יצירת קישור ל-Enterprise

כדי לרשום ארגון חדש דרך מסוף ה-EMM, צריך ליצור קישור לארגונים. משאב אחד (Enterprises) מייצג את הקישור בין ה-EMM לארגון. משתמשים במופע שלו כדי להפעיל פעולות בשם הארגון.

ב-Play EMM API יש שלוש דרכים ליצירת מופע קישור לארגון:

• הרשמה לדומיין מנוהל של Google – אפשר להשתמש בשיטה הזו במקום בשתי השיטות האחרות. ארגונים שכבר יש להם דומיין מנוהל ב-Google וארגון שעדיין לא עבדו עם Google ישתמשו באותו ממשק משתמש להרשמה. המסע שהם יעברו בממשק המשתמש ישתנה בהתאם למצב ולצרכים שלהם. הארגון לא צריך לקבל אסימון EMM מראש.

• הרשמה לחשבונות Google Play מנוהלים – ארגון שרוצה להשתמש בחשבונות Google Play מנוהלים. תוכלו לשלב את ממשק המשתמש של ההרשמה ל-Android עם מסוף ה-EMM, ולאפשר לארגונים ליצור במהירות קישור ארגוני שמקשר אותם ל-EMM. כך מתאפשרת הפעלה של חשבונות Google Play מנוהלים למשתמשים ולמכשירים. גישה זו נקראת לפעמים ביוזמת EMM במסמכי התיעוד של ה-API. השיטה הזו הוצאה משימוש והוחלפה בשיטת ההרשמה של דומיינים מנוהלים ב-Google, הקודמת.

• רישום של דומיין Google מנוהל – לארגון יש דומיין Google מנוהל קיים. אדמינים ב-IT מבצעים כמה משימות ידניות, כמו אימות הבעלות על הדומיין מול Google, השגת אסימון EMM ויצירת חשבון שירות ארגוני. במסמכי התיעוד בנושא API, הגישה הזו נקראת לפעמים ביוזמת Google.

אפשר לתמוך בכל אחת מהשיטות במסוף ה-EMM בעזרת המשאב Enterprises. בטבלה 1 מוצגים השדות והפעולות הרלוונטיים במשאב הזה, לקישור ארגונים לספקי EMM.

טבלה 1: ממשקי API של Enterprise ותהליכי הקישור החלופיים

	ארגון של חשבונות Google Play מנוהלים	דומיין מנוהל של Google	תיאור
שדה
id			המזהה הייחודי של הארגון, שמוחזר משיחות enroll ו-completeSignup.
סיווג			מזהה את סוג המשאב באמצעות ערך מחרוזת קבוע, —androidenterprise#enterprise} .
name			הארגון שמשויך לאובייקט enterprise.
primaryDomain	לא הוגדרה		מאחר שארגונים עם חשבונות Google Play מנוהלים לא קשורים למודל הדומיינים של Google, השדה הזה רלוונטי רק לדומיינים מנוהלים של Google.
אדמין[]		לא מוגדר	האדמין ב-IT שנרשם ל-Android באמצעות תהליך ההרשמה ביוזמת EMM הופך לאדמין (הבעלים) של הקישור לארגונים. באמצעות מסוף Google Play לארגונים, מנהל ה-IT יכול להזמין משתמשים אחרים בארגון להשתתף במשימות הניהול. למידע נוסף: מרכז העזרה של Google Play לארגונים.
אדמין[].email		לא הוגדרה
שיטות
completeSignup			בהינתן completionToken ו-enterpriseToken, הפונקציה מחזירה משאב Enterprise בגוף התגובה.
generateSignupUrl			בהינתן callbackUrl, מחזירה כתובת URL ו-completionToken.
הרשמה			הפונקציה מבצעת רישום של המתקשר אצל ספק ה-EMM שהאסימון שלו נשלח עם הבקשה.
getServiceAccount			מחזירה חשבון שירות ופרטי כניסה.
setAccount			מגדיר את החשבון שישמש לאימות ב-API בתור הארגון.
ביטול הרשמה			ספקי EMM יכולים לנתק את הקישור לכל אחד מסוגי הארגון באמצעות ביטול ההרשמה. ההפעלה חייבת להתבצע באמצעות פרטי הכניסה של EMMEMM עבור הסכם השירות הראשי, ולא באמצעות פרטי הכניסה של ESA.

