Usare i criteri di accesso per richiedere più approvazioni amministrative
Per proteggere da un account amministrativo compromesso, usare i criteri di accesso di Intune per richiedere l'uso di un secondo account amministrativo per approvare una modifica prima dell'applicazione della modifica. Questa funzionalità è nota come approvazione amministrativa multipla (MAA).
Con MAA si configurano criteri di accesso che proteggono configurazioni specifiche, ad esempio app o script per i dispositivi. I criteri di accesso specificano cosa è protetto e quale gruppo di account può approvare le modifiche a tali risorse.
Quando si usa un account nel tenant per apportare una modifica a una risorsa protetta da criteri di accesso, Intune non applica la modifica fino a quando un account diverso non la approva in modo esplicito. Solo gli amministratori membri di un gruppo di approvazione a cui è assegnata una risorsa protetta in un criterio di protezione dell'accesso possono approvare le modifiche. I responsabili approvazione possono anche rifiutare le richieste di modifica.
I criteri di accesso sono supportati per le risorse seguenti:
- App: si applica alle distribuzioni di app, ma non ai criteri di protezione delle app.
- Script: si applica alla distribuzione di script ai dispositivi che eseguono Windows.
- Criteri di accesso: si applica alla creazione o alla gestione di più criteri di approvazione amministrativa.
Prerequisiti per i criteri di accesso e i responsabili approvazione
Per usare l'approvazione multiamministrativa, il tenant deve avere almeno due account amministratore. Un account verrà usato per eseguire una modifica nel tenant, il secondo account verrà usato per approvare la modifica.
Per creare un criterio di accesso, all'account deve essere assegnato il ruolo Amministratore del servizio Intune o Amministratore globale di Azure oppure devono essere assegnate le autorizzazioni di approvazione multiamministratore appropriate per un ruolo di Intune. Gli amministratori che gestiscono i criteri di accesso in modo specifico per l'approvazione multiamministratore richiedono l'autorizzazione Approvazione per l'approvazione multiamministratore .
Per essere un responsabile approvazione per i criteri di accesso, un account deve trovarsi nel gruppo responsabile approvazione assegnato ai criteri di accesso per un tipo specifico di risorsa.
Se l'organizzazione consente agli amministratori senza licenza per i ruoli di Intune, tutti i gruppi di responsabili approvazione devono essere anche un gruppo di membri di una o più assegnazioni di ruolo di Intune.
Funzionamento dell'approvazione multiamministratore e dei criteri di accesso
Quando un amministratore modifica o crea un nuovo oggetto per un'area protetta da criteri di accesso, visualizza un'opzione nell'area Salva e rivedi in cui può immettere una descrizione della modifica come giustificazione aziendale.
- La giustificazione aziendale diventa parte della richiesta di approvazione per la modifica.
- Un amministratore che ha inviato una modifica può visualizzare lo stato delle richieste nell'interfaccia di amministrazione di Microsoft Intune passando all'approvazione>multiamministratore amministrazione tenant e visualizzando la pagina Richiesta personale .
Dopo l'invio di una modifica, un responsabile approvazione passa alla pagina Richiesta ricevuta del nodo Approvazione multiamministratore . Qui verrà visualizzato un elenco di richieste attive o gestite di recente. Questa visualizzazione fornisce alcuni dettagli sulla richiesta, tra cui quando e chi l'ha inviata, il tipo di operazione coinvolta, ad esempio Crea o Assegna, e il relativo stato. Per gestire la richiesta:
- Il responsabile approvazione seleziona il collegamento Giustificazione aziendale per la richiesta. Questa azione apre il riquadro Richiesta criteri di accesso in cui è possibile visualizzare altre informazioni sulla modifica, inclusi i dettagli completi forniti nel campo Giustificazione aziendale della richiesta.
- Nel riquadro Richiesta criteri di accesso il responsabile approvazione può immettere note nel campo Note del responsabile approvazione e quindi selezionare un'opzione Per approvare la richiesta o rifiutare la richiesta. Queste note vengono aggiunte alla richiesta e sono visibili all'utente che ha richiesto la modifica quando esamina le richieste nella pagina Richiesta personale . Ad esempio, se la richiesta viene rifiutata, il motivo del rifiuto può essere passato di nuovo al richiedente tramite le note del responsabile approvazione.
- Gli utenti che inviano una richiesta e sono anche membri del gruppo di approvazione per i quali possono visualizzare le proprie richieste nella pagina Richiesta ricevuta. Tuttavia, non possono approvare le proprie richieste.
