Прочитать на английском

Поделиться через


Согласие клиента Windows Autopilot

В этой статье описывается, как партнер поставщика облачных служб (CSP) (прямой счет, косвенный поставщик или косвенный торговый посредник) или изготовитель оборудования может получить разрешение клиента на регистрацию устройств Windows Autopilot от имени клиента.

Авторизация CSP

Партнеры CSP могут получить разрешение клиента на регистрацию устройств Windows Autopilot от имени клиента в соответствии со следующими ограничениями:

Метод Описание
Прямой поставщик служб CSP Получает прямую авторизацию от клиента для регистрации устройств.
Поставщик непрямого поставщика CSP Получает неявное разрешение на регистрацию устройств через отношения, которые их партнер по торговому посреднику CSP имеет с клиентом. Косвенные поставщики CSP регистрируют устройства в Центре партнеров Майкрософт.
Непрямой торговый посредник CSP Получает прямую авторизацию от клиента для регистрации устройств. В то же время их косвенный партнер по поставщику CSP также получает авторизацию, что означает, что непрямый поставщик или косвенный торговый посредник может зарегистрировать устройства для клиента. Тем не менее, косвенный торговый посредник CSP должен регистрировать устройства с помощью пользовательского интерфейса Центра партнеров Майкрософт (отправка CSV-файла вручную). Косвенный поставщик CSP может регистрировать устройства с помощью API Центра партнеров Майкрософт.

Действия

Чтобы поставщик служб CSP зарегистрировать устройства Windows Autopilot для клиента, клиент должен сначала предоставить партнеру CSP разрешение с помощью следующего процесса:

  1. CSP отправляет ссылку клиенту, запрашивающего авторизацию или согласие на регистрацию устройств и управление ими от его имени. Для этого:

    1. CSP входит в Центр партнеров Майкрософт.

    2. Выберите Панель мониторинга в верхнем меню.

    3. Выберите Клиент в боковом меню.

    4. Выберите ссылку Запросить связь торгового посредника :

      Запрос отношения торгового посредника.

    5. Установите флажок, указывающий, требуются ли делегированные права администратора:

      Делегированные права.

      Примечание

      В зависимости от партнера они могут запрашивать разрешения делегированного администратора (DAP) при запросе этого согласия. По возможности лучше использовать более новый процесс без DAP (как показано в этом документе). В противном случае их состояние DAP можно легко удалить из Центра администрирования Microsoft 365. Дополнительные сведения см. в разделе Получение разрешений на управление службой или подпиской клиента.

    6. Отправьте шаблон на предыдущем шаге клиенту по электронной почте.

  2. Клиент с правами глобального администратора Microsoft Admin Center выбирает ссылку в сообщении электронной почты. Ссылка перенаводит их на следующую страницу Центра администрирования Microsoft 365 :

    Снимок экрана: страница принятия соглашения и авторизации партнера с делегированными правами администратора.

    На приведенном выше рисунке показано, что видит клиент, запрашивая делегированные права администратора (DAP). На странице указано, какие роли администратора запрашиваются. Если клиент не запрашивал делегированные права администратора, он увидит следующую страницу:

    Снимок экрана: страница принятия соглашения и авторизации партнера.

    Примечание

    Пользователь без прав глобального администратора, который выбирает ссылку, видит сообщение, похожее на следующее сообщение:

    Снимок экрана: страница разрешений.

  3. Клиент выбирает флажок Да , а затем кнопку Принять . Авторизация выполняется мгновенно.

  4. Чтобы убедиться, что запрос на авторизацию завершен, поставщик служб CSP может проверить список клиентов в учетной записи Центра партнеров Майкрософт. Если клиент находится в списке, запрос будет завершен. Например:

    Клиенты.

Важно!

Корпорация Майкрософт рекомендует использовать роли с наименьшими разрешениями. Использование учетных записей с более низкими разрешениями помогает повысить безопасность организации. Глобальный администратор — это очень привилегированная роль, которая должна быть ограничена сценариями чрезвычайных ситуаций, когда существующую роль нельзя использовать.

Авторизация OEM

Авторизация OEM доступна только для тех изготовителей оборудования, которые имеют право использовать API OEM Direct для регистрации и отмены регистрации Windows Autopilot.

Изготовители оборудования, имеющие право использовать решение Direct API, имеют уникальную ссылку для предоставления соответствующим клиентам, которую изготовитель оборудования может запросить у корпорации Майкрософт через псевдоним поддержки msoemops . Чтобы получить этот псевдоним поддержки, обратитесь к менеджеру по работе с клиентами организации.

  1. Электронная почта изготовителя оборудования содержит ссылку на своего клиента.

  2. Клиент входит в Центр администрирования Microsoft 365 с помощью облачной учетной записи (например, [домен].onmicrosoft.com) с правами глобального администратора.

  3. Клиент выбирает ссылку в сообщении электронной почты, который перенаводит его непосредственно на следующую страницу:

    Снимок экрана: страница

    Примечание

    Пользователь без прав глобального администратора, который выбирает ссылку, видит сообщение, похожее на следующее сообщение:

    Снимок экрана: страница необходимых разрешений MSfB.

  4. Клиент выбирает флажок Да , а затем кнопку Принять , и все готово. Авторизация выполняется мгновенно.

    Примечание

    После завершения этого процесса администратор не может удалить изготовителя оборудования. Чтобы удалить изготовитель оборудования или отозвать его разрешения, отправьте запрос на msoemops@microsoft.com

  5. Изготовитель оборудования может использовать API проверки данных отправки устройства для проверки согласия.

    Примечание

    Этот API рассматривается в последней версии технического документе api, стр. 14ff. Эта ссылка доступна только партнерам Майкрософт по устройствам. Как описано в этой статье, партнерам oem рекомендуется выполнить проверку API, чтобы подтвердить получение согласия клиента перед регистрацией устройств. Эта проверка поможет избежать ошибок в процессе регистрации.

    Примечание

    Во время регистрации авторизации OEM изготовителю не предоставляются делегированные разрешения администратора.

Сводка

На этом этапе процесса корпорация Майкрософт больше не участвует. Обмен согласием происходит непосредственно между изготовителем оборудования и клиентом. Все это также происходит мгновенно - так же быстро, как кнопки выбираются.