Použití zásad přístupu k vyžadování více schválení správcem
Pokud chcete pomoct chránit před ohroženým účtem správce, použijte zásady přístupu Intune , které vyžadují, aby se ke schválení změny před použitím změny použil druhý účet pro správu. Tato funkce se označuje jako vícenásobné schválení správce (MAA).
S MAA nakonfigurujete zásady přístupu, které chrání konkrétní konfigurace, jako jsou aplikace nebo skripty pro zařízení. Zásady přístupu určují, co je chráněné a které skupině účtů je povoleno schvalovat změny těchto prostředků.
Pokud se k provedení změny prostředku chráněného zásadami přístupu použije jakýkoli účet v tenantovi, Intune tuto změnu nepoužije, dokud ji výslovně neschválí jiný účet. Změny můžou schválit jenom správci, kteří jsou členy skupiny schválení, která má přiřazený chráněný prostředek v zásadách ochrany přístupu. Schvalovatelé můžou také odmítnout žádosti o změnu.
Zásady přístupu se podporují pro následující prostředky:
- Aplikace – vztahuje se na nasazení aplikací, ale nevztahuje se na zásady ochrany aplikací.
- Skripty – platí pro nasazení skriptů do zařízení s Windows.
- Zásady přístupu – platí pro vytváření nebo správu více zásad schvalování pro správu.
Požadavky na zásady přístupu a schvalovatele
Pokud chcete použít více schválení správce, musí mít váš tenant aspoň dva účty správce. Jeden účet se použije k provedení změny v tenantovi, druhý účet změnu schválí.
Pokud chcete vytvořit zásadu přístupu, musí mít váš účet přiřazenou roli Správce služeb Intune nebo Globální správce Azure nebo musí mít přiřazená příslušná oprávnění pro více správců pro roli Intune. Správci, kteří spravují zásady přístupu speciálně pro schvalování více správců, vyžadují oprávnění Schválení pro více správců .
Pokud chcete být schvalovatelem zásad přístupu, musí být účet ve skupině schvalovatele, která je přiřazená k zásadám přístupu pro konkrétní typ prostředku.
Pokud vaše organizace povoluje nelicencované správce pro role Intune, musí být všechny skupiny schvalovatelů také členovou skupinou jednoho nebo více přiřazení rolí Intune.
Jak fungují zásady pro více správců a přístup
Když správce upraví nebo vytvoří nový objekt pro oblast, která je chráněná zásadami přístupu, uvidí na ploše Uložit a zkontrolovat možnost, kde může jako obchodní odůvodnění zadat popis změny.
- Obchodní odůvodnění se stane součástí žádosti o schválení změny.
- Správce, který odeslal změnu, může zobrazit stav svých žádostí v Centru pro správu Microsoft Intune tak, že přejde na Správa> tenantaSchválení s více správci a zobrazí stránku Moje žádost.
Po odeslání změnyschvalovatel přejde na stránku Přijatá žádost v uzlu Schválení s více správci . Tady uvidí seznam požadavků, které jsou aktivní nebo nedávno spravované. Toto zobrazení obsahuje některé podrobnosti o požadavku, včetně toho, kdy a kdo ho odeslal, typu operace, která se týká , jako je Vytvoření nebo Přiřazení, a jejího stavu. Správa žádosti:
- Schvalovatel pro žádost vybere odkaz Obchodní odůvodnění . Tato akce otevře podokno žádosti o zásady přístupu, kde můžete zobrazit další informace o změně, včetně úplných podrobností uvedených v poli Obchodní odůvodnění žádosti.
- V podokně Žádosti o zásady přístupu může schvalovatel zadat poznámky do pole Poznámky schvalovatele a pak vybrat možnost Schválit žádost nebo Odmítnout žádost. Tyto poznámky se přidají do žádosti a zobrazí se jednotlivcům, kteří o změnu požádali, při kontrole svých žádostí na stránce Moje žádost . Pokud je například žádost zamítnuta, může být důvod zamítnutí předán žadateli prostřednictvím poznámek schvalovatele.
- Jednotlivci, kteří odesílají žádost a jsou také členy schvalovací skupiny, můžou zobrazit své vlastní žádosti na stránce Přijatá žádost. Nemůžou ale schvalovat vlastní žádosti.
Pokud je změna schválená, Intune požadovanou změnu zpracuje a objekt aktualizuje. Zatímco Intune žádost zpracovává, její stav se může zobrazit jako Schváleno. Po úspěšném zpracování se stav aktualizuje na Dokončeno.
