Uso de directivas de acceso para requerir varias aprobaciones administrativas

  • Artículo

Para ayudar a protegerse frente a una cuenta administrativa en peligro, use directivas de acceso de Intune para requerir que se use una segunda cuenta administrativa para aprobar un cambio antes de que se aplique el cambio. Esta funcionalidad se conoce como aprobación administrativa múltiple (MAA).

Con MAA, puede configurar directivas de acceso que protejan configuraciones específicas, como aplicaciones o scripts para dispositivos. Las directivas de acceso especifican qué está protegido y qué grupo de cuentas pueden aprobar los cambios en esos recursos.

Cuando se usa cualquier cuenta del inquilino para realizar un cambio en un recurso protegido por una directiva de acceso, Intune no aplicará el cambio hasta que una cuenta diferente lo apruebe explícitamente. Solo los administradores que son miembros de un grupo de aprobación al que se asigna un recurso protegido en una directiva de protección de acceso pueden aprobar los cambios. Los aprobadores también pueden rechazar las solicitudes de cambio.

Las directivas de acceso son compatibles con los siguientes recursos:

  • Aplicaciones: se aplica a las implementaciones de aplicaciones, pero no a las directivas de protección de aplicaciones.
  • Scripts: se aplica a la implementación de scripts en dispositivos que ejecutan Windows.

Requisitos previos para directivas de acceso y aprobadores

Para usar la aprobación multiadministrador, el inquilino debe tener al menos dos cuentas de administrador.

Para crear una directiva de acceso, a la cuenta se le debe asignar el rol Administrador de servicios de Intune o Administrador global de Azure .

Para ser aprobador, una cuenta debe estar en el grupo asignado a la directiva de acceso para un tipo específico de recurso.

Si su organización permite a los administradores sin licencia para roles de Intune, todos los grupos de aprobadores también deben ser un grupo miembro de una o varias asignaciones de roles de Intune.

Funcionamiento de las directivas de acceso y aprobación multiadministrador

Cuando un administrador edita o crea un nuevo objeto para un área protegida por una directiva de acceso, ve una opción en la superficie Guardar y revisar , donde puede escribir una descripción del cambio como justificación empresarial.

  • La justificación empresarial pasa a formar parte de la solicitud de aprobación del cambio.
  • Un administrador que ha enviado un cambio puede ver el estado de sus solicitudes en el Centro de administración de Microsoft Intune yendo a Administración de inquilinos>Aprobación de varios Administración y viendo la página Mi solicitud.

Después de enviar un cambio, un aprobador navega a la página Solicitud recibida del nodo Aprobación de varios Administración. Aquí verán una lista de solicitudes que están activas o administradas recientemente. Esta vista proporciona algunos detalles sobre la solicitud, como cuándo y quién la envió, el tipo de operación implicada, como Crear o Asignar, y su estado. Para administrar la solicitud:

  • El aprobador selecciona el vínculo Justificación empresarial para la solicitud. Esta acción abre el panel Solicitud de directiva de acceso, donde puede ver más información sobre el cambio, incluidos los detalles completos proporcionados en el campo Justificación empresarial de la solicitud.
  • En el panel Solicitud de directiva de acceso, el aprobador puede escribir notas en el campo Notas del aprobador y, a continuación, seleccionar una opción para Aprobar solicitud o Rechazar solicitud. Estas notas se agregan a la solicitud y son visibles para la persona que solicitó el cambio cuando revisa sus solicitudes en la página Mi solicitud . Por ejemplo, si se rechaza la solicitud, el motivo del rechazo se puede devolver al solicitante a través de las notas del aprobador.
  • Las personas que envían una solicitud y también son miembros del grupo de aprobación para que puedan ver sus propias solicitudes en la página Solicitud recibida. Sin embargo, no pueden aprobar sus propias solicitudes.

Si se aprueba un cambio, Intune procesa el cambio solicitado y actualiza el objeto. Mientras Intune procesa la solicitud, su estado puede mostrarse como Aprobado. Una vez procesado correctamente, el estado se actualiza a Completado.

Cada cambio de estado permanece visible hasta 30 días después del último cambio de estado. Si una solicitud no se procesa más en un plazo de 30 días, se vuelve a expirar y se debe volver a enviar.

Crear una directiva de acceso

  1. Para crear una directiva de acceso, en el centro de administración de Microsoft Intune, vaya a Administración de inquilinos>Multi Administración Directivasdeacceso de administración > y seleccione Crear.

  2. En la página Aspectos básicos , proporcione un nombre y una descripción opcional y, en Tipo de perfil , seleccione entre las opciones disponibles. Cada directiva admite un único tipo de perfil.

  3. En la página Aprobadores, seleccione Agregar grupos y, a continuación, seleccione un grupo como grupo de aprobadores para esta directiva. No se admiten configuraciones más complejas que excluyan grupos.

  4. En la página Revisar y crear , revise y guarde los cambios. Una vez que Intune aplique esta directiva, las configuraciones del tipo de perfil protegido requerirán varias aprobaciones de administrador.

Enviar una solicitud

Para enviar una solicitud cuando maa está habilitado, use el proceso normal para crear o editar un recurso.

En la página final antes de poder guardar los cambios, agregue los detalles al campo Justificación empresarial y, a continuación, envíe la solicitud. En el caso de las solicitudes urgentes, considere la posibilidad de ponerse en contacto con una lista conocida de aprobadores para asegurarse de que la solicitud se ve oportunamente.

Cuando hay una solicitud para el mismo objeto que ya está pendiente de aprobación, no podrá enviar la solicitud. Intune muestra un mensaje para alertarle de esta situación.

Para supervisar el estado de las solicitudes, en el centro de administración de Microsoft Intune vaya a Administración>de inquilinos Multi Administración Aprobación>Mis solicitudes.

Para cancelar una solicitud antes de que se apruebe, selecciónela en la página Mis solicitudes y, a continuación, seleccione Cancelar solicitud.

Aprobar solicitudes

  1. Para buscar solicitudes para aprobar, en el centro de administración de Microsoft Intune vaya a Administración> deinquilinos Varias Administración Solicitudes>recibidas.

  2. Seleccione el vínculo Justificación empresarial de una solicitud para abrir la página de revisión, donde puede obtener más información sobre la solicitud y administrar la aprobación o el rechazo.

  3. Después de revisar los detalles, escriba los detalles pertinentes en el campo Notas del aprobador y, a continuación, seleccione Aprobar solicitud o Rechazar solicitud.

  4. Después de aprobar una solicitud, el solicitante debe seleccionar Completar. Intune procesará el cambio y cambiará el estado a Completado. Compruebe que la aprobación se realizó correctamente (o no se pudo) revisando la notificación de la consola al finalizar.

    Para comprobar si la aprobación se realizó correctamente (o no), examine las notificaciones en el Centro de administración de Intune. Un mensaje muestra si la aprobación se realizó correctamente o no.

Más consideraciones

  • Intune no envía notificaciones cuando se crean nuevas solicitudes o cambia el estado de una solicitud existente. Se recomienda que, al enviar una solicitud de cambio urgente, se comunique con las personas que tienen permiso para aprobar esas solicitudes.

  • Planee supervisar el estado de las solicitudes a través de la página Mis solicitudes del nodo Aprobación de varios Administración en el centro de administración de Microsoft Intune.

  • Cuando una aprobación ya está pendiente para un objeto, no se puede enviar una nueva solicitud para él.

  • Todas las acciones de un recurso protegido están protegidas, incluidos, entre otros:

    • Editar
    • Crear
    • Modify
    • Delete
    • Assign

  • Las acciones para las solicitudes y el proceso de aprobación se registran en los registros de auditoría de Intune. Para obtener más información, consulte Registros de auditoría para actividades de Intune.

  • Las siguientes condiciones de estado están disponibles para una solicitud:

    • Necesita aprobación: esta solicitud está pendiente de acción por parte de un aprobador.
    • Aprobado: Intune está procesando esta solicitud.
    • Completado: esta solicitud se ha aplicado correctamente.
    • Rechazado: un aprobador rechazó esta solicitud.
    • Cancelado: el administrador que la envió canceló esta solicitud.

Siguientes pasos

Administración del control de acceso basado en rol