompanyInformation.

    Get-MsolCompanyInformation | Select AllowEmailVerifiedUsers, AllowAdHocSubscriptions

Pour en savoir plus et obtenir des exemples d'utilisation de ces paramètres, consultez Set-MsolCompanySettings.

Étapes suivantes

• Ajouter un nom de domaine personnalisé à Azure AD
• Installation et configuration d’Azure PowerShell
• Azure PowerShell
• Guide de référence des applets de commande Azure
• Set-MsolCompanySettings
• Fermer votre compte professionnel ou scolaire dans un locataire Azure non managé