Verwenden von Zugriffsrichtlinien zum Anfordern mehrerer administratorrechtlicher Genehmigungen
Verwenden Sie zum Schutz vor einem kompromittierten Administratorkonto Intune Zugriffsrichtlinien, um vorzuschreiben, dass ein zweites Administratorkonto verwendet wird, um eine Änderung zu genehmigen, bevor die Änderung angewendet wird. Diese Funktion wird als mehrfache administrative Genehmigung (MAA) bezeichnet.
Mit MAA konfigurieren Sie Zugriffsrichtlinien, die bestimmte Konfigurationen schützen, z. B. Apps oder Skripts für Geräte. Zugriffsrichtlinien geben an, was geschützt ist und welche Gruppe von Konten Änderungen an diesen Ressourcen genehmigen darf.
Wenn ein Konto im Mandanten verwendet wird, um eine Änderung an einer Ressource vorzunehmen, die durch eine Zugriffsrichtlinie geschützt ist, wendet Intune die Änderung erst an, wenn sie von einem anderen Konto explizit genehmigt wird. Nur Administratoren, die Mitglieder einer Genehmigungsgruppe sind, der eine geschützte Ressource in einer Zugriffsschutzrichtlinie zugewiesen ist, können Änderungen genehmigen. Genehmigende Personen können auch Änderungsanforderungen ablehnen.
Zugriffsrichtlinien werden für die folgenden Ressourcen unterstützt:
- Apps: Gilt für App-Bereitstellungen, gilt jedoch nicht für App-Schutzrichtlinien.
- Skripts: Gilt für die Bereitstellung von Skripts auf Geräten, auf denen Windows ausgeführt wird.
- Zugriffsrichtlinien: Gilt für das Erstellen oder Verwalten mehrerer Administratorgenehmigungsrichtlinien.
Voraussetzungen für Zugriffsrichtlinien und genehmigende Personen
Um die Genehmigung mehrerer Administratoren verwenden zu können, muss Ihr Mandant über mindestens zwei Administratorkonten verfügen. Ein Konto wird verwendet, um eine Änderung im Mandanten vorzunehmen, und das zweite Konto wird verwendet, um die Änderung zu genehmigen.
Um eine Zugriffsrichtlinie zu erstellen, muss Ihrem Konto die Rolle Intune-Dienstadministrator oder globaler Azure-Administrator zugewiesen sein oder die entsprechenden Multi-Admin-Genehmigungsberechtigungen für eine Intune Rolle zugewiesen sein. Administratoren, die die Zugriffsrichtlinien speziell für die Genehmigung mehrerer Administratoren verwalten, benötigen die Berechtigung Genehmigung für mehrstufige Admin Genehmigung.
Um eine genehmigende Person für Zugriffsrichtlinien zu sein, muss sich ein Konto in der Genehmigendengruppe befinden, die der Zugriffsrichtlinie für einen bestimmten Ressourcentyp zugewiesen ist.
Wenn Ihr organization nicht lizenzierte Administratoren für Intune Rollen zulässt, müssen alle genehmigenden Gruppen auch eine Mitgliedergruppe mit einer oder mehreren Intune Rollenzuweisungen sein. Es gibt keine spezifische Anforderung, zu welcher Rollenzuweisung die genehmigende Gruppe hinzugefügt werden muss. Wenn die genehmigende Gruppe keiner Rollenzuweisung hinzugefügt wird, führt dies dazu, dass genehmigende Gruppenmitglieder regelmäßig aus der Gruppe entfernt werden.
Funktionsweise von Genehmigungs- und Zugriffsrichtlinien für mehrere Administratoren
Wenn ein Administrator ein Objekt für einen Bereich bearbeitet oder erstellt, der durch eine Zugriffsrichtlinie geschützt ist, wird auf der Oberfläche Speichern + Überprüfen eine Option angezeigt, in der er eine Beschreibung der Änderung als geschäftliche Begründung eingeben kann.
- Die geschäftliche Begründung wird Teil der Genehmigungsanforderung für die Änderung.
