Megosztás a következőn keresztül:

Hozzáférési szabályzatok használata több rendszergazdai jóváhagyás megköveteléséhez

  • Cikk

A feltört rendszergazdai fiókok elleni védelem érdekében az Intune hozzáférési szabályzataival megkövetelheti, hogy a módosítás alkalmazása előtt egy második rendszergazdai fiók is jóváhagyja a módosítást. Ezt a képességet több rendszergazdai jóváhagyásnak (MAA) nevezzük.

A MAA-val olyan hozzáférési szabályzatokat konfigurálhat, amelyek bizonyos konfigurációkat, például az eszközökhöz készült alkalmazásokat vagy szkripteket védik. A hozzáférési szabályzatok határozzák meg, hogy mi védve van, és mely fiókcsoportok hagyhatják jóvá az erőforrások módosításait.

Ha a bérlő bármely fiókjával módosít egy hozzáférési szabályzattal védett erőforrást, az Intune csak akkor alkalmazza a módosítást, ha egy másik fiók kifejezetten jóváhagyja azt. Csak azok a rendszergazdák hagyhatják jóvá a módosításokat, akik egy hozzáférési védelmi szabályzatban védett erőforráshoz rendelt jóváhagyási csoport tagjai. A jóváhagyók a változáskéréseket is elutasíthatják.

A hozzáférési szabályzatok a következő erőforrásokhoz támogatottak:

  • Alkalmazások – Alkalmazástelepítésekre vonatkozik, de nem vonatkozik az alkalmazásvédelmi szabályzatokra.
  • Szkriptek – A parancsfájlok Windows rendszerű eszközökre való telepítésére vonatkozik.

Hozzáférési szabályzatok és jóváhagyók előfeltételei

A több rendszergazdai jóváhagyás használatához a bérlőnek legalább két rendszergazdai fiókkal kell rendelkeznie.

Hozzáférési szabályzat létrehozásához a fiókjához intune-szolgáltatásadminisztrátori vagy Azure-beli globális rendszergazdai szerepkört kell hozzárendelni.

Ahhoz, hogy jóváhagyó legyen, egy fióknak abban a csoportban kell lennie, amely egy adott erőforrástípus hozzáférési szabályzatához van rendelve.

Ha a szervezet nem licencelt rendszergazdákat engedélyez az Intune-szerepkörökhöz, az összes jóváhagyó csoportnak egy vagy több Intune-szerepkör-hozzárendelés tagcsoportjának kell lennie.

A több rendszergazdai jóváhagyás és a hozzáférési szabályzatok működése

Amikor egy rendszergazda módosít vagy létrehoz egy új objektumot egy hozzáférési szabályzattal védett területhez, megjelenik egy lehetőség a Mentés + véleményezés felületen, ahol üzleti indoklásként megadhatja a módosítás leírását.

  • Az üzleti indoklás a módosítás jóváhagyási kérelmének részévé válik.
  • A módosítást beküldő rendszergazdák megtekinthetik a kéréseik állapotát a Microsoft Intune Felügyeleti központban a Bérlői felügyelet>Több Rendszergazda jóváhagyása lapon, és megtekinthetik a Saját kérelem lapot.

A módosítás elküldése után a jóváhagyó a Multi Rendszergazda Approval csomópont Fogadott kérés lapjára lép. Itt láthatja az aktív vagy nemrégiben kezelt kérések listáját. Ez a nézet néhány részletet tartalmaz a kérelemről, többek között azt, hogy mikor és ki küldte el, milyen típusú műveletet (például Létrehozás vagy Hozzárendelés) és állapotát. A kérés kezelése:

  • A jóváhagyó kiválasztja a kérelem Üzleti indoklás hivatkozását. Ez a művelet megnyitja a Hozzáférési szabályzat kérése panelt, ahol további információkat tekinthet meg a módosításról, beleértve a kérelem Üzleti indoklás mezőjében megadott összes részletet.
  • A Hozzáférési szabályzat kérése panelen a jóváhagyó megjegyzéseket írhat be a Jóváhagyó megjegyzései mezőbe, majd kiválaszthatja a Kérelem jóváhagyása vagy a Kérelem elutasítása lehetőséget. Ezek a megjegyzések hozzá lesznek adva a kérelemhez, és azok a személyek számára láthatók, akik kérték a módosítást, amikor a Kérésem lapon áttekintik a kéréseiket. Ha például a kérést elutasítják, az elutasítás oka a jóváhagyó megjegyzéseiben adható vissza a kérelmezőnek.
  • Azok a személyek, akik kérelmet nyújtanak be, és szintén tagjai a jóváhagyási csoportnak, saját kéréseiket láthatják a Beérkezett kérelem lapon. A saját kéréseiket azonban nem hagyhatják jóvá.

Ha jóváhagynak egy módosítást, az Intune feldolgozza a kért módosítást, és frissíti az objektumot. Amíg az Intune feldolgozza a kérést, az állapota Jóváhagyottként jelenhet meg. A sikeres feldolgozás után az állapot Befejezve értékre frissül.

Az állapotváltozások az állapot utolsó módosítása után legfeljebb 30 napig láthatók maradnak. Ha egy kérés feldolgozása 30 napon belül nem történik meg, lejárttá válik, és újra el kell küldeni.

