使用访问策略需要多个管理审批

为了帮助防止管理帐户遭到入侵,请使用 Intune 访问策略 要求在应用更改之前使用第二个管理帐户来批准更改。 此功能称为多个管理审批 (MAA) 。

使用 MAA,可以配置保护特定配置(例如设备的应用或脚本)的访问策略。 访问策略指定受保护的帐户以及允许哪些帐户组批准对这些资源的更改。

当租户中的任何帐户用于对受访问策略保护的资源进行更改时,Intune 不会应用更改,直到其他帐户显式批准该更改。 只有属于在访问保护策略中分配了受保护资源的审批组成员的管理员才能批准更改。 审批者还可以拒绝更改请求。

以下资源支持访问策略:

  • 应用 - 适用于 应用部署,但不适用于应用保护策略。
  • 脚本 - 适用于将脚本部署到运行 Windows 的设备。
  • 访问策略 - 适用于创建或管理多个管理审批策略。

访问策略和审批者的先决条件

若要使用多重管理审批,租户必须至少有两个管理员帐户。 一个帐户将用于在租户中执行更改,第二个帐户将用于批准更改。

若要创建访问策略,必须为帐户分配 Intune 服务管理员Azure 全局管理员 角色,或为帐户分配 Intune 角色的相应多管理员审批权限。 专门管理多管理员审批的访问策略的管理员需要“ 多管理员审批” 权限。

要成为访问策略的审批者,帐户必须位于分配给特定类型资源的访问策略的审批者组中。

如果组织允许对 Intune 角色使用未经许可的管理员,则所有审批者组也必须是一个或多个 Intune 角色分配的成员组。

多管理员审批和访问策略的工作原理

当管理员为 受访问策略保护的区域编辑或创建新对象时,他们将在 “保存 + 审阅 ”图面上看到一个选项,可在其中输入更改说明作为 业务理由

  • 业务理由成为更改审批请求的一部分。
  • 提交更改的管理员可以转到租户管理>多管理员审批并查看“我的请求”页,在 Microsoft Intune 管理中心查看其请求的状态。

提交更改后审批者将导航到“多管理员审批”节点的“已收到请求”页。 在这里,他们将看到活动或最近管理的请求列表。 此视图提供有关请求的一些详细信息,包括提交请求时间和提交者、所涉及的操作类型(如 “创建 ”或 “分配”)及其状态。 管理请求:

  • 审批者为请求选择 “业务理由 ”链接。 此操作将打开“访问策略请求”窗格,你可以在其中查看有关更改的详细信息,包括请求的“业务理由”字段中提供的完整详细信息。
  • 在“访问策略请求”窗格中,审批者可以在 “审批者备注 ”字段中输入备注,然后选择“ 批准请求” 或“ 拒绝请求”选项。 这些备注将添加到请求中,并且对于请求更改的人员在 “我的请求 ”页面上查看其请求时可见。 例如,如果请求被拒绝,则可以通过审批者说明将拒绝原因传回请求者。
  • 提交请求并且也是其审批组成员的个人可以在“已收到请求”页上查看自己的请求。 但是,他们无法批准自己的请求。

如果已批准更改,Intune 将处理请求的更改并更新对象。 Intune 处理请求时,其状态可显示为 “已批准”。 成功处理后,状态将更新为 “已完成”。

每次状态更改在上次状态更改 后最多 30 天内保持可见。 如果请求未在 30 天内得到进一步处理,则该请求将 变为“已过期”,必须重新提交。

创建访问策略

  1. 若要创建访问策略,请在 Microsoft Intune 管理中心,转到 “租户管理>多管理员管理>访问策略 ”,然后选择“ 创建”。

  2. “基本信息 ”页上,提供 “名称”和可选 “说明”,对于 “配置文件类型 ”,请从可用选项中进行选择。 每个策略都支持单个配置文件类型。

  3. “审批者”页上,选择“ 添加组 ”,然后选择一个组作为此策略的审批者组。 不支持排除组的更复杂的配置。

  4. 在“ 审阅 + 创建 ”页上,查看并保存所做的更改。 Intune 应用此策略后,受保护配置文件类型的配置将需要多个管理员批准。

提交请求

若要在启用 MAA 时提交请求,请使用正常过程创建或编辑资源。

在保存更改之前的最后一页上,将详细信息添加到 “业务理由 ”字段,然后提交请求。 对于紧急请求,请考虑联系已知的审批者列表,以确保及时查看你的请求。

如果对已等待审批的同一对象提出请求,则无法提交请求。 Intune 会显示一条消息,提醒你注意这种情况。

若要监视请求的状态,请在 Intune 管理中心Microsoft 转到 “租户管理>多管理员审批>我的请求”。

可以在请求获得批准之前取消请求,方法是从“我的请求”页中选择该请求,然后选择“ 取消请求”。

批准请求

  1. 若要查找要批准的请求,请在 Intune 管理中心Microsoft 转到 租户管理>多管理员管理>收到的请求

  2. 选择请求 的“业务理由 ”链接以打开评审页面,你可以在其中了解有关请求的详细信息,并管理批准或拒绝。

  3. 查看详细信息后,在“审批者备注”字段中输入相关详细信息,然后选择“ 批准请求 ”或“ 拒绝请求”。

  4. 批准请求后,请求者需要选择“ 完成”。 Intune 将处理更改,并将状态更改为 “已完成”。 在完成时查看控制台通知,验证审批成功 (或) 失败。

    若要验证审批是成功 (还是) 失败,请查看 Intune 管理中心中的通知。 会显示一条消息,显示审批是成功还是失败。

更多注意事项

  • 创建新请求或现有请求的状态发生更改时,Intune 不会发送通知。 建议在提交紧急更改请求时,请与有权批准这些请求的人员联系。

  • 计划通过 Intune 管理中心“多管理员审批”节点的“我的请求”页监视 Microsoft请求的状态。

  • 如果某个对象的审批已挂起,则无法为其提交新请求。

  • 受保护资源的所有操作都受到保护,包括但不限于:

    • 编辑
    • 创建
    • 修改
    • 删除
    • Assign
  • 请求的操作和审批过程记录在 Intune 审核日志中。 有关详细信息,请参阅 Intune 活动的审核日志

  • 以下状态条件可用于请求:

    • 需要审批 - 此请求正在等待审批者执行操作。
    • 已批准 - Intune 正在处理此请求。
    • 已完成 – 此请求已成功应用。
    • 已拒绝 - 审批者拒绝了此请求。
    • 已取消 – 此请求已由提交该请求的管理员取消。

后续步骤

管理 基于角色的访问控制