Share via


Toegangsbeleid gebruiken om meerdere beheerdersgoedkeuringen te vereisen

Ter bescherming tegen een gecompromitteerd beheeraccount gebruikt u Intune-toegangsbeleid om te vereisen dat een tweede beheeraccount wordt gebruikt om een wijziging goed te keuren voordat de wijziging wordt toegepast. Deze mogelijkheid wordt meervoudige administratieve goedkeuring (MAA) genoemd.

Met MAA configureert u toegangsbeleid dat specifieke configuraties beschermt, zoals Apps of Scripts voor apparaten. Toegangsbeleid geeft aan wat wordt beveiligd en welke groep accounts wijzigingen in deze resources mag goedkeuren.

Wanneer een account in de tenant wordt gebruikt om een wijziging aan te brengen in een resource die wordt beveiligd door een toegangsbeleid, past Intune de wijziging pas toe totdat een ander account deze expliciet heeft goedgekeurd. Alleen beheerders die lid zijn van een goedkeuringsgroep waaraan een beveiligde resource in een toegangsbeveiligingsbeleid is toegewezen, kunnen wijzigingen goedkeuren. Fiatteurs kunnen ook wijzigingsaanvragen weigeren.

Toegangsbeleid wordt ondersteund voor de volgende resources:

  • Apps: is van toepassing op app-implementaties, maar niet op app-beveiligingsbeleid.
  • Scripts: is van toepassing op het implementeren van scripts op apparaten waarop Windows wordt uitgevoerd.
  • Toegangsbeleid: is van toepassing op het maken of beheren van meerdere administratieve goedkeuringsbeleidsregels.

Vereisten voor toegangsbeleid en fiatteurs

Als u goedkeuring met meerdere beheerdersrechten wilt gebruiken, moet uw tenant ten minste twee beheerdersaccounts hebben. Het ene account wordt gebruikt om een wijziging in de tenant uit te voeren, het tweede account wordt gebruikt om de wijziging goed te keuren.

Als u een toegangsbeleid wilt maken, moet aan uw account de rol Intune-servicebeheerder of Azure-globale beheerder worden toegewezen, of moet de juiste goedkeuringsmachtigingen voor meerdere beheerders voor een Intune-rol zijn toegewezen. Beheerders die het toegangsbeleid specifiek beheren voor goedkeuring door meerdere beheerders, hebben de machtiging Goedkeuring voor goedkeuring door meerdere beheerders nodig.

Als u een fiatteur wilt zijn voor toegangsbeleid, moet een account zich in de groep fiatteurs bevinden die is toegewezen aan het toegangsbeleid voor een specifiek type resource.

Als uw organisatie beheerders zonder licentie toestaat voor Intune-rollen, moeten alle goedkeurdersgroepen ook lid zijn van een of meer Intune-roltoewijzingen.

Hoe multi-beheerders goedkeuren en toegangsbeleid werken

Wanneer een beheerder een nieuw object bewerkt of maakt voor een gebied dat wordt beveiligd door een toegangsbeleid, zien ze een optie op het oppervlak Opslaan en controleren , waar ze een beschrijving van de wijziging kunnen invoeren als zakelijke reden.

  • De zakelijke reden wordt onderdeel van de goedkeuringsaanvraag voor de wijziging.
  • Een beheerder die een wijziging heeft ingediend, kan de status van de aanvragen bekijken in het Microsoft Intune-beheercentrum door naar Goedkeuring doormeerdere beheerders van tenantbeheer> te gaan en de pagina Mijn aanvraag te bekijken.

Nadat een wijziging is ingediend, navigeert een fiatteur naar de pagina Ontvangen aanvraag van het knooppunt Goedkeuring door meerdere beheerders . Hier ziet u een lijst met aanvragen die actief zijn of onlangs zijn beheerd. Deze weergave bevat enkele details over de aanvraag, waaronder wanneer en wie deze heeft ingediend, het type bewerking dat betrokken is, zoals Maken of Toewijzen, en de status ervan. De aanvraag beheren:

  • De fiatteur selecteert de koppeling Zakelijke reden voor de aanvraag. Met deze actie opent u het deelvenster Aanvraag voor toegangsbeleid, waar u meer informatie over de wijziging kunt bekijken, inclusief de volledige details in het veld Zakelijke reden van de aanvraag.
  • In het deelvenster Aanvraag voor toegangsbeleid kan de fiatteur notities invoeren in het notitieveld Van fiatteur en vervolgens een optie goedkeuren ofAanvraag weigeren selecteren. Deze notities worden toegevoegd aan de aanvraag en zijn zichtbaar voor de persoon die de wijziging heeft aangevraagd wanneer ze hun aanvragen op de pagina Mijn aanvraag controleren. Als de aanvraag bijvoorbeeld wordt afgewezen, kan de reden voor de afwijzing worden doorgestuurd naar de aanvrager via de opmerkingen van de fiatteur.
  • Personen die een aanvraag indienen en ook lid zijn van de goedkeuringsgroep, kunnen hun eigen aanvragen zien op de pagina Ontvangen aanvraag. Ze kunnen hun eigen aanvragen echter niet goedkeuren.

Als een wijziging is goedgekeurd, verwerkt Intune de aangevraagde wijziging en wordt het object bijgewerkt. Terwijl intune de aanvraag verwerkt, kan de status ervan worden weergegeven als Goedgekeurd. Nadat deze is verwerkt, wordt de status bijgewerkt naar Voltooid.

Elke wijziging van de status blijft zichtbaar tot 30 dagen na de laatste wijziging van de status. Als een aanvraag niet binnen 30 dagen verder wordt verwerkt, wordt deze verlopen en moet deze opnieuw worden verzonden.

Een toegangsbeleid maken

  1. Als u een toegangsbeleid wilt maken, gaat u in het Microsoft Intune-beheercentrum naar Toegangsbeleid> voormeerdere beheerdersbeheer> en selecteert u Maken.

  2. Geef op de pagina Basisinformatie een naam en optionele beschrijving op en selecteer bij Profieltype een van de beschikbare opties. Elk beleid ondersteunt één profieltype.

  3. Selecteer op de pagina Fiatteursde optie Groepen toevoegen en selecteer vervolgens een groep als de groep fiatteurs voor dit beleid. Complexere configuraties die groepen uitsluiten, worden niet ondersteund.

  4. Controleer op de pagina Controleren en maken uw wijzigingen en sla deze vervolgens op. Nadat Intune dit beleid heeft toegepast, zijn voor configuraties voor het beveiligde profieltype meerdere goedkeuringen door de beheerder vereist.

Een aanvraag indienen

Als u een aanvraag wilt indienen wanneer MAA is ingeschakeld, gebruikt u het normale proces om een resource te maken of te bewerken.

Voeg op de laatste pagina voordat u uw wijzigingen kunt opslaan details toe aan het veld Zakelijke reden en dien vervolgens de aanvraag in. Voor urgente aanvragen kunt u contact opnemen met een bekende lijst met fiatteurs om ervoor te zorgen dat uw aanvraag tijdig wordt weergegeven.

Wanneer er een aanvraag is voor hetzelfde object dat al in behandeling is, kunt u uw aanvraag niet indienen. Intune geeft een bericht weer om u te waarschuwen voor deze situatie.

Als u de status van uw aanvragen wilt bewaken, gaat u in het Microsoft Intune-beheercentrum naar Tenantbeheer>Goedkeuring door meerdere beheerders>Mijn aanvragen.

U kunt een aanvraag annuleren voordat deze wordt goedgekeurd door deze te selecteren op de pagina Mijn aanvragen en vervolgens Aanvraag annuleren te selecteren.

Aanvragen goedkeuren

  1. Als u aanvragen voor goedkeuring wilt vinden, gaat u in het Microsoft Intune-beheercentrum naar Tenantbeheer>Multi Admin Administration>Received-aanvragen.

  2. Selecteer de koppeling Zakelijke reden voor een aanvraag om de beoordelingspagina te openen, waar u meer informatie kunt vinden over de aanvraag en goedkeuring of afwijzing kunt beheren.

  3. Nadat u de details hebt bekeken, voert u relevante details in het veld Notities van fiatteur in en selecteert u aanvraag goedkeuren of Aanvraag weigeren.

  4. Nadat u een aanvraag hebt goedgekeurd, moet de aanvrager Voltooien selecteren. Intune verwerkt de wijziging en wijzigt de status in Voltooid. Controleer of de goedkeuring is geslaagd (of mislukt) door de consolemelding na voltooiing te controleren.

    Als u wilt controleren of de goedkeuring is geslaagd (of mislukt), bekijkt u de meldingen in het Intune-beheercentrum. Er wordt een bericht weergegeven als de goedkeuring is geslaagd of mislukt.

Meer overwegingen

  • Intune verzendt geen meldingen wanneer er nieuwe aanvragen worden gemaakt of wanneer de status van een bestaande aanvraag wordt gewijzigd. Wanneer u een urgente wijzigingsaanvraag indient, wordt u aangeraden contact op te stellen met personen die gemachtigd zijn om deze aanvragen goed te keuren.

  • Plan om de status van uw aanvragen te bewaken via de pagina Mijn aanvragen van het knooppunt Goedkeuring door meerdere beheerders in het Microsoft Intune-beheercentrum.

  • Wanneer een goedkeuring al in behandeling is voor een object, kan er geen nieuwe aanvraag voor worden ingediend.

  • Alle acties voor een beveiligde resource zijn beveiligd, inclusief maar niet beperkt tot:

    • Bewerken
    • Maken
    • Wijzigen
    • Verwijderen
    •               Toewijzen                            
  • Acties voor aanvragen en het goedkeuringsproces worden vastgelegd in de Intune-auditlogboeken. Zie Auditlogboeken voor Intune-activiteiten voor meer informatie.

  • De volgende statusvoorwaarden zijn beschikbaar voor een aanvraag:

    • Goedkeuring vereist: deze aanvraag is in behandeling door een fiatteur.
    • Goedgekeurd: deze aanvraag wordt verwerkt door Intune.
    • Voltooid: deze aanvraag is toegepast.
    • Geweigerd: deze aanvraag is afgewezen door een fiatteur.
    • Geannuleerd: deze aanvraag is geannuleerd door de beheerder die deze heeft ingediend.

Volgende stappen

Op rollen gebaseerd toegangsbeheer beheren