Использование политик доступа для необходимости нескольких административных утверждений

  • Статья

Чтобы защититься от скомпрометированных административных учетных записей, используйте политики доступа Intune, чтобы требовать, чтобы вторая учетная запись администратора использовалась для утверждения изменения перед применением изменения. Эта возможность называется несколькими административными утверждениями (MAA).

С помощью MAA вы настраиваете политики доступа, которые защищают определенные конфигурации, такие как приложения или скрипты для устройств. Политики доступа определяют, что защищено и какая группа учетных записей может утверждать изменения в этих ресурсах.

Если какая-либо учетная запись в клиенте используется для внесения изменений в ресурс, защищенный политикой доступа, Intune не будет применять это изменение, пока другая учетная запись не утвердит его явным образом. Только администраторы, являющиеся членами группы утверждения, которым назначен защищенный ресурс в политике защиты доступа, могут утверждать изменения. Утверждающие также могут отклонять запросы на изменение.

Политики доступа поддерживаются для следующих ресурсов:

  • Приложения — применяется к развертываниям приложений, но не применяется к политикам защиты приложений.
  • Скрипты — применяется к развертыванию скриптов на устройствах под управлением Windows.

Предварительные требования для политик доступа и утверждающих лиц

Чтобы использовать многоадминистраторное утверждение, клиент должен иметь по крайней мере две учетные записи администратора.

Чтобы создать политику доступа, вашей учетной записи должна быть назначена роль администратора службы Intune или глобального администратора Azure .

Чтобы быть утверждающим, учетная запись должна находиться в группе, назначенной политике доступа для определенного типа ресурса.

Если ваша организация разрешает нелицензированные администраторы для ролей Intune, все группы утверждающих также должны быть членами группы одного или нескольких назначений ролей Intune.

Как работают политики утверждения несколькими администраторами и доступа

Когда администратор изменяет или создает новый объект для области, защищенной политикой доступа, он видит параметр в области Сохранить и проверить , где он может ввести описание изменения в качестве бизнес-обоснования.

  • Бизнес-обоснование становится частью запроса на утверждение изменения.
  • Администратор, отправивший изменения, может просмотреть состояние своих запросов в Центре администрирования Microsoft Intune, перейдя в раздел Администрирование> клиентаМного Администратор утверждение и просмотрев страницу Мой запрос.

После отправки измененийутверждающий переходит на страницу Полученный запрос узла Утверждение нескольких Администратор. Здесь они увидят список активных или недавно управляемых запросов. В этом представлении содержатся некоторые сведения о запросе, в том числе о том, когда и кто его отправил, тип операции, например создание или назначение, а также его состояние. Чтобы управлять запросом, выполните следующие действия.

  • Утверждающий выбирает ссылку Бизнес-обоснование для запроса. Это действие открывает область Запрос политики доступа, где можно просмотреть дополнительные сведения об изменении, включая полные сведения, указанные в поле Бизнес-обоснование запроса.
  • На панели Запрос политики доступа утверждающий может ввести заметки в поле Заметок утверждающего , а затем выбрать вариант Утвердить запрос или Отклонить запрос. Эти примечания добавляются в запрос и отображаются пользователю, запросившему изменение, при просмотре своих запросов на странице Мой запрос . Например, если запрос отклонен, причину отклонения можно передать обратно инициатору запроса через заметки утверждающего.
  • Пользователи, отправившие запрос, а также члены группы утверждения, могут просматривать свои собственные запросы на странице Полученный запрос. Однако они не могут утверждать собственные запросы.

Если изменение утверждено, Intune обрабатывает запрошенное изменение и обновляет объект . Пока Intune обрабатывает запрос, его состояние может отображаться как Утверждено. После успешной обработки состояние обновится на Завершено.

Каждое изменение состояния остается видимым в течение 30 дней после последнего изменения состояния. Если запрос не обрабатывается в течение 30 дней, он становится просроченным и должен быть повторно возвращен.

Создать политику доступа

  1. Чтобы создать политику доступа, в Центре администрирования Microsoft Intuneперейдите в раздел Администрирование> клиентовНесколько Администратор политики>доступа и выберите Создать.

  2. На странице Основные сведения укажите имя и необязательное описание, а для параметра Тип профиля выберите один из доступных параметров. Каждая политика поддерживает один тип профиля.

  3. На странице Утверждающие выберите Добавить группы , а затем выберите группу в качестве группы утверждающих для этой политики. Более сложные конфигурации, исключающие группы, не поддерживаются.

  4. На странице Проверка и создание просмотрите и сохраните изменения. После применения этой политики Intune для конфигурации защищенного типа профиля потребуется несколько утверждений администратора.

Отправка запроса

Чтобы отправить запрос при включении MAA, используйте обычный процесс для создания или изменения ресурса.

На последней странице перед сохранением изменений добавьте сведения в поле Бизнес-обоснование , а затем отправьте запрос. Для срочных запросов рассмотрите возможность обращения к известному списку утверждающих лиц, чтобы убедиться, что ваш запрос будет своевременно рассмотрен.

При наличии запроса на тот же объект, который уже находится в ожидании утверждения, вы не сможете отправить свой запрос. Intune отображает сообщение, предупреждающее вас об этой ситуации.

Чтобы отслеживать состояние запросов, в центре администрирования Microsoft Intune перейдите в раздел Администрирование> клиентаНесколько Администратор Утверждение>моих запросов.

Вы можете отменить запрос до его утверждения, выбрав его на странице Мои запросы, а затем выбрав Отмена запроса.

Утверждение запросов

  1. Чтобы найти запросы на утверждение, в центре администрирования Microsoft Intune перейдите в раздел Администрирование> клиентаНесколько Администратор Администрирование>Получено.

  2. Выберите ссылку Бизнес-обоснование для запроса, чтобы открыть страницу проверки, где можно узнать больше о запросе и управлять утверждением или отклонением.

  3. После просмотра сведений введите соответствующие сведения в поле Примечания утверждающего, а затем выберите Утвердить запрос или Отклонить запрос.

  4. После утверждения запроса инициатору запроса необходимо нажать кнопку Завершить. Intune обработает изменение и изменит состояние на Завершено. Проверьте успешное (или неудачное) утверждение, просмотрев уведомление консоли по завершении.

    Чтобы проверить, успешно ли утверждение (или сбой), просмотрите уведомления в Центре администрирования Intune. В сообщении показано, успешно ли выполнено утверждение.

Дополнительные рекомендации

  • Intune не отправляет уведомления при создании новых запросов или изменении состояния существующего запроса. При отправке запроса на срочное изменение рекомендуется обращаться к пользователям, у которых есть разрешение на утверждение этих запросов.

  • Запланируйте мониторинг состояния запросов на странице Мои запросы узла Утверждение нескольких Администратор в Центре администрирования Microsoft Intune.

  • Если утверждение объекта уже ожидается, новый запрос не может быть отправлен для него.

  • Все действия для защищенного ресурса защищены, включая, помимо прочего, следующие:

    • Изменить
    • Создание
    • Изменение
    • Удалить
    • Назначение

  • Действия для запросов и процесса утверждения регистрируются в журналах аудита Intune. Дополнительные сведения см. в разделе Журналы аудита для действий Intune.

  • Для запроса доступны следующие условия состояния:

    • Требуется утверждение. Этот запрос находится в ожидании действия утверждающего.
    • Утверждено — этот запрос обрабатывается Intune.
    • Завершено — этот запрос успешно применен.
    • Отклонено — этот запрос был отклонен утверждающий.
    • Отменено — этот запрос был отменен администратором, отправившим его.

Дальнейшие действия

Управление доступом на основе ролей