什么是 Azure Active Directory 的自助服务注册?

此文章介绍自助服务注册及如何在 Azure Active Directory (Azure AD) 中支持自助服务注册的相关内容。

为何使用自助服务注册?

  • 让客户更快获得所需的服务
  • 为服务创建基于电子邮件的促销
  • 创建基于电子邮件的注册流程,让用户使用易记的工作电子邮件别名快速创建标识
  • 通过自助服务创建的 Azure AD 目录可转变为托管目录,以供其他服务使用

术语和定义

  • 自助注册:用户注册云服务并让系统根据其电子邮件域在 Azure AD 中自动为其创建标识的方法。
  • 非托管 Azure AD 目录:在其中创建标识的目录。 非托管目录是没有全局管理员的目录。
  • 电子邮件验证的用户:Azure AD 中的一种用户帐户类型。 在注册自助服务产品后自动创建标识的用户称为电子邮件验证的用户。 电子邮件验证的用户是目录的常规成员,带有 creationmethod=EmailVerified 标记。

如何控制自助服务设置?

目前,管理员有两种自助服务控制方式。 他们可以控制:

  • 用户是否可以通过电子邮件加入目录。
  • 用户是否可以对自身授权以获取应用程序和服务。

如何控制这些功能?

管理员可以使用以下 Azure AD cmdlet Set-MsolCompanySettings 参数配置这些功能:

  • AllowEmailVerifiedUsers 控制用户是否可以创建或加入非托管目录。 如果将该参数设置为 $false,则电子邮件验证的用户不可以加入目录。
  • AllowAdHocSubscriptions 控制用户执行自助服务注册的能力。 如果将该参数设置为 $false,则用户不可以执行自助服务注册。

这些控制方式如何配合工作?

可以结合使用这两个参数,从而实现对自助服务注册更精确的控制。 例如,以下命令允许用户执行自助服务注册,但前提是这些用户已在 Azure AD 中拥有一个帐户(换言之,需要先创建电子邮件验证帐户的用户无法执行自助服务注册):

    Set-MsolCompanySettings -AllowEmailVerifiedUsers $false -AllowAdHocSubscriptions $true

以下流程图解释了这些参数的不同组合,以及目录和自助注册的最终状态。

有关如何使用这些参数的详细信息和示例,请参阅 Set-MsolCompanySettings

后续步骤