Každá změna stavu zůstane viditelná po dobu až 30 dnů po poslední změně stavu. Pokud se žádost do 30 dnů dále nezpracuje, změní se na Platnost vypršela a musí se znovu odeslat.
Vytvoření zásady přístupu
Pokud chcete vytvořit zásadu přístupu, přejděte v Centru pro správu Microsoft Intune do části Správa> tenantaZásady přístupupro více> správců a vyberte Vytvořit.
Na stránce Základy zadejte Název a volitelně Popis a jako Typ profilu vyberte z dostupných možností. Každá zásada podporuje jeden typ profilu.
Na stránce Schvalovatelé vyberte Přidat skupiny a pak vyberte skupinu jako skupinu schvalovatelů pro tuto zásadu. Složitější konfigurace, které vylučují skupiny, se nepodporují.
Na stránce Zkontrolovat a vytvořit zkontrolujte a uložte provedené změny. Jakmile Intune použije tuto zásadu, konfigurace pro chráněný typ profilu budou vyžadovat více schválení správcem.
Odeslání žádosti
Pokud chcete odeslat žádost, když je maa povolená, použijte normální proces k vytvoření nebo úpravě prostředku.
Na poslední stránce před uložením změn přidejte podrobnosti do pole Obchodní odůvodnění a pak odešlete žádost. V případě naléhavých žádostí zvažte kontaktování známého seznamu schvalovatelů, abyste měli jistotu, že se vaše žádost včas zobrazí.
Pokud existuje požadavek na stejný objekt, který už čeká na schválení, nebudete moct žádost odeslat. Intune zobrazí zprávu, která vás na tuto situaci upozorní.
Pokud chcete monitorovat stav vašich žádostí, přejděte v Centru pro správu Microsoft Intune na Správa tenantaMulti admin ApprovalMy requests (Moje žádosti) v části Správa >tenanta Multi admin Approval (Multi admin Approval> My requests).
Žádost můžete před schválením zrušit tak, že ji vyberete na stránce Moje žádosti a pak vyberete Zrušit žádost.
Schvalovat žádosti
Pokud chcete najít žádosti o schválení, přejděte v Centru pro správu Microsoft Intune do části Správa> tenantaPříjem žádostí o správu> s vícesprávci.
Výběrem odkazu Obchodní odůvodnění žádosti otevřete stránku kontroly, kde se můžete dozvědět více o žádosti a spravovat schválení nebo zamítnutí.
Po kontrole podrobností zadejte příslušné podrobnosti do pole Poznámky schvalovatele a pak vyberte Schválit žádost nebo Odmítnout žádost.
Po schválení žádosti musí žadatel vybrat Dokončit. Intune změnu zpracuje a změní stav na Dokončeno. Ověřte úspěšné (nebo neúspěšné) schválení kontrolou oznámení konzoly po dokončení.
Pokud chcete ověřit, jestli bylo schválení úspěšné (nebo neúspěšné), podívejte se na oznámení v Centru pro správu Intune. Zpráva se zobrazí, jestli bylo schválení úspěšné nebo neúspěšné.
Další důležité informace
Intune neodesílá oznámení, když se vytvoří nové žádosti nebo se změní stav existující žádosti. Doporučujeme, abyste při odesílání naléhavé žádosti o změnu oslovili jednotlivce, kteří mají oprávnění tyto žádosti schválit.
Naplánujte monitorování stavu vašich požadavků prostřednictvím stránky Moje žádosti v uzlu Schválení s více správci v Centru pro správu Microsoft Intune.
Pokud už čeká na schválení objektu, není možné pro něj odeslat novou žádost.
Všechny akce pro chráněný prostředek jsou chráněné, mimo jiné včetně následujících:
- Úpravy
- Vytvoření
- Upravit
- Vymazání
- Přiřadit
Akce pro požadavky a proces schválení se protokolují v protokolech auditu Intune. Další informace najdete v tématu Protokoly auditu pro aktivity Intune.
Pro žádost jsou k dispozici následující stavové podmínky:
- Vyžaduje schválení – Tato žádost čeká na akci schvalovatele.
- Schváleno – Intune tuto žádost zpracovává.
- Dokončeno – Tento požadavek se úspěšně použil.
- Zamítnuto – tato žádost byla zamítnuta schvalovatelem.
- Zrušeno – tato žádost byla zrušena správcem, který ji odeslal.