Использование политик доступа для утверждения несколькими администраторами

Чтобы защититься от скомпрометированных административных учетных записей, используйте политики Microsoft Intune доступа, чтобы требовать, чтобы вторая учетная запись администратора утвердила изменение перед применением изменения. Эта возможность называется утверждением нескольких Администратор.

С помощью утверждения нескольких Администратор можно настроить политики доступа, которые защищают определенные конфигурации, например приложения или скрипты для устройств. Политики доступа указывают, что защищено и какая группа учетных записей может утверждать изменения этих ресурсов.

При использовании любой учетной записи в клиенте для внесения изменений в ресурс, защищенный политикой доступа, Intune не применяет это изменение, пока другая учетная запись явно не утвердит его. Только администраторы, являющиеся членами группы утверждения, которым политика защиты доступа назначает защищенный ресурс, могут утверждать изменения. Утверждающие также могут отклонять запросы на изменение.

Intune поддерживает политики доступа для следующих ресурсов:

  • Приложения — применяется к развертываниям приложений, но не применяется к политикам защиты приложений.
  • Политики соответствия требованиям. Применяется к созданию политик соответствия требованиям и управлению ими.
  • Политики конфигурации. Применяется к созданию политик и управлению ими с помощью каталога параметров.
  • Действия устройства — применяется к действиям по очистке, снятию с учета и удалению устройств.
  • Управление доступом на основе ролей — применяется к изменениям ролей, включая изменения разрешений ролей, групп администраторов или назначений групп участников.
  • Скрипты — применяется к развертыванию скриптов на устройствах под управлением Windows.
  • Политики доступа. Применяется к созданию нескольких политик утверждения администратора или управлению ими.
  • Конфигурация клиента — применяется к управлению категориями устройств, включая их создание, изменение или удаление.

Предварительные требования для политик доступа и утверждающих лиц

Чтобы использовать утверждение нескольких Администратор, клиент должен иметь по крайней мере две учетные записи администратора. Рабочий процесс MAA имеет три отдельные роли, каждая из которых имеет различные требования к разрешениям:

Лицензирование администратора

По умолчанию администраторам, участвующим в рабочем процессе MAA, должна быть назначена лицензия Intune учетной записи. Чтобы разрешить нелицензированные администраторы участвовать в рабочем процессе MAA, включите параметр Разрешить доступ для нелицензированных администраторов.

Предостережение

Этот параметр необратим. После включения вы не сможете отключить его. Прежде чем продолжить, убедитесь, что ваша организация понимает это ограничение.

Прежде чем включить этот параметр, просмотрите нелицензированных администраторов , чтобы узнать о важных ограничениях и поведении, включая ограничения членства в группах и срок действия изменений доступа.

Роль 1. Диспетчер политик доступа

Для создания политик доступа и управления ими используйте учетную запись с одним из следующих вариантов:

  • Настраиваемая роль Intune (рекомендуется). Используйте пользовательскую роль, которая включает следующие разрешения на утверждение нескольких Администратор:

    Разрешение Описание
    Создание политики доступа Создание новых политик доступа MAA
    Политика доступа на чтение Просмотр существующих политик доступа MAA
    Обновление политики доступа Изменение существующих политик доступа MAA
    Удаление политики доступа Удаление политик доступа MAA

  • администратор Intune (также известный как администратор службы Intune). Эта роль Microsoft Entra предоставляет полный доступ на чтение и запись для Intune. Так как это привилегированная роль, корпорация Майкрософт рекомендует использовать настраиваемую роль с наименьшими привилегиями Intune для обычного управления политиками доступа вместо этой роли. Дополнительные сведения см. в статье Microsoft Entra встроенных ролей — администратор Intune.

Роль 2. Утверждающий

Чтобы утвердить или отклонить запросы MAA, отправленные другими администраторами, учетная запись должна соответствовать всем следующим требованиям:

  1. Членство в группе утверждающего. Учетная запись должна быть членом группы утверждающих лиц, назначенной политике доступа для определенного типа ресурса.

  2. разрешение Intune роли. Учетная запись должна иметь разрешения на чтение для типа политики, который она утверждает.

  3. Назначение роли RBAC для группы. Сама группа безопасности утверждающего должна быть добавлена в качестве группы участников по крайней мере в одно назначение Intune роли. Если группа утверждающих не добавляется к назначению ролей, члены группы утверждающих периодически удаляются из группы.

    Важно!

