Partager via


Utiliser des stratégies d’accès pour exiger plusieurs approbations administratives

Pour vous protéger contre un compte d’administration compromis, utilisez des stratégies d’accès Intune pour exiger qu’un deuxième compte d’administration soit utilisé pour approuver une modification avant l’application de la modification. Cette fonctionnalité est appelée approbation administrative multiple (MAA).

Avec MAA, vous configurez des stratégies d’accès qui protègent des configurations spécifiques, telles que les applications ou les scripts pour les appareils. Les stratégies d’accès spécifient ce qui est protégé et le groupe de comptes autorisé à approuver les modifications apportées à ces ressources.

Lorsqu’un compte dans le locataire est utilisé pour apporter une modification à une ressource protégée par une stratégie d’accès, Intune n’applique pas la modification tant qu’un autre compte ne l’approuve pas explicitement. Seuls les administrateurs membres d’un groupe d’approbation auquel une ressource protégée est affectée dans une stratégie de protection d’accès peuvent approuver les modifications. Les approbateurs peuvent également rejeter les demandes de modification.

Les stratégies d’accès sont prises en charge pour les ressources suivantes :

  • Applications : s’applique aux déploiements d’applications, mais ne s’applique pas aux stratégies de protection des applications.
  • Scripts : s’applique au déploiement de scripts sur des appareils qui exécutent Windows.
  • Stratégies d’accès : s’applique à la création ou à la gestion de plusieurs stratégies d’approbation administrative.

Prérequis pour les stratégies d’accès et les approbateurs

Pour utiliser l’approbation multiadministratrice, votre locataire doit avoir au moins deux comptes d’administrateur. Un compte sera utilisé pour effectuer une modification dans le locataire, le deuxième compte sera utilisé pour approuver la modification.

Pour créer une stratégie d’accès, votre compte doit se voir attribuer le rôle Administrateur de service Intune ou Administrateur général Azure , ou les autorisations d’approbation multiadministrateur appropriées pour un rôle Intune. Les administrateurs qui gèrent les stratégies d’accès spécifiquement pour l’approbation multiadministrateur ont besoin de l’autorisation Approbation pour approbation multiadministrateur .

Pour être un approbateur pour les stratégies d’accès, un compte doit se trouver dans le groupe d’approbateurs affecté à la stratégie d’accès pour un type spécifique de ressource.

Si votre organisation autorise les administrateurs sans licence pour les rôles Intune, tous les groupes d’approbateurs doivent également être un groupe membre d’une ou plusieurs attributions de rôles Intune.

Fonctionnement des stratégies d’approbation multi-administrateur et d’accès

Lorsqu’un administrateur modifie ou crée un nouvel objet pour une zone protégée par une stratégie d’accès, il voit une option dans la surface Enregistrer + vérifier où il peut entrer une description de la modification comme justification métier.

  • La justification métier fait partie de la demande d’approbation pour la modification.
  • Un administrateur qui a soumis une modification peut afficher l’état de ses demandes dans le Centre d’administration Microsoft Intune en accédant à Administration du locataire>Approbation multiadministrateur et en consultant la page Ma demande .

Une fois qu’une modification est envoyée, un approbateur accède à la page Demande reçue du nœud Approbation multi-administrateur . Ici, ils verront une liste des demandes actives ou gérées récemment. Cette vue fournit des détails sur la demande, notamment quand et qui l’a envoyée, le type d’opération impliquée comme Créer ou Attribuer, et son état. Pour gérer la demande :

  • L’approbateur sélectionne le lien Justification métier pour la demande. Cette action ouvre le volet Demande de stratégie d’accès dans lequel vous pouvez afficher plus d’informations sur la modification, notamment les détails complets fournis dans le champ Justification métier de la demande.
  • Dans le volet Demande de stratégie d’accès, l’approbateur peut entrer des notes dans le champ Notes de l’approbateur , puis sélectionner une option pour Approuver la demande ou Rejeter la demande. Ces notes sont ajoutées à la demande et sont visibles par la personne qui a demandé la modification lorsqu’elle examine ses demandes sur la page Ma demande . Par exemple, si la demande est rejetée, la raison du rejet peut être renvoyée au demandeur via les notes de l’approbateur.
  • Les personnes qui envoient une demande et qui sont également membres du groupe d’approbation pour qui peuvent voir leurs propres demandes sur la page Demande reçue. Toutefois, ils ne peuvent pas approuver leurs propres demandes.

Si une modification est approuvée, Intune traite la modification demandée et met à jour l’objet. Alors qu’Intune traite la demande, son état peut s’afficher comme Approuvé. Une fois le traitement effectué, l’état passe à Terminé.

Chaque changement d’état reste visible jusqu’à 30 jours après le dernier changement d’état. Si une demande n’est pas traitée ultérieurement dans les 30 jours, elle devient expirée et doit être renvoyée.

Créer une stratégie d’accès

  1. Pour créer une stratégie d’accès, dans le Centre d’administration Microsoft Intune, accédez à Administration du locataire> Stratégiesd’accèsadministration multiadministrateur> et sélectionnez Créer.

  2. Dans la page Informations de base , fournissez un nom et une description facultative, puis, pour Type de profil , sélectionnez parmi les options disponibles. Chaque stratégie prend en charge un type de profil unique.

  3. Dans la page Approbateurs, sélectionnez Ajouter des groupes , puis sélectionnez un groupe comme groupe d’approbateurs pour cette stratégie. Les configurations plus complexes qui excluent les groupes ne sont pas prises en charge.

  4. Dans la page Vérifier + créer , passez en revue, puis enregistrez vos modifications. Une fois qu’Intune a appliqué cette stratégie, les configurations pour le type de profil protégé nécessitent plusieurs approbations d’administrateur.

Envoyer une demande

Pour envoyer une demande lorsque l’option MAA est activée, utilisez votre processus normal pour créer ou modifier une ressource.

Dans la dernière page avant de pouvoir enregistrer vos modifications, ajoutez des détails au champ Justification métier , puis envoyez la demande. Pour les demandes urgentes, envisagez de contacter une liste connue d’approbateurs pour vous assurer que votre demande est vue en temps voulu.

Lorsqu’il existe une demande pour le même objet qui est déjà en attente d’approbation, vous ne pouvez pas envoyer votre demande. Intune affiche un message pour vous avertir de cette situation.

Pour surveiller l’état de vos demandes, dans le Centre d’administration Microsoft Intune, accédez à Administration du locataire> Approbation >multiadministrateurMes demandes.

Vous pouvez annuler une demande avant son approbation en la sélectionnant dans la page Mes demandes, puis en sélectionnant Annuler la demande.

Approuver les demandes

  1. Pour rechercher les demandes à approuver, dans le Centre d’administration Microsoft Intune , accédez à Administration du locataire>Administration multiadministrateur>Demandes reçues.

  2. Sélectionnez le lien Justification métier d’une demande pour ouvrir la page de révision dans laquelle vous pouvez en savoir plus sur la demande et gérer l’approbation ou le rejet.

  3. Après avoir examiné les détails, entrez les détails pertinents dans le champ Notes de l’approbateur, puis sélectionnez Approuver la demande ou Rejeter la demande.

  4. Une fois que vous avez approuvé une demande, le demandeur doit sélectionner Terminer. Intune traite la modification et modifie l’état sur Terminé. Vérifiez que l’approbation a réussi (ou échoué) en examinant la notification de la console à l’achèvement.

    Pour vérifier si l’approbation a réussi (ou échoué), consultez les notifications dans le Centre d’administration Intune. Un message indique si l’approbation a réussi ou échoué.

Autres considérations à prendre en compte

  • Intune n’envoie pas de notifications quand de nouvelles demandes sont créées ou que l’état d’une demande existante change. Lors de l’envoi d’une demande de modification urgente, nous vous recommandons de contacter les personnes autorisées à approuver ces demandes.

  • Prévoyez de surveiller l’état de vos demandes via la page Mes demandes du nœud Approbation multi-administrateur dans le Centre d’administration Microsoft Intune.

  • Lorsqu’une approbation est déjà en attente pour un objet, une nouvelle demande ne peut pas être envoyée pour celui-ci.

  • Toutes les actions d’une ressource protégée sont protégées, y compris mais sans s’y limiter :

    • Modifier
    • Créer
    • Modifier
    • Supprimer
    • Affecter
  • Les actions pour les demandes et le processus d’approbation sont consignées dans les journaux d’audit Intune. Pour plus d’informations, consultez Journaux d’audit pour les activités Intune.

  • Les conditions d’état suivantes sont disponibles pour une demande :

    • A besoin d’approbation : cette demande est en attente d’une action de la part d’un approbateur.
    • Approuvé : cette demande est en cours de traitement par Intune.
    • Terminé : cette demande a été appliquée avec succès.
    • Rejeté : cette demande a été rejetée par un approbateur.
    • Annulé : cette demande a été annulée par l’administrateur qui l’a envoyée.

Étapes suivantes

Gérer le contrôle d’accès en fonction du rôle