Sdílet prostřednictvím

Použití zásad přístupu k vyžadování více schválení správcem

  • Článek

Pokud chcete pomoct chránit před ohroženým účtem správce, použijte zásady Intune přístupu, které vyžadují, aby se ke schválení změny před použitím změny použil druhý účet správce. Tato funkce se označuje jako vícenásobné schválení správce (MAA).

S MAA nakonfigurujete zásady přístupu, které chrání konkrétní konfigurace, jako jsou aplikace nebo skripty pro zařízení. Zásady přístupu určují, co je chráněné a které skupině účtů je povoleno schvalovat změny těchto prostředků.

Pokud se k provedení změny prostředku chráněného zásadami přístupu použije jakýkoli účet v tenantovi, Intune tuto změnu nepoužije, dokud ji výslovně neschválí jiný účet. Změny můžou schválit jenom správci, kteří jsou členy skupiny schválení, která má přiřazený chráněný prostředek v zásadách ochrany přístupu. Schvalovatelé můžou také odmítnout žádosti o změnu.

Zásady přístupu se podporují pro následující prostředky:

  • Aplikace – vztahuje se na nasazení aplikací, ale nevztahuje se na zásady ochrany aplikací.
  • Skripty – platí pro nasazení skriptů do zařízení s Windows.
  • Zásady přístupu – platí pro vytváření nebo správu více zásad schvalování pro správu.

Požadavky na zásady přístupu a schvalovatele

Pokud chcete použít více schválení správce, musí mít váš tenant aspoň dva účty správce. Jeden účet se použije k provedení změny v tenantovi, druhý účet změnu schválí.

Pokud chcete vytvořit zásady přístupu, musí mít váš účet přiřazenou roli správce služeb Intune nebo globálního správce Azure nebo musí mít přiřazená příslušná oprávnění ke schválení více Správa pro roli Intune. Správci, kteří spravují zásady přístupu speciálně pro schvalování více správců, vyžadují oprávnění Schválení pro více Správa.

Pokud chcete být schvalovatelem zásad přístupu, musí být účet ve skupině schvalovatele, která je přiřazená k zásadám přístupu pro konkrétní typ prostředku.

Všechny skupiny schvalovatele musí být také členovou skupinou jednoho nebo více Intune přiřazení rolí. Neexistuje žádný konkrétní požadavek, ke kterému přiřazení role musí být skupina schvalovatelů přidána. Pokud se skupina schvalovatele nepřidá k přiřazení role, bude to mít za následek pravidelné odebírání členů skupiny schvalovatele ze skupiny.

Jak fungují zásady pro více správců a přístup

Když správce upraví nebo vytvoří nový objekt pro oblast, která je chráněná zásadami přístupu, uvidí na ploše Uložit a zkontrolovat možnost, kde může jako obchodní odůvodnění zadat popis změny.

  • Obchodní odůvodnění se stane součástí žádosti o schválení změny.
  • Správce, který odeslal změnu, může zobrazit stav svých žádostí v Centru pro správu Microsoft Intune tak, že přejde na Správa> tenantaSchválení s více Správa a zobrazí stránku Moje žádost.

Po odeslání změnyschvalovatel přejde na stránku Přijatá žádost uzlu Schválení s více Správa. Tady uvidí seznam požadavků, které jsou aktivní nebo nedávno spravované. Toto zobrazení obsahuje některé podrobnosti o požadavku, včetně toho, kdy a kdo ho odeslal, typu operace, která se týká , jako je Vytvoření nebo Přiřazení, a jejího stavu. Správa žádosti:

  • Schvalovatel pro žádost vybere odkaz Obchodní odůvodnění . Tato akce otevře podokno žádosti o zásady přístupu, kde můžete zobrazit další informace o změně, včetně úplných podrobností uvedených v poli Obchodní odůvodnění žádosti.
  • V podokně Žádosti o zásady přístupu může schvalovatel zadat poznámky do pole Poznámky schvalovatele a pak vybrat možnost Schválit žádost nebo Odmítnout žádost. Tyto poznámky se přidají do žádosti a zobrazí se jednotlivcům, kteří o změnu požádali, při kontrole svých žádostí na stránce Moje žádost . Pokud je například žádost zamítnuta, může být důvod zamítnutí předán žadateli prostřednictvím poznámek schvalovatele.
  • Jednotlivci, kteří odesílají žádost a jsou také členy schvalovací skupiny, můžou zobrazit své vlastní žádosti na stránce Přijatá žádost. Nemůžou ale schvalovat vlastní žádosti.

