Dela via

Använd åtkomstprinciper för att kräva godkännande av flera Admin

För att skydda mot ett komprometterat administrativt konto använder du Intune-åtkomstprinciper för att kräva att ett andra administrativt konto används för att godkänna en ändring innan ändringen tillämpas. Den här funktionen kallas För flera Admin godkännande.

Med Godkännande för flera Admin konfigurerar du åtkomstprinciper som skyddar specifika konfigurationer, till exempel appar eller skript för enheter. Åtkomstprinciper anger vad som är skyddat och vilken