Qu’est-ce que l’inscription en libre-service pour Microsoft Entra ID ?

Cet article explique comment utiliser l'inscription en libre-service pour renseigner une organisation dans Microsoft Entra ID, qui fait partie de Microsoft Entra. Si vous souhaitez reprendre un nom de domaine d'une organisation Microsoft Entra non gérée, consultez Reprendre un locataire non géré en tant qu'administrateur.

Pourquoi utiliser l’inscription libre-service ?

• Permettre aux clients de bénéficier plus rapidement des services dont ils ont besoin.
• Créer des offres envoyées par e-mail pour un service.
• Créer des flux d’inscription par e-mail permettant aux utilisateurs de créer rapidement des identités à l’aide de leurs alias de messagerie professionnelle, faciles à mémoriser
• Un locataire Microsoft Entra créé en libre-service peut être transformé en un locataire géré pouvant être utilisé pour d'autres services

Termes et définitions

• Inscription en libre-service : il s'agit de la méthode par laquelle un utilisateur s'inscrit à un service cloud et dispose d'une identité automatiquement créée pour lui dans Microsoft Entra ID en fonction de son domaine de messagerie.
• Locataire Microsoft Entra non géré : il s’agit du locataire dans lequel cette identité est créée. Un locataire non managé est un locataire sans administrateur général.
• Utilisateur vérifié par Email : il s'agit d'un type de compte utilisateur dans Microsoft Entra ID. Un utilisateur qui possède une identité créée automatiquement après s’être abonné à une offre libre-service est considéré comme un utilisateur vérifié par e-mail. Un utilisateur vérifié par e-mail est un membre ordinaire d’un locataire avec l’étiquette creationmethod=EmailVerified.

Comment vérifier les paramètres libre-service ?

Les administrateurs peuvent désormais effectuer deux vérifications libre-service. Ils peuvent contrôler si :

• Les utilisateurs peuvent joindre le locataire par e-mail
• Les utilisateurs peuvent s’abonner eux-mêmes aux applications et services

Comment puis-je vérifier ces fonctionnalités ?

Un administrateur peut configurer ces fonctionnalités à l’aide des paramètres Set-MsolCompanySettings de l’applet de commande Microsoft Entra suivants :

• AllowEmailVerifiedUsers contrôle si les utilisateurs peuvent joindre le locataire via la validation par e-mail. Pour le joindre, l’utilisateur doit avoir une adresse e-mail dans un domaine qui correspond à l’un des domaines vérifiés dans le locataire. Ce paramètre est appliqué à l’ensemble de l’entreprise pour tous les domaines du locataire. Si vous définissez ce paramètre sur $false, aucun utilisateur vérifié par e-mail ne peut joindre le locataire.
• AllowAdHocSubscriptions vérifie la capacité des utilisateurs à réaliser une inscription libre-service. Si vous définissez ce paramètre sur $false, aucun utilisateur ne peut effectuer une inscription libre-service.

AllowEmailVerifiedUsers et AllowAdHocSubscriptions sont des paramètres à l’échelle du locataire qui peuvent être appliqués à un locataire managé ou non managé. Voici un exemple où :

• Vous administrez un locataire avec un domaine vérifié, par exemple contoso.com
• Vous utilisez la collaboration B2B à partir d’un autre locataire pour inviter un utilisateur qui n’existe pas encore (userdoesnotexist@contoso.com) dans le locataire de base de contoso.com
• AllowEmailVerifiedUsers est activé pour le locataire de base

Si les conditions précédentes sont remplies, un utilisateur membre est créé dans le locataire de base et un utilisateur invité B2B est créé dans le locataire à l’origine de l’invitation.

Notes

Office 365 pour les utilisateurs éducation, sont actuellement les seuls qui sont ajoutés aux locataires managés existants, même lorsque ce bouton bascule est activé

Pour plus d’informations sur les inscriptions d’essai à Microsoft Flow et Power Apps, consultez les articles suivants :

• Comment faire pour empêcher les utilisateurs existants de commencer à utiliser Power BI ?
• Questions et réponses sur Flow dans l’organisation

Comment les vérifications parviennent-elles à fonctionner ensemble ?

Ces deux paramètres peuvent être utilisés conjointement pour définir une vérification plus précise de l’inscription libre-service. Par exemple, la commande suivante permet aux utilisateurs d'effectuer une inscription en libre-service, mais uniquement si ces utilisateurs disposent déjà d'un compte dans Microsoft Entra ID (en d'autres termes, les utilisateurs qui auraient besoin d'un compte vérifié par adresse e-mail pour être créé en premier peuvent ' t effectuer une inscription en libre-service) :

Import-Module Microsoft.Graph.Identity.SignIns
connect-MgGraph -Scopes "Policy.ReadWrite.Authorization"
$param = @{
 allowedToSignUpEmailBasedSubscriptions=$true
 allowEmailVerifiedUsersToJoinOrganization=$false
 }
Update-MgPolicyAuthorizationPolicy -BodyParameter $param

L‘organigramme suivant décrit les différentes combinaisons de paramètres et les conditions qui en résultent pour le locataire et l’inscription en libre-service.

Les détails de ce paramètre peuvent être récupérés à l’aide de l’applet de commande PowerShell Get-MsolCompanyInformation. Pour plus d’informations à ce sujet, consultez Get-MsolCompanyInformation.

Get-MgPolicyAuthorizationPolicy | Select-Object AllowedToSignUpEmailBasedSubscriptions, AllowEmailVerifiedUsersToJoinOrganization

Pour plus d’informations et des exemples d’utilisation de ces paramètres, consultez Update-MgPolicyAuthorizationPolicy.

Étapes suivantes

• Ajouter un nom de domaine personnalisé à Microsoft Entra ID
• Installation et configuration d’Azure PowerShell
• Azure PowerShell
• Guide de référence des applets de commande Azure
• Set-MsolCompanySettings
• Fermer votre compte professionnel ou scolaire dans un locataire Azure non managé