Czym jest samoobsługowa rejestracja dla Microsoft Entra ID?
W tym artykule wyjaśniono, jak używać rejestracji samoobsługowej w celu wypełnienia organizacji w usłudze Microsoft Entra ID, części firmy Microsoft Entra. Jeśli chcesz przejąć nazwę domeny z niezarządzanej organizacji firmy Microsoft Entra, zobacz Przejmowanie niezarządzanej dzierżawy jako administrator.
Dlaczego warto korzystać z rejestracji samoobsługowej?
- Uzyskiwanie klientom usług, których chcą szybciej
- Tworzenie ofert opartych na wiadomościach e-mail dla usługi
- Tworzenie przepływów rejestracji opartych na wiadomościach e-mail, które szybko umożliwiają użytkownikom tworzenie tożsamości przy użyciu łatwych w zapamiętaniu służbowych aliasów poczty e-mail
- Samoobsługowa dzierżawa firmy Microsoft Entra może zostać przekształcona w dzierżawę zarządzaną, która może być używana dla innych usług
Warunki i definicje
- Rejestracja samoobsługowa: jest to metoda, za pomocą której użytkownik rejestruje się w usłudze w chmurze i ma tożsamość automatycznie utworzoną dla nich w usłudze Microsoft Entra ID na podstawie domeny poczty e-mail.
- Niezarządzana dzierżawa firmy Microsoft Entra: jest to dzierżawa, w której jest tworzona ta tożsamość. Dzierżawa niezarządzana to dzierżawa, która nie ma administratora globalnego.
- Użytkownik zweryfikowany pocztą e-mail: jest to typ konta użytkownika w usłudze Microsoft Entra ID. Użytkownik, który ma tożsamość utworzoną automatycznie po zarejestrowaniu się w ofercie samoobsługi, jest znany jako użytkownik zweryfikowany pocztą e-mail. Użytkownik zweryfikowany pocztą e-mail jest zwykłym członkiem dzierżawy oznaczonej tagiem creationmethod=EmailVerified.
Jak mogę kontrolować ustawienia samoobsługi?
Administracja mają obecnie dwie samoobsługowe kontrolki. Mogą kontrolować, czy:
- Użytkownicy mogą dołączać do dzierżawy za pośrednictwem poczty e-mail
- Użytkownicy mogą licencjonować się na aplikacje i usługi
Jak mogę kontrolować te możliwości?
Administrator może skonfigurować te możliwości przy użyciu następujących parametrów polecenia cmdlet Microsoft Entra Set-MsolCompany Ustawienia:
- AllowEmailVerifiedUsers określa, czy użytkownicy mogą dołączyć do dzierżawy za pomocą weryfikacji poczty e-mail. Aby dołączyć, użytkownik musi mieć adres e-mail w domenie zgodnej z jedną ze zweryfikowanych domen w dzierżawie. To ustawienie jest stosowane dla całej firmy dla wszystkich domen w dzierżawie. Jeśli ustawisz ten parametr na $false, żaden użytkownik zweryfikowany pocztą e-mail nie może dołączyć do dzierżawy.
- Pozycja AllowAdHocSubscriptions kontroluje możliwość wykonywania rejestracji samoobsługowej przez użytkowników. Jeśli ustawisz ten parametr na $false, żaden użytkownik nie będzie mógł wykonać rejestracji samoobsługowej.
AllowEmailVerifiedUsers i AllowAdHocSubscriptions to ustawienia dla całej dzierżawy, które można zastosować do dzierżawy zarządzanej lub niezarządzanej. Oto przykład, w którym:
- Administrowanie dzierżawą przy użyciu zweryfikowanej domeny, takiej jak contoso.com
- Współpraca B2B z innej dzierżawy umożliwia zapraszanie użytkownika, który jeszcze nie istnieje (userdoesnotexist@contoso.com) w dzierżawie głównej contoso.com
- Dzierżawa domowa ma włączoną opcję AllowEmailVerifiedUsers
Jeśli powyższe warunki są spełnione, użytkownik członkowski zostanie utworzony w dzierżawie głównej, a użytkownik-gość B2B zostanie utworzony w dzierżawie zapraszającej.
Uwaga
Użytkownicy usługi Office 365 for Education są obecnie jedynymi, którzy są dodawani do istniejących dzierżaw zarządzanych nawet wtedy, gdy ten przełącznik jest włączony
Aby uzyskać więcej informacji na temat rejestracji w wersji próbnej usług Flow i Power Apps, zobacz następujące artykuły:
- Jak uniemożliwić istniejącym użytkownikom rozpoczęcie korzystania z usługi Power BI?
- Przepływ w organizacji — pytania i pytania
Jak działają razem kontrolki?
Te dwa parametry można użyć w połączeniu, aby zdefiniować bardziej precyzyjną kontrolę nad rejestracją samoobsługową. Na przykład następujące polecenie umożliwia użytkownikom wykonywanie rejestracji samoobsługowej, ale tylko wtedy, gdy ci użytkownicy mają już konto w usłudze Microsoft Entra ID (innymi słowy, użytkownicy, którzy będą musieli utworzyć konto zweryfikowane pocztą e-mail, nie mogą najpierw wykonać rejestracji samoobsługowej):
Import-Module Microsoft.Graph.Identity.SignIns
connect-MgGraph -Scopes "Policy.ReadWrite.Authorization"
$param = @{
allowedToSignUpEmailBasedSubscriptions=$true
allowEmailVerifiedUsersToJoinOrganization=$false
}
Update-MgPolicyAuthorizationPolicy -BodyParameter $param
W poniższym schemacie blokowym wyjaśniono różne kombinacje tych parametrów oraz wynikowe warunki rejestracji dzierżawy i samoobsługi.
Szczegóły tego ustawienia można pobrać przy użyciu polecenia cmdlet programu PowerShell Get-MsolCompanyInformation. Aby uzyskać więcej informacji na ten temat, zobacz Get-MsolCompanyInformation.
Get-MgPolicyAuthorizationPolicy | Select-Object AllowedToSignUpEmailBasedSubscriptions, AllowEmailVerifiedUsersToJoinOrganization
Aby uzyskać więcej informacji i przykładów używania tych parametrów, zobacz Update-MgPolicyAuthorizationPolicy.