Utiliser des stratégies d’accès pour exiger plusieurs approbations administratives

  • Article

Pour vous protéger contre un compte d’administration compromis, utilisez des stratégies d’accès Intune pour exiger qu’un deuxième compte d’administration soit utilisé pour approuver une modification avant l’application de la modification. Cette fonctionnalité est appelée approbation administrative multiple (MAA).

Avec MAA, vous configurez des stratégies d’accès qui protègent des configurations spécifiques, telles que les applications ou les scripts pour les appareils. Les stratégies d’accès spécifient ce qui est protégé et le groupe de comptes autorisé à approuver les modifications apportées à ces ressources.

Lorsqu’un compte dans le locataire est utilisé pour apporter une modification à une ressource protégée par une stratégie d’accès, Intune n’applique pas la modification tant qu’un autre compte ne l’approuve pas explicitement. Seuls les administrateurs membres d’un groupe d’approbation auquel une ressource protégée est affectée dans une stratégie de protection d’accès peuvent approuver les modifications. Les approbateurs peuvent également rejeter les demandes de modification.

Les stratégies d’accès sont prises en charge pour les ressources suivantes :

  • Applications : s’applique aux déploiements d’applications, mais ne s’applique pas aux stratégies de protection des applications.
  • Scripts : s’applique au déploiement de scripts sur des appareils qui exécutent Windows.

Prérequis pour les stratégies d’accès et les approbateurs

Pour utiliser l’approbation multiadministratrice, votre locataire doit avoir au moins deux comptes d’administrateur.

Pour créer une stratégie d’accès, le rôle Administrateur de service Intune ou Administrateur général Azure doit être attribué à votre compte.

Pour être un approbateur, un compte doit se trouver dans le groupe affecté à la stratégie d’accès pour un type spécifique de ressource.

Si votre organization autorise les administrateurs sans licence pour les rôles Intune, tous les groupes d’approbateurs doivent également être membres d’une ou plusieurs attributions de rôles Intune.

Fonctionnement des stratégies d’approbation multi-administrateur et d’accès

Lorsqu’un administrateur modifie ou crée un nouvel objet pour une zone protégée par une stratégie d’accès, il voit une option dans la surface Enregistrer + vérifier où il peut entrer une description de la modification comme justification métier.

  • La justification métier fait partie de la demande d’approbation pour la modification.
  • Un administrateur qui a soumis une modification peut afficher les status de ses demandes dans le Centre d’administration Microsoft Intune en accédant à Administration du locataire>Approbation multi-Administration et en consultant la page Ma demande.

Une fois qu’une modification est envoyée, un approbateur accède à la page Demande reçue du nœud Approbation multi-Administration. Ici, ils verront une liste des demandes actives ou gérées récemment. Cette vue fournit des détails sur la demande, notamment quand et qui l’a envoyée, le type d’opération impliquée comme Créer ou Attribuer, et son status. Pour gérer la demande :

  • L’approbateur sélectionne le lien Justification métier pour la demande. Cette action ouvre le volet Demande de stratégie d’accès dans lequel vous pouvez afficher plus d’informations sur la modification, notamment les détails complets fournis dans le champ Justification métier de la demande.
  • Dans le volet Demande de stratégie d’accès, l’approbateur peut entrer des notes dans le champ Notes de l’approbateur , puis sélectionner une option pour Approuver la demande ou Rejeter la demande. Ces notes sont ajoutées à la demande et sont visibles par la personne qui a demandé la modification lorsqu’elle examine ses demandes sur la page Ma demande . Par exemple, si la demande est rejetée, la raison du rejet peut être renvoyée au demandeur via les notes de l’approbateur.
  • Les personnes qui envoient une demande et qui sont également membres du groupe d’approbation pour qui peuvent voir leurs propres demandes sur la page Demande reçue. Toutefois, ils ne peuvent pas approuver leurs propres demandes.

Si une modification est approuvée, Intune traite la modification demandée et met à jour l’objet. Alors qu’Intune traite la requête, son status peut s’afficher comme Approuvé. Une fois qu’il a été correctement traité, le status est mis à jour sur Terminé.

Chaque modification de status reste visible jusqu’à 30 jours après la dernière modification de status. Si une demande n’est pas traitée ultérieurement dans les 30 jours, elle devient expirée et doit être renvoyée.

