Consentimento do cliente do Windows Autopilot
Este artigo descreve como um parceiro de fornecedor de serviços cloud (CSP) (fatura direta, fornecedor indireto ou revendedor indireto) ou um OEM pode obter autorização do cliente para registar dispositivos Windows Autopilot em nome do cliente.
Os parceiros CSP podem obter autorização do cliente para registar dispositivos Windows Autopilot em nome do cliente de acordo com as seguintes restrições:
Method | Descrição |
---|---|
CSP Direto | Obtém autorização direta do cliente para registar dispositivos. |
Fornecedor CSP Indireto | Obtém permissão implícita para registar dispositivos através da relação que o parceiro CSP Reseller tem com o cliente. Os Fornecedores CSP indiretos registam dispositivos através do Centro de Parceiros da Microsoft. |
Revendedor CSP Indireto | Obtém autorização direta do cliente para registar dispositivos. Ao mesmo tempo, o parceiro fornecedor CSP indireto também obtém autorização, o que significa que o Fornecedor Indireto ou o Revendedor Indireto pode registar dispositivos para o cliente. No entanto, o Revendedor CSP Indireto tem de registar dispositivos através da IU do Centro de Parceiros da Microsoft (carregando manualmente o ficheiro CSV). O Fornecedor CSP Indireto pode registar dispositivos com as APIs do Centro de Parceiros da Microsoft. |
Para que um CSP registe dispositivos Windows Autopilot para um cliente, o cliente tem primeiro de conceder a permissão de parceiro CSP através do seguinte processo:
O CSP envia uma ligação para o cliente que pede autorização/consentimento para registar/gerir dispositivos em seu nome. Para fazer isso:
O CSP inicia sessão no Centro de Parceiros da Microsoft.
Selecione Dashboard no menu superior.
Selecione Cliente no menu lateral.
Selecione a ligação Pedir uma relação de revendedor :
Selecione a caixa de verificação que indica se os direitos de administrador delegados são pretendidos:
Observação
Consoante o parceiro, podem pedir Permissões de Administrador Delegado (DAP) ao pedir este consentimento. Se possível, é melhor utilizar o processo sem DAP mais recente (mostrado neste documento). Caso contrário, o estado do DAP pode ser facilmente removido do centro de administração do Microsoft 365. Para obter mais informações, veja Obter permissões para gerir o serviço ou subscrição de um cliente.
Envie o modelo no passo anterior para o cliente por e-mail.
O cliente com privilégios de administrador global do Centro de Administração da Microsoft seleciona a ligação no e-mail. A ligação direciona-os para a seguinte página do centro de administração do Microsoft 365 :
A imagem acima é o que o cliente vê se pediu direitos de administrador delegados (DAP). A página indica que funções de Administrador estão a ser pedidas. Se o cliente não tiver pedido direitos de administrador delegado, verá a seguinte página:
Observação
Um utilizador sem privilégios de administrador global que seleciona a ligação vê uma mensagem semelhante à seguinte mensagem:
O cliente seleciona a caixa de verificação Sim , seguida do botão Aceitar . A autorização ocorre instantaneamente.
Para verificar se o pedido de autorização está concluído, o CSP pode verificar a lista Clientes na respetiva conta do Centro de Parceiros da Microsoft. Se o cliente estiver na lista, o pedido será concluído. Por exemplo:
Importante
A Microsoft recomenda a utilização de funções com menos permissões. A utilização de contas com permissões mais baixas ajuda a melhorar a segurança de uma organização. O Administrador Global é uma função altamente privilegiada que deve ser limitada a cenários de emergência quando não é possível utilizar uma função existente.
A autorização OEM só está disponível para os OEMs que são elegíveis para utilizar a API OEM Direct para registo e desregistração do Windows Autopilot.
Os OEMs elegíveis para utilizar a solução de API Direta têm uma ligação exclusiva para fornecer aos respetivos clientes, que o OEM pode pedir à Microsoft através do alias de suporte msoemops . Contacte o gestor de conta da organização para obter este alias de suporte.
Ligação de e-mails OEM para o cliente.
O cliente inicia sessão no centro de administração do Microsoft 365 com uma conta nativa da cloud (por exemplo, [domínio].onmicrosoft.com) com privilégios de administrador global.
O cliente seleciona a ligação no e-mail, que os leva diretamente para a página seguinte:
Observação
Um utilizador sem privilégios de administrador global que selecione a ligação vê uma mensagem semelhante à seguinte mensagem:
O cliente seleciona a caixa de verificação Sim , seguida do botão Aceitar e já está. A autorização ocorre instantaneamente.
Observação
Uma vez concluído este processo, não é atualmente possível que um administrador remova um OEM. Para remover um OEM ou revogar as respetivas permissões, envie um pedido para msoemops@microsoft.com
O OEM pode utilizar a API Validar Dados de Submissão de Dispositivos para verificar se o consentimento foi concluído.
Observação
Esta API é abordada na versão mais recente do Documento Técnico da API, p. 14ff. Esta ligação só é acessível pelos Parceiros de Dispositivos da Microsoft. Conforme abordado neste artigo, é uma recomendação de melhores práticas para os parceiros OEM executarem a verificação da API para confirmar que o consentimento do cliente é recebido antes de tentar registar dispositivos. Esta verificação pode ajudar a evitar erros no processo de registo.
Observação
Durante o processo de registo de autorização do OEM, não são concedidas permissões de administrador delegados ao OEM.
Nesta fase do processo, a Microsoft já não está envolvida. A troca de consentimento ocorre diretamente entre o OEM e o cliente. Tudo também acontece instantaneamente , tão rapidamente quanto os botões são selecionados.