    Группа утверждающих имеет два требования:

    • Это должна быть группа безопасности. Списки рассылки, группы Microsoft 365 и группы безопасности с поддержкой почты не поддерживаются и автоматически не удается разрешить членство утверждающего.
    • Он должен быть напрямую назначен Intune роли в качестве группы участников. Intune разрешения роли, предоставляемые отдельными участниками, будь то через другие группы или прямые назначения пользователей, не удовлетворяют этому требованию.

Роль 3. Инициатор запроса на изменение

Для отправки запросов на изменение и завершения утвержденных изменений для защищенных ресурсов администратору требуются стандартные разрешения Intune RBAC для конкретного действия, который он выполняет. Одна и та же учетная запись выполняет оба действия: отправляет первоначальный запрос и выбирает завершить после утверждения другим администратором. Например, MobileApps/Create для создания приложения или RemoteTasks/Wipe для очистки устройства.

Примечание.

  • Администратор не может утвердить собственные запросы, даже если он является членом группы утверждающих. Другой администратор должен утвердить запрос.
  • Изменения, отправленные учетной записью глобального администратора или Intune администратора, по-прежнему должны быть утверждены другим администратором.

Принцип работы политик утверждения и доступа с несколькими Администратор

Когда администратор изменяет или создает новый объект для области, защищенной политикой доступа, он видит параметр в области Сохранить и проверить , где он может ввести описание изменения в качестве бизнес-обоснования.

  • Бизнес-обоснование становится частью запроса на утверждение изменения.
  • Администратор, отправивший изменение, может просмотреть состояние своих запросов в Центре администрирования Microsoft Intune, выбрав администрирование> клиентаМного Администратор утверждение и просмотрев страницу Мои запросы.

После отправки изменения утверждающий может перейти на страницу Все запросы узла Утверждение нескольких Администратор или перейти к разделу Администрирование> клиента Администратор Задачи для управления запросами. Оба расположения предоставляют список активных или недавно управляемых запросов. В этом представлении содержатся некоторые сведения о запросе, в том числе о том, когда и кто его отправил, тип операции, например создание или назначение, а также его состояние. Чтобы управлять запросом, выполните следующие действия.

  • Утверждающий выбирает ссылку Бизнес-обоснование для запроса. Это действие открывает область Запрос политики доступа, где можно просмотреть дополнительные сведения об изменении, включая полные сведения, указанные в поле Бизнес-обоснование запроса.
  • На панели Запрос политики доступа утверждающий может ввести заметки в поле Заметок утверждающего , а затем выбрать вариант Утвердить запрос или Отклонить запрос. Эти заметки добавляются в запрос и видны пользователю, запросившему изменение, при просмотре своих запросов на странице Мои запросы . Например, если запрос отклонен, причину отклонения можно передать обратно инициатору запроса через заметки утверждающего.
  • Пользователи, отправившие запрос, а также члены группы утверждения, могут просматривать свои собственные запросы на странице Все запросы. Однако они не могут утверждать собственные запросы.

Предложения агента проверки изменений в утверждении нескольких Администратор

Когда агент проверки изменений настроен и завершил выполнение, на вкладках Мои запросы и Все запросы отображается столбец Ответ агента для Windows PowerShell запросов скриптов. Если предложение доступно, его можно выбрать, чтобы открыть и завершить рабочий процесс утверждения агента проверки изменений для этого запроса, не выходя из узла Утверждение нескольких Администратор.

Предложения агента проверки изменений по-прежнему доступны в основном интерфейсе агента . Дополнительные сведения об агенте см. в статье Общие сведения об агенте проверки изменений.

Если изменение утверждено, Intune обрабатывает запрошенное изменение и обновляет объект . Пока Intune обрабатывает запрос, его состояние может отображаться как Утверждено. Исходный инициатор запроса должен просмотреть запрос и выбрать завершить , чтобы инициировать изменение. После успешной обработки состояние обновится на Завершено.

Если запрос не обрабатывается в течение 3 дней, он становится просроченным и должен быть повторно возвращен. Каждое изменение состояния остается видимым в течение 30 дней после изменения состояния.

Создать политику доступа

  1. Войдите в Центр администрирования Microsoft Intune, перейдите в раздел Администрирование> клиентаНесколько Администратор Утверждения>политик> доступа выберите Создать.

  2. В разделе Основные сведения введите имя и необязательное описание. В поле Тип профиля выберите один из доступных параметров. Каждая политика поддерживает один тип профиля.

  3. На странице Утверждающие выберите Добавить группы , а затем выберите группу в качестве группы утверждающих для этой политики. Более сложные конфигурации, исключающие группы, не поддерживаются.

  4. На странице Просмотр и создание, проверка и сохранение изменений.

  5. Затем используйте отдельную учетную запись администратора с разрешением Утверждение для нескольких Администратор, чтобы войти в Центр администрирования, чтобы проверить и утвердить новую политику доступа.

