Mi az önkiszolgáló regisztráció a Microsoft Entra ID-hoz?

Ez a cikk azt ismerteti, hogyan használhat önkiszolgáló regisztrációt egy szervezet feltöltéséhez a Microsoft Entra id-ban, a Microsoft Entra részeként. Ha nem felügyelt Microsoft Entra-szervezettől szeretne tartománynevet átvenni, tekintse meg a nem felügyelt bérlő rendszergazdaként való átvétele című témakört.

Miért érdemes önkiszolgáló regisztrációt használni?

• Ügyfelek gyorsabb kiszolgálása
• E-mail-alapú ajánlatok létrehozása egy szolgáltatáshoz
• E-mail-alapú regisztrációs folyamatok létrehozása, amelyek segítségével a felhasználók gyorsan létrehozhatnak identitásokat a könnyen megjegyezhető munkahelyi e-mail-aliasok használatával
• Az önkiszolgáló microsoft entra-bérlők felügyelt bérlővé alakíthatók, amelyek más szolgáltatásokhoz is használhatók

Kifejezések és definíciók

• Önkiszolgáló regisztráció: Ez az a módszer, amellyel a felhasználó regisztrál egy felhőszolgáltatásra, és automatikusan létrehoz egy identitást a Microsoft Entra-azonosítóban az e-mail-tartománya alapján.
• Nem felügyelt Microsoft Entra-bérlő: Ez az a bérlő, ahol az identitás létrejön. A nem felügyelt bérlő olyan bérlő, amelynek nincs globális rendszergazdája.
• E-mailben ellenőrzött felhasználó: Ez a Microsoft Entra-azonosítóban található felhasználói fiók típusa. Az önkiszolgáló ajánlatra való regisztráció után automatikusan létrehozott identitással rendelkező felhasználót e-mailben ellenőrzött felhasználónak nevezzük. Az e-mail-ellenőrzött felhasználók a creationmethod=EmailVerified címkével ellátott bérlők rendszeres tagja.

Hogyan önkiszolgáló beállításokat?

Rendszergazda két önkiszolgáló vezérlője van. Szabályozhatják, hogy:

• A felhasználók e-mailben csatlakozhatnak a bérlőhöz
• A felhasználók licencelhetik magukat alkalmazásokhoz és szolgáltatásokhoz

Hogyan szabályozhatom ezeket a képességeket?

A rendszergazdák a következő Microsoft Entra-parancsmag Set-MsolCompany Gépház paraméterekkel konfigurálhatják ezeket a képességeket:

• Az AllowEmailVerifiedUsers szabályozza, hogy a felhasználók e-mail-ellenőrzéssel csatlakozhatnak-e a bérlőhöz. A csatlakozáshoz a felhasználónak rendelkeznie kell egy olyan e-mail-címmel egy tartományban, amely megfelel a bérlő egyik ellenőrzött tartományának. Ez a beállítás vállalati szintű lesz alkalmazva a bérlő összes tartományára. Ha ezt a paramétert $false értékre állítja, egyetlen e-mail-hitelesítésű felhasználó sem csatlakozhat a bérlőhöz.
• Az AllowAdHocSubscriptions szabályozza, hogy a felhasználók önkiszolgáló regisztrációt hajthassanak végre. Ha ezt a paramétert $false értékre állítja, egyetlen felhasználó sem végezhet önkiszolgáló regisztrációt.

Az AllowEmailVerifiedUsers és az AllowAdHocSubscriptions olyan bérlőszintű beállítások, amelyek egy felügyelt vagy nem felügyelt bérlőre alkalmazhatók. Íme egy példa, ahol:

• Ellenőrzött tartománnyal, például contoso.com
• Egy másik bérlőtől származó B2B-együttműködéssel meghívhat egy olyan felhasználót, aki még nem létezik (userdoesnotexist@contoso.com) a contoso.com
• Az otthoni bérlőben be van kapcsolva az AllowEmailVerifiedUsers

Ha az előző feltételek teljesülnek, a rendszer létrehoz egy tagfelhasználót az otthoni bérlőben, és egy B2B-vendégfelhasználót a meghívó bérlőben.

Megjegyzés:

Az Office 365 Oktatási verzió felhasználói jelenleg csak a meglévő felügyelt bérlőkhöz vannak hozzáadva, még akkor is, ha ez a kapcsoló engedélyezve van

A Flow és a Power Apps próbaverziós regisztrációiról az alábbi cikkekben talál további információt:

• Hogyan akadályozhatom meg, hogy a meglévő felhasználóim elkezdzék használni a Power BI-t?
• Folyamat a szervezetben – Q&A

Hogyan működnek együtt a vezérlők?

Ez a két paraméter együtt használható az önkiszolgáló regisztráció pontosabb szabályozására. A következő parancs például lehetővé teszi, hogy a felhasználók önkiszolgáló regisztrációt végezzenek, de csak akkor, ha ezek a felhasználók már rendelkeznek fiókkal a Microsoft Entra-azonosítóban (vagyis azok a felhasználók, akiknek először létre kell hozniuk egy e-mail-ellenőrzött fiókot, nem végezhetnek önkiszolgáló regisztrációt):

Import-Module Microsoft.Graph.Identity.SignIns
connect-MgGraph -Scopes "Policy.ReadWrite.Authorization"
$param = @{
 allowedToSignUpEmailBasedSubscriptions=$true
 allowEmailVerifiedUsersToJoinOrganization=$false
 }
Update-MgPolicyAuthorizationPolicy -BodyParameter $param

Az alábbi folyamatábra ismerteti a paraméterek különböző kombinációit, valamint a bérlői és önkiszolgáló regisztrációból eredő feltételeket.

A beállítás részletei a Get-MsolCompanyInformation PowerShell-parancsmaggal kérhetők le. Erről további információt a Get-MsolCompanyInformation című témakörben talál.

Get-MgPolicyAuthorizationPolicy | Select-Object AllowedToSignUpEmailBasedSubscriptions, AllowEmailVerifiedUsersToJoinOrganization

További információ és példák a paraméterek használatáról: Update-MgPolicyAuthorizationPolicy.

További lépések

• Egyéni tartománynév hozzáadása a Microsoft Entra-azonosítóhoz
• Az Azure PowerShell telepítése és konfigurálása
• Azure PowerShell
• Azure parancsmag-referencia
• Set-MsolCompany Gépház
• Munkahelyi vagy iskolai fiók bezárása nem felügyelt bérlőben