Compartilhar via

Utilizar políticas de Acesso para exigir várias aprovações administrativas

  • Artigo

Para ajudar a proteger contra uma conta administrativa comprometida, utilize Intune políticas de acesso para exigir que uma segunda conta administrativa seja utilizada para aprovar uma alteração antes de a alteração ser aplicada. Esta capacidade é conhecida como aprovação administrativa múltipla (MAA).

Com o MAA, pode configurar políticas de acesso que protegem configurações específicas, como Aplicações ou Scripts para dispositivos. As políticas de acesso especificam o que está protegido e que grupo de contas tem permissão para aprovar alterações a esses recursos.

Quando qualquer conta no Inquilino é utilizada para fazer uma alteração a um recurso protegido por uma política de acesso, Intune não aplicará a alteração até que uma conta diferente a aprove explicitamente. Apenas os administradores que sejam membros de um grupo de aprovação que tenha atribuído um recurso protegido numa política de proteção de acesso podem aprovar alterações. Os aprovadores também podem rejeitar pedidos de alteração.

As políticas de acesso são suportadas para os seguintes recursos:

  • Aplicações – aplica-se a implementações de aplicações, mas não se aplica a políticas de proteção de aplicações.
  • Scripts – aplica-se à implementação de scripts em dispositivos com o Windows.
  • Políticas de Acesso – aplica-se à criação ou gestão de várias políticas de aprovação administrativa.

Pré-requisitos para políticas de acesso e aprovadores

Para utilizar a aprovação multi administrativa, o inquilino tem de ter, pelo menos, duas contas de administrador. Será utilizada uma conta para efetuar uma alteração no inquilino. A segunda conta será utilizada para aprovar a alteração.

Para criar uma política de acesso, tem de ser atribuída à sua conta a função de Administrador de Serviços Intune ou Administrador Global do Azure ou ser-lhe atribuídas as permissões de Aprovação Multi Administração adequadas para uma função de Intune. Os administradores que gerem as políticas de acesso especificamente para a aprovação de vários administradores necessitam da permissão Aprovação para Aprovação multi Administração.

Para ser um aprovador para políticas de acesso, uma conta tem de estar no grupo de aprovadores atribuído à política de acesso para um tipo específico de recurso.

Todos os grupos de aprovadores também têm de ser um grupo membro de uma ou mais atribuições de funções Intune. Não existe um requisito específico para a atribuição de função à qual o grupo de aprovadores tem de ser adicionado. Se o grupo de aprovadores não for adicionado a uma atribuição de função, isto resultará na remoção periódica dos membros do grupo do aprovador.

Como funcionam as políticas de acesso e aprovação de vários administradores

Quando um administrador edita ou cria um novo objeto para uma área protegida por uma política de acesso, vê uma opção na superfície Guardar + Rever , onde pode introduzir uma descrição da alteração como justificação comercial.

  • A justificação comercial torna-se parte do pedido de aprovação para a alteração.
  • Um administrador que submeteu uma alteração pode ver o status dos pedidos no centro de administração do Microsoft Intune ao aceder à Administração> de inquilinosAprovação multi Administração e visualizar a página O meu pedido.

Depois de uma alteração ser submetida, um aprovador navega para a página Pedido recebido do nó Aprovação multi Administração. Aqui, verá uma lista de pedidos que estão ativos ou geridos recentemente. Esta vista fornece alguns detalhes sobre o pedido, incluindo quando e quem o submeteu, o tipo de operação envolvida, como Criar ou Atribuir, e o respetivo status. Para gerir o pedido:

  • O aprovador seleciona a ligação Justificação comercial para o pedido. Esta ação abre o painel Pedido de política de acesso onde pode ver mais informações sobre a alteração, incluindo os detalhes completos fornecidos no campo Justificação comercial do pedido.
  • No painel Pedido de política de acesso, o aprovador pode introduzir notas no campo Notas do Aprovador e, em seguida, selecionar uma opção para Aprovar pedido ou Rejeitar pedido. Estas notas são adicionadas ao pedido e são visíveis para o indivíduo que pediu a alteração quando revê os pedidos na página O meu pedido . Por exemplo, se o pedido for rejeitado, o motivo da rejeição pode ser repercutido no requerente através das notas do Aprovador.
  • Os indivíduos que submetem um pedido e também são membros do grupo de aprovação para os quais podem ver os seus próprios pedidos na página Pedido recebido. No entanto, não podem aprovar os seus próprios pedidos.

