Azure Active Directory のセルフサービス サインアップについてWhat is self-service sign-up for Azure Active Directory?

この記事では、セルフサービス サインアップを使用して Azure Active Directory (Azure AD) に組織を設定する方法について説明します。This article explains how to use self-service sign-up to populate an organization in Azure Active Directory (Azure AD). アンマネージド Azure AD 組織からドメイン名を引き継ぐ場合は、 ディレクトリを管理者として引き継ぐ方法に関する記事をご覧ください。If you want to take over a domain name from an unmanaged Azure AD organization, see Take over an unmanaged directory as administrator.

セルフサービス サインアップを使用する理由Why use self-service sign-up?

  • 顧客が求めるサービスを迅速に提供できる。Get customers to services they want faster
  • サービス提供の電子メール ベース プランを構築できる。Create email-based offers for a service
  • ユーザーが覚えやすい職場の電子メールの別名を使用して ID をすばやく作成することを可能にする、電子メール ベースのサインアップ フローを作成できる。Create email-based sign-up flows that quickly allow users to create identities using their easy-to-remember work email aliases
  • セルフサービスで作成された Azure AD ディレクトリを、他のサービスで使用できる管理ディレクトリに変えることができる。A self-service-created Azure AD directory can be turned into a managed directory that can be used for other services

用語と定義Terms and definitions

  • セルフサービス サインアップ :ユーザーがこの方法でクラウド サービスにサインアップすると、電子メール ドメインに基づいた ID が Azure AD に自動的に作成されます。Self-service sign-up : This is the method by which a user signs up for a cloud service and has an identity automatically created for them in Azure AD based on their email domain.
  • 管理されていない Azure AD ディレクトリ :これは、前述の ID が作成されるディレクトリです。Unmanaged Azure AD directory : This is the directory where that identity is created. 管理されていないディレクトリは、グローバル管理者がいないディレクトリです。An unmanaged directory is a directory that has no global administrator.
  • 電子メール検証済みユーザー :これは Azure AD のユーザー アカウントの一種です。Email-verified user : This is a type of user account in Azure AD. セルフサービス プランへのサインアップ後に自動作成された ID を持つユーザーは、電子メール検証済みユーザーです。A user who has an identity created automatically after signing up for a self-service offer is known as an email-verified user. 電子メール検証済みユーザーは、creationmethod=EmailVerified でタグ付けされたディレクトリの通常メンバーです。An email-verified user is a regular member of a directory tagged with creationmethod=EmailVerified.

セルフサービス設定の管理方法How do I control self-service settings?

管理者は、セルフサービスの 2 種類の管理を実行できます。Admins have two self-service controls today. 次の点を管理できます。They can control whether:

  • ユーザーが電子メール経由でディレクトリに参加できるかどうかUsers can join the directory via email
  • ユーザー自身がアプリケーションやサービスのライセンスを取得できるかどうかUsers can license themselves for applications and services

これらの機能の管理方法How can I control these capabilities?

管理者は、Azure AD コマンドレット Set-MsolCompanySettings の次のパラメーターを使用してこれらの機能を構成できます。An admin can configure these capabilities using the following Azure AD cmdlet Set-MsolCompanySettings parameters:

  • AllowEmailVerifiedUsers によって、ユーザーがディレクトリを作成または参加できるかを管理できます。AllowEmailVerifiedUsers controls whether a user can create or join a directory. このパラメーターを $false に設定すると、電子メール検証済みのユーザーはディレクトリに参加できません。If you set that parameter to $false, no email-verified user can join the directory.
  • AllowAdHocSubscriptions によって、ユーザーがセルフサービス サインアップを実行できるかどうかを管理できます。AllowAdHocSubscriptions controls the ability for users to perform self-service sign-up. このパラメーターを $false に設定すると、ユーザーはセルフサービス サインアップを実行できません。If you set that parameter to $false, no user can perform self-service sign-up.

AllowEmailVerifiedUsers と AllowAdHocSubscriptions は、マネージド ディレクトリにもアンマネージド ディレクトリにも適用できるディレクトリ全体の設定です。AllowEmailVerifiedUsers and AllowAdHocSubscriptions are directory-wide settings that can be applied to a managed or unmanaged directory. 次のような例を示します。Here's an example where:

  • contoso.com などの検証済みドメインを持つディレクトリを管理しますYou administer a directory with a verified domain such as contoso.com
  • 別のディレクトリから B2B コラボレーションを使用して、contoso.com のホーム ディレクトリにまだ存在しないユーザー (userdoesnotexist@contoso.com) を招待しますYou use B2B collaboration from a different directory to invite a user that does not already exist (userdoesnotexist@contoso.com) in the home directory of contoso.com
  • ホーム ディレクトリでは AllowEmailVerifiedUsers がオンになっていますThe home directory has the AllowEmailVerifiedUsers turned on

上記の条件が当てはまる場合、メンバー ユーザーがホーム ディレクトリに作成され、B2B ゲスト ユーザーが招待側のディレクトリに作成されます。If the preceding conditions are true, then a member user is created in the home directory, and a B2B guest user is created in the inviting directory.

Flow および Power Apps の試用版サインアップの詳細については、次の記事を参照してください。For more information on Flow and PowerApps trial sign-ups, see the following articles:

これらの管理機能の連携についてHow do the controls work together?

これら 2 つのパラメーターを組み合わせて使用すると、セルフサービス サインアップをさらに細かく管理できるようになります。These two parameters can be used in conjunction to define more precise control over self-service sign-up. たとえば、次のコマンドによりユーザーはセルフサービス サインアップを実行できますが、 Azure AD のアカウントを既に持っている場合に限定されます (つまり、まずメール検証済みのアカウントを作成する必要があるユーザーは、セルフサービス サインアップを実行できません)。For example, the following command will allow users to perform self-service sign-up, but only if those users already have an account in Azure AD (in other words, users who would need an email-verified account to be created first cannot perform self-service sign-up):

    Set-MsolCompanySettings -AllowEmailVerifiedUsers $false -AllowAdHocSubscriptions $true

次のフローチャートは、これらのパラメーターのさまざまな組み合わせと、結果として得られるディレクトリとセルフサービス サインアップの状態を示しています。The following flowchart explains the different combinations for these parameters and the resulting conditions for the directory and self-service sign-up.

セルフサービス サインアップ コントロールのフローチャート

これらのパラメーターの使用方法についての詳細は、「 Set-MsolCompanySettings」を参照してください。For more information and examples of how to use these parameters, see Set-MsolCompanySettings.

次の手順Next steps