Windows Autopilot-kundmedgivande
Den här artikeln beskriver hur en molntjänstleverantör (CSP)-partner (direktfakturering, indirekt leverantör eller indirekt återförsäljare) eller en OEM-tillverkare kan få kundauktorisering för att registrera Windows Autopilot-enheter för kundens räkning.
CSP-partner kan få kundauktorisering för att registrera Windows Autopilot-enheter för kundens räkning enligt följande begränsningar:
Metod | Beskrivning |
---|---|
Direkt CSP | Hämtar direkt auktorisering från kunden för att registrera enheter. |
Indirekt CSP-provider | Får implicit behörighet att registrera enheter via relationen som deras CSP-återförsäljares partner har med kunden. Indirekta CSP-leverantörer registrerar enheter via Microsoft Partner Center. |
Indirekt CSP-återförsäljare | Hämtar direkt auktorisering från kunden för att registrera enheter. Samtidigt får deras indirekta CSP-providerpartner även auktorisering, vilket innebär att antingen den indirekta providern eller den indirekta återförsäljaren kan registrera enheter för kunden. Den indirekta CSP-återförsäljaren måste dock registrera enheter via Microsoft Partner Center-användargränssnittet (ladda upp CSV-filen manuellt). Den indirekta CSP-providern kan registrera enheter med hjälp av API:erna för Microsoft PartnerCenter. |
För att en CSP ska kunna registrera Windows Autopilot-enheter för en kund måste kunden först ge csp-partnern behörighet med hjälp av följande process:
CSP skickar en länk till kunden som begär auktorisering/medgivande för att registrera/hantera enheter för deras räkning. Gör så här:
CSP loggar in på Microsoft Partner Center.
Välj Instrumentpanel på den översta menyn.
Välj Kund på sidomenyn.
Välj länken Begär en återförsäljarrelation :
Markera kryssrutan som anger om delegerade administratörsrättigheter är önskade:
Anteckning
Beroende på partnern kan de begära delegerade administratörsbehörigheter (DAP) när de begär detta medgivande. Om möjligt är det bättre att använda den nyare DAP-fria processen (visas i det här dokumentet). Annars kan deras DAP-status enkelt tas bort från administrationscentret för Microsoft 365. Mer information finns i Hämta behörigheter för att hantera en kunds tjänst eller prenumeration.
Skicka mallen i föregående steg till kunden via e-post.
Kunden med globala administratörsbehörigheter i Microsoft Admin Center väljer länken via e-post. Länken tar dem till följande administrationscentersida för Microsoft 365 :
Bilden ovan är vad kunden ser om de har begärt delegerade administratörsrättigheter (DAP). På sidan står det vilka administratörsroller som begärs. Om kunden inte begärde delegerade administratörsrättigheter skulle de se följande sida:
Anteckning
En användare utan behörighet som global administratör som väljer länken ser ett meddelande som liknar följande meddelande:
Kunden markerar kryssrutan Ja följt av knappen Acceptera . Auktorisering sker omedelbart.
För att kontrollera att auktoriseringsbegäran är klar kan MOLNTJÄNSTleverantören kontrollera listan Kunder i sitt Microsoft Partner Center-konto. Om kunden finns i listan är begäran slutförd. Till exempel:
Viktigt
Microsoft rekommenderar att du använder roller med minst behörighet. Genom att använda konton med lägre behörighet kan du förbättra säkerheten för en organisation. Global administratör är en mycket privilegierad roll som bör begränsas till nödsituationsscenarier när en befintlig roll inte kan användas.
OEM-auktorisering är endast tillgängligt för de OEM-tillverkare som är berättigade att använda OEM Direct API för registrering och avregistrering av Windows Autopilot.
OEM-tillverkare som är berättigade att använda Direct API-lösningen har en unik länk för att tillhandahålla till sina respektive kunder, som OEM:n kan begära från Microsoft via supportaliaset msoemops . Kontakta organisationens kontoansvarige för att få det här supportaliaset.
OEM-e-postlänk till kunden.
Kunden loggar in på administrationscentret för Microsoft 365 med ett molnbaserat konto (till exempel [domän].onmicrosoft.com) med globala administratörsbehörigheter.
Kunden väljer länken i e-postmeddelandet, som tar dem direkt till följande sida:
Anteckning
En användare utan behörighet som global administratör som väljer länken ser ett meddelande som liknar följande meddelande:
Kunden markerar kryssrutan Ja följt av knappen Acceptera och är klar. Auktorisering sker omedelbart.
Anteckning
När den här processen är klar är det för närvarande inte möjligt för en administratör att ta bort en OEM-tillverkare. Om du vill ta bort en OEM-tillverkare eller återkalla deras behörigheter skickar du en begäran till msoemops@microsoft.com
OEM-tillverkaren kan använda API:et Validate Device Submission Data för att verifiera att medgivandet har slutförts.
Anteckning
Det här API:et beskrivs i den senaste versionen av API White paper, s. 14ff. Den här länken är endast tillgänglig för Microsoft Device Partners. Som beskrivs i den här artikeln är det en rekommendation om bästa praxis för OEM-partner att köra API-kontrollen för att bekräfta att kundens medgivande tas emot innan du försöker registrera enheter. Den här kontrollen kan hjälpa dig att undvika fel i registreringsprocessen.
Anteckning
Under registreringsprocessen för OEM-auktorisering beviljas inga delegerade administratörsbehörigheter till OEM-tillverkaren.
I det här skedet av processen är Microsoft inte längre involverat. Medgivandeutbytet sker direkt mellan OEM-tillverkaren och kunden. Allt sker också omedelbart – så snabbt som knappar väljs.