Hozzáférési szabályzat létrehozása

  1. Hozzáférési szabályzat létrehozásához a Microsoft Intune Felügyeleti központban lépjen a Bérlői felügyelet>Több Rendszergazda felügyeleti>hozzáférési szabályzatok elemre, és válassza a Létrehozás lehetőséget.

  2. Az Alapvető beállítások lapon adjon meg egy Nevet és egy opcionális Leírást, a Profil típusa beállításnál pedig válasszon az elérhető lehetőségek közül. Minden szabályzat egyetlen profiltípust támogat.

  3. A Jóváhagyók lapon válassza a Csoportok hozzáadása lehetőséget, majd válasszon ki egy csoportot a szabályzat jóváhagyóinak csoportjaként. A csoportokat kizáró összetettebb konfigurációk nem támogatottak.

  4. A Véleményezés + Létrehozás lapon tekintse át, majd mentse a módosításokat. Miután az Intune alkalmazza ezt a szabályzatot, a védett profiltípus konfigurációihoz több rendszergazdai jóváhagyásra lesz szükség.

Kérelem elküldése

Ha a MAA engedélyezése esetén szeretne kérést küldeni, használja a szokásos folyamatot egy erőforrás létrehozásához vagy szerkesztéséhez.

A módosítások mentése előtt az utolsó oldalon adja hozzá a részleteket az Üzleti indoklás mezőhöz, majd küldje el a kérelmet. Sürgős kérések esetén vegye fel a kapcsolatot a jóváhagyók ismert listájával, hogy a kérés időben látható legyen.

Ha ugyanarra az objektumra vonatkozó kérés van, amely már jóváhagyásra vár, nem fogja tudni elküldeni a kérést. Az Intune egy üzenetet jelenít meg, amely figyelmezteti Önt erre a helyzetre.

A kérések állapotának monitorozásához a Microsoft Intune Felügyeleti központban lépjen a Bérlői felügyelet>Több Rendszergazda Jóváhagyás>Saját kérések elemre.

A jóváhagyás előtt megszakíthatja a kérést, ha kiválasztja azt a Saját kérések lapon, majd a Kérelem megszakítása lehetőséget választja.

Kérelmek jóváhagyása

  1. A jóváhagyandó kérések megkereséséhez a Microsoft Intune Felügyeleti központban lépjen a Bérlői felügyelet>Több Rendszergazda felügyelet>érkezett kérelmekhez.

  2. Válassza az Üzleti indoklás hivatkozást egy kérelemhez a felülvizsgálati oldal megnyitásához, ahol többet tudhat meg a kérelemről, és kezelheti a jóváhagyást vagy az elutasítást.

  3. A részletek áttekintése után adja meg a vonatkozó adatokat a Jóváhagyó megjegyzései mezőben, majd válassza a Kérelem jóváhagyása vagy a Kérelem elutasítása lehetőséget.

  4. A kérés jóváhagyása után a kérelmezőnek a Befejezés lehetőséget kell választania. Az Intune feldolgozzák a módosítást, és Befejezve állapotra módosítják az állapotot. A jóváhagyás sikeres (vagy sikertelen) ellenőrzéséhez tekintse át a konzol értesítését a befejezéskor.

    Ha ellenőrizni szeretné, hogy a jóváhagyás sikeres volt-e (vagy sikertelen), tekintse meg az értesítéseket az Intune Felügyeleti központban. Egy üzenet jelzi, hogy a jóváhagyás sikeres vagy sikertelen volt-e.

További szempontok

  • Az Intune nem küld értesítéseket új kérések létrehozásakor, illetve a meglévő kérések állapotának változásakor. Azt javasoljuk, hogy ha sürgős változáskérést küld, vegye fel a kapcsolatot azokkal a személyekkel, akik engedéllyel rendelkeznek a kérések jóváhagyására.

  • Tervezze meg a kérések állapotának figyelését a Microsoft Intune Felügyeleti központ Több Rendszergazda jóváhagyás csomópontjának Saját kérések lapján.

  • Ha egy objektum jóváhagyása már függőben van, nem lehet új kérelmet küldeni hozzá.

  • A védett erőforrások minden művelete védett, beleértve, de nem kizárólagosan a következőket:

    • Szerkesztés
    • Létrehozás
    • Módosítani
    • Törlés
    • Hozzárendelése

  • A kérések műveletei és a jóváhagyási folyamat az Intune auditnaplóiban lesznek naplózva. További információ: Auditnaplók intune-tevékenységekhez.

  • A kérésekhez a következő állapotfeltételek érhetők el:

    • Jóváhagyás szükséges – Ez a kérelem függőben van egy jóváhagyó művelete.
    • Jóváhagyva – Ezt a kérést az Intune dolgozza fel.
    • Kész – Ez a kérés sikeresen alkalmazva.
    • Elutasítva – Ezt a kérelmet egy jóváhagyó elutasította.
    • Megszakítva – Ezt a kérést a kérelmet beküldő rendszergazda törölte.

Következő lépések

Szerepköralapú hozzáférés-vezérlés kezelése