Partilhar via

Utilizar políticas de Acesso para exigir várias aprovações administrativas

  • Artigo

Para ajudar a proteger contra uma conta administrativa comprometida, utilize as políticas de acesso do Intune para exigir que seja utilizada uma segunda conta administrativa para aprovar uma alteração antes de a alteração ser aplicada. Esta capacidade é conhecida como aprovação administrativa múltipla (MAA).

Com o MAA, pode configurar políticas de acesso que protegem configurações específicas, como Aplicações ou Scripts para dispositivos. As políticas de acesso especificam o que está protegido e que grupo de contas tem permissão para aprovar alterações a esses recursos.

Quando qualquer conta no Inquilino é utilizada para fazer uma alteração a um recurso protegido por uma política de acesso, o Intune não aplicará a alteração até que uma conta diferente a aprove explicitamente. Apenas os administradores que sejam membros de um grupo de aprovação que tenha atribuído um recurso protegido numa política de proteção de acesso podem aprovar alterações. Os aprovadores também podem rejeitar pedidos de alteração.

As políticas de acesso são suportadas para os seguintes recursos:

  • Aplicações – aplica-se a implementações de aplicações, mas não se aplica a políticas de proteção de aplicações.
  • Scripts – aplica-se à implementação de scripts em dispositivos com o Windows.
  • Políticas de Acesso – aplica-se à criação ou gestão de várias políticas de aprovação administrativa.

Pré-requisitos para políticas de acesso e aprovadores

Para utilizar a aprovação multi administrativa, o inquilino tem de ter, pelo menos, duas contas de administrador. Será utilizada uma conta para efetuar uma alteração no inquilino. A segunda conta será utilizada para aprovar a alteração.

Para criar uma política de acesso, tem de ser atribuída à sua conta a função Administrador de Serviços do Intune ou Administrador Global do Azure ou ser-lhe atribuídas as permissões de Aprovação Multidmin adequadas para uma função do Intune. Os administradores que gerem as políticas de acesso especificamente para a aprovação de vários administradores necessitam da permissão Aprovação para Aprovação multiadministrador .

Para ser um aprovador para políticas de acesso, uma conta tem de estar no grupo de aprovadores atribuído à política de acesso para um tipo específico de recurso.

Se a sua organização permitir administradores não licenciados para funções do Intune, todos os grupos de aprovadores também têm de ser um grupo membro de uma ou mais atribuições de funções do Intune.

Como funcionam as políticas de acesso e aprovação de vários administradores

Quando um administrador edita ou cria um novo objeto para uma área protegida por uma política de acesso, vê uma opção na superfície Guardar + Rever , onde pode introduzir uma descrição da alteração como justificação comercial.

  • A justificação comercial torna-se parte do pedido de aprovação para a alteração.
  • Um administrador que tenha submetido uma alteração pode ver o estado dos respetivos pedidos no centro de administração do Microsoft Intune ao aceder àAprovação multiadministrador da administração>de inquilinose visualizar a página O meu pedido.

Depois de uma alteração ser submetida, um aprovador navega para a página Pedido recebido do nó Aprovação de Vários Administradores . Aqui, verá uma lista de pedidos que estão ativos ou geridos recentemente. Esta vista fornece alguns detalhes sobre o pedido, incluindo quando e quem o submeteu, o tipo de operação envolvida, como Criar ou Atribuir, e o respetivo estado. Para gerir o pedido:

  • O aprovador seleciona a ligação Justificação comercial para o pedido. Esta ação abre o painel Pedido de política de acesso onde pode ver mais informações sobre a alteração, incluindo os detalhes completos fornecidos no campo Justificação comercial do pedido.
  • No painel Pedido de política de acesso, o aprovador pode introduzir notas no campo Notas do Aprovador e, em seguida, selecionar uma opção para Aprovar pedido ou Rejeitar pedido. Estas notas são adicionadas ao pedido e são visíveis para o indivíduo que pediu a alteração quando revê os pedidos na página O meu pedido . Por exemplo, se o pedido for rejeitado, o motivo da rejeição pode ser repercutido no requerente através das notas do Aprovador.
  • Os indivíduos que submetem um pedido e também são membros do grupo de aprovação para os quais podem ver os seus próprios pedidos na página Pedido recebido. No entanto, não podem aprovar os seus próprios pedidos.

