Usar políticas de acesso para exigir várias aprovações administrativas
Para ajudar a proteger contra uma conta administrativa comprometida, use as políticas de acesso do Intune para exigir que uma segunda conta administrativa seja usada para aprovar uma alteração antes que a alteração seja aplicada. Essa funcionalidade é conhecida como MAA (aprovação administrativa múltipla).
Com o MAA, você configura políticas de acesso que protegem configurações específicas, como Aplicativos ou Scripts para dispositivos. As políticas de acesso especificam o que está protegido e qual grupo de contas tem permissão para aprovar alterações nesses recursos.
Quando qualquer conta no Locatário é usada para fazer uma alteração em um recurso protegido por uma política de acesso, o Intune não aplicará a alteração até que uma conta diferente a aprove explicitamente. Somente os administradores que são membros de um grupo de aprovação que atribuiu um recurso protegido em uma política de proteção de acesso podem aprovar alterações. Os aprovadores também podem rejeitar solicitações de alteração.
Há suporte para políticas de acesso para os seguintes recursos:
- Aplicativos – aplica-se a implantações de aplicativos, mas não se aplica a políticas de proteção de aplicativo.
- Scripts – aplica-se à implantação de scripts em dispositivos que executam o Windows.
Pré-requisitos para políticas de acesso e aprovadores
Para usar a aprovação multi administrativa, seu locatário deve ter pelo menos duas contas de administrador.
Para criar uma política de acesso, sua conta deve receber a função Administrador de Serviços do Intune ou Administrador Global do Azure .
Para ser um aprovador, uma conta deve estar no grupo atribuído à política de acesso para um tipo específico de recurso.
Se sua organização permitir administradores não habilitados para funções do Intune, todos os grupos aprovadores também deverão ser um grupo membro de uma ou mais atribuições de função do Intune.
Como funcionam as políticas de aprovação e acesso de vários administradores
Quando um administrador edita ou cria um novo objeto para uma área protegida por uma política de acesso, eles veem uma opção na superfície Salvar + Revisar , em que podem inserir uma descrição da alteração como uma justificativa comercial.
- A justificativa comercial torna-se parte da solicitação de aprovação da alteração.
- Um administrador que enviou uma alteração pode exibir o status de suas solicitações no centro de administração do Microsoft Intuneacessando a Administração de LocatáriosMulti Administração Aprovação e exibindo a página Minha solicitação>.
Depois que uma alteração é enviada, um aprovador navega até a página solicitação recebida do nó Aprovação multi-Administração. Aqui eles verão uma lista de solicitações que estão ativas ou gerenciadas recentemente. Essa exibição fornece alguns detalhes sobre a solicitação, incluindo quando e quem a enviou, o tipo de operação envolvida, como Criar ou Atribuir, e seus status. Para gerenciar a solicitação:
- O aprovador seleciona o link de justificativa comercial para a solicitação. Esta ação abre o painel Solicitação de política de acesso em que você pode exibir mais informações sobre a alteração, incluindo os detalhes completos fornecidos no campo de justificativa comercial da solicitação.
- No painel Solicitação de política de acesso, o aprovador pode inserir anotações no campo Notas do Aprovador e, em seguida, selecionar uma opção para Aprovar solicitação ou Rejeitar solicitação. Essas anotações são adicionadas à solicitação e ficam visíveis para o indivíduo que solicitou a alteração ao revisar suas solicitações na página Minha solicitação . Por exemplo, se a solicitação for rejeitada, o motivo da rejeição poderá ser passado de volta para o solicitante por meio das notas do Aprovador.
- Indivíduos que enviam uma solicitação e também são membros do grupo de aprovação para isso podem ver suas próprias solicitações na página solicitação recebida. No entanto, eles não podem aprovar suas próprias solicitações.
Se uma alteração for aprovada, o Intune processará a alteração solicitada e atualizará o objeto. Enquanto o Intune processa a solicitação, seu status pode ser exibido como Aprovado. Depois de processado com êxito, o status é atualizado para Concluído.
Cada alteração de status permanece visível por até 30 dias após a última alteração de status. Se uma solicitação não for processada ainda mais dentro de 30 dias, ela será expirada e deverá ser reenviada.
Criar uma política de acesso
Para criar uma política de acesso, no centro de administração Microsoft Intune, acesse Administração de locatáriosPolíticas de Acessoà Administração>> Multi-Administração e selecione Criar.
Na página Noções básicas , forneça um Nome e descrição opcional e, para tipo de perfil , selecione entre as opções disponíveis. Cada política dá suporte a um único tipo de perfil.
Na página Aprovadores, selecione Adicionar grupos e selecione um grupo como o grupo de aprovadores dessa política. Configurações mais complexas que excluem grupos não têm suporte.
Na página Revisar + Criar , examine e salve suas alterações. Depois que o Intune aplicar essa política, as configurações para o tipo de perfil protegido exigirão várias aprovações de administrador.
Enviar uma solicitação
Para enviar uma solicitação quando o MAA estiver habilitado, use o processo normal para criar ou editar um recurso.
Na página final antes de salvar suas alterações, adicione detalhes ao campo Justificativa comercial e envie a solicitação. Para solicitações urgentes, considere entrar em contato com uma lista conhecida de aprovadores para garantir que sua solicitação seja vista em tempo hábil.
Quando houver uma solicitação para o mesmo objeto que já está pendente de aprovação, você não poderá enviar sua solicitação. O Intune exibe uma mensagem para alertá-lo sobre essa situação.
Para monitorar o status de suas solicitações, no Microsoft Intune centro de administração vá para Administração> delocatários Multi Administração Aprovação>Minhas solicitações.
Você pode cancelar uma solicitação antes de ser aprovada selecionando-a na página Minhas solicitações e selecionando Cancelar solicitação.
Aprovar solicitações
Para encontrar solicitações para aprovar, no centro de administração Microsoft Intune vá para a administração> de locatáriosSolicitações recebidas porvários Administração administração>.
Selecione o link de justificativa comercial para uma solicitação para abrir a página de revisão em que você pode saber mais sobre a solicitação e gerenciar aprovação ou rejeição.
Depois de examinar os detalhes, insira detalhes relevantes no campo Notas do Aprovador e selecione Aprovar solicitação ou Rejeitar solicitação.
Depois de aprovar uma solicitação, o solicitante precisa selecionar Concluir. O Intune processará a alteração e alterará o status para Concluído. Verifique se a aprovação foi bem-sucedida (ou falhou) revisando a notificação do console após a conclusão.
Para verificar se a aprovação foi bem-sucedida (ou falhou), examine as notificações no centro de administração do Intune. Uma mensagem mostra se a aprovação foi bem-sucedida ou falhou.
Mais considerações
O Intune não envia notificações quando novas solicitações são criadas ou o status de uma solicitação existente é alterada. Recomendamos que, ao enviar uma solicitação de alteração urgente, você entre em contato com indivíduos que têm permissão para aprovar essas solicitações.
Planeje monitorar o status de suas solicitações por meio da página Minhas solicitações do nó Aprovação multi-Administração no centro de administração Microsoft Intune.
Quando uma aprovação já está pendente para um objeto, uma nova solicitação não pode ser enviada para ele.
Todas as ações para um recurso protegido são protegidas, incluindo, mas não se limitando a:
- Editar
- Criar
- Modificar
- Excluir
- Atribuir
As ações para solicitações e o processo de aprovação são registradas nos logs de auditoria do Intune. Para obter mais informações, consulte Audit logs para atividades do Intune.
As seguintes condições de status estão disponíveis para uma solicitação:
- Precisa de aprovação – essa solicitação está pendente por um aprovador.
- Aprovado – essa solicitação está sendo processada pelo Intune.
- Concluído – essa solicitação foi aplicada com êxito.
- Rejeitado – esse pedido foi rejeitado por um aprovador.
- Cancelada – essa solicitação foi cancelada pelo administrador que a enviou.
Próximas etapas
Gerenciar controle de acesso baseado em função
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de