アクセス ポリシーを使用して複数の管理承認を要求する
侵害された管理アカウントから保護するには、Intune アクセス ポリシー を使用して、変更が適用される前に 2 つ目の管理アカウントを使用して変更を承認するように要求します。 この機能は、複数の管理承認 (MAA) と呼ばれます。
MAA では、デバイスのアプリやスクリプトなど、特定の構成を保護するアクセス ポリシーを構成します。 アクセス ポリシーでは、保護対象と、それらのリソースに対する変更の承認を許可するアカウントのグループを指定します。
テナント内のアカウントがアクセス ポリシーによって保護されているリソースに変更を加えるために使用される場合、Intune は、別のアカウントが明示的に承認するまで変更を適用しません。 アクセス保護ポリシーで保護されたリソースが割り当てられている承認グループのメンバーである管理者のみが、変更を承認できます。 承認者は、変更要求を拒否することもできます。
アクセス ポリシーは、次のリソースでサポートされています。
- アプリ – アプリの デプロイには適用されますが、アプリ保護ポリシーには適用されません。
- スクリプト – Windows を実行するデバイスへのスクリプトの展開に適用されます。
- アクセス ポリシー - 複数の管理承認ポリシーの作成または管理に適用されます。
アクセス ポリシーと承認者の前提条件
複数の管理承認を使用するには、テナントに少なくとも 2 つの管理者アカウントが必要です。 1 つのアカウントがテナントで変更を実行するために使用され、2 番目のアカウントが使用され、変更が承認されます。
アクセス ポリシーを作成するには、アカウントに Intune サービス管理者 または Azure 全体管理者 ロールが割り当てられているか、Intune ロールに適切な複数管理者承認アクセス許可が割り当てられている必要があります。 複数管理者の承認専用のアクセス ポリシーを管理する管理者には、複数管理者承認 の承認 アクセス許可が必要です。
アクセス ポリシーの承認者になるには、特定の種類のリソースのアクセス ポリシーに割り当てられている承認者グループにアカウントが存在する必要があります。
組織で Intune ロールのライセンスのない管理者を許可する場合、すべての承認者グループも、1 つ以上の Intune ロール割り当てのメンバー グループである必要があります。
複数管理者の承認とアクセス ポリシーのしくみ
管理者が アクセス ポリシーによって保護されている領域の新しいオブジェクトを編集または作成すると、[ 保存とレビュー ] 画面にオプションが表示され、変更の説明を ビジネス上の正当な理由として入力できます。
- ビジネス上の 正当な理由 は、変更の承認要求の一部になります。
- 変更を送信した管理者は、[テナント管理]、[マルチ管理者の承認] の順に移動し、[マイ リクエスト] ページを表示することで>、Microsoft Intune 管理センターで要求の状態を表示できます。
変更が送信されると、承認者は[複数管理者の承認] ノードの [受信した要求] ページに移動します。 ここでは、アクティブな要求または最近管理された要求の一覧が表示されます。 このビューには、要求の送信日時とユーザー、 作成 や 割り当てなどの操作の種類、その状態など、要求に関するいくつかの詳細が表示されます。 要求を管理するには:
- 承認者は、要求の [ビジネスの正当な理由 ] リンクを選択します。 このアクションにより、[アクセス ポリシー要求] ウィンドウが開き、要求の [ビジネス上の正当な理由] フィールドに表示される詳細など、変更に関する詳細情報を表示できます。
- [アクセス ポリシー要求] ウィンドウで、承認者は [ 承認者のメモ ] フィールドにメモを入力し、[要求の 承認] または [ 要求の拒否] オプションを選択できます。 これらのメモは要求に追加され、[ 個人用 要求] ページで要求を確認したときに変更を要求した個人に表示されます。 たとえば、要求が拒否された場合、拒否の理由は、承認者のメモを通じて要求者に返すことができます。
- 要求を送信し、承認グループのメンバーでもある個人は、[受信した要求] ページで自分の要求を確認できます。 ただし、独自の要求を承認することはできません。
