Apa itu pendaftaran layanan mandiri untuk Microsoft Entra ID?

Artikel ini menjelaskan cara menggunakan pendaftaran layanan mandiri untuk mengisi organisasi di ID Microsoft Entra, bagian dari Microsoft Entra. Jika Anda ingin mengambil alih nama domain dari organisasi Microsoft Entra yang tidak dikelola, lihat Mengambil alih penyewa yang tidak dikelola sebagai administrator.

Mengapa menggunakan pendaftaran layanan mandiri?

• Mengarahkan pelanggan ke layanan yang mereka inginkan lebih cepat
• Membuat penawaran berbasis email untuk layanan
• Membuat alur pendaftaran berbasis email yang memungkinkan pengguna dengan cepat membuat identitas menggunakan alias email kerja mereka yang mudah diingat
• Penyewa Microsoft Entra yang dibuat secara mandiri dapat diubah menjadi penyewa terkelola yang dapat digunakan untuk layanan lain

Syarat dan definisi

• Pendaftaran layanan mandiri: Ini adalah metode di mana pengguna mendaftar untuk layanan cloud dan memiliki identitas yang secara otomatis dibuat untuk mereka di ID Microsoft Entra berdasarkan domain email mereka.
• Penyewa Microsoft Entra tidak terkelola: Ini adalah penyewa tempat identitas tersebut dibuat. Penyewa yang tidak terkelola adalah penyewa yang tidak memiliki administrator global.
• Pengguna yang diverifikasi email: Ini adalah jenis akun pengguna di ID Microsoft Entra. Pengguna yang memiliki identitas dibuat secara otomatis setelah mendaftar untuk penawaran layanan mandiri dikenal sebagai pengguna yang diverifikasi email. Pengguna yang diverifikasi email adalah anggota reguler dari penyewa yang ditandai dengan creationmethod=EmailVerified.

Bagaimana cara mengontrol pengaturan layanan mandiri?

Admin memiliki dua kontrol layanan mandiri hari ini. Mereka dapat mengontrol apakah:

• Pengguna dapat bergabung dengan penyewa melalui email
• Pengguna dapat melisensikan diri sendiri untuk aplikasi dan layanan

Bagaimana cara mengontrol kemampuan ini?

Admin dapat mengonfigurasi kemampuan ini menggunakan parameter Set-MsolCompany Pengaturan cmdlet Microsoft Entra berikut:

• AllowEmailVerifiedUsers mengontrol apakah pengguna dapat bergabung dengan penyewa dengan validasi email. Untuk bergabung, pengguna harus memiliki alamat email di domain yang cocok dengan salah satu domain terverifikasi di penyewa. Pengaturan ini diterapkan di seluruh perusahaan untuk semua domain di penyewa. Jika Anda mengatur parameter tersebut ke $false, tidak ada pengguna yang diverifikasi email yang dapat bergabung dengan direktori.
• AllowAdHocSubscriptions mengontrol kemampuan pengguna untuk melakukan pendaftaran layanan mandiri. Jika Anda mengatur parameter tersebut ke $false, tidak ada pengguna yang dapat melakukan pendaftaran layanan mandiri.

AllowEmailVerifiedUsers dan AllowAdHocSubscriptions adalah pengaturan di seluruh penyewa yang dapat diterapkan ke penyewa terkelola atau tidak terkelola. Berikut contoh di mana:

• Anda mengelola penyewa dengan domain terverifikasi seperti contoso.com
• Anda menggunakan kolaborasi B2B dari penyewa lain untuk mengundang pengguna yang belum ada (userdoesnotexist@contoso.com) di penyewa beranda contoso.com
• Penyewa rumah mengaktifkan AllowEmailVerifiedUsers

Jika kondisi sebelumnya benar, pengguna anggota dibuat di penyewa rumah, dan pengguna tamu B2B dibuat di penyewa yang mengundang.

Catatan

Pengguna Office 365 untuk Pendidikan, saat ini adalah satu-satunya yang ditambahkan ke penyewa terkelola yang sudah ada bahkan ketika pengalih ini diaktifkan

Untuk informasi selengkapnya tentang pendaftaran uji coba Flow dan Power Apps, lihat artikel berikut ini:

• Bagaimana cara mencegah pengguna saya yang ada mulai menggunakan Power BI?
• Flow di Q&A organisasi Anda

Bagaimana kontrol bekerja sama?

Kedua parameter ini dapat digunakan bersamaan untuk menentukan kontrol yang lebih tepat atas pendaftaran layanan mandiri. Misalnya, perintah berikut memungkinkan pengguna untuk melakukan pendaftaran layanan mandiri, tetapi hanya jika pengguna tersebut sudah memiliki akun di ID Microsoft Entra (dengan kata lain, pengguna yang memerlukan akun yang diverifikasi email dibuat terlebih dahulu tidak dapat melakukan pendaftaran layanan mandiri):

Import-Module Microsoft.Graph.Identity.SignIns
connect-MgGraph -Scopes "Policy.ReadWrite.Authorization"
$param = @{
 allowedToSignUpEmailBasedSubscriptions=$true
 allowEmailVerifiedUsersToJoinOrganization=$false
 }
Update-MgPolicyAuthorizationPolicy -BodyParameter $param

Diagram alur berikut menjelaskan kombinasi yang berbeda untuk parameter ini dan kondisi yang dihasilkan untuk penyewa dan pendaftaran layanan mandiri.

Detail pengaturan ini dapat diambil menggunakan cmdlet PowerShell Get-MsolCompanyInformation. Untuk informasi selengkapnya tentang hal ini, lihat Get-MsolCompanyInformation.

Get-MgPolicyAuthorizationPolicy | Select-Object AllowedToSignUpEmailBasedSubscriptions, AllowEmailVerifiedUsersToJoinOrganization

Untuk informasi selengkapnya dan contoh cara menggunakan parameter ini, lihat Update-MgPolicyAuthorizationPolicy.

Langkah berikutnya

• Menambahkan nama domain kustom ke ID Microsoft Entra
• Cara menginstal dan mengonfigurasi Azure PowerShell
• Azure PowerShell
• Referensi Azure Cmdlet
• Set-MsolCompanySettings
• Menutup akun kantor atau sekolah Anda di penyewa tidak terkelola