Compartir a través de

Uso de directivas de acceso para requerir la aprobación de varios Administración

Para ayudar a protegerse frente a una cuenta administrativa en peligro, use Intune directivas de acceso para requerir que se use una segunda cuenta administrativa para aprobar un cambio antes de que se aplique el cambio. Esta funcionalidad se conoce como Aprobación de varios Administración.

Con la aprobación de varios Administración, se configuran directivas de acceso que protegen configuraciones específicas, como aplicaciones o scripts para dispositivos. Las directivas de acceso especifican qué está protegido y qué grupo de cuentas pueden aprobar los cambios en esos recursos.

Cuando se usa cualquier cuenta del inquilino para realizar un cambio en un recurso protegido por una directiva de acceso, Intune no aplica el cambio hasta que una cuenta diferente lo apruebe explícitamente. Solo los administradores que son miembros de un grupo de aprobación al que se asigna un recurso protegido en una directiva de protección de acceso pueden aprobar los cambios. Los aprobadores también pueden rechazar las solicitudes de cambio.

Las directivas de acceso son compatibles con los siguientes recursos:

  • Aplicaciones: se aplica a las implementaciones de aplicaciones, pero no a las directivas de protección de aplicaciones.
  • Directivas de cumplimiento: se aplica a la creación y administración de directivas de cumplimiento.
  • Directivas de configuración: se aplica a la creación y administración de directivas a través del catálogo de configuración.
  • Acciones del dispositivo: se aplica a las acciones de borrado, retirada y eliminación del dispositivo.
  • Control de acceso basado en roles: se aplica a los cambios en los roles, incluidas las modificaciones en los permisos de rol, los grupos de administración o las asignaciones de grupos miembros.
  • Scripts: se aplica a la implementación de scripts en dispositivos que ejecutan Windows.
  • Directivas de acceso: se aplica a la creación o administración de varias directivas de aprobación administrativa.
  • Configuración del inquilino: se aplica a la administración de categorías de dispositivos, incluida la creación, edición o eliminación de ellas.

Requisitos previos para directivas de acceso y aprobadores

Para usar la aprobación multiadministrador, el inquilino debe tener al menos dos cuentas de administrador. Una cuenta se usa para realizar un cambio en el inquilino, la segunda cuenta se usa para aprobar el cambio.

Para crear y administrar directivas de acceso, use una cuenta con una de las siguientes opciones:

  • Rol de Intune personalizado (recomendado): use un rol personalizado que incluya los permisos de aprobación multi Administración necesarios. Para crear y administrar directivas de acceso, el rol personalizado necesita los permisos Crear directiva de acceso, Directiva de acceso de lectura, Actualizar directiva de acceso y Eliminar directiva de acceso .

  • administrador de Intune (también conocido como administrador de servicios de Intune): este rol de Microsoft Entra proporciona acceso completo de lectura y escritura a Intune. Dado que es un rol con privilegios, Microsoft recomienda usar un rol de Intune personalizado con privilegios mínimos para la administración rutinaria de directivas de acceso en lugar de este rol. Para obtener más información, consulte Microsoft Entra roles integrados: administrador de Intune.

Para aprobar o rechazar solicitudes, una cuenta debe estar en el grupo de aprobadores asignado a la directiva de acceso para un tipo específico de recurso. Las cuentas de aprobador requieren el permiso Aprobación para la aprobación de varios Administración en su rol de Intune.

Todos los grupos de aprobadores también deben ser un grupo miembro de una o varias asignaciones de roles Intune. No hay ningún requisito específico al que se debe agregar la asignación de roles al grupo de aprobadores. Si el grupo de aprobadores no se agrega a una asignación de roles, los miembros del grupo de aprobadores se quitan del grupo periódicamente.

Funcionamiento de las directivas de aprobación y acceso de varias Administración

Cuando un administrador edita o crea un nuevo objeto para un área protegida por una directiva de acceso, ve una opción en la superficie Guardar y revisar , donde puede escribir una descripción del cambio como justificación empresarial.

  • La justificación empresarial pasa a formar parte de la solicitud de aprobación del cambio.
  • Un administrador que envió un cambio puede ver el estado de sus solicitudes en el centro de administración de Microsoft Intune yendo a Administración de inquilinos>Aprobación de varios Administración y viendo la página Mi solicitud.

Después de enviar un cambio, un aprobador navega a la página Solicitud recibida del nodo Aprobación de varios Administración. Aquí ven una lista de solicitudes que están activas o administradas recientemente. Esta vista proporciona algunos detalles sobre la solicitud, como cuándo y quién la envió, el tipo de operación implicada, como Crear o Asignar, y su estado. Para administrar la solicitud:

  • El aprobador selecciona el vínculo Justificación empresarial para la solicitud. Esta acción abre el panel Solicitud de directiva de acceso, donde puede ver más información sobre el cambio, incluidos los detalles completos proporcionados en el campo Justificación empresarial de la solicitud.
  • En el panel Solicitud de directiva de acceso, el aprobador puede escribir notas en el campo Notas del aprobador y, a continuación, seleccionar una opción para Aprobar solicitud o Rechazar solicitud. Estas notas se agregan a la solicitud y son visibles para la persona que solicitó el cambio cuando revisa sus solicitudes en la página Mi solicitud . Por ejemplo, si se rechaza la solicitud, el motivo del rechazo se puede devolver al solicitante a través de las notas del aprobador.
  • Las personas que envían una solicitud y también son miembros del grupo de aprobación para que puedan ver sus propias solicitudes en la página Solicitud recibida. Sin embargo, no pueden aprobar sus propias solicitudes.

Si se aprueba un cambio, Intune procesa el cambio solicitado y actualiza el objeto. Mientras Intune procesa la solicitud, su estado puede mostrarse como Aprobado. El solicitante original debe ver la solicitud y elegir Completar para iniciar el cambio. Después de procesarse correctamente, el estado se actualiza a Completado.

Cada cambio de estado permanece visible hasta 30 días después del último cambio de estado. Si una solicitud no se procesa más en un plazo de 30 días, se vuelve a expirar y se debe volver a enviar.

Crear una directiva de acceso

  1. Inicie sesión en el centro de administración de Microsoft Intune y vaya a Administración de inquilinos> Directivas deacceso> deadministración> de varios Administración seleccione Crear.

  2. En la página Aspectos básicos , proporcione un nombre y una descripción opcional y, en Tipo de perfil , seleccione entre las opciones disponibles. Cada directiva admite un único tipo de perfil.

  3. En la página Aprobadores, seleccione Agregar grupos y, a continuación, seleccione un grupo como grupo de aprobadores para esta directiva. No se admiten configuraciones más complejas que excluyan grupos.

  4. En la página Revisar y crear , revise y guarde los cambios.

  5. A continuación, use una cuenta administrativa independiente con el permiso Aprobación para la aprobación de varios Administración para iniciar sesión en el Centro de administración para revisar y aprobar la nueva directiva de acceso.

  6. Vuelva a iniciar sesión en el centro de administración con la primera cuenta de administrador que creó la directiva de acceso, vea la directiva y finalice seleccionando Completar. Después de que Intune aplique esta directiva, las configuraciones para el tipo de perfil protegido requerirán varias aprobaciones de administrador.

Enviar una solicitud

Para enviar una solicitud cuando esté habilitada la aprobación de varios Administración, use el proceso normal para crear o editar un recurso.

En la página final antes de poder guardar los cambios, agregue los detalles al campo Justificación empresarial y, a continuación, envíe la solicitud. En el caso de las solicitudes urgentes, considere la posibilidad de ponerse en contacto con una lista conocida de aprobadores para asegurarse de que la solicitud se ve oportunamente.

Cuando una solicitud para el mismo objeto ya está pendiente de aprobación, no puede enviar la solicitud. Intune muestra un mensaje para alertarle de esta situación.

Para supervisar el estado de las solicitudes, en el centro de administración de Microsoft Intune vaya a Administración>de inquilinos Multi Administración Aprobación>Mis solicitudes.

Para cancelar una solicitud antes de que se apruebe, selecciónela en la página Mis solicitudes y, a continuación, seleccione Cancelar solicitud.

Aprobar solicitudes

  1. Para buscar solicitudes para aprobar, en el centro de administración de Microsoft Intune vaya a Administración> deinquilinos Varias Administración Solicitudes>recibidas.

  2. Seleccione el vínculo Justificación empresarial de una solicitud para abrir la página de revisión, donde puede obtener más información sobre la solicitud y administrar la aprobación o el rechazo.

  3. Después de revisar los detalles, escriba los detalles pertinentes en el campo Notas del aprobador y, a continuación, seleccione Aprobar solicitud o Rechazar solicitud.

  4. Después de aprobar una solicitud, el solicitante debe seleccionar Completar. Intune procesa el cambio y cambia el estado a Completado. Compruebe que la aprobación se realizó correctamente (o no se pudo) revisando la notificación de la consola al finalizar.

    Para comprobar si la aprobación se realizó correctamente (o no), examine las notificaciones del centro de administración de Intune. Un mensaje muestra si la aprobación se realizó correctamente o no.

Sugerencia

También puede administrar estas tareas desde el panel de tareas de Administración centralizado del centro de administración de Intune.

Más consideraciones

  • Intune no envía notificaciones cuando se crean nuevas solicitudes o cambia el estado de una solicitud existente. Se recomienda que, al enviar una solicitud de cambio urgente, se comunique con las personas que tienen permiso para aprobar esas solicitudes.

  • Planee supervisar el estado de las solicitudes a través de la página Mis solicitudes del nodo Aprobación de varios Administración en el centro de administración de Microsoft Intune.

  • Cuando una aprobación ya está pendiente para un objeto, no se puede enviar una nueva solicitud para él.

  • Todas las acciones de un recurso protegido están protegidas, incluidos, entre otros:

    • Editar
    • Crear
    • Modify
    • Delete
    • Assign

  • Las acciones para las solicitudes y el proceso de aprobación se registran en los registros de auditoría de Intune. Para obtener más información, consulte Registros de auditoría para actividades de Intune.

  • Las siguientes condiciones de estado están disponibles para una solicitud:

    • Necesita aprobación: esta solicitud está pendiente de acción por parte de un aprobador.
    • Aprobado: Intune está procesando esta solicitud.
    • Completado: esta solicitud se ha aplicado correctamente.
    • Rechazado: un aprobador rechazó esta solicitud.
    • Cancelado: el administrador que la envió canceló esta solicitud.

Contenido relacionado

Administración del control de acceso basado en rol

  • Last updated on