- Ein Administrator, der eine Änderung übermittelt hat, kann die status seiner Anforderungen im Microsoft Intune Admin Center anzeigen, indem er zu Mandantenverwaltung>multi Admin Genehmigung wechselt und die Seite Meine Anforderung anzeigt.
Nachdem eine Änderung übermittelt wurde, navigiert eine genehmigende Person zur Seite Empfangene Anforderung des Knotens Multi Admin Genehmigung. Hier wird eine Liste der Anforderungen angezeigt, die aktiv oder kürzlich verwaltet wurden. Diese Ansicht enthält einige Details zur Anforderung, z. B. wann und wer sie übermittelt hat, den Typ des beteiligten Vorgangs wie Erstellen oder Zuweisen und deren status. So verwalten Sie die Anforderung:
- Die genehmigenden Personen wählen den Link Geschäftliche Begründung für die Anforderung aus. Mit dieser Aktion wird der Bereich Zugriffsrichtlinienanforderung geöffnet, in dem Sie weitere Informationen zur Änderung anzeigen können, einschließlich der vollständigen Details, die im Feld Geschäftliche Begründung der Anforderung angegeben sind.
- Im Bereich Zugriffsrichtlinienanforderung kann die genehmigende Person Notizen in das Feld Hinweise zur genehmigenden Person eingeben und dann die Option Anforderung genehmigen oder Anforderung ablehnen auswählen. Diese Hinweise werden der Anforderung hinzugefügt und sind für die Person sichtbar, die die Änderung angefordert hat, wenn sie ihre Anforderungen auf der Seite Meine Anforderung überprüft. Wenn die Anforderung beispielsweise abgelehnt wird, kann der Grund für die Ablehnung über die Genehmigenden Notizen an den Anforderer zurückgegeben werden.
- Personen, die eine Anforderung übermitteln und auch Mitglieder der Genehmigungsgruppe sind, für die ihre eigenen Anforderungen auf der Seite Empfangene Anforderung angezeigt werden. Sie können ihre eigenen Anforderungen jedoch nicht genehmigen.
Wenn eine Änderung genehmigt wird, verarbeitet Intune die angeforderte Änderung und aktualisiert das Objekt. Während Intune die Anforderung verarbeitet, kann der status als Genehmigt angezeigt werden. Nach der erfolgreichen Verarbeitung wird die status auf Abgeschlossen aktualisiert.
Jede Änderung der status bleibt bis zu 30 Tage nach der letzten Änderung der status sichtbar. Wenn eine Anforderung nicht innerhalb von 30 Tagen weiter verarbeitet wird, wird sie abgelaufen und muss erneut übermittelt werden.
Erstellen einer Zugriffsrichtlinie
Um eine Zugriffsrichtlinie zu erstellen, wechseln Sie im Microsoft Intune Admin Center zu Mandantenverwaltung>Multi AdminVerwaltungszugriffsrichtlinien>, und wählen Sie Erstellen aus.
Geben Sie auf der Seite Grundlagen einen Namen und eine optionale Beschreibung an, und wählen Sie für Profiltyp aus den verfügbaren Optionen aus. Jede Richtlinie unterstützt einen einzelnen Profiltyp.
Wählen Sie auf der Seite Genehmigende Personendie Option Gruppen hinzufügen und dann eine Gruppe als Gruppe genehmigende Personen für diese Richtlinie aus. Komplexere Konfigurationen, die Gruppen ausschließen, werden nicht unterstützt.
Überprüfen Und speichern Sie auf der Seite Überprüfen + erstellen Ihre Änderungen. Nachdem Intune diese Richtlinie angewendet hat, erfordern Konfigurationen für den geschützten Profiltyp mehrere Administratorgenehmigungen.
Senden einer Anforderung
Um eine Anforderung zu übermitteln, wenn MAA aktiviert ist, verwenden Sie Ihren normalen Prozess, um eine Ressource zu erstellen oder zu bearbeiten.