Créer une stratégie d’accès

  1. Pour créer une stratégie d’accès, dans le centre d’administration Microsoft Intune, accédez à Administration> du locataireStratégies d’accès multi Administration administration>, puis sélectionnez Créer.

  2. Dans la page Informations de base , fournissez un nom et une description facultative, puis, pour Type de profil , sélectionnez parmi les options disponibles. Chaque stratégie prend en charge un type de profil unique.

  3. Dans la page Approbateurs, sélectionnez Ajouter des groupes , puis sélectionnez un groupe comme groupe d’approbateurs pour cette stratégie. Les configurations plus complexes qui excluent les groupes ne sont pas prises en charge.

  4. Dans la page Vérifier + créer , passez en revue, puis enregistrez vos modifications. Une fois qu’Intune a appliqué cette stratégie, les configurations pour le type de profil protégé nécessitent plusieurs approbations d’administrateur.

Envoyer une demande

Pour envoyer une demande lorsque MAA est activé, utilisez votre processus normal pour créer ou modifier une ressource.

Dans la dernière page avant de pouvoir enregistrer vos modifications, ajoutez des détails au champ Justification métier , puis envoyez la demande. Pour les demandes urgentes, envisagez de contacter une liste connue d’approbateurs pour vous assurer que votre demande est vue en temps voulu.

Lorsqu’il existe une demande pour le même objet qui est déjà en attente d’approbation, vous ne pouvez pas envoyer votre demande. Intune affiche un message pour vous avertir de cette situation.

Pour surveiller la status de vos demandes, dans le centre d’administration Microsoft Intune, accédez à Administration> du locataireApprobation multi Administration>Mes demandes.

Vous pouvez annuler une demande avant son approbation en la sélectionnant dans la page Mes demandes, puis en sélectionnant Annuler la demande.

Approuver les demandes

  1. Pour rechercher les demandes à approuver, dans le centre d’administration Microsoft Intune, accédez à Administration> du locataireDemandes Administration>administration reçues.

  2. Sélectionnez le lien Justification métier d’une demande pour ouvrir la page de révision dans laquelle vous pouvez en savoir plus sur la demande et gérer l’approbation ou le rejet.

  3. Après avoir examiné les détails, entrez les détails pertinents dans le champ Notes de l’approbateur, puis sélectionnez Approuver la demande ou Rejeter la demande.

  4. Une fois que vous avez approuvé une demande, le demandeur doit sélectionner Terminer. Intune traite la modification et remplace le status par Terminé. Vérifiez que l’approbation a réussi (ou échoué) en examinant la notification de la console à l’achèvement.

    Pour vérifier si l’approbation a réussi (ou échoué), consultez les notifications dans le Centre d’administration Intune. Un message indique si l’approbation a réussi ou échoué.

Autres considérations à prendre en compte

  • Intune n’envoie pas de notifications lorsque de nouvelles demandes sont créées ou que l’status d’une requête existante change. Lors de l’envoi d’une demande de modification urgente, nous vous recommandons de contacter les personnes autorisées à approuver ces demandes.

  • Prévoyez de surveiller la status de vos demandes via la page Mes demandes du nœud Approbation multi-Administration dans le centre d’administration Microsoft Intune.

  • Lorsqu’une approbation est déjà en attente pour un objet, une nouvelle demande ne peut pas être envoyée pour celui-ci.

  • Toutes les actions d’une ressource protégée sont protégées, y compris mais sans s’y limiter :

    • Modifier
    • Créer
    • Modifier
    • Supprimer
    • Affecter

  • Les actions pour les demandes et le processus d’approbation sont consignées dans les journaux d’audit Intune. Pour plus d’informations, consultez Journaux d’audit pour les activités Intune.

  • Les conditions de status suivantes sont disponibles pour une demande :

    • A besoin d’approbation : cette demande est en attente d’une action de la part d’un approbateur.
    • Approuvé : cette demande est en cours de traitement par Intune.
    • Terminé : cette demande a été appliquée avec succès.
    • Rejeté : cette demande a été rejetée par un approbateur.
    • Annulé : cette demande a été annulée par l’administrateur qui l’a envoyée.

Étapes suivantes

Gérer le contrôle d’accès en fonction du rôle