Se uma alteração for aprovada, Intune processa a alteração pedida e atualiza o objeto. Enquanto Intune processa o pedido, o respetivo status pode ser apresentado como Aprovado. Depois de ser processada com êxito, o status atualizações para Concluído.

Cada alteração de status permanece visível até 30 dias após a última alteração de status. Se um pedido não for processado mais dentro de 30 dias, este será Expirado e terá de ser novamente submetido.

Criar uma política de acesso

  1. Para criar uma política de acesso, no centro de administração do Microsoft Intune, aceda a Administraçãodeinquilinos Políticas de Acesso deAdministração>> Multi Administração e selecione Criar.

  2. Na página Noções básicas , forneça um Nome e uma Descrição opcional e, para Tipo de perfil , selecione uma das opções disponíveis. Cada política suporta um único tipo de perfil.

  3. Na página Aprovadores, selecione Adicionar grupos e, em seguida, selecione um grupo como o grupo de aprovadores para esta política. As configurações mais complexas que excluem grupos não são suportadas.

  4. Na página Rever + Criar , reveja e, em seguida, guarde as alterações. Depois de Intune aplicar esta política, as configurações para o tipo de perfil protegido exigirão várias aprovações de administrador.

Submeter um pedido

Para submeter um pedido quando o MAA está ativado, utilize o processo normal para criar ou editar um recurso.

Na página final antes de poder guardar as alterações, adicione detalhes ao campo Justificação comercial e, em seguida, submeta o pedido. Para pedidos urgentes, considere contactar uma lista conhecida de aprovadores para garantir que o seu pedido é visto atempadamente.

Quando existe um pedido para o mesmo objeto que já está pendente de aprovação, não poderá submeter o pedido. Intune apresenta uma mensagem para alertá-lo para esta situação.

Para monitorizar a status dos seus pedidos, no centro de administração do Microsoft Intune, aceda a Administração de inquilinos Aprovação>>Multi AdministraçãoOs meus pedidos.

Pode cancelar um pedido antes de ser aprovado ao selecioná-lo na página Os meus pedidos e, em seguida, selecionar Cancelar pedido.

Aprovar pedidos

  1. Para localizar pedidos de aprovação, no centro de administração do Microsoft Intune, aceda a Administraçãodeinquilinos Pedidos recebidos daAdministração>> Multi Administração.

  2. Selecione a ligação Justificação comercial para um pedido para abrir a página de revisão, onde pode saber mais sobre o pedido e gerir a aprovação ou rejeição.

  3. Depois de rever os detalhes, introduza os detalhes relevantes no campo Notas do Aprovador e, em seguida, selecione Aprovar pedido ou Rejeitar pedido.

  4. Depois de aprovar um pedido, o requerente tem de selecionar Concluído. Intune processará a alteração e alterará o status para Concluído. Verifique se a aprovação foi bem-sucedida (ou falhou) ao rever a notificação da consola após a conclusão.

    Para verificar se a aprovação foi bem-sucedida (ou falhou), veja as notificações no centro de administração do Intune. Uma mensagem mostra se a aprovação foi concluída com êxito ou falhou.

Mais considerações

  • Intune não envia notificações quando são criados novos pedidos ou o status de um pedido existente é alterado. Recomendamos que, ao submeter um pedido de alteração urgente, contacte as pessoas que têm permissão para aprovar esses pedidos.

  • Planeie monitorizar a status dos seus pedidos através da página Os meus pedidos do nó Aprovação Multi Administração no centro de administração do Microsoft Intune.

  • Quando uma aprovação já está pendente para um objeto, não é possível submeter um novo pedido para o mesmo.

  • Todas as ações de um recurso protegido estão protegidas, incluindo, entre outros:

    • Editar
    • Criar
    • Modificar
    • Excluir
    • Atribuir

  • As ações para pedidos e o processo de aprovação são registadas nos registos de auditoria Intune. Para obter mais informações, veja Registos de auditoria para atividades de Intune.

  • As seguintes condições de status estão disponíveis para um pedido:

    • Precisa de aprovação – este pedido está pendente de uma ação por parte de um aprovador.
    • Aprovado – este pedido está a ser processado por Intune.
    • Concluído – este pedido foi aplicado com êxito.
    • Rejeitado – este pedido foi rejeitado por um aprovador.
    • Cancelado – este pedido foi cancelado pelo administrador que o submeteu.

Próximas etapas

Gerir o controlo de acesso baseado em funções