Udostępnij za pośrednictwem

Używanie zasad dostępu w celu wymagania wielu zatwierdzeń administracyjnych

  • Artykuł

Aby chronić przed naruszonym kontem administracyjnym, użyj zasad dostępu usługi Intune, aby wymagać, aby drugie konto administracyjne było używane do zatwierdzania zmiany przed zastosowaniem zmiany. Ta funkcja jest znana jako wiele zatwierdzeń administracyjnych (MAA).

Za pomocą usługi MAA można skonfigurować zasady dostępu, które chronią określone konfiguracje, takie jak aplikacje lub skrypty dla urządzeń. Zasady dostępu określają, co jest chronione i która grupa kont może zatwierdzać zmiany w tych zasobach.

Jeśli dowolne konto w dzierżawie jest używane do wprowadzania zmian w zasobie chronionym przez zasady dostępu, usługa Intune nie zastosuje tej zmiany, dopóki inne konto nie zatwierdzi jej jawnie. Zmiany mogą zatwierdzać tylko administratorzy, którzy są członkami grupy zatwierdzania przypisanej do chronionego zasobu w zasadach ochrony dostępu. Osoby zatwierdzające mogą również odrzucać żądania zmian.

Zasady dostępu są obsługiwane dla następujących zasobów:

  • Aplikacje — dotyczy wdrożeń aplikacji, ale nie dotyczy zasad ochrony aplikacji.
  • Skrypty — dotyczy wdrażania skryptów na urządzeniach z systemem Windows.
  • Zasady dostępu — dotyczy tworzenia wielu zasad zatwierdzania administracyjnego lub zarządzania nimi.

Wymagania wstępne dotyczące zasad dostępu i osób zatwierdzających

Aby korzystać z wielu zatwierdzeń administracyjnych, dzierżawa musi mieć co najmniej dwa konta administratora. Jedno konto zostanie użyte do przeprowadzenia zmiany w dzierżawie. Drugie konto zostanie użyte do zatwierdzenia zmiany.

Aby utworzyć zasady dostępu, twoje konto musi mieć przypisaną rolę administratora usługi Intune lub administratora globalnego platformy Azure lub mieć przypisane odpowiednie uprawnienia zatwierdzania przez wielu administratorów dla roli usługi Intune. Administratorzy, którzy zarządzają zasadami dostępu przeznaczonymi specjalnie do zatwierdzania przez wielu administratorów, muszą mieć uprawnienie Zatwierdzanie zatwierdzenia przez wielu administratorów .

Aby być osobą zatwierdzającą zasad dostępu, konto musi znajdować się w grupie osoby zatwierdzającą przypisanej do zasad dostępu dla określonego typu zasobu.

Jeśli Organizacja zezwala administratorom bez licencji na role usługi Intune, wszystkie grupy osób zatwierdzające muszą być również grupą członków co najmniej jednego przypisania ról usługi Intune.

Jak działają zasady zatwierdzania i dostępu dla wielu administratorów

Gdy administrator edytuje lub tworzy nowy obiekt dla obszaru chronionego przez zasady dostępu, zobaczy opcję na powierzchni Zapisz i przejrzyj , gdzie może wprowadzić opis zmiany jako uzasadnienie biznesowe.

  • Uzasadnienie biznesowe staje się częścią żądania zatwierdzenia zmiany.
  • Administrator, który przesłał zmianę, może wyświetlić stan swoich żądań w centrum administracyjnym usługi Microsoft Intune, przechodząc do obszaruZatwierdzanie przez administratora wieloadministratora administracji> dzierżawczej i wyświetlając stronę Moje żądanie.

Po przesłaniu zmianyosoba zatwierdzająca przechodzi do strony Odebrane żądanie węzła Zatwierdzanie przez wielu administratorów . W tym miejscu zostanie wyświetlona lista żądań, które są aktywne lub ostatnio zarządzane. Ten widok zawiera szczegółowe informacje o żądaniu, w tym o tym, kiedy i kto je przesłał, typ operacji, taki jak Tworzenie lub Przypisywanie, oraz jego stan. Aby zarządzać żądaniem:

  • Osoba zatwierdzająca wybiera link Uzasadnienie biznesowe dla żądania. Ta akcja otwiera okienko żądania zasad dostępu, w którym można wyświetlić więcej informacji o zmianie, w tym pełne szczegóły podane w polu Uzasadnienie biznesowe żądania.
  • W okienku Żądanie zasad dostępu osoba zatwierdzająca może wprowadzić notatki w polu uwagi osoby zatwierdzającą , a następnie wybrać opcję Zatwierdź żądanie lub Odrzuć żądanie. Te notatki są dodawane do żądania i są widoczne dla osoby, która zażądała zmiany podczas przeglądania żądań na stronie Moje żądanie . Jeśli na przykład żądanie zostanie odrzucone, przyczyna odrzucenia może zostać przekazana z powrotem do osoby żądającą za pośrednictwem notatek Osoby zatwierdzające.
  • Osoby, które przesyłają żądanie, a także są członkami grupy zatwierdzania, mogą zobaczyć własne żądania na stronie Odebrane żądanie. Nie mogą jednak zatwierdzać własnych żądań.

Jeśli zmiana zostanie zatwierdzona, usługa Intune przetwarza żądaną zmianę i aktualizuje obiekt. Podczas gdy usługa Intune przetwarza żądanie, jego stan może być wyświetlany jako Zatwierdzone. Po pomyślnym przetworzeniu stan zostanie zaktualizowany do wartości Ukończono.

