¿Qué es el registro de autoservicio de Microsoft Entra ID?
En este artículo se explica cómo usar el registro de autoservicio para rellenar una organización en Microsoft Entra ID, que forma parte de Microsoft Entra. Si desea asumir un nombre de dominio de una organización de Microsoft Entra no administrada, consulte Adquisición de un inquilino no administrado como administrador.
¿Por qué usar el registro de autoservicio?
- Permita que los usuarios tengan acceso a los servicios que desean más rápido.
- Cree ofertas basadas en correo electrónico para un servicio.
- Cree flujos de registro basados en correo electrónico que permitan a los usuarios crear identidades rápidamente con sus alias de correo electrónico del trabajo fáciles de recordar.
- Un inquilino de Microsoft Entra creado mediante autoservicio puede convertirse en un inquilino administrado que se puede utilizar para otros servicios.
Términos y definiciones
- Registro de autoservicio: método por el que un usuario se registra en un servicio en la nube y por el que se le crea automáticamente una identidad en Microsoft Entra ID basada en su dominio de correo electrónico.
- Inquilino de Microsoft Entra no administrado: es el inquilino donde se crea esa identidad. Un inquilino no administrado es un inquilino que no tiene ningún administrador global.
- Usuario comprobado por correo electrónico: tipo de cuenta de usuario en Microsoft Entra ID. Un usuario que tiene una identidad que se crean automáticamente después de suscribirse a una oferta de autoservicio se conoce como usuario comprobado por correo electrónico. Un usuario comprobado por correo electrónico es un miembro regular de un inquilino etiquetado con creationmethod = EmailVerified.
¿Cómo controlo la configuración de autoservicio?
Actualmente, los administradores tienen dos controles de autoservicio . Pueden controlar:
- Si los usuarios pueden unirse o no al inquilino mediante el correo electrónico.
- Si los usuarios pueden concederse o no licencias para aplicaciones y servicios.
¿Cómo puedo controlar estas capacidades?
Un administrador puede configurar estas capacidades con estos parámetros Set-MsolCompanySettings de cmdlet de Microsoft Entra:
- AllowEmailVerifiedUsers controla si los usuarios pueden unirse al inquilino mediante validación por correo electrónico. Para unirse, el usuario debe tener una dirección de correo electrónico en un dominio que coincida con uno de los dominios comprobados del inquilino. Esta configuración se aplica a toda la empresa para todos los dominios del inquilino. Si establece este parámetro en $false, ningún usuario verificado por correo electrónico podrá unirse al inquilino.
- AllowAdHocSubscriptions controla la capacidad de los usuarios de realizar registros de autoservicio. Si establece el parámetro en $false, ningún usuario podrá realizar registros de autoservicio.
AllowEmailVerifiedUsers y AllowAdHocSubscriptions son configuraciones de todo el inquilino que se pueden aplicar a un inquilino administrado o no administrado. A continuación, se muestra un ejemplo en el que:
- Administra un inquilino con un dominio verificado, como contoso.com.
- Use la colaboración B2B de un inquilino diferente para invitar a un usuario que aún no existe (userdoesnotexist@contoso.com) al inquilino principal de contoso.com.
- El inquilino principal tiene la opción AllowEmailVerifiedUsers activada.
Si se cumplen las condiciones anteriores, a continuación, se crea un usuario miembro en el inquilino principal y un usuario invitado B2B en el inquilino que invita.
Nota:
Los usuarios de Office 365 para el ámbito educativo son actualmente los únicos que se agregan a los inquilinos administrados existentes, incluso cuando se habilita este botón de alternancia.
Para más información sobre las suscripciones de Flow y Power Apps, consulte los siguientes artículos:
- ¿Cómo puedo impedir que mis usuarios existentes comiencen a utilizar Power BI?
- Preguntas y respuestas sobre Flow en su organización
¿Cómo funciona los controles conjuntamente?
Estos dos parámetros se pueden usar juntos para definir un control más preciso del registro de autoservicio. Por ejemplo, el comando siguiente permitirá a los usuarios realizar registros de autoservicio, pero solo si estos usuarios ya tienen una cuenta en Microsoft Entra ID (es decir, los usuarios que necesitan crear primero una cuenta comprobada por correo electrónico no pueden realizar registros de autoservicio):
Import-Module Microsoft.Graph.Identity.SignIns
connect-MgGraph -Scopes "Policy.ReadWrite.Authorization"
$param = @{
allowedToSignUpEmailBasedSubscriptions=$true
allowEmailVerifiedUsersToJoinOrganization=$false
}
Update-MgPolicyAuthorizationPolicy -BodyParameter $param
En el siguiente diagrama de flujo se explican las distintas combinaciones de estos parámetros y las condiciones resultantes para el inquilino y el registro de autoservicio.
Los detalles de esta configuración se pueden recuperar mediante el cmdlet de PowerShell Get-MsolCompanyInformation. Para más información, consulte Get-MsolCompanyInformation.
Get-MgPolicyAuthorizationPolicy | Select-Object AllowedToSignUpEmailBasedSubscriptions, AllowEmailVerifiedUsersToJoinOrganization
Para más información y ejemplos sobre cómo utilizar estos parámetros, consulte Update-MgPolicyAuthorizationPolicy.