使用存取原則來要求多個系統管理核准

  • 發行項

若要協助防範遭入侵的系統管理帳戶,請使用 Intune 存 取原則 ,要求在套用變更之前,先使用第二個系統管理帳戶來核准變更。 這項功能稱為 MAA) (多個系統管理核准。

使用 MAA,您可以設定存取原則來保護特定設定,例如裝置的應用程式或腳本。 存取原則會指定受保護的專案,以及允許哪些帳戶群組核准這些資源的變更。

當租使用者中的任何帳戶用來變更受存取原則保護的資源時,在不同的帳戶明確核准之前,Intune 將不會套用變更。 只有身為存取保護原則中受保護資源之核准群組成員的系統管理員,才能核准變更。 核准者也可以拒絕變更要求。

下列資源支援存取原則:

  • 應用程式 – 適用于 應用程式部署,但不適用於應用程式保護原則。
  • 腳本 – 適用于將腳本部署至執行 Windows的裝置。

存取原則和核准者的必要條件

若要使用多重系統管理核准,您的租使用者必須至少有兩個系統管理員帳戶。

若要建立存取原則,您的帳戶必須獲指派Intune 服務管理員Azure 全域管理員角色。

若要成為核准者,帳戶必須位於指派給特定資源類型之存取原則的群組中。

如果您的組織允許未授權的系統管理員使用 Intune 角色,則所有核准者群組也必須是一或多個 Intune 角色指派的成員群組。

多管理員核准和存取原則的運作方式

當系統管理員針對 受存取原則保護的區域編輯或建立新物件時,他們會在 [ 儲存 + 檢閱 ] 介面上看到一個選項,他們可以在其中輸入變更的描述作為 業務理由

  • 業務理由會成為變更核准要求的一部分。
  • 已提交變更的系統管理員可以在Microsoft Intune系統管理中心檢視其要求的狀態,方法是移至租使用者管理>多重管理員核准並檢視[我的要求] 頁面。

提交變更之後,核准者會流覽至 [多重管理員核准] 節點的 [已收到的要求] 頁面。 在這裡,他們會看到作用中或最近受管理的要求清單。 此檢視提供要求的一些詳細資料,包括提交要求的時間和人員、涉及的作業類型,例如 建立指派,以及其狀態。 若要管理要求:

  • 核准者會選取要求的 商務理由 連結。 此動作會開啟 [存取原則要求] 窗格,您可以在其中檢視變更的詳細資訊,包括要求的 [業務理由] 欄位中提供的完整詳細資料。
  • 在 [存取原則要求] 窗格中,核准者可以在 [核 准者附注 ] 欄位中輸入附注,然後選取 [核 准要求 ] 或 [ 拒絕要求] 的選項。 這些附注會新增至要求,並要求變更的人員在 [ 我的要求 ] 頁面上檢閱其要求時會看到這些附注。 例如,如果要求遭到拒絕,則可以透過核准者附注將拒絕的原因傳回給要求者。
  • 提交要求且也是核准群組成員的個人,可以在 [收到的要求] 頁面上看到自己的要求。 不過,他們無法核准自己的要求。

如果已核准變更,Intune 會處理要求的變更並更新物件。 當 Intune 處理要求時,其狀態可以顯示為 [已 核准]。 成功處理之後,狀態會更新為 [ 已完成]

在上次變更狀態之後,狀態的每個變更 最多會顯示 30 天。 如果要求未在 30 天內進一步處理,則會變成 已過期,且必須重新提交。

建立存取原則

  1. 若要建立存取原則,請在Microsoft Intune系統管理中心中,移至[租使用者系統管理>][多管理員系統管理>存取原則],然後選取 [建立]

  2. 在 [ 基本概念] 頁面上,提供 [名稱] 和選用的 [描述],並針對 [配置檔案類型 ] 從可用的選項中選取。 每個原則都支援單一配置檔案類型。

  3. 在 [核 准者] 頁面上,選取 [ 新增群組 ],然後選取群組作為此原則的核准者群組。 不支援排除群組的更複雜設定。

  4. 在 [ 檢閱 + 建立] 頁面上,檢閱並儲存您的變更。 在 Intune 套用此原則之後,受保護設定檔案類型的設定將需要多個系統管理員核准。

提交要求

若要在啟用 MAA 時提交要求,請使用您的一般程式來建立或編輯資源。

在儲存變更之前的最後一頁上,將詳細資料新增至 [商務理由 ] 欄位,然後提交要求。 對於緊急要求,請考慮連絡已知的核准者清單,以確保及時看到您的要求。

當對已經擱置核准的相同物件提出要求時,您將無法提交您的要求。 Intune 會顯示一則訊息,以警示您發生這種情況。

若要監視您的要求狀態,請在Microsoft Intune系統管理中心移至租使用者系統管理>多重管理員核准>我的要求

您可以從 [我的要求] 頁面選取要求,然後選取 [ 取消要求],以在核准之前取消要求。

核准要求

  1. 若要尋找要核准的要求,請在 Microsoft Intune 系統管理中心移至[租使用者系統管理>] [多重管理員系統管理>已收到的要求]

  2. 選取要求的 [商務理由 ] 連結,以開啟檢閱頁面,您可以在其中深入瞭解要求,以及管理核准或拒絕。

  3. 檢閱詳細資料之後,請在 [核准者附注] 欄位中輸入相關詳細資料,然後選取 [ 核准要求 ] 或 [ 拒絕要求]

  4. 核准要求之後,要求者需要選取 [ 完成]。 Intune 會處理變更,並將狀態變更為 [已完成]。 藉由在完成時檢閱主控台通知,確認核准成功 (或) 失敗。

    若要確認核准是否成功 (或) 失敗,請查看 Intune 系統管理中心的通知。 顯示核准成功或失敗的訊息。

更多考慮

  • Intune 不會在建立新要求或現有要求的狀態變更時傳送通知。 建議您在提交緊急變更要求時,連絡有權核准這些要求的個人。

  • 規劃透過 Microsoft Intune 系統管理中心的[多重管理員核准] 節點的 [我的要求] 頁面來監視要求的狀態。

  • 當物件的核准已擱置時,就無法提交新的要求。

  • 受保護資源的所有動作都會受到保護,包括但不限於:

    • 編輯
    • 建立
    • 修改
    • 刪除
    • Assign

  • 要求和核准程式的動作會記錄在 Intune 稽核記錄中。 如需詳細資訊,請參閱 Intune 活動的稽核記錄

  • 下列狀態條件適用于要求:

    • 需要核准 – 此要求正由核准者擱置動作。
    • 已核准 – Intune 正在處理此要求。
    • 已完成 – 此要求已成功套用。
    • 已拒絕 – 核准者已拒絕此要求。
    • 已取消 – 提交此要求的系統管理員已取消此要求。

後續步驟

管理 角色型存取控制