Mi az önkiszolgáló regisztráció a Microsoft Entra ID-hoz?
Ez a cikk azt ismerteti, hogyan használhat önkiszolgáló regisztrációt egy szervezet feltöltéséhez a Microsoft Entra id-ban, a Microsoft Entra részeként. Ha nem felügyelt Microsoft Entra-szervezettől szeretne tartománynevet átvenni, tekintse meg a nem felügyelt bérlő rendszergazdaként való átvétele című témakört.
Miért érdemes önkiszolgáló regisztrációt használni?
- Ügyfelek gyorsabb kiszolgálása
- E-mail-alapú ajánlatok létrehozása egy szolgáltatáshoz
- E-mail-alapú regisztrációs folyamatok létrehozása, amelyek segítségével a felhasználók gyorsan létrehozhatnak identitásokat a könnyen megjegyezhető munkahelyi e-mail-aliasok használatával
- Az önkiszolgáló microsoft entra-bérlők felügyelt bérlővé alakíthatók, amelyek más szolgáltatásokhoz is használhatók
Kifejezések és definíciók
- Önkiszolgáló regisztráció: Ez az a módszer, amellyel a felhasználó regisztrál egy felhőszolgáltatásra, és automatikusan létrehoz egy identitást a Microsoft Entra-azonosítóban az e-mail-tartománya alapján.
- Nem felügyelt Microsoft Entra-bérlő: Ez az a bérlő, ahol az identitás létrejön. A nem felügyelt bérlő olyan bérlő, amelynek nincs globális rendszergazdája.
- E-mailben ellenőrzött felhasználó: Ez a Microsoft Entra-azonosítóban található felhasználói fiók típusa. Az önkiszolgáló ajánlatra való regisztráció után automatikusan létrehozott identitással rendelkező felhasználót e-mailben ellenőrzött felhasználónak nevezzük. Az e-mail-ellenőrzött felhasználók a creationmethod=EmailVerified címkével ellátott bérlők rendszeres tagja.
Hogyan önkiszolgáló beállításokat?
Rendszergazda két önkiszolgáló vezérlője van. Szabályozhatják, hogy:
- A felhasználók e-mailben csatlakozhatnak a bérlőhöz
- A felhasználók licencelhetik magukat alkalmazásokhoz és szolgáltatásokhoz
Hogyan szabályozhatom ezeket a képességeket?
A rendszergazdák a következő Microsoft Entra-parancsmag Set-MsolCompany Gépház paraméterekkel konfigurálhatják ezeket a képességeket:
- Az AllowEmailVerifiedUsers szabályozza, hogy a felhasználók e-mail-ellenőrzéssel csatlakozhatnak-e a bérlőhöz. A csatlakozáshoz a felhasználónak rendelkeznie kell egy olyan e-mail-címmel egy tartományban, amely megfelel a bérlő egyik ellenőrzött tartományának. Ez a beállítás vállalati szintű lesz alkalmazva a bérlő összes tartományára. Ha ezt a paramétert $false értékre állítja, egyetlen e-mail-hitelesítésű felhasználó sem csatlakozhat a bérlőhöz.
- Az AllowAdHocSubscriptions szabályozza, hogy a felhasználók önkiszolgáló regisztrációt hajthassanak végre. Ha ezt a paramétert $false értékre állítja, egyetlen felhasználó sem végezhet önkiszolgáló regisztrációt.
Az AllowEmailVerifiedUsers és az AllowAdHocSubscriptions olyan bérlőszintű beállítások, amelyek egy felügyelt vagy nem felügyelt bérlőre alkalmazhatók. Íme egy példa, ahol:
- Ellenőrzött tartománnyal, például contoso.com
- Egy másik bérlőtől származó B2B-együttműködéssel meghívhat egy olyan felhasználót, aki még nem létezik (userdoesnotexist@contoso.com) a contoso.com
- Az otthoni bérlőben be van kapcsolva az AllowEmailVerifiedUsers
Ha az előző feltételek teljesülnek, a rendszer létrehoz egy tagfelhasználót az otthoni bérlőben, és egy B2B-vendégfelhasználót a meghívó bérlőben.
Megjegyzés:
Az Office 365 Oktatási verzió felhasználói jelenleg csak a meglévő felügyelt bérlőkhöz vannak hozzáadva, még akkor is, ha ez a kapcsoló engedélyezve van
A Flow és a Power Apps próbaverziós regisztrációiról az alábbi cikkekben talál további információt:
- Hogyan akadályozhatom meg, hogy a meglévő felhasználóim elkezdzék használni a Power BI-t?
- Folyamat a szervezetben – Q&A
Hogyan működnek együtt a vezérlők?
Ez a két paraméter együtt használható az önkiszolgáló regisztráció pontosabb szabályozására. A következő parancs például lehetővé teszi, hogy a felhasználók önkiszolgáló regisztrációt végezzenek, de csak akkor, ha ezek a felhasználók már rendelkeznek fiókkal a Microsoft Entra-azonosítóban (vagyis azok a felhasználók, akiknek először létre kell hozniuk egy e-mail-ellenőrzött fiókot, nem végezhetnek önkiszolgáló regisztrációt):
Import-Module Microsoft.Graph.Identity.SignIns
connect-MgGraph -Scopes "Policy.ReadWrite.Authorization"
$param = @{
allowedToSignUpEmailBasedSubscriptions=$true
allowEmailVerifiedUsersToJoinOrganization=$false
}
Update-MgPolicyAuthorizationPolicy -BodyParameter $param
Az alábbi folyamatábra ismerteti a paraméterek különböző kombinációit, valamint a bérlői és önkiszolgáló regisztrációból eredő feltételeket.
A beállítás részletei a Get-MsolCompanyInformation PowerShell-parancsmaggal kérhetők le. Erről további információt a Get-MsolCompanyInformation című témakörben talál.
Get-MgPolicyAuthorizationPolicy | Select-Object AllowedToSignUpEmailBasedSubscriptions, AllowEmailVerifiedUsersToJoinOrganization
További információ és példák a paraméterek használatáról: Update-MgPolicyAuthorizationPolicy.