Pokud je změna schválena, Intune požadovanou změnu zpracuje a aktualizuje objekt. Zatímco Intune zpracovává požadavek, může se jeho stav zobrazit jako Schváleno. Po úspěšném zpracování se stav aktualizuje na Dokončeno.

Každá změna stavu zůstane viditelná po dobu až 30 dnů po poslední změně stavu. Pokud se žádost do 30 dnů dále nezpracuje, změní se na Platnost vypršela a musí se znovu odeslat.

Vytvoření zásady přístupu

  1. Pokud chcete vytvořit zásadu přístupu, přejděte v Centru pro správu Microsoft Intune na Správa tenanta> Zásadypřístupupro více Správa správy> a vyberte Vytvořit.

  2. Na stránce Základy zadejte Název a volitelně Popis a jako Typ profilu vyberte z dostupných možností. Každá zásada podporuje jeden typ profilu.

  3. Na stránce Schvalovatelé vyberte Přidat skupiny a pak vyberte skupinu jako skupinu schvalovatelů pro tuto zásadu. Složitější konfigurace, které vylučují skupiny, se nepodporují.

  4. Na stránce Zkontrolovat a vytvořit zkontrolujte a uložte provedené změny. Jakmile Intune použije tuto zásadu, budou konfigurace chráněného profilu vyžadovat více schválení správcem.

Odeslání žádosti

Pokud chcete odeslat žádost, když je maa povolená, použijte normální proces k vytvoření nebo úpravě prostředku.

Na poslední stránce před uložením změn přidejte podrobnosti do pole Obchodní odůvodnění a pak odešlete žádost. V případě naléhavých žádostí zvažte kontaktování známého seznamu schvalovatelů, abyste měli jistotu, že se vaše žádost včas zobrazí.

Pokud existuje požadavek na stejný objekt, který už čeká na schválení, nebudete moct žádost odeslat. Intune zobrazí zprávu, která vás na tuto situaci upozorní.

Pokud chcete monitorovat stav svých žádostí, přejděte v Centru pro správu Microsoft Intune na Správa >tenantaMulti Správa Schválení>Moje žádosti.

Žádost můžete před schválením zrušit tak, že ji vyberete na stránce Moje žádosti a pak vyberete Zrušit žádost.

Schvalovat žádosti

  1. Pokud chcete najít žádosti o schválení, přejděte v Centru pro správu Microsoft Intune do části Správa> tenantaVíce Správa Přijatá správa>.

  2. Výběrem odkazu Obchodní odůvodnění žádosti otevřete stránku kontroly, kde se můžete dozvědět více o žádosti a spravovat schválení nebo zamítnutí.

  3. Po kontrole podrobností zadejte příslušné podrobnosti do pole Poznámky schvalovatele a pak vyberte Schválit žádost nebo Odmítnout žádost.

  4. Po schválení žádosti musí žadatel vybrat Dokončit. Intune změnu zpracuje a změní stav na Dokončeno. Ověřte úspěšné (nebo neúspěšné) schválení kontrolou oznámení konzoly po dokončení.

    Pokud chcete ověřit, jestli bylo schválení úspěšné (nebo neúspěšné), podívejte se na oznámení v Centru pro správu Intune. Zpráva se zobrazí, jestli bylo schválení úspěšné nebo neúspěšné.

Další důležité informace

  • Intune neodesílá oznámení o vytvoření nových požadavků nebo se změní stav existující žádosti. Doporučujeme, abyste při odesílání naléhavé žádosti o změnu oslovili jednotlivce, kteří mají oprávnění tyto žádosti schválit.

  • Naplánujte monitorování stavu vašich požadavků prostřednictvím stránky Moje požadavky uzlu Schválení s více Správa v Centru pro správu Microsoft Intune.

  • Pokud už čeká na schválení objektu, není možné pro něj odeslat novou žádost.

  • Všechny akce pro chráněný prostředek jsou chráněné, mimo jiné včetně následujících:

    • Úpravy
    • Vytvoření
    • Upravit
    • Vymazání
    • Přiřadit

  • Akce pro požadavky a proces schválení se protokolují v protokolech auditu Intune. Další informace najdete v tématu Protokoly auditu pro aktivity Intune.

  • Pro žádost jsou k dispozici následující stavové podmínky:

    • Vyžaduje schválení – Tato žádost čeká na akci schvalovatele.
    • Schváleno – tuto žádost zpracovává Intune.
    • Dokončeno – Tento požadavek se úspěšně použil.
    • Zamítnuto – tato žádost byla zamítnuta schvalovatelem.
    • Zrušeno – tato žádost byla zrušena správcem, který ji odeslal.

Další kroky

Správa řízení přístupu na základě role