Apa itu pendaftaran layanan mandiri untuk Microsoft Entra ID?

Artikel ini menjelaskan cara menggunakan pendaftaran mandiri untuk menambahkan pengguna ke organisasi di Microsoft Entra ID, yang merupakan bagian dari Microsoft Entra. Jika Anda ingin mengambil alih nama domain dari organisasi Microsoft Entra yang tidak dikelola, lihat Mengambil alih penyewa yang tidak dikelola sebagai administrator.

Mengapa menggunakan pendaftaran layanan mandiri?

• Mengarahkan pelanggan ke layanan yang mereka inginkan lebih cepat
• Membuat penawaran berbasis email untuk layanan
• Membuat alur pendaftaran berbasis email yang memungkinkan pengguna dengan cepat membuat identitas menggunakan alias email kerja mereka yang mudah diingat
• Penyewa Microsoft Entra yang dibuat secara mandiri dapat diubah menjadi penyewa terkelola yang dapat digunakan untuk layanan lain

Syarat dan definisi

• Pendaftaran mandiri adalah metode di mana pengguna dapat mendaftar untuk layanan cloud dan secara otomatis dibuatkan identitas di Microsoft Entra ID berdasarkan domain alamat email mereka.
• Penyewa Microsoft Entra yang tidak dikelola adalah penyewa tempat identitas tersebut dibuat. Penyewa yang tidak dikelola adalah penyewa yang tidak memiliki Administrator Global.
• Pengguna yang telah diverifikasi melalui email adalah jenis akun pengguna di Microsoft Entra ID. Pengguna yang memiliki identitas yang dibuat secara otomatis setelah mendaftar untuk penawaran layanan mandiri dikenal sebagai pengguna terverifikasi email. Pengguna yang diverifikasi email adalah anggota reguler dari penyewa yang ditandai dengan creationmethod=EmailVerified.

Bagaimana cara mengontrol pengaturan layanan mandiri?

Para admin memiliki dua kontrol layanan mandiri hari ini. Mereka dapat mengontrol apakah:

• Pengguna dapat bergabung dengan penyewa melalui email
• Pengguna dapat melisensikan diri sendiri untuk aplikasi dan layanan

Bagaimana cara mengontrol kemampuan ini?

Admin dapat mengonfigurasi kemampuan ini menggunakan cmdlet Microsoft Entra berikut Update-MgPolicyAuthorizationPolicy parameter:

• allowEmailVerifiedUsersToJoinOrganization mengontrol apakah pengguna dapat bergabung dengan organisasi melalui validasi email. Untuk bergabung, pengguna harus memiliki alamat email di domain yang cocok dengan salah satu domain terverifikasi di penyewa. Pengaturan ini diterapkan di seluruh perusahaan untuk semua domain di penyewa. Jika Anda mengatur parameter tersebut ke $false, tidak ada pengguna yang telah diverifikasi email yang dapat bergabung dengan penyewa.
• allowedToSignUpEmailBasedSubscriptions mengontrol kemampuan pengguna untuk melakukan pendaftaran layanan mandiri. Jika Anda mengatur parameter tersebut ke $false, tidak ada pengguna yang dapat melakukan pendaftaran layanan mandiri.

allowEmailVerifiedUsersToJoinOrganization dan allowedToSignUpEmailBasedSubscriptions adalah pengaturan yang berlaku untuk seluruh penyewa yang dapat diterapkan ke penyewa yang dikelola maupun tidak dikelola. Berikut contoh di mana:

• Anda mengelola penyewa dengan domain terverifikasi seperti contoso.com
• Anda menggunakan kolaborasi B2B dari penyewa lain untuk mengundang pengguna yang belum ada (userdoesnotexist@contoso.com) di penyewa utama contoso.com
• Penyewa rumah sudah mengaktifkan fitur pendaftaran berbasis email

Jika kondisi sebelumnya benar, maka pengguna anggota dibuat di penyewa utama, dan pengguna tamu B2B dibuat di penyewa yang mengundang.

Catatan

Pengguna Office 365 untuk Pendidikan saat ini adalah satu-satunya yang ditambahkan ke penyewa terkelola yang sudah ada, sekalipun saklar ini diaktifkan.

Untuk informasi selengkapnya tentang pendaftaran uji coba Flow dan Power Apps, lihat artikel berikut ini:

• Bagaimana cara mencegah pengguna saya yang ada mulai menggunakan Power BI?
• Alur Q&A dalam organisasi Anda

Bagaimana kontrol bekerja sama?

Kedua parameter ini dapat digunakan bersamaan untuk menentukan kontrol yang lebih tepat atas pendaftaran layanan mandiri. Misalnya, perintah berikut memungkinkan pengguna untuk melakukan pendaftaran layanan mandiri, tetapi hanya jika pengguna tersebut sudah memiliki akun di ID Microsoft Entra (dengan kata lain, pengguna yang memerlukan akun yang diverifikasi email dibuat terlebih dahulu tidak dapat melakukan pendaftaran layanan mandiri):

Import-Module Microsoft.Graph.Identity.SignIns
connect-MgGraph -Scopes "Policy.ReadWrite.Authorization"
$param = @{
 allowedToSignUpEmailBasedSubscriptions=$true
 allowEmailVerifiedUsersToJoinOrganization=$false
 }
Update-MgPolicyAuthorizationPolicy -BodyParameter $param

Diagram alur berikut menjelaskan kombinasi berbeda dari parameter-parameter ini dan kondisi yang dihasilkan bagi penyewa serta pendaftaran secara mandiri.

Anda dapat mengambil rincian pengaturan ini menggunakan cmdlet PowerShell Get-MgPolicyAuthorizationPolicy. Untuk informasi selengkapnya, lihat Get-MgPolicyAuthorizationPolicy.

Get-MgPolicyAuthorizationPolicy | Select-Object AllowedToSignUpEmailBasedSubscriptions, AllowEmailVerifiedUsersToJoinOrganization

Untuk informasi selengkapnya dan contoh cara menggunakan parameter ini, lihat Update-MgPolicyAuthorizationPolicy.

Langkah berikutnya

• Menambahkan nama domain kustom ke ID Microsoft Entra
• Cara menginstal dan mengonfigurasi Azure PowerShell
• Azure PowerShell
• Referensi Azure Cmdlet
• Perbarui-KebijakanOtorisasiMg
• Menutup akun kantor atau sekolah Anda di penyewa tidak terkelola