O que é a inscrição personalizada no Microsoft Entra ID?
Este artigo explica como usar a inscrição de autoatendimento para preencher uma organização no Microsoft Entra ID, parte do Microsoft Entra. Se você quiser assumir um nome de domínio de uma organização não gerenciada do Microsoft Entra, consulte Assumir um locatário não gerenciado como administrador.
Por que usar a inscrição de autoatendimento?
- Leve os clientes aos serviços que eles querem mais rapidamente
- Criar ofertas baseadas em e-mail para um serviço
- Crie fluxos de inscrição baseados em email que permitem rapidamente que os usuários criem identidades usando seus aliases de e-mail de trabalho fáceis de lembrar
- Um locatário do Microsoft Entra criado por autoatendimento pode ser transformado em um locatário gerenciado que pode ser usado para outros serviços
Termos e definições
- Inscrição de autoatendimento: este é o método pelo qual um usuário se inscreve em um serviço de nuvem e tem uma identidade criada automaticamente para ele no Microsoft Entra ID com base em seu domínio de email.
- Locatário não gerenciado do Microsoft Entra: este é o locatário onde essa identidade é criada. Um locatário não gerenciado é um locatário que não tem administrador global.
- Usuário verificado por e-mail: Este é um tipo de conta de usuário no Microsoft Entra ID. Um usuário que tem uma identidade criada automaticamente depois de se inscrever em uma oferta de autoatendimento é conhecido como um usuário verificado por e-mail. Um usuário verificado por e-mail é um membro regular de um locatário marcado com creationmethod=EmailVerified.
Como faço para controlar as configurações de autoatendimento?
Atualmente, os administradores têm dois controles de autoatendimento. Podem controlar se:
- Os usuários podem ingressar no locatário por e-mail
- Os usuários podem licenciar-se para aplicativos e serviços
Como posso controlar essas capacidades?
Um administrador pode configurar esses recursos usando os seguintes parâmetros Set-MsolCompanySettings do cmdlet Microsoft Entra:
- AllowEmailVerifiedUsers controla se os usuários podem ingressar no locatário por validação de email. Para participar, o usuário deve ter um endereço de e-mail em um domínio que corresponda a um dos domínios verificados no locatário. Essa configuração é aplicada em toda a empresa para todos os domínios no locatário. Se você definir esse parâmetro como $false, nenhum usuário verificado por email poderá ingressar no locatário.
- AllowAdHocSubscriptions controla a capacidade dos usuários de realizar a inscrição de autoatendimento. Se você definir esse parâmetro como $false, nenhum usuário poderá realizar a inscrição de autoatendimento.
AllowEmailVerifiedUsers e AllowAdHocSubscriptions são configurações de todo o locatário que podem ser aplicadas a um locatário gerenciado ou não gerenciado. Aqui está um exemplo onde:
- Você administra um locatário com um domínio verificado, como contoso.com
- Você usa a colaboração B2B de um locatário diferente para convidar um usuário que ainda não existe (userdoesnotexist@contoso.com) no locatário doméstico de contoso.com
- O inquilino doméstico tem o AllowEmailVerifiedUsers ativado
Se as condições anteriores forem verdadeiras, um usuário membro será criado no locatário doméstico e um usuário convidado B2B será criado no locatário convidado.
Nota
Os usuários do Office 365 para Educação são atualmente os únicos que são adicionados aos locatários gerenciados existentes, mesmo quando essa alternância está habilitada
Para obter mais informações sobre inscrições de avaliação do Flow e do Power Apps, consulte os seguintes artigos:
- Como posso impedir que meus usuários existentes comecem a usar o Power BI?
- Fluxo nas Perguntas e Respostas da sua organização
Como é que os controlos funcionam em conjunto?
Esses dois parâmetros podem ser usados em conjunto para definir um controle mais preciso sobre a inscrição de autoatendimento. Por exemplo, o comando a seguir permite que os usuários executem a inscrição de autoatendimento, mas somente se esses usuários já tiverem uma conta no Microsoft Entra ID (em outras palavras, os usuários que precisariam de uma conta verificada por email para ser criada primeiro não podem executar a inscrição de autoatendimento):
Import-Module Microsoft.Graph.Identity.SignIns
connect-MgGraph -Scopes "Policy.ReadWrite.Authorization"
$param = @{
allowedToSignUpEmailBasedSubscriptions=$true
allowEmailVerifiedUsersToJoinOrganization=$false
}
Update-MgPolicyAuthorizationPolicy -BodyParameter $param
O fluxograma a seguir explica as diferentes combinações para esses parâmetros e as condições resultantes para o locatário e a inscrição de autoatendimento.
Os detalhes dessa configuração podem ser recuperados usando o cmdlet do PowerShell Get-MsolCompanyInformation. Para obter mais informações sobre isso, consulte Get-MsolCompanyInformation.
Get-MgPolicyAuthorizationPolicy | Select-Object AllowedToSignUpEmailBasedSubscriptions, AllowEmailVerifiedUsersToJoinOrganization
Para obter mais informações e exemplos de como usar esses parâmetros, consulte Update-MgPolicyAuthorizationPolicy.