使用存取原則來要求多個系統管理核准
若要協助防範遭入侵的系統管理帳戶,請使用 Intune 存 取原則 ,要求在套用變更之前,先使用第二個系統管理帳戶來核准變更。 這項功能稱為 MAA) (多個系統管理核准。
使用 MAA,您可以設定存取原則來保護特定設定,例如裝置的應用程式或腳本。 存取原則會指定受保護的專案,以及允許哪些帳戶群組核准這些資源的變更。
當租使用者中的任何帳戶用來變更受存取原則保護的資源時,在不同的帳戶明確核准之前,Intune 將不會套用變更。 只有身為存取保護原則中受保護資源之核准群組成員的系統管理員,才能核准變更。 核准者也可以拒絕變更要求。
下列資源支援存取原則:
存取原則和核准者的必要條件
若要使用多重系統管理核准,您的租用戶必須至少有兩個系統管理員帳戶。 一個帳戶將用來在租用戶中執行變更,第二個帳戶將用來核准變更。
若要建立存取原則,您的帳戶必須獲指派 Intune 服務管理員 或 Azure 全域管理員 角色,或獲指派 Intune 角色的適當多管理員核准許可權。 特別針對多系統管理員核准管理存取原則的系統管理員,需要 多管理員核准 許可權的核准。
若要成為存取原則的核准者,帳戶必須位於指派給特定資源類型之存取原則的核准者群組中。
如果您的組織允許未授權的系統管理員使用 Intune 角色,則所有核准者群組也必須是一或多個 Intune 角色指派的成員群組。
多管理員核准和存取原則的運作方式
當系統管理員針對 受存取原則保護的區域編輯或建立新物件時,他們會在 [ 儲存 + 檢閱 ] 介面上看到一個選項,他們可以在其中輸入變更的描述作為 業務理由。
- 業務理由會成為變更核准要求的一部分。
- 已提交變更的系統管理員可以在 Microsoft Intune 系統管理中心 檢視其要求的狀態,方法是前往 租用戶系統管理>多系統管理員核准 並檢視 [我的要求 ] 頁面。
提交變更之後,核准者會流覽至 [多系統管理員核准] 節點的 [已接收的要求] 頁面。 在這裡,他們會看到作用中或最近受管理的要求清單。 此檢視提供要求的一些詳細數據,包括提交要求的時間和人員、涉及的作業類型,例如 建立 或 指派,以及其狀態。 若要管理要求:
- 核准者會選取要求的 商務理由 連結。 此動作會開啟 [存取原則要求] 窗格,您可以在其中檢視變更的詳細資訊,包括要求的 [業務理由] 字段中提供的完整詳細數據。
- 在 [存取原則要求] 窗格中,核准者可以在 [核 准者附註 ] 字段中輸入附註,然後選取 [核 准要求 ] 或 [ 拒絕要求] 的選項。 這些附注會新增至要求,並要求變更的人員在 [ 我的要求 ] 頁面上檢閱其要求時會看到這些附註。 例如,如果要求遭到拒絕,則可以透過核准者附注將拒絕的原因傳回給要求者。
- 提交要求且也是核准群組成員的個人,可以在 [收到的要求] 頁面上看到自己的要求。 不過,他們無法核准自己的要求。
如果已核准變更,Intune 會處理要求的變更並更新物件。 當 Intune 處理要求時,其狀態可以顯示為 [已 核准]。 成功處理之後,狀態會更新為 [ 已完成]。
在上次變更狀態之後,狀態的每個變更 最多會顯示 30 天。 如果要求未在 30 天內進一步處理,則會變成 已過期,且必須重新提交。
建立存取原則
若要建立存取原則, 請在 Microsoft Intune 系統管理中心中,移至 [租使用者管理>] [多系統管理員管理>存取 原則],然後選取 [ 建立]。
在 [ 基本概念] 頁面上,提供 [名稱] 和選用的 [描述],並針對 [配置文件類型 ] 從可用的選項中選取。 每個原則都支援單一配置檔類型。
在 [核 准者] 頁面上,選取 [ 新增群組 ],然後選取群組作為此原則的核准者群組。 不支援排除群組的更複雜設定。
在 [ 檢閱 + 建立] 頁面上,檢閱並儲存您的變更。 在 Intune 套用此原則之後,受保護配置檔類型的設定將需要多個系統管理員核准。
提交要求
若要在啟用 MAA 時提交要求,請使用您的一般程式來建立或編輯資源。
在儲存變更之前的最後一頁上,將詳細數據新增至 [商務理由 ] 字段,然後提交要求。 對於緊急要求,請考慮連絡已知的核准者清單,以確保及時看到您的要求。
當對已經擱置核准的相同物件提出要求時,您將無法提交您的要求。 Intune 會顯示一則訊息,以警示您發生這種情況。
若要監視要求的狀態, 請在 Microsoft Intune 系統管理中心 移至 租用戶系統管理>多系統管理員核准>我的要求。
您可以從 [我的要求] 頁面選取要求,然後選取 [ 取消要求],以在核准之前取消要求。
核准要求
若要尋找要核准的要求, 請在 Microsoft Intune 系統管理中心 移至 租用戶系統管理>多系統管理>接收的要求。
選取要求的 [商務理由 ] 連結,以開啟檢閱頁面,您可以在其中深入瞭解要求,以及管理核准或拒絕。
檢閱詳細數據之後,請在 [核准者附註] 欄位中輸入相關詳細數據,然後選取 [ 核准要求 ] 或 [ 拒絕要求]。
核准要求之後,要求者需要選取 [ 完成]。 Intune 會處理變更,並將狀態變更為 [已完成]。 藉由在完成時檢閱控制台通知,確認核准成功 (或) 失敗。
若要確認核准是否成功 (或) 失敗,請查看 Intune 系統管理中心的通知。 顯示核准成功或失敗的訊息。
更多考慮
Intune 不會在建立新要求或現有要求的狀態變更時傳送通知。 建議您在提交緊急變更要求時,連絡有權核准這些要求的個人。
規劃透過 Microsoft Intune 系統管理中心的 [多系統管理員核准] 節點的 [我的要求] 頁面來監視要求的狀態。
當物件的核准已擱置時,就無法提交新的要求。
受保護資源的所有動作都會受到保護,包括但不限於:
- 編輯
- 建立
- 修改
- 刪除
- Assign
要求和核准程序的動作會記錄在Intune稽核記錄中。 如需詳細資訊,請參閱 Intune 活動的稽核記錄。
下列狀態條件適用於要求:
- 需要核准 – 此要求正由核准者擱置動作。
- 已核准 – Intune 正在處理此要求。
- 已完成 – 此要求已成功套用。
- 已拒絕 – 核准者已拒絕此要求。
- 已取消 – 提交此要求的系統管理員已取消此要求。
後續步驟
管理 角色型訪問控制