Partager via

Consentement du client Windows Autopilot

Cet article décrit comment un partenaire fournisseur de services cloud (CSP) (facturation directe, fournisseur indirect ou revendeur indirect) ou un OEM peut obtenir l’autorisation du client pour inscrire des appareils Windows Autopilot au nom du client.

Autorisation CSP

Les partenaires CSP peuvent obtenir l’autorisation du client pour inscrire des appareils Windows Autopilot au nom du client conformément aux restrictions suivantes :

Méthode Description
Fournisseur de services de configuration direct Obtient l’autorisation directe du client pour inscrire des appareils.
Fournisseur CSP indirect Obtient l’autorisation implicite d’inscrire des appareils par le biais de la relation que leur partenaire revendeur CSP a avec le client. Les fournisseurs CSP indirects inscrivent des appareils via l’Espace partenaires Microsoft.
Revendeur CSP indirect Obtient l’autorisation directe du client pour inscrire des appareils. En même temps, son partenaire fournisseur CSP indirect obtient également une autorisation, ce qui signifie que le fournisseur indirect ou le revendeur indirect peut inscrire des appareils pour le client. Toutefois, le revendeur CSP indirect doit inscrire les appareils via l’interface utilisateur de l’Espace partenaires Microsoft (en chargeant manuellement le fichier CSV). Le fournisseur CSP indirect peut inscrire des appareils à l’aide des API de l’Espace partenaires Microsoft.

Étapes

Pour qu’un fournisseur de solutions Cloud inscrive des appareils Windows Autopilot pour un client, le client doit d’abord accorder l’autorisation de partenaire CSP en suivant le processus suivant :

  1. Csp envoie un lien au client demandant l’autorisation/le consentement pour inscrire/gérer des appareils en son nom. Pour ce faire, procédez comme suit :

    1. Le programme CSP se connecte à l’Espace partenaires Microsoft.

    2. Sélectionnez Tableau de bord dans le menu supérieur.

    3. Sélectionnez Client dans le menu latéral.

    4. Sélectionnez le lien Demander une relation de revendeur :

      Demander une relation de revendeur.

    5. Cochez la case indiquant si des droits d’administrateur délégués sont souhaités :

      Droits délégués.

      Remarque

      Selon le partenaire, il peut demander des autorisations d’administrateur délégué (DAP) lors de la demande de ce consentement. Si possible, il est préférable d’utiliser le processus sans DAP le plus récent (indiqué dans ce document). Si ce n’est pas le cas, son état DAP peut être facilement supprimé du Centre d’administration Microsoft 365. Pour plus d’informations, consultez Obtenir des autorisations pour gérer le service ou l’abonnement d’un client.

    6. Envoyez le modèle à l’étape précédente au client par e-mail.

  2. Le client disposant de privilèges d’administrateur général du Centre d’administration Microsoft sélectionne le lien dans l’e-mail. Le lien les dirige vers la page suivante du Centre d’administration Microsoft 365 :

    Capture d’écran de la page Accepter le contrat et autoriser le partenaire - droits d’administrateur délégués.

    L’image ci-dessus est ce que le client voit s’il a demandé des droits d’administrateur délégués (DAP). La page indique les rôles d’administrateur demandés. Si le client ne demande pas de droits d’administrateur délégués, la page suivante s’affiche :

    Capture d’écran de la page Accepter le contrat et autoriser le partenaire.

    Remarque

    Un utilisateur sans privilèges d’administrateur général qui sélectionne le lien voit un message similaire au message suivant :

    Capture d’écran de la page d’autorisation.

  3. Le client coche la case Oui , suivie du bouton Accepter . L’autorisation se produit instantanément.

  4. Pour vérifier que la demande d’autorisation est terminée, le csp peut consulter la liste des clients dans son compte Espace partenaires Microsoft. Si le client figure dans la liste, la demande est terminée. Par exemple :

    Les besoins des clients

Importante

Microsoft recommande d’utiliser des rôles avec le moins d’autorisations. L’utilisation de comptes avec une autorisation inférieure permet d’améliorer la sécurité d’une organisation. Administrateur général est un rôle hautement privilégié qui doit être limité aux scénarios d’urgence lorsqu’un rôle existant ne peut pas être utilisé.

Autorisation OEM

L’autorisation OEM n’est disponible que pour les oem qui sont éligibles à l’utilisation de l’API DIRECTE OEM pour l’inscription et la désinscription windows Autopilot.

Les fabricants OEM éligibles à l’utilisation de la solution d’API directe ont un lien unique à fournir à leurs clients respectifs, que l’OEM peut demander à Microsoft via l’alias de support msoemops . Contactez le responsable de compte de l’organisation pour obtenir cet alias de support.

  1. Lien des e-mails OEM vers leur client.

  2. Le client se connecte au Centre d’administration Microsoft 365 à l’aide d’un compte natif cloud (par exemple, [domaine].onmicrosoft.com) avec des privilèges d’administrateur général.

  3. Le client sélectionne le lien dans l’e-mail, qui l’amène directement à la page suivante :

    Capture d’écran de la page Accepter l’invitation du partenaire.

    Remarque

    Un utilisateur sans privilèges d’administrateur général qui sélectionne le lien voit un message similaire au message suivant :

    Capture d’écran de la page Autorisation MSfB requise.

  4. Le client coche la case Oui , suivie du bouton Accepter , et c’est terminé. L’autorisation se produit instantanément.

    Remarque

    Une fois ce processus terminé, il n’est actuellement pas possible pour un administrateur de supprimer un OEM. Pour supprimer un OEM ou révoquer ses autorisations, envoyez une demande à msoemops@microsoft.com

  5. L’OEM peut utiliser l’API Valider les données de soumission d’appareil pour vérifier que le consentement est terminé.

    Remarque

    Cette API est abordée dans la dernière version du livre blanc sur l’API, p. 14ff. Ce lien n’est accessible qu’aux partenaires d’appareils Microsoft. Comme indiqué dans cet article, il est recommandé aux partenaires OEM d’exécuter la vérification de l’API pour confirmer que le consentement du client est reçu avant de tenter d’inscrire des appareils. Cette vérification peut vous aider à éviter les erreurs dans le processus d’inscription.

    Remarque

    Pendant le processus d’inscription d’autorisation OEM, aucune autorisation d’administrateur déléguée n’est accordée à l’OEM.

Résumé

À ce stade du processus, Microsoft n’est plus impliqué. L’échange de consentement se produit directement entre l’OEM et le client. Tout cela se produit également instantanément , aussi rapidement que les boutons sont sélectionnés.