Fügen Sie auf der letzten Seite, bevor Sie Ihre Änderungen speichern können, dem Feld Geschäftliche Begründung Details hinzu, und übermitteln Sie dann die Anforderung. Bei dringenden Anforderungen sollten Sie sich an eine bekannte Liste von genehmigenden Personen wenden, um sicherzustellen, dass Ihre Anforderung rechtzeitig angezeigt wird.
Wenn eine Anforderung für dasselbe Objekt vorliegt, das bereits aussteht, können Sie Ihre Anforderung nicht übermitteln. Intune zeigt eine Meldung an, die Sie auf diese Situation aufmerksam machen soll.
Um die status Ihrer Anforderungen zu überwachen, wechseln Sie im Microsoft Intune Admin Center zu Mandantenverwaltung>Multi Admin Genehmigung>Meine Anforderungen.
Sie können eine Anforderung abbrechen, bevor sie genehmigt wird, indem Sie sie auf der Seite Meine Anforderungen auswählen und dann Anforderung abbrechen auswählen.
Genehmigen von Anforderungen
Um Genehmigungsanforderungen zu finden, wechseln Sie im Microsoft Intune Admin Center zu Mandantenverwaltung>Multi Admin Verwaltung>Empfangene Anforderungen.
Wählen Sie den Link Geschäftliche Begründung für eine Anforderung aus, um die Überprüfungsseite zu öffnen, auf der Sie mehr über die Anforderung erfahren und die Genehmigung oder Ablehnung verwalten können.
Nachdem Sie die Details überprüft haben, geben Sie relevante Details in das Feld Hinweise für genehmigende Personen ein, und wählen Sie dann Anforderung genehmigen oder Anforderung ablehnen aus.
Nachdem Sie eine Anforderung genehmigt haben, muss der Anforderer Abschließen auswählen. Intune verarbeitet die Änderung und ändert die status in Abgeschlossen. Überprüfen Sie, ob die Genehmigung erfolgreich war (oder fehlgeschlagen ist), indem Sie die Konsolenbenachrichtigung nach Abschluss überprüfen.
Um zu überprüfen, ob die Genehmigung erfolgreich war (oder fehlgeschlagen ist), sehen Sie sich die Benachrichtigungen im Intune Admin Center an. Eine Meldung zeigt an, ob die Genehmigung erfolgreich war oder fehlgeschlagen ist.
Weitere Überlegungen
Intune sendet keine Benachrichtigungen, wenn neue Anforderungen erstellt werden oder sich die status einer vorhandenen Anforderung ändert. Es wird empfohlen, sich beim Übermitteln einer dringenden Änderungsanforderung an Personen zu wenden, die über die Berechtigung zum Genehmigen dieser Anforderungen verfügen.
Planen Sie die Überwachung der status Ihrer Anforderungen über die Seite Meine Anforderungen des Knotens Multi Admin Approval im Microsoft Intune Admin Center.
Wenn bereits eine Genehmigung für ein Objekt aussteht, kann dafür keine neue Anforderung übermittelt werden.
Alle Aktionen für eine geschützte Ressource sind geschützt, einschließlich, aber nicht beschränkt auf:
- Bearbeiten
- Erstellen
- Ändern
- Löschen
- Zuweisen
Aktionen für Anforderungen und der Genehmigungsprozess werden in den Intune Überwachungsprotokollen protokolliert. Weitere Informationen finden Sie unter Überwachungsprotokolle für Intune Aktivitäten.
Die folgenden status Bedingungen sind für eine Anforderung verfügbar:
- Genehmigung erforderlich: Diese Anforderung steht von einer genehmigenden Person aus.
- Genehmigt: Diese Anforderung wird von Intune verarbeitet.
- Abgeschlossen: Diese Anforderung wurde erfolgreich angewendet.
- Abgelehnt: Diese Anforderung wurde von einer genehmigenden Person abgelehnt.
- Abgebrochen: Diese Anforderung wurde vom Administrator abgebrochen, der sie übermittelt hat.
Nächste Schritte
Verwalten der rollenbasierten Zugriffssteuerung