  6. Снова войдите в Центр администрирования с помощью первой учетной записи администратора, которая создала политику доступа, просмотрите политику и завершите ее, нажав кнопку Завершить. После применения этой политики Intune конфигурации для защищенного типа профиля требуют нескольких утверждений администратора.

Отправка запроса

Чтобы отправить запрос при включенном утверждении нескольких Администратор, используйте обычный процесс создания или изменения ресурса.

На последней странице перед сохранением изменений добавьте сведения в поле Бизнес-обоснование , а затем отправьте запрос. Для срочных запросов рассмотрите возможность обращения к известному списку утверждающих лиц, чтобы убедиться, что ваш запрос будет своевременно рассмотрен.

Если запрос для того же объекта уже ожидает утверждения, вы не сможете отправить запрос. Intune отображает сообщение с оповещением об этой ситуации.

Чтобы отслеживать состояние запросов, в центре администрирования Microsoft Intune перейдите в раздел Администрирование> клиентаНесколько Администратор Утверждение>моих запросов.

Вы можете отменить запрос до его утверждения, выбрав его на странице Мои запросы , а затем выбрав Отмена запроса.

Утвердить запросы

  1. Чтобы найти запросы на утверждение, в центре администрирования Microsoft Intune перейдите в раздел Администрирование> клиентаНесколько Администратор Получено>утверждение запросов.

  2. Выберите ссылку Бизнес-обоснование для запроса, чтобы открыть страницу проверки, где можно узнать больше о запросе и управлять утверждением или отклонением.

  3. После просмотра сведений введите соответствующие сведения в поле Примечания утверждающего , а затем выберите Утвердить запрос или Отклонить запрос.

  4. После утверждения запроса запрашивающий должен нажать кнопку Завершить. Intune обработает изменение и изменит состояние на Завершено. Проверьте успешное (или неудачное) утверждение, просмотрев уведомление консоли по завершении.

    Чтобы проверить, успешно ли утверждение (или сбой), просмотрите уведомления в Центре администрирования Intune. В сообщении показано, успешно ли выполнено утверждение.

Совет

Вы также можете управлять этими задачами из централизованной области задач Администратор в Центре администрирования Intune.

Дополнительные рекомендации

  • Intune не отправляет уведомления при создании новых запросов или изменении состояния существующего запроса. При отправке запроса на срочное изменение обратитесь к пользователям, у которых есть разрешение на утверждение этих запросов.

  • Отслеживайте состояние запросов на странице Мои запросы узла Утверждение нескольких Администратор в Центре администрирования Intune.

  • Если утверждение объекта уже ожидается, вы не сможете отправить для него новый запрос.

  • Все действия для защищенного ресурса защищены, включая, помимо прочего, следующие:

    • Изменить
    • Создание
    • Изменение
    • Удалить
    • Назначение

  • Intune журналы аудита записывают действия для запросов и процесса утверждения. Дополнительные сведения см. в разделе Журналы аудита для Intune действий.

  • Для запроса доступны следующие условия состояния:

    • Требуется утверждение. Этот запрос находится в ожидании действия утверждающего.
    • Утверждено — этот запрос обрабатывается Intune.
    • Завершено — этот запрос успешно применен.
    • Отклонено — этот запрос был отклонен утверждающий.
    • Отменено — этот запрос был отменен администратором, отправившим его.

  • Будьте осторожны при создании политики доступа для типа политики роли . Этот тип политики защищает все изменения, связанные с ролью, включая создание, обновление и удаление ролей RBAC и назначений ролей. После включения любая попытка изменить роли, включая назначения RBAC, которые MAA сама по себе требуется, сначала требуется MAA утверждение. Это требование может создать взаимоблокировку, в которой невозможно настроить назначения RBAC, необходимые для работы MAA.

    При возникновении этой взаимоблокировки:

    1. Перейдите в раздел Администрирование> клиента Политикидоступа длянескольких Администратор утверждения>.
    2. Найдите и удалите политику доступа, настроенную для типа политики роли .
    3. Подождите 3–5 минут, пока изменение не будет распространено.
    4. Перейдите в раздел Администрирование> клиентаРоли и выполните необходимые назначения ролей RBAC, добавив группу утверждающих к назначению ролей.
    5. После правильной настройки RBAC можно при необходимости повторно создать политику доступа к роли .

    Чтобы избежать этой проблемы, настройте все остальные политики доступа MAA и проверьте правильность назначений RBAC, прежде чем включать политику доступа для типа политики роли.

Связанные материалы

Управление доступом на основе ролей

  • Last updated on