Was ist die Self-Service-Registrierung für Microsoft Entra ID?

In diesem Artikel wird erläutert, wie Sie die Self-Service-Registrierung verwenden, um eine Organisation in Microsoft Entra ID (Teil von Microsoft Entra) aufzufüllen. Wenn Sie einen Domänennamen von einer nicht verwalteten Microsoft Entra-Organisation übernehmen möchten, lesen Sie Übernehmen eines nicht verwalteten Mandanten als Administrator.

Gründe für das Verwenden der Self-Service-Registrierung

• Kunden erhalten schneller die gewünschten Dienste.
• Sie können E-Mail-basierte Angebote für einen Dienst erstellen.
• Sie können E-Mail-basierte Registrierungsabläufe erstellen, mit denen Benutzer schnell Identitäten mithilfe ihrer einfach zu merkenden geschäftlichen E-Mail-Aliase erstellen können.
• Ein per Self-Service erstellter Microsoft Entra-Mandant kann in einen verwalteten Mandanten konvertiert werden, der für andere Dienste verwendet werden kann.

Begriffe und Definitionen

• Self-Service-Registrierung: Dies ist die Methode, mit der sich Benutzer*innen für einen Clouddienst registrieren, wobei für sie basierend auf der E-Mail-Domäne automatisch eine Identität in Microsoft Entra ID erstellt wird.
• Nicht verwalteter Microsoft Entra-Mandant: Dies ist der Mandant, in dem diese Identität erstellt wird. Ein nicht verwalteter Mandant ist ein Mandant ohne globalen Administrator.
• Über E-Mail verifizierter Benutzer: Dies ist ein Typ von Benutzerkonto in Microsoft Entra ID. Ein Benutzer, für den nach der Registrierung für ein Self-Service-Angebot automatisch eine Identität erstellt wird, wird als über E-Mail verifizierter Benutzer bezeichnet. Ein über E-Mail verifizierter Benutzer ist ein normales Mitglied eines Mandanten mit der Kennzeichnung „creationmethod=EmailVerified“.

Wie steuere ich Self-Service-Einstellungen?

Administratoren stehen derzeit zwei Self-Service-Steuerungsmöglichkeiten zur Verfügung. Sie können steuern, ob:

• Benutzer dem Mandanten per E-Mail beitreten können.
• Benutzer sich selbst für Anwendungen und Dienste lizenzieren können.

Wie können diese Funktionen gesteuert werden?

Administrator*innen können diese Funktionen mit den folgenden Parametern des Microsoft Entra-Cmdlets „Set-MsolCompanySettings“ konfigurieren:

• AllowEmailVerifiedUsers steuert, ob Benutzer dem Mandanten per E-Mail-Überprüfung beitreten können. Zum Beitreten muss der Benutzer über eine E-Mail-Adresse in einer Domäne verfügen, die einer der verifizierten Domänen im Mandanten entspricht. Diese Einstellung wird unternehmensweit auf alle Domänen im Mandanten angewendet. Wenn Sie diesen Parameter auf „$false“ festlegen, können dem Mandanten keine über E-Mail verifizierten Benutzer beitreten.
• AllowAdHocSubscriptions steuert, ob Benutzern das Ausführen der Self-Service-Registrierung erlaubt ist. Wenn Sie diesen Parameter auf „$false“ festlegen, können Benutzer keine Self-Service-Registrierung ausführen.

„AllowEmailVerifiedUsers“ und „AllowAdHocSubscriptions“ sind mandantenweite Einstellungen, die auf einen verwalteten oder nicht verwalteten Mandanten angewendet werden können. Hier sehen Sie ein Beispiel:

• Sie verwalten einen Mandanten mit einer verifizierten Domäne, z. B. „contoso.com“.
• Sie verwenden B2B-Zusammenarbeit aus einem anderen Mandanten, um einen Benutzer, der noch nicht vorhanden ist (userdoesnotexist@contoso.com), in den Basismandanten von „contoso.com“ einzuladen
• Für den Basismandanten ist der Parameter „AllowEmailVerifiedUsers“ aktiviert.

Wenn die oben genannten Bedingungen erfüllt sind, wird ein Mitgliedsbenutzer im Basismandanten und ein B2B-Gastbenutzer im einladenden Mandanten erstellt.

Hinweis

Office 365 für Education-Benutzer sind derzeit die einzigen, die vorhandenen verwalteten Mandanten hinzugefügt werden, auch wenn diese Umschaltfläche aktiviert ist

Weitere Informationen zu Testregistrierungen für Flow und Power Apps finden Sie in den folgenden Artikeln:

• Wie kann ich verhindern, dass vorhandene Benutzer mit der Nutzung von Power BI beginnen?
• Flow in Ihrer Organisation – häufig gestellte Fragen

Wie funktionieren diese Steuerungsmöglichkeiten zusammen?

Diese beiden Parameter können zusammen verwendet werden, um eine präzisere Steuerung der Self-Service-Registrierung zu erreichen. Der folgende Befehl erlaubt Benutzer*innen beispielsweise die Self-Service-Registrierung, jedoch nur, wenn die Benutzer*innen bereits über ein Konto in Microsoft Entra ID verfügen (d. h. Benutzer*innen, für die zuerst ein per E-Mail verifiziertes Konto erstellt werden müsste, können die Self-Service-Registrierung nicht durchführen):

Import-Module Microsoft.Graph.Identity.SignIns
connect-MgGraph -Scopes "Policy.ReadWrite.Authorization"
$param = @{
 allowedToSignUpEmailBasedSubscriptions=$true
 allowEmailVerifiedUsersToJoinOrganization=$false
 }
Update-MgPolicyAuthorizationPolicy -BodyParameter $param

Im folgenden Flussdiagramm werden die verschiedenen Kombinationen für diese Parameter und die resultierenden Bedingungen für den Mandanten und die Self-Service-Registrierung erläutert.

Die Details dieser Einstellung können mithilfe des PowerShell-Cmdlets „Get-MsolCompanyInformation“ abgerufen werden. Weitere Informationen dazu finden Sie unter Get-MsolCompanyInformation.

Get-MgPolicyAuthorizationPolicy | Select-Object AllowedToSignUpEmailBasedSubscriptions, AllowEmailVerifiedUsersToJoinOrganization

Weitere Informationen und Beispiele für die Verwendung dieser Parameter finden Sie unter Update-MgPolicyAuthorizationPolicy.

Nächste Schritte

• Hinzufügen eines benutzerdefinierten Domänennamens zu Microsoft Entra ID
• Installieren und Konfigurieren von Azure PowerShell
• Azure PowerShell
• Azure-Cmdlet-Referenz
• Set-MsolCompanySettings
• Schließen Ihres Geschäfts-, Schul- oder Unikontos in einem nicht verwalteten Mandanten