הרשמה לחשבונות Google Play מנוהלים

שיטת ההרשמה הזו הוצאה משימוש. במקום זאת, כדאי להשתמש בשיטה הרשמה לדומיין מנוהל של Google.

הרשמה לדומיין מנוהל של Google

אפשר לשלב את תהליך ההרשמה במסוף ה-EMM:

מנהל IT מתחיל את תהליך היצירה של ארגון. לשם כך, מנהל ה-IT:

1. כניסה למסוף ה-EMM.
2. לוחץ או בוחר את האפשרות Configure Android (לדוגמה) ומפנה לממשק משתמש להרשמה שמתארח ב-Google.
3. מספק פרטים על הארגון בממשק המשתמש להרשמה.
4. יופנה למסוף ה-EMM שלך.

כתובת האימייל של מנהל ה-IT מקושרת עכשיו לחשבון Google שהוא חשבון אדמין של דומיין Google מנוהל.

שיטה מומלצת: כדאי לפעול לפי הנחיות האבטחה של Google כדי לשמור על האבטחה של חשבון האדמין.

דרישות מוקדמות

לאדמינים ב-IT

• הגישה למסוף ה-EMM וההרשאות הנדרשות לביצוע הבחירה המתאימה במסוף (למשל, ניהול Android, כאפשרות בתפריט).

• כתובת אימייל בעבודה. הוא צריך להיות חלק מדומיין בבעלות הארגון ולא מדומיין משותף כמו Gmail.com

למסוף ה-EMM

כדי להטמיע את תהליך ההרשמה המנוהל ל-Google Doomain, מסוף ה-EMM שלך צריך להיות מסוגל:

• יש להשתמש בפרטי הכניסה ל-MSA כשמפעילים קריאות לממשקי ה-API של EMM של Play. הסכם השירות הראשי משמש להפעלת רבות מהפעולות מטעם מנהל IT, עד להגדרת חשבון השירות הארגוני (ESA) של הארגון.

• יש לטפל בהפניה דרך כתובת URL מאובטחת לאתר חיצוני ש-Google מספקת, כדי להתחיל את תהליך ההרשמה ולהשלים את תהליך ההרשמה.

• ניתן להגדיר באמצעות פרטי כניסה של ESA אחרי ההרשמה. מסוף ה-EMM יכול לשמש ליצירת ארגונים רבים בתוך כל אתר של ארגון נתון, ולכן תצטרכו לשייך לכל enterpriseId חשבון שירות ופרטי כניסה משלו. כדאי ליצור חשבונות שירות לארגון באמצעות קריאה ל-Enterprises.getServiceAccount וטיפול בניהול מפתחות באמצעות ממשקי API של Serviceaccountkeys. פרטים נוספים זמינים במאמר יצירת חשבונות שירות ארגוניים באופן פרוגרמטי.

תהליך ההרשמה ל-Android מחייב אתכם לספק שירות מאובטח (https) לשימוש במסוף בזמן ריצה. כתובת ה-URL לשירות המאובטח הזה יכולה להיות כתובת URL מקומית, ויכולה לכלול פרטי סשן או פרטי זיהוי ייחודיים אחרים, כל עוד הפורמט תקין כדי שהמערכת תוכל לנתח אותו. למשל:

https://localhost:8080/enrollmentcomplete?session=12345

תהליך ההרשמה

תהליך ההרשמה אמור להימשך פחות מ-5 דקות. השלבים הבאים יוצאים מנקודת הנחה שהשרת שמארח את callbackUrl פועל כמו שצריך. השלבים האלה גם מניחים שהמסוף כולל רכיב בממשק המשתמש, כמו בחירת תפריט עם האפשרות Manage Android, שמתחיל את תהליך ההרשמה כאשר מנהל IT מאומת בוחר באפשרות.

1. מנהל IT שולח בקשת הרשמה במסוף ה-EMM.

2. צריך להפעיל את Enterprises.generateSignupUrl עם callbackURL בתור הפרמטר היחיד. לדוגמה:

   https://localhost:8080/enrollcomplete?session=12345

3. התשובה תכלול כתובת URL להרשמה (למשך 30 דקות) ואסימון השלמה. מחלצים ושומרים את אסימון ההשלמה.