Se una modifica viene approvata, Intune elabora la modifica richiesta e aggiorna l'oggetto. Mentre Intune elabora la richiesta, il relativo stato può essere visualizzato come Approvato. Dopo l'elaborazione, lo stato viene aggiornato in Completato.
Ogni modifica dello stato rimane visibile fino a 30 giorni dopo l'ultima modifica dello stato. Se una richiesta non viene elaborata ulteriormente entro 30 giorni, diventa Scaduta e deve essere inviata di nuovo.
Creare una verifica di accesso
Per creare un criterio di accesso, nell'interfaccia di amministrazione di Microsoft Intune passare a Amministrazione> tenant Criteri diaccessoamministrazione> multiamministratore e selezionare Crea.
Nella pagina Informazioni di base specificare un nome e una descrizione facoltativa e per Tipo di profilo selezionare tra le opzioni disponibili. Ogni criterio supporta un singolo tipo di profilo.
Nella pagina Responsabili approvazione selezionare Aggiungi gruppi e quindi selezionare un gruppo come gruppo di responsabili approvazione per questo criterio. Le configurazioni più complesse che escludono i gruppi non sono supportate.
Nella pagina Rivedi e crea esaminare e quindi salvare le modifiche. Dopo che Intune ha applicato questo criterio, le configurazioni per il tipo di profilo protetto richiederanno più approvazioni di amministratore.
Inviare una richiesta
Per inviare una richiesta quando MAA è abilitato, usare il processo normale per creare o modificare una risorsa.
Nella pagina finale prima di poter salvare le modifiche, aggiungere i dettagli al campo Giustificazione aziendale e quindi inviare la richiesta. Per le richieste urgenti, è consigliabile raggiungere un elenco noto di responsabili approvazione per assicurarsi che la richiesta venga visualizzata in modo tempestivo.
Quando è presente una richiesta per lo stesso oggetto che è già in attesa di approvazione, non sarà possibile inviare la richiesta. Intune visualizza un messaggio per avvisare l'utente di questa situazione.
Per monitorare lo stato delle richieste, nell'interfaccia di amministrazione di Microsoft Intune passare a Amministrazione> tenantApprovazione multiamministratore>Richieste personali.
È possibile annullare una richiesta prima dell'approvazione selezionandola dalla pagina Richieste personali e quindi selezionando Annulla richiesta.
Approvare le richieste
Per trovare le richieste da approvare, nell'interfaccia di amministrazione di Microsoft Intune passare a Amministrazione> tenantAmministrazione> multiamministratoreRichieste ricevute.
Selezionare il collegamento Giustificazione aziendale per una richiesta per aprire la pagina di revisione in cui è possibile ottenere altre informazioni sulla richiesta e gestire l'approvazione o il rifiuto.
Dopo aver esaminato i dettagli, immettere i dettagli pertinenti nel campo Note responsabile approvazione e quindi selezionare Approva richiesta o Rifiuta richiesta.
Dopo aver approvato una richiesta, il richiedente deve selezionare Completa. Intune e processerà la modifica e lo stato verrà modificato in Completato. Verificare che l'approvazione sia riuscita (o non riuscita) esaminando la notifica della console al completamento.
Per verificare se l'approvazione è riuscita (o non è riuscita), esaminare le notifiche nell'interfaccia di amministrazione di Intune. Un messaggio indica se l'approvazione ha avuto esito positivo o negativo.
Altre considerazioni
Intune non invia notifiche quando vengono create nuove richieste o lo stato di una richiesta esistente cambia. Quando si invia una richiesta di modifica urgente, è consigliabile contattare gli utenti autorizzati ad approvare tali richieste.
Pianificare il monitoraggio dello stato delle richieste tramite la pagina Richieste personali del nodo Approvazione multiamministratore nell'interfaccia di amministrazione di Microsoft Intune.
Quando un'approvazione è già in sospeso per un oggetto, non è possibile inviare una nuova richiesta.
Tutte le azioni per una risorsa protetta sono protette, tra cui:
- Modifica
- Creare
- Modifica
- Elimina
- Assegna
Le azioni per le richieste e il processo di approvazione vengono registrate nei log di controllo di Intune. Per altre informazioni, vedere Log di controllo per le attività di Intune.
Per una richiesta sono disponibili le condizioni di stato seguenti:
- Richiede l'approvazione: questa richiesta è in sospeso da parte di un responsabile approvazione.
- Approvata: questa richiesta viene elaborata da Intune.
- Completato: la richiesta è stata applicata correttamente.
- Rifiutata: questa richiesta è stata rifiutata da un responsabile approvazione.
- Annullato: questa richiesta è stata annullata dall'amministratore che l'ha inviata.
Passaggi successivi
Gestire il controllo degli accessi in base al ruolo