Zustimmung des Windows Autopilot-Kunden

In diesem Artikel wird beschrieben, wie ein CSP-Partner (Cloud Service Provider) (direkte Rechnung, indirekter Anbieter oder indirekter Wiederverkäufer) oder ein OEM die Kundenautorisierung zum Registrieren von Windows Autopilot-Geräten im Namen des Kunden erhalten kann.

CSP-Autorisierung

CSP-Partner können die Kundenautorisierung zum Registrieren von Windows Autopilot-Geräten im Namen des Kunden gemäß den folgenden Einschränkungen erhalten:

Methode Beschreibung
Direkter CSP Ruft die direkte Autorisierung des Kunden zum Registrieren von Geräten ab.
Indirekter CSP-Anbieter Ruft die implizite Berechtigung zum Registrieren von Geräten über die Beziehung ab, die der CSP-Handelspartner mit dem Kunden hat. Indirekte CSP-Anbieter registrieren Geräte über Microsoft Partner Center.
Indirekter CSP-Wiederverkäufer Ruft die direkte Autorisierung des Kunden zum Registrieren von Geräten ab. Gleichzeitig erhält auch sein indirekter CSP-Anbieterpartner eine Autorisierung, was bedeutet, dass entweder der indirekte Anbieter oder der indirekte Wiederverkäufer Geräte für den Kunden registrieren kann. Der indirekte CSP-Wiederverkäufer muss jedoch Geräte über die Microsoft Partner Center-Benutzeroberfläche registrieren (die CSV-Datei wird manuell hochgeladen). Der indirekte CSP-Anbieter kann Geräte mithilfe der Microsoft Partner Center-APIs registrieren.

Schritte

Damit ein CSP Windows Autopilot-Geräte für einen Kunden registriert, muss der Kunde diesem CSP-Partner zunächst die Berechtigung erteilen, indem er den folgenden Prozess verwendet:

  1. CSP sendet einen Link an den Kunden, der die Autorisierung/Zustimmung zum Registrieren/Verwalten von Geräten in dessen Namen anfordert. Gehen Sie hierzu folgendermaßen vor:

    1. CSP meldet sich beim Microsoft Partner Center an.

    2. Wählen Sie im oberen Menü Dashboard aus.

    3. Wählen Sie im seitlichen Menü Kunde aus.

    4. Wählen Sie den Link Vertriebspartnerbeziehung anfordern aus:

      Fordern Sie eine Handelspartnerbeziehung an.

    5. Aktivieren Sie das Kontrollkästchen, das angibt, ob delegierte Administratorrechte gewünscht werden:

      Delegierte Rechte.

      Hinweis

      Je nach Partner können sie delegierte Administratorberechtigungen (Delegierte Administratorberechtigungen, DAP) anfordern, wenn sie diese Zustimmung anfordern. Wenn möglich, ist es besser, den neueren DAP-freien Prozess zu verwenden (siehe dieses Dokument). Andernfalls kann der DAP-Status einfach aus dem Microsoft 365 Admin Center entfernt werden. Weitere Informationen finden Sie unter Abrufen von Berechtigungen zum Verwalten des Diensts oder Abonnements eines Kunden.

    6. Senden Sie die Vorlage im vorherigen Schritt per E-Mail an den Kunden.

  2. Ein Kunde mit globalen Administratorrechten im Microsoft Admin Center wählt den Link in der E-Mail aus. Über den Link gelangen sie zur folgenden Microsoft 365 Admin Center-Seite :

    Screenshot der Seite

    Die obige Abbildung zeigt, was der Kunde sieht, wenn er delegierte Administratorrechte (Delegierte Administratorrechte, DAP) angefordert hat. Auf der Seite wird angegeben, welche Administratorrollen angefordert werden. Wenn der Kunde keine delegierten Administratorrechte anzufordern, wird die folgende Seite angezeigt:

    Screenshot der Seite

    Hinweis

    Einem Benutzer ohne globale Administratorrechte, der den Link auswählt, wird eine Meldung ähnlich der folgenden angezeigt:

    Screenshot der Berechtigungsseite.

  3. Der Kunde aktiviert das Kontrollkästchen Ja , gefolgt von der Schaltfläche Akzeptieren . Die Autorisierung erfolgt sofort.

  4. Um zu überprüfen, ob die Autorisierungsanforderung abgeschlossen ist, kann der CSP die Kundenliste in ihrem Microsoft Partner Center-Konto überprüfen. Wenn sich der Kunde in der Liste befindet, ist die Anforderung abgeschlossen. Beispiel:

    Kunden

Wichtig

Microsoft empfiehlt die Verwendung von Rollen mit den geringsten Berechtigungen. Die Verwendung von Konten mit niedrigeren Berechtigungen trägt zur Verbesserung der Sicherheit für eine Organisation bei. Globaler Administrator ist eine Rolle mit hohen Berechtigungen, die auf Notfallszenarien beschränkt werden sollte, wenn eine vorhandene Rolle nicht verwendet werden kann.

OEM-Autorisierung

DIE OEM-Autorisierung ist nur für OEMs verfügbar, die berechtigt sind, die OEM Direct API für die Registrierung und Aufhebung der Registrierung von Windows Autopilot zu verwenden.

OEMs, die zur Verwendung der Direct-API-Lösung berechtigt sind, verfügen über einen eindeutigen Link, der ihren jeweiligen Kunden bereitgestellt werden kann, den der OEM über den msoemops-Supportalias von Microsoft anfordern kann. Wenden Sie sich an den Konto-Manager der Organisation, um diesen Supportalias zu erhalten.

  1. OEM-E-Mails link zu ihrem Kunden.

  2. Der Kunde meldet sich mit einem cloudnativen Konto (z. B. [Domäne].onmicrosoft.com) mit globalen Administratorrechten beim Microsoft 365 Admin Center an.

  3. Der Kunde wählt den Link in der E-Mail aus, der direkt zur folgenden Seite führt:

    Screenshot der Seite

    Hinweis

    Einem Benutzer ohne globale Administratorrechte, der den Link auswählt, wird eine Meldung ähnlich der folgenden angezeigt:

    Screenshot der Seite

  4. Der Kunde aktiviert das Kontrollkästchen Ja , gefolgt von der Schaltfläche Akzeptieren , und er ist fertig. Die Autorisierung erfolgt sofort.

    Hinweis

    Sobald dieser Prozess abgeschlossen ist, ist es für einen Administrator derzeit nicht möglich, einen OEM zu entfernen. Um einen OEM zu entfernen oder seine Berechtigungen zu widerrufen, senden Sie eine Anforderung an msoemops@microsoft.com

  5. Der OEM kann die API zum Überprüfen von Geräteübermittlungsdaten verwenden, um zu überprüfen, ob die Zustimmung abgeschlossen ist.

    Hinweis

    Diese API wird in der neuesten Version des API-Whitepapers, S. 14ff. Auf diesen Link können nur Microsoft-Gerätepartner zugreifen. Wie in diesem Artikel erläutert, empfiehlt es sich für OEM-Partner, die API-Überprüfung durchzuführen, um zu bestätigen, dass die Zustimmung des Kunden empfangen wird, bevor sie versuchen, Geräte zu registrieren. Diese Überprüfung kann dazu beitragen, Fehler im Registrierungsprozess zu vermeiden.

    Hinweis

    Während der OEM-Autorisierungsregistrierung werden dem OEM keine delegierten Administratorberechtigungen gewährt.

Zusammenfassung

In dieser Phase des Prozesses ist Microsoft nicht mehr beteiligt. Der Einwilligungsaustausch erfolgt direkt zwischen OEM und Kunde. Alles geschieht auch sofort – so schnell wie Schaltflächen ausgewählt werden.