   שיטה מומלצת: משייכים את אסימון ההשלמה אל מנהל ה-IT שיזם את ההרשמה.

4. מחלצים את הurl מהתגובה generateSignupURL.

5. מפנה לכתובת ה-URL שחולצה בשלב 4.

6. מנהל ה-IT פועל לפי תהליך ההגדרה בממשק המשתמש של ההרשמה כדי ליצור קישור ארגוני:

   1. מנהל ה-IT מזין פרטים על עצמו ועל הארגון שלו, ומגדיר סיסמה אם אין לו חשבון Google.

   2. לאדמין ב-IT מוצג השם של ה-EMM, והוא מאשר שה-EMM הזה מקושר לארגון.

   3. מנהל ה-IT מסכים לתנאים ולהגבלות של Google.

7. ממשק המשתמש להרשמה יוצר כתובת URL לקריאה חוזרת (callback) על סמך כתובת ה-URL שצוינה בשלב 2.

8. ממשק המשתמש של ההרשמה מפנה את מנהל ה-IT לכתובת ה-URL לקריאה חוזרת. מחלצים ושומרים את האסימון של הארגון בכתובת ה-URL. לדוגמה:

   https://localhost:8080/enrollcomplete?session=12345&enterpriseToken=5h3jCC903lop1

9. מפעילים את Enterprises.completeSignup ומעבירים את completionToken (שלב 3) ואת enterpriseToken (שלב 8).

10. הקריאה מחזירה מופע של Enterprises בגוף התגובה. אחסון של כתובת האימייל של id, של name ושל האדמין (אם יש כזה) לשימוש עתידי.

11. יוצרים חשבון שירות ארגוני (ESA). פרטי הכניסה ל-ESA הם כתובות אימייל ומפתח פרטי. יש שתי דרכים ליצור ESA:

    • שיטה מומלצת: יוצרים את ה-ESA באופן פרוגרמטי, באמצעות Play EMM API.
    • להציג דף עם הוראה למנהל ה-IT ליצור ESA במסוף Google API. למידע מפורט יותר, קראו את המאמר יצירת חשבון שירות (עליכם לבקש מהאדמין לבחור בתפקיד פרויקט > Editor ולסמן את תיבת ההורדה של המפתח הפרטי). אחרי שהאדמין ב-IT יוצר ESA, צריך להגדיר את המסוף עם פרטי הכניסה של המפתח הפרטי ב-ESA

12. באמצעות פרטי הכניסה ל-MSA, מתקשרים אל setAccount כדי להגדיר את ה-ESA לארגון הזה.

תהליך ההרשמה הושלם

• הדומיין החדש של Google המנוהל קשור ל-EMM שלך.
• חשבון Google של מנהל ה-IT מוגדר כאדמין בדומיין, ויש לו גישה ל-https://play.google.com/work כדי לנהל את האפליקציות של הארגון.
• במסוף ה-EMM אפשר להשתמש ב-ESA כדי לנהל את נתוני הארגון באמצעות Google Play EMM API.

יצירת ESA באופן פרוגרמטי

כדי לפשט את ניהול המפתחות עבור ESA, כדאי להשתמש ב-Google Play EMM API ליצירת חשבונות שירות לארגונים במקום במסוף Google Cloud. חשבונות שירות שנוצרו באמצעות Play EMM API:

• לא גלויות באף פרויקט במסוף Cloud ששייך לכם או לארגון. הן צריכות להיות מנוהלות באופן פרוגרמטי.
• יימחקו כשתבטלו את ההרשמה של הארגון.

כדי ליצור חשבון שירות באופן פרוגרמטי:

1. מפעילים את Enterprises.getServiceAccount עם enterpriseId (ראו שלב 10 בתהליך ההרשמה) ומציינים את סוג המפתח (keyType) הרצוי (googleCredentials, pkcs12). המערכת מחזירה את השם של חשבון השירות ואת המפתח הפרטי של חשבון השירות (באותם הפורמטים שהוחזרו על ידי Google API Console).

2. התקשרות אל Enterprises.setAccount והגדרת חשבון השירות לארגון.

שיטה מומלצת: כדאי לבקש ממנהל ה-IT לשנות את פרטי הכניסה ל-ESA. כדי לעשות זאת במסוף ה-EMM, צריך להשתמש ב-ESA הקיים כדי להתקשר אל setAccount.