Se uma alteração for aprovada, o Intune processa a alteração pedida e atualiza o objeto. Enquanto o Intune processa o pedido, o respetivo estado pode ser apresentado como Aprovado. Depois de ser processado com êxito, o estado é atualizado para Concluído.

Cada alteração de estado permanece visível até 30 dias após a última alteração do estado. Se um pedido não for processado mais dentro de 30 dias, este será Expirado e terá de ser novamente submetido.

Criar uma política de acesso

  1. Para criar uma política de acesso, no centro de administração do Microsoft Intune, aceda a Administração> deinquilinos Políticas de Acesso deAdministração> Multidmin e selecione Criar.

  2. Na página Noções básicas , forneça um Nome e uma Descrição opcional e, para Tipo de perfil , selecione uma das opções disponíveis. Cada política suporta um único tipo de perfil.

  3. Na página Aprovadores, selecione Adicionar grupos e, em seguida, selecione um grupo como o grupo de aprovadores para esta política. As configurações mais complexas que excluem grupos não são suportadas.

  4. Na página Rever + Criar , reveja e, em seguida, guarde as alterações. Depois de o Intune aplicar esta política, as configurações para o tipo de perfil protegido exigirão várias aprovações de administrador.

Submeter um pedido

Para submeter um pedido quando o MAA está ativado, utilize o processo normal para criar ou editar um recurso.

Na página final antes de poder guardar as alterações, adicione detalhes ao campo Justificação comercial e, em seguida, submeta o pedido. Para pedidos urgentes, considere contactar uma lista conhecida de aprovadores para garantir que o seu pedido é visto atempadamente.

Quando existe um pedido para o mesmo objeto que já está pendente de aprovação, não poderá submeter o pedido. O Intune apresenta uma mensagem para alertá-lo para esta situação.

Para monitorizar o estado dos seus pedidos, no centro de administração do Microsoft Intune, aceda a Administração de inquilinos Aprovação>>MultidminOs meus pedidos.

Pode cancelar um pedido antes de ser aprovado ao selecioná-lo na página Os meus pedidos e, em seguida, selecionar Cancelar pedido.

Aprovar pedidos

  1. Para localizar pedidos de aprovação, no centro de administração do Microsoft Intune, aceda a Administração de inquilinosPedidos recebidospela Administração>> Multidmin.

  2. Selecione a ligação Justificação comercial para um pedido para abrir a página de revisão, onde pode saber mais sobre o pedido e gerir a aprovação ou rejeição.

  3. Depois de rever os detalhes, introduza os detalhes relevantes no campo Notas do Aprovador e, em seguida, selecione Aprovar pedido ou Rejeitar pedido.

  4. Depois de aprovar um pedido, o requerente tem de selecionar Concluído. O Intune processará a alteração e alterará o estado para Concluído. Verifique se a aprovação foi bem-sucedida (ou falhou) ao rever a notificação da consola após a conclusão.

    Para verificar se a aprovação foi bem-sucedida (ou falhou), veja as notificações no centro de administração do Intune. Uma mensagem mostra se a aprovação foi concluída com êxito ou falhou.

Mais considerações

  • O Intune não envia notificações quando são criados novos pedidos ou o estado de um pedido existente é alterado. Recomendamos que, ao submeter um pedido de alteração urgente, contacte as pessoas que têm permissão para aprovar esses pedidos.

  • Planeie monitorizar o estado dos seus pedidos através da página Os meus pedidos do nó Aprovação multi admin no centro de administração do Microsoft Intune.

  • Quando uma aprovação já está pendente para um objeto, não é possível submeter um novo pedido para o mesmo.

  • Todas as ações de um recurso protegido estão protegidas, incluindo, entre outros:

    • Editar
    • Criar
    • Modificar
    • Excluir
    • Atribuir

  • As ações para pedidos e o processo de aprovação são registadas nos registos de auditoria do Intune. Para obter mais informações, veja Registos de auditoria para atividades do Intune.

  • As seguintes condições de estado estão disponíveis para um pedido:

    • Precisa de aprovação – este pedido está pendente de uma ação por parte de um aprovador.
    • Aprovado – este pedido está a ser processado pelo Intune.
    • Concluído – este pedido foi aplicado com êxito.
    • Rejeitado – este pedido foi rejeitado por um aprovador.
    • Cancelado – este pedido foi cancelado pelo administrador que o submeteu.

Próximas etapas

Gerir o controlo de acesso baseado em funções