Что такое самостоятельная регистрация в Microsoft Entra ID?

В этой статье объясняется, как использовать самостоятельную регистрацию для заполнения организации в идентификаторе Microsoft Entra, части Microsoft Entra. Если вы хотите взять на себя доменное имя из неуправляемой организации Microsoft Entra, см. статью "Взять на себя неуправляемый клиент от имени администратора".

Зачем нужна самостоятельная регистрация?

• Предоставить клиентам нужные службы как можно быстрее.
• Создать предложения на основе электронной почты для службы.
• Создать потоки регистрации на основе электронной почты, которые позволяют пользователям быстро создавать удостоверения с помощью легко запоминаемых псевдонимов рабочих электронных адресов.
• Самостоятельно созданный клиент Microsoft Entra можно превратить в управляемый клиент, который можно использовать для других служб.

Термины и определения

• Самостоятельная регистрация. Это метод, с помощью которого пользователь регистрируется в облачной службе и автоматически создает удостоверение для них в идентификаторе Microsoft Entra на основе своего домена электронной почты.
• Неуправляемый клиент Microsoft Entra: это клиент, в котором создается удостоверение. Неуправляемый клиент — это клиент, не имеющий глобального администратора.
• Проверенный по электронной почте пользователь: это тип учетной записи пользователя в идентификаторе Microsoft Entra. Пользователь, который получает автоматически созданное после регистрации для предложения самообслуживания удостоверение, называется проверяемым с помощью электронной почты пользователем. Проверяемый с помощью электронной почты пользователь является регулярным участником клиента с тегом creationmethod=EmailVerified.

Как контролировать параметры самообслуживания?

На сегодняшний день у администраторов есть два способа самообслуживаемого управления. Они могут управлять:

• возможностью присоединения пользователей к клиенту с помощью электронной почты;
• лицензированием пользователями самих себя для приложений и служб.

Как контролировать эти возможности?

Администратор может настроить эти возможности с помощью следующих параметров командлета Microsoft Entra Set-MsolCompany Параметры:

• AllowEmailVerifiedUsers определяет, могут ли пользователи присоединяться к клиенту посредством проверки по электронной почте. Для присоединения пользователь должен иметь адрес электронной почты в домене, который соответствует одному из проверенных доменов в клиенте. Этот параметр применяется ко всей организации для всех доменов в клиенте. Если задать для этого параметра значение $false, учетная запись пользователя, проверяемая с помощью электронной почты, не сможет присоединиться к клиенту.
• AllowAdHocSubscriptions управляет самостоятельной регистрацией. Если задать для этого параметра значение $false, пользователи не смогут выполнять самостоятельную регистрацию.

Параметры AllowEmailVerifiedUsers и AllowAdHocSubscriptions применяются на уровне клиента для управляемого или неуправляемого клиента. Ниже приведен пример.

• Вы администрируете клиента с проверенным доменом, например contoso.com.
• Вы используете совместную работу B2B из другого клиента, чтобы пригласить пользователя, который еще не существует (userdoesnotexist@contoso.com) в домашнем клиенте contoso.com
• Для домашнего клиента включен параметр AllowEmailVerifiedUsers.

Если эти условия выполнены, то в домашнем клиенте создается пользователь-участник, а в приглашающем клиенте создается гостевой пользователь B2B.

Примечание.

Пользователи Office 365 для образовательных учреждений в настоящее время являются единственными, которые добавляются в существующие управляемые клиенты, даже если этот переключатель включен.

Дополнительные сведения о пробных подписках на Flow и PowerApps см. в следующих статьях.

• Как запретить имеющимся пользователям начать работу с Power BI?
• Вопросы и ответы об использовании Flow в организации

Как совместно использовать эти элементы управления?

Эти два параметра можно использовать совместно для избирательного управления самостоятельной регистрацией. Например, следующая команда позволяет пользователям самостоятельно регистрироваться, но только если у этих пользователей уже есть учетная запись в идентификаторе Microsoft Entra (другими словами, пользователи, которым нужна учетная запись, проверенная по электронной почте, сначала не может выполнять самостоятельную регистрацию):

Import-Module Microsoft.Graph.Identity.SignIns
connect-MgGraph -Scopes "Policy.ReadWrite.Authorization"
$param = @{
 allowedToSignUpEmailBasedSubscriptions=$true
 allowEmailVerifiedUsersToJoinOrganization=$false
 }
Update-MgPolicyAuthorizationPolicy -BodyParameter $param

На блок-схеме ниже показаны разные сочетания этих параметров и результирующие условия для клиента и самостоятельной регистрации.

Сведения об этом параметре можно получить с помощью командлета PowerShell Get-MsolCompanyInformation. Дополнительные сведения об этом см. в статье Get-MsolCompanyInformation.

Get-MgPolicyAuthorizationPolicy | Select-Object AllowedToSignUpEmailBasedSubscriptions, AllowEmailVerifiedUsersToJoinOrganization

Дополнительные сведения и примеры использования этих параметров см. в разделе Update-MgPolicyAuthorizationPolicyPolicy.

Следующие шаги

• Добавление имени личного домена в идентификатор Microsoft Entra
• Как установить и настроить Azure PowerShell
• Azure PowerShell
• Справка по командлетам Azure
• Set-MsolCompanySettings
• Закрытие рабочей или учебной учетной записи в неуправляемом клиенте