ניהול מפתחות של חשבונות שירות

חשבונות השירות שמוחזרים מ-Enterprises.getServiceAccount נוצרים על ידי Google בשקיפות. כמפעילי EMM, אין לך גישה לחשבונות האלה. עם זאת, תוכלו לשלב את ה-API של Serviceaccountkeys במסוף כדי לאפשר לארגונים לנהל מפתחות ESA ומפתחות משלהם שנוצרו באופן פרוגרמטי.

ה-API של Serviceaccountkeys מאפשר לארגונים להוסיף, למחוק ולרשום את פרטי הכניסה הפעילים לחשבונות השירות שלהם. חייבים להפעיל את ממשקי ה-API האלה רק אם הם קיבלו הרשאה בתור ה-ESA שהוגדר לארגון, ושה-ESA הזה נוצר על ידי getServiceAccount. במילים אחרות, אחרי שהארגון מפעיל את הקריאה ל-Enterprises.setAccount (באמצעות חשבון השירות שנוצר על ידי Enterprises.getServiceAccount), רק לארגון הזה יש הרשאה להפעיל קריאות ל-API של Serviceaccountkeys כדי לנהל את החשבון.

טבלה 2. ממשק API של Serviceaccountkeys

שדות
id	מזהה מחרוזת ייחודי אטום ל-ServiceAccountKey שהוקצה על ידי השרת.
סיווג	המזהה של המשאב באמצעות המחרוזת הקבועה androidenterprise#serviceAccountKey.
סוג	פורמט הקובץ של נתוני המפתח שנוצרו. ערכים קבילים: googleCredentials pkcs12
נתונים	מחרוזת שמורכבת מגוף הקובץ של פרטי הכניסה הפרטיים. השדה מאוכלס בזמן היצירה. לא נשמר על ידי Google.
שיטות
delete	מסירים ומבטלים את התוקף של פרטי הכניסה שצוינו בחשבון השירות (צוינו באמצעות enterpriseId ו-keyId).
insert	יצירת פרטי כניסה חדשים לחשבון השירות שמשויך לארגון.
list	הצגת רשימה של כל פרטי הכניסה הפעילים לחשבון השירות שמשויך לארגון. הפונקציה מחזירה רק את המזהה ואת סוג המפתח.

התראות

כדי לקבל התראות מ-ESA שנוצרו באופן פרוגרמטי, התקשרו אל Enterprises.pullNotificationSet. למידע נוסף, ראו הגדרת התראות של EMM.

רישום של דומיין מנוהל ב-Google

כדי לנהל מכשירים ששייכים לדומיין מנוהל של Google, צריך ליצור חיבור בין מסוף ה-EMM, הארגון ו-Google.

דרישות מוקדמות

לארגון צריך להיות דומיין Google מנוהל, אסימון רישום ל-EMM וחשבון שירות ארגוני (ESA). במרכז העזרה של Android Enterprise מוסבר איך מנהלי IT יכולים למצוא את הפרטים האלה.

דומיין Google מנוהל

אם האדמין ב-IT בארגון תבע בעלות על דומיין מנוהל כשהוא נרשם ל-Google Workspace, הוא יכול להפעיל את ניהול Android ממסוף Google Admin. אם לארגון אין דומיין מנוהל ב-Google, האדמין ב-IT צריך לבצע באמצעות Google תהליך חד-פעמי לרישום באינטרנט.

אסימון EMM

אדמינים ב-IT יכולים לקבל אסימון EMM ממסוף Google Admin (בקטע מכשירים > ניידים ונקודות קצה > הגדרות > שילובים עם צד שלישי).

ESA

האדמין ב-IT יכול ליצור את ה-ESA, בדרך כלל דרך מסוף Google Cloud, בפרויקט שמשויך למסוף ה-EMM שלכם. ל-ESA יש שם, תעודה מזהה ומפתח שמאמתים את החשבון לביצוע הפעולות שננקטו בשמם. הפורמט של המזהה דומה לכתובת אימייל, כשהשם של חשבון השירות מופיע אחרי הסמל @ ואחריו שם הפרויקט, לצד הפרטים של שירותי Google (לדוגמה, some-orgs-esa@myemmconsole313302.iam.gserviceaccount.com).