変更が承認された場合、Intune は要求された変更を処理し、オブジェクトを更新します。 Intune が要求を処理している間、その状態は [承認済み] として表示されます。 正常に処理されると、状態が [完了] に更新されます。
ステータスの各変更は、ステータスの 最後の変更から最大 30 日間表示されます。 要求が 30 日以内に処理されない場合は、 期限切れになり、再送信する必要があります。
アクセス ポリシーを作成する
アクセス ポリシーを作成するには、Microsoft Intune 管理センターで、[テナント管理]、[マルチ管理者の管理>>アクセス ポリシー] の順に移動し、[作成] を選択します。
[ 基本 ] ページで、[ 名前] とオプションの [説明] を指定し、[ プロファイルの種類 ] で使用可能なオプションから選択します。 各ポリシーでは、1 つのプロファイルの種類がサポートされます。
[ 承認者] ページで、[ グループの追加 ] を選択し、このポリシーの承認者のグループとしてグループを選択します。 グループを除外するより複雑な構成はサポートされていません。
[ 確認と作成 ] ページで、変更を確認して保存します。 Intune がこのポリシーを適用した後、保護されたプロファイルの種類の構成には、複数の管理者承認が必要になります。
要求を送信する
MAA が有効になっているときに要求を送信するには、通常のプロセスを使用してリソースを作成または編集します。
変更を保存する前の最後のページで、[ ビジネスの理由 ] フィールドに詳細を追加し、要求を送信します。 緊急の要求については、承認者の既知のリストに連絡して、要求がタイムリーに表示されるようにすることを検討してください。
既に承認が保留中の同じオブジェクトに対する要求がある場合、要求を送信することはできません。 Intune では、この状況を警告するメッセージが表示されます。
要求の状態を監視するには、 Microsoft Intune 管理センター の [テナント管理>Multi 管理者の承認>My 要求] に移動します。
[マイ リクエスト] ページから要求を選択し、[要求の取り消し] を選択することで、承認される前に 要求を取り消すことができます。
要求を承認する
承認する要求を見つけるには、 Microsoft Intune 管理センター で [テナント管理>Multi Admin Administration>Received 要求] に移動します。
要求の [ ビジネス上の正当な理由 ] リンクを選択してレビュー ページを開き、要求の詳細を確認し、承認または拒否を管理します。
詳細を確認したら、[承認者のメモ] フィールドに関連する詳細を入力し、[ 要求の承認] または [ 要求の拒否] を選択します。
要求を承認した後、要求者は [完了] を選択する必要があります。 Intune によって変更が処理され、状態が [完了] に変更されます。 完了時にコンソール通知を確認して、承認が成功 (または失敗) したことを確認します。
承認が成功した (または失敗した) かどうかを確認するには、Intune 管理センターの通知を確認します。 承認が成功したか失敗したかを示すメッセージ。
その他の考慮事項
Intune は、新しい要求が作成されたとき、または既存の要求の状態が変更されたときに通知を送信しません。 緊急の変更要求を送信するときは、それらの要求を承認するアクセス許可を持つ個人に連絡することをお勧めします。
Microsoft Intune 管理センターの [複数管理者の承認] ノードの [個人用要求] ページを使用して、要求の状態を監視することを計画します。
オブジェクトの承認が既に保留中の場合は、新しい要求を送信できません。
保護されたリソースに対するすべてのアクションは、以下を含むがこれらに限定されず、保護されます。
- 編集
- 作成
- 変更
- 削除
- Assign
要求と承認プロセスのアクションは、Intune 監査ログに記録されます。 詳細については、「 Intune アクティビティの監査ログ」を参照してください。
要求では、次の状態条件を使用できます。
- 承認が必要 – この要求は承認者による保留中のアクションです。
- 承認済み – この要求は Intune によって処理されています。
- 完了 – この要求は正常に適用されました。
- 拒否 – この要求は承認者によって拒否されました。
- キャンセル済み – この要求は、送信した管理者によって取り消されました。