Använda åtkomstprinciper för att kräva flera administrativa godkännanden

  • Artikel

För att skydda mot ett komprometterat administrativt konto använder du Intune-åtkomstprinciper för att kräva att ett andra administrativt konto används för att godkänna en ändring innan ändringen tillämpas. Den här funktionen kallas för flera administrativa godkännanden (MAA).

Med MAA konfigurerar du åtkomstprinciper som skyddar specifika konfigurationer, till exempel appar eller skript för enheter. Åtkomstprinciper anger vad som är skyddat och vilken grupp av konton som tillåts godkänna ändringar av dessa resurser.

När ett konto i klientorganisationen används för att göra en ändring i en resurs som skyddas av en åtkomstprincip tillämpar Intune inte ändringen förrän ett annat konto uttryckligen godkänner den. Endast administratörer som är medlemmar i en godkännandegrupp som har tilldelats en skyddad resurs i en åtkomstskyddsprincip kan godkänna ändringar. Godkännare kan också avvisa ändringsbegäranden.

Åtkomstprinciper stöds för följande resurser:

  • Appar – gäller för appdistributioner, men gäller inte för appskyddsprinciper.
  • Skript – gäller för distribution av skript till enheter som kör Windows.

Krav för åtkomstprinciper och godkännare

Om du vill använda flera administrativa godkännanden måste klientorganisationen ha minst två administratörskonton.

Om du vill skapa en åtkomstprincip måste ditt konto tilldelas rollen Intune-tjänstadministratör eller Global Azure-administratör .

För att vara godkännare måste ett konto finnas i den grupp som har tilldelats åtkomstprincipen för en viss typ av resurs.

Om din organisation tillåter olicensierade administratörer för Intune-roller måste alla godkännargrupper också vara medlem i en eller flera Intune-rolltilldelningar.

Så här fungerar principer för godkännande av flera administratörer och åtkomstprinciper

När en administratör redigerar eller skapar ett nytt objekt för ett område som skyddas av en åtkomstprincip visas ett alternativ på sidan Spara + granska där de kan ange en beskrivning av ändringen som en affärsmotivering.

  • Affärsmotivering blir en del av godkännandebegäran för ändringen.
  • En administratör som har skickat en ändring kan visa status för sina begäranden i Microsoft Intune administrationscenter genom att gå till Innehavaradministration>Flera Admin Godkännande och visa sidan Min begäran.

När en ändring har skickats navigerar en godkännare till sidan Mottagen begäran i noden Godkännande för flera Admin. Här visas en lista över begäranden som är aktiva eller nyligen hanterade. Den här vyn innehåller information om begäran, inklusive när och vem som skickade den, vilken typ av åtgärd som ingår, till exempel Skapa eller Tilldela och dess status. Så här hanterar du begäran:

  • Godkännaren väljer länken Affärsmotivering för begäran. Den här åtgärden öppnar fönstret Åtkomstprincipbegäran där du kan visa mer information om ändringen, inklusive fullständig information som anges i fältet Affärsmotivering i begäran.
  • I fönstret Begäran om åtkomstprincip kan godkännaren ange anteckningar i fältet Godkännareanteckningar och sedan välja ett alternativ för att godkänna begäran eller Avvisa begäran. Dessa anteckningar läggs till i begäran och är synliga för den person som begärde ändringen när de granskar sina begäranden på sidan Min begäran . Om begäran till exempel avvisas kan orsaken till avvisandet skickas tillbaka till beställaren via godkännarens anteckningar.
  • Personer som skickar en begäran och även är medlemmar i godkännandegruppen för som kan se sina egna begäranden på sidan Mottagen begäran. De kan dock inte godkänna sina egna begäranden.

Om en ändring godkänns bearbetar Intune den begärda ändringen och uppdaterar objektet. Medan Intune bearbetar begäran kan dess status visas som Godkänd. När den har bearbetats uppdateras statusen till Slutförd.

