Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
概述
本文介绍如何使用自助注册在 Microsoft Entra ID(Microsoft Entra 的一部分)中创建组织。
为何使用自助注册?
- 让客户更快获得所需的服务
- 为服务创建基于电子邮件的促销
- 创建基于电子邮件的注册流程,让用户使用易记的工作电子邮件别名快速创建标识
- 通过自助服务创建的 Microsoft Entra 租户可以转变为可用于其他服务的托管租户。
术语和定义
- 自助服务注册是用户注册云服务并基于其电子邮件域在Microsoft Entra ID中自动为其创建标识的方法。
- 未管理的Microsoft Entra租户是创建该标识的租户。 非托管租户是没有全局管理员的租户。
- email 验证的用户是Microsoft Entra ID中的用户帐户类型。 在注册自助服务产品后自动创建标识的用户称为电子邮件验证的用户。 已通过电子邮件验证的用户是租户的普通成员,带有 creationmethod=EmailVerified 标记。
控制自助服务设置
目前,管理员有两种自助服务控制方式。 他们可以控制:
- 用户可以通过电子邮件加入租户
- 用户可以为自己授权应用程序和服务
控制这些功能
管理员可以使用以下 Microsoft Entra cmdlet Update-MgPolicyAuthorizationPolicy 参数来配置这些功能:
-
allowEmailVerifiedUsersToJoinOrganization控制用户是否可以通过电子邮件验证加入租户。 若要加入,该用户必须在与租户中某个已验证域相匹配的域中具有一个电子邮件地址。 此设置将在公司范围内应用于租户中的所有域。 如果将该参数设置为 $false,则通过电子邮件验证的用户不可以加入租户。 -
allowedToSignUpEmailBasedSubscriptions控制用户执行自助注册的能力。 如果将该参数设置为 $false,则用户不可以执行自助注册。
allowEmailVerifiedUsersToJoinOrganization 和 allowedToSignUpEmailBasedSubscriptions 是可应用于托管或非托管租户的租户范围内的设置。 此处有一个示例,其中:
- 使用已验证的域(例如 contoso.com)管理租户。
- 使用来自其他租户的 B2B 协作邀请 contoso.com 的主租户中尚不存在的用户(userdoesnotexist@contoso.com)。
- 家庭租户已
allowedToSignUpEmailBasedSubscriptions打开。
如果满足上述条件,则会在主租户中创建成员用户,并在邀请方租户中创建 B2B 来宾用户。
注意
Office 365教育版用户当前是唯一能够被添加到现有托管租户的用户,即使启用此选项。
有关 Flow 和 Power Apps 试用版注册的详细信息,请参阅以下文章:
这些控制方式如何配合工作?
可以结合使用这两个参数,以更准确地定义如何控制自助注册。 例如,以下命令允许用户执行自助注册,但前提是这些用户已拥有Microsoft Entra ID帐户(换句话说,需要首先创建电子邮件验证帐户的用户无法执行自助注册):
Import-Module Microsoft.Graph.Identity.SignIns
Connect-MgGraph -Environment China -ClientId 'YOUR_CLIENT_ID' -TenantId 'YOUR_TENANT_ID' -Scopes "Policy.ReadWrite.Authorization"
$param = @{
allowedToSignUpEmailBasedSubscriptions=$true
allowEmailVerifiedUsersToJoinOrganization=$false
}
Update-MgPolicyAuthorizationPolicy -BodyParameter $param
以下流程图解释了这些参数的不同组合,以及租户和自助服务注册的最终状态。
可以使用 PowerShell cmdlet Get-MgPolicyAuthorizationPolicy检索此设置的详细信息。 有关详细信息,请参阅 Get-MgPolicyAuthorizationPolicy。
Get-MgPolicyAuthorizationPolicy | Select-Object AllowedToSignUpEmailBasedSubscriptions, AllowEmailVerifiedUsersToJoinOrganization
有关如何使用这些参数的详细信息和示例,请参阅 Update-MgPolicyAuthorizationPolicy。
后续步骤
向 Microsoft Entra ID 添加自定义域名 - 如何安装和配置 Azure PowerShell
- Azure PowerShell
- Azure Cmdlet 命令参考
- Update-MgPolicyAuthorizationPolicy