תהליך ההרשמה

1. מנהל IT מקבל אסימון EMM ממסוף Google Admin.
2. האדמין ב-IT משתף איתכם את אסימון ה-EMM, שמעניק לכם הרשאה לנהל את Android בדומיין שלו.
3. דרך מסוף ה-EMM, משתמשים באסימון ה-EMM כדי להפעיל את Enterprises.enroll. הפעולה הזו מקשרת את פתרון Android של הארגון לדומיין Google שלו.
   • השיטה enroll מחזירה ערך ייחודי של enterpriseId, שאפשר לאחזר מאוחר יותר (רק לדומיינים מנוהלים של Google) באמצעות השיטה list.
   • אתם יכולים גם לאחסן במאגר נתונים מידע על הקישור (enterpriseId, primaryDomain) כדי לא לבצע קריאות ל-API כדי לקבל את הפרטים האלה. בתרחיש של חשבונות Google, primaryDomain של הארגון הוא המפתח הייחודי שמזהה את הארגון ל-EMM ול-Google.
4. כדי לבצע קריאות ספציפיות לארגון אל Google Play EMM API:
   • אתם יוצרים ESA בשם הארגון, או שמנהל מערכת יוצר את ה-ESA ומשתף אותו איתכם.
   • דרך מסוף ה-EMM, מתקשרים אל setAccount באמצעות enterpriseId וכתובת האימייל של ה-ESA. כך אפשר ל-ESA לבצע אימות ל-API בתור הארגון.

דוגמה

דוגמה לרישום ארגון עם הערכים primaryDomainName, serviceAccountEmail ו-authenticationToken:

    public void bind(String primaryDomainName, String serviceAccountEmail,
        String authenticationToken) throws IOException {

      Enterprise enterprise = new Enterprise();
      enterprise.setPrimaryDomain(primaryDomainName);

      Enterprise result = androidEnterprise.enterprises()
          .enroll(authenticationToken, enterprise)
          .execute();

      EnterpriseAccount enterpriseAccount = new EnterpriseAccount();
      enterpriseAccount.setAccountEmail(serviceAccountEmail);
      androidEnterprise.enterprises()
          .setAccount(result.getId(), enterpriseAccount)
          .execute();
    }

בדוגמה הזו נשתמש בספריית הלקוח של Java ובסיווג השירות AndroidEnterprise מהחבילה com.google.api.services.androidenterprise.model. אפשר לסכם את התהליך שמוצג בדוגמה בשלבים הבאים:

1. יוצרים אובייקט AndroidEnterprise חדש עם הפרמטרים שסופקו על ידי bind, מחלקה של מודל שמכילה את שם הדומיין הראשי, כתובת האימייל של חשבון השירות ואסימון הרישום של ה-EMM.
2. יש לציין את שם הדומיין הראשי של אובייקט הארגון החדש שנוצר.
3. מפעילים את שיטת הרישום ומזינים את אובייקט הארגון ואת אסימון הרישום.
4. יוצרים אובייקט EnterpriseAccount חדש עם מזהה ה-ESA של הלקוח (serviceAccountEmail).
5. מגדירים את החשבון: מזינים גם את השדה enterpriseId (הוחזרה בשלב 3) וגם את השדה enterpriseAccount.

אתם יכולים גם לאחסן במאגר נתונים מידע על הקישור (enterpriseId, primaryDomain) כדי לא לבצע קריאות ל-API כדי לקבל את הפרטים האלה. בתרחיש של חשבונות Google, primaryDomain של הארגון הוא המפתח הייחודי שמזהה את הארגון ל-EMM ול-Google.

הגדרה של פריסה מקומית

אם הארגון דורש שהנתונים שלו יישארו באתר ולא תהיה לכם גישה אליהם, עליכם לוודא שהשרתים שלכם לעולם לא יראו קבוצה פעילה של פרטי כניסה ל-ESA. כדי לעשות זאת, צריך ליצור ולאחסן קבוצה של פרטי כניסה ל-ESA באתר:

1. משלימים את תהליך ההרשמה:
   1. כפי שמתואר בשלב 11, משתמשים ב-MSA כדי להתקשר אל getServiceAccount. נוצרים פרטי כניסה ל-ESA.
   2. כפי שמתואר בשלב 12, צריך להשתמש ב-setAccount ב-ESA כדי להגדיר אותו כ-ESA לארגון הזה.
2. מעבירים את ה-ESA לשרת המקומי של הארגון.
3. מבצעים את השלבים הבאים בשרת המקומי:
   1. תוכלו להתקשר אל Serviceaccountkeys.insert כדי ליצור מפתח חדש ל-ESA. המפתח הפרטי הזה לא מאוחסן בשרתים של Google, והוא מוחזר רק פעם אחת, כשיוצרים את החשבון. הוא לא נגיש בשום דרך אחרת.
   2. משתמשים בפרטי הכניסה החדשים של ESA כדי לבצע קריאה ל-Serviceaccountkeys.list. הפעולה הזו תחזיר את פרטי הכניסה לחשבון השירות הפעיל.
   3. קוראים ל-Serviceaccountkeys.delete כדי למחוק את כל פרטי הכניסה מלבד פרטי הכניסה של ESA שנוצרו בארגון.
   4. (אופציונלי) מתקשרים למספר Serviceaccountkeys.list כדי לוודא שפרטי הכניסה שנמצאים בשימוש מקומי הם פרטי הכניסה היחידים החוקיים לחשבון השירות.

מעכשיו השרת המקומי הוא השרת היחיד עם פרטי כניסה של ESA. רק ל-ESA שנוצר באמצעות getServiceAccount יש גישה אל ServiceAccountKeys – אסור לקרוא ל-MSA הזה קריאה.

שיטה מומלצת: אל תשמרו במקום את פרטי הכניסה של חשבון השירות הראשי (MSA). להשתמש ב-ESA נפרד לכל פריסה מקומית.

ביטול הרשמה, רישום מחדש או מחיקה של קישור ל-Enterprise

ביטול הרשמה

כדי לבטל את הקישור של הארגון לפתרון ה-EMM, יש להשתמש ב-unenroll. קישור ארגוני לא נמחק כשמבטלים את ההרשמה, אבל המשתמשים שבניהול ה-EMM וכל נתוני המשתמש הקשורים אליהם נמחקים אחרי 30 יום. הנה דוגמה להטמעה:

    public void unbind(String enterpriseId) throws IOException {
      androidEnterprise.enterprises().unenroll(enterpriseId).execute();
    }

שיטה מומלצת: אם יש לכם מאגר נתונים למיפויים של שם הארגון ושל המזהה הארגוני, כדאי למחוק את המידע ממאגר הנתונים אחרי ביצוע הקריאה ל-unenroll.

רישום מחדש

מנהל IT יכול לרשום מחדש ארגון באמצעות הדומיין enterpriseId הקיים. כדי לעשות זאת, הם נכנסים באמצעות חשבון ברמת הבעלים ומבצעים את תהליך ההרשמה.

תהליך ההרשמה מחדש שקוף מנקודת המבט שלך: אין דרך לקבוע אם אסימון הארגון שהוחזר בכתובת ה-URL להפניה אוטומטית (שלב 8) הגיע מארגון חדש או מארגון שנרשם בעבר באמצעות EMM אחר.

אם ארגון נרשם בעבר לפתרון ה-EMM שלכם, יכול להיות שתוכלו לזהות את מזהה הארגון המקשר. אם מנהל IT ירשום מחדש את הארגון בתוך 30 יום לכל היותר אחרי שביטלתם את הרישום שלו, תוכלו לשחזר משתמשים שמנוהלים באמצעות EMM ונתוני משתמשים קשורים. אם ארגון נרשם בעבר באמצעות ספק EMM אחר, לא תהיה לכם גישה למזהי המשתמשים של משתמשים שמנוהלים באמצעות EMM, שנוצרו על ידי ספק ה-EMM האחר. הסיבה לכך היא שמזהי המשתמשים האלה ספציפיים ל-EMM.

מחיקה

מנהל IT יכול למחוק את הארגון שלו מ-Google Play לארגונים. תוך 24 שעות, הנתונים, החשבונות, ההקצאות של הרישיונות ומשאבים אחרים של הארגון לא יהיו נגישים לאדמין, למשתמשי הקצה ולכם. כתוצאה מכך, הקריאות ל-API יחזירו קוד סטטוס HTTP 404 Not Found עבור הפרמטר enterpriseId. כדי לטפל בשגיאה הזו במסוף ה-EMM, עליכם לבקש אישור מהאדמין ב-IT לפני שמסירים שיוך לארגון.