Każda zmiana stanu pozostaje widoczna przez maksymalnie 30 dni po ostatniej zmianie stanu. Jeśli żądanie nie zostanie przetworzone w ciągu 30 dni, stanie się wygasłe i musi zostać ponownie przesłane.

Tworzenie zasad dostępu

  1. Aby utworzyć zasady dostępu, w centrum administracyjnym usługi Microsoft Intune przejdź do pozycji Administracja dzierżawąZasady dostępu administracji>>wieloadministratoroweji wybierz pozycję Utwórz.

  2. Na stronie Podstawy podaj nazwę i opcjonalny opis, a w polu Typ profilu wybierz opcję z dostępnych opcji. Każda zasada obsługuje jeden typ profilu.

  3. Na stronie Osoby zatwierdzające wybierz pozycję Dodaj grupy , a następnie wybierz grupę jako grupę osób zatwierdzających dla tych zasad. Bardziej złożone konfiguracje wykluczania grup nie są obsługiwane.

  4. Na stronie Przeglądanie i tworzenie przejrzyj, a następnie zapisz zmiany. Gdy usługa Intune zastosuje te zasady, konfiguracje dla typu profilu chronionego będą wymagały wielu zatwierdzeń administratora.

Przesyłanie żądania

Aby przesłać żądanie, gdy maa jest włączona, użyj normalnego procesu, aby utworzyć lub edytować zasób.

Na ostatniej stronie przed zapisaniem zmian dodaj szczegóły do pola Uzasadnienie biznesowe , a następnie prześlij żądanie. W przypadku pilnych żądań rozważ skontaktowanie się ze znaną listą osób zatwierdzających, aby upewnić się, że żądanie jest widoczne w odpowiednim czasie.

Jeśli istnieje żądanie dla tego samego obiektu, który już oczekuje na zatwierdzenie, nie będzie można przesłać żądania. Usługa Intune wyświetla komunikat informujący o tej sytuacji.

Aby monitorować stan żądań, w centrum administracyjnym usługi Microsoft Intune przejdź do pozycji Administracja> dzierżawą— Zatwierdzanie> przez wieluadministratorów Moje żądania.

Możesz anulować żądanie przed jego zatwierdzeniem, wybierając je na stronie Moje żądania, a następnie wybierając pozycję Anuluj żądanie.

Zatwierdzanie żądań

  1. Aby znaleźć żądania zatwierdzenia, w centrum administracyjnym usługi Microsoft Intune przejdź do obszaru Administracja dzierżawą— Żądania odebrane przezadministratora>>wieloadministratora.

  2. Wybierz link Uzasadnienie biznesowe dla żądania, aby otworzyć stronę przeglądu, na której możesz dowiedzieć się więcej o żądaniu i zarządzać zatwierdzeniem lub odrzuceniem.

  3. Po przejrzeniu szczegółów wprowadź odpowiednie szczegóły w polu uwagi Osoby zatwierdzające, a następnie wybierz pozycję Zatwierdź żądanie lub Odrzuć żądanie.

  4. Po zatwierdzeniu żądania wymagane jest wybranie opcji Zakończ. Usługa Intune przetworzy zmianę i zmieni stan na Ukończono. Sprawdź, czy zatwierdzenie zakończyło się pomyślnie (lub nie powiodło się), przeglądając powiadomienie konsoli po zakończeniu.

    Aby sprawdzić, czy zatwierdzenie zakończyło się pomyślnie (lub nie powiodło się), zapoznaj się z powiadomieniami w centrum administracyjnym usługi Intune. Komunikat pokazuje, czy zatwierdzenie zakończyło się pomyślnie, czy nie powiodło się.

Więcej zagadnień

  • Usługa Intune nie wysyła powiadomień podczas tworzenia nowych żądań ani zmienia stanu istniejącego żądania. Zalecamy, aby podczas przesyłania żądania pilnej zmiany skontaktować się z osobami, które mają uprawnienia do zatwierdzania tych żądań.

  • Zaplanuj monitorowanie stanu żądań za pośrednictwem strony Moje żądania węzła Zatwierdzanie przez wielu administratorów w centrum administracyjnym usługi Microsoft Intune.

  • Gdy zatwierdzenie jest już oczekujące na obiekt, nie można przesłać dla niego nowego żądania.

  • Wszystkie akcje dla chronionego zasobu są chronione, w tym między innymi:

    • Edytuj
    • Tworzenie
    • Modyfikowanie
    • Usuń
    • Przypisz

  • Akcje dla żądań i procesu zatwierdzania są rejestrowane w dziennikach inspekcji usługi Intune. Aby uzyskać więcej informacji, zobacz Dzienniki inspekcji dla działań usługi Intune.

  • Dla żądania są dostępne następujące warunki stanu:

    • Wymaga zatwierdzenia — to żądanie oczekuje na akcję przez osobę zatwierdzającą.
    • Zatwierdzone — to żądanie jest przetwarzane przez usługę Intune.
    • Ukończono — to żądanie zostało pomyślnie zastosowane.
    • Odrzucone — to żądanie zostało odrzucone przez osobę zatwierdzającą.
    • Anulowano — to żądanie zostało anulowane przez administratora, który go przesłał.

Następne kroki

Zarządzanie kontrolą dostępu opartą na rolach