Varje statusändring förblir synlig i upp till 30 dagar efter den senaste statusändringen. Om en begäran inte bearbetas ytterligare inom 30 dagar blir den Förfallen och måste skickas på nytt.

Skapa en åtkomstprincip

  1. Om du vill skapa en åtkomstprincip går du till>administrationscentret för Microsoft Intune fleraAdmin administration>och väljerSkapa.

  2. På sidan Grundläggande anger du ett Namn och en valfri Beskrivning, och för Profiltyp väljer du bland tillgängliga alternativ. Varje princip stöder en enskild profiltyp.

  3. sidan Godkännare väljer du Lägg till grupper och väljer sedan en grupp som grupp av godkännare för den här principen. Mer komplexa konfigurationer som exkluderar grupper stöds inte.

  4. På sidan Granska + skapa granskar du och sparar sedan ändringarna. När Intune tillämpar den här principen kräver konfigurationer för den skyddade profiltypen flera administratörsgodkännanden.

Skicka en begäran

Om du vill skicka en begäran när MAA är aktiverat använder du din normala process för att skapa eller redigera en resurs.

På den sista sidan innan du kan spara ändringarna lägger du till information i fältet Affärsmotivering och skickar sedan begäran. För brådskande begäranden kan du kontakta en känd lista över godkännare för att säkerställa att din begäran visas i tid.

När det finns en begäran om samma objekt som redan väntar på godkännande kan du inte skicka din begäran. Intune visar ett meddelande som varnar dig om den här situationen.

Om du vill övervaka statusen för dina begäranden går du till administrationscentret för Microsoft Intuneklientorganisation>flera Admin Godkännande>mina begäranden.

Du kan avbryta en begäran innan den godkänns genom att välja den på sidan Mina begäranden och sedan välja Avbryt begäran.

Godkänna begäranden

  1. Om du vill hitta begäranden om att godkänna går du till Microsoft Intune administrationscenter för klientadministration>flera Admin mottagna>begäranden.

  2. Välj länken Affärsmotivering för en begäran för att öppna granskningssidan där du kan lära dig mer om begäran och hantera godkännande eller avvisande.

  3. När du har granskat informationen anger du relevant information i fältet Godkännareanteckningar och väljer sedan Godkänn begäran eller Avvisa begäran.

  4. När du har godkänt en begäran måste beställaren välja Slutför. Intune bearbetar ändringen och ändrar statusen till Slutförd. Kontrollera att godkännandet lyckades (eller misslyckades) genom att granska konsolmeddelandet när det har slutförts.

    Kontrollera om godkännandet lyckades (eller misslyckades) genom att titta på meddelandena i Administrationscenter för Intune. Ett meddelande visar om godkännandet lyckades eller misslyckades.

Fler överväganden

  • Intune skickar inte meddelanden när nya begäranden skapas eller statusen för en befintlig begäran ändras. Vi rekommenderar att du kontaktar personer som har behörighet att godkänna dessa begäranden när du skickar en brådskande ändringsbegäran.

  • Planera att övervaka statusen för dina begäranden via sidan Mina begäranden på noden Multi Admin Approval (Godkännande av flera Admin) i Microsoft Intune administrationscenter.

  • När ett godkännande redan väntar på ett objekt kan en ny begäran inte skickas för det.

  • Alla åtgärder för en skyddad resurs är skyddade, inklusive men inte begränsade till:

    • Redigera
    • Create
    • Ändra
    • Radera
    •                              Tilldela                                           

  • Åtgärder för begäranden och godkännandeprocessen loggas i Intune-granskningsloggarna. Mer information finns i Granskningsloggar för Intune-aktiviteter.

  • Följande statusvillkor är tillgängliga för en begäran:

    • Behöver godkännande – den här begäran väntar på åtgärd av en godkännare.
    • Godkänd – Den här begäran bearbetas av Intune.
    • Slutförd – Den här begäran har tillämpats.
    • Avvisad – Denna begäran avvisades av en godkännare.
    • Avbruten – Den här begäran avbröts av administratören som skickade den.

Nästa steg

Hantera rollbaserad åtkomstkontroll