O que é a inscrição de autoatendimento do Microsoft Entra ID?

Visão geral

Este artigo explica como usar o cadastro por autoatendimento para criar uma organização no Microsoft Entra ID, que é parte do Microsoft Entra. Se você deseja assumir um nome de domínio de uma organização Microsoft Entra sem gestão, confira Assumir a administração de um locatário não gerenciado.

Por que usar a inscrição por autoatendimento?

• Leve aos clientes os serviços que eles desejam mais rápido
• Crie ofertas baseadas em email para um serviço
• Crie fluxos de inscrição baseados em email que permitem rapidamente que os usuários criem identidades usando seus aliases de email de trabalho fáceis de lembrar
• Um locatário do Microsoft Entra criado por autoatendimento pode ser convertido em um locatário gerenciado, que pode ser utilizado para outros serviços.

Termos e definições

• Cadastro self-service é o método pelo qual um usuário se cadastra em um serviço de nuvem e tem uma identidade criada automaticamente no Microsoft Entra ID, baseado no domínio de email do usuário.
• Um locatário não gerenciado do Microsoft Entra é o locatário em que essa identidade é criada. Um locatário não gerenciado é um locatário que não possui Administrador global.
• Um usuário verificado por email é um tipo de conta de usuário na ID do Microsoft Entra. Um usuário que tem uma identidade criada automaticamente após a inscrição para uma oferta de autoatendimento é conhecido como um usuário verificado por email. Um usuário verificado por email é um membro comum de um locatário marcado com creationmethod=EmailVerified.

Controlar configurações de autoatendimento

Os administradores têm dois controles de autoatendimento atualmente. Eles podem controlar se:

• Os usuários podem acessar o inquilino por email
• Os usuários podem licenciar eles próprios para aplicativos e serviços

Controlar esses recursos

Um administrador pode configurar esses recursos usando os seguintes parâmetros de cmdlet Update-MgPolicyAuthorizationPolicy do Microsoft Entra:

• allowEmailVerifiedUsersToJoinOrganization controla se os usuários podem ingressar no locatário por validação de email. Para ingressar, o usuário deve ter um endereço de email em um domínio que corresponde a um dos domínios verificados no locatário. Essa configuração é aplicada em toda a empresa para todos os domínios no locatário. Se você definir esse parâmetro como $false, nenhum usuário verificado por email poderá ingressar no locatário.
• allowedToSignUpEmailBasedSubscriptions permite que os usuários façam a inscrição por autoatendimento. Se você definir esse parâmetro como $false, nenhum usuário poderá realizar a inscrição por autoatendimento.

allowEmailVerifiedUsersToJoinOrganization e allowedToSignUpEmailBasedSubscriptions são configurações em todo o locatário que podem ser aplicadas a um locatário gerenciado ou não gerenciado. Aqui está um exemplo onde:

• Você administra um locatário com um domínio verificado, como contoso.com.
• Você usa a colaboração B2B de um inquilino diferente para convidar um usuário que ainda não existe (userdoesnotexist@contoso.com) no inquilino de origem do contoso.com.
• O locatário da casa deixou o allowedToSignUpEmailBasedSubscriptions ligado.

Se as condições anteriores forem verdadeiras, um usuário membro é criado no locatário de origem e um usuário convidado B2B é criado no locatário convidante.

Observação

Atualmente, os usuários do Office 365 para Educação são os únicos que são adicionados aos locatários gerenciados existentes mesmo quando essa alternância está habilitada

Para saber mais sobre as inscrições na avaliação gratuita do Flow e do Power Apps, confira os seguintes artigos:

• Como posso impedir meus usuários existentes de começarem a usar o Power BI?
• Perguntas e respostas sobre o Flow na sua organização

Como os controles funcionam juntos?

Esses dois parâmetros podem ser usados em conjunto para definir um controle mais preciso sobre a inscrição por autoatendimento. Por exemplo, o seguinte comando permitirá que os usuários realizem a inscrição para autoatendimento, mas apenas se os usuários já tiverem uma conta no Microsoft Entra ID (em outras palavras, os usuários que precisarem criar uma conta verificada por email primeiro não poderão realizar a inscrição para autoatendimento):

Import-Module Microsoft.Graph.Identity.SignIns
connect-MgGraph -Scopes "Policy.ReadWrite.Authorization"
$param = @{
 allowedToSignUpEmailBasedSubscriptions=$true
 allowEmailVerifiedUsersToJoinOrganization=$false
 }
Update-MgPolicyAuthorizationPolicy -BodyParameter $param

O fluxograma a seguir explica as diferentes combinações desses parâmetros e as condições resultantes para o locatário e para a inscrição por autoatendimento.

Você pode recuperar os detalhes dessa configuração usando o cmdlet Get-MgPolicyAuthorizationPolicydo PowerShell. Para obter mais informações, confira Get-MgPolicyAuthorizationPolicy.

Get-MgPolicyAuthorizationPolicy | Select-Object AllowedToSignUpEmailBasedSubscriptions, AllowEmailVerifiedUsersToJoinOrganization

Para obter mais informações e exemplos de como usar esses parâmetros, consulte Update-MgPolicyAuthorizationPolicy.

Próximas etapas

• Adicionar um nome de domínio personalizado ao Microsoft Entra ID
• Como instalar e configurar o PowerShell do Azure
• Azure PowerShell
• Referência de Cmdlets do Azure
• Update-MgPolicyAuthorizationPolicy
• Fechar sua conta corporativa ou de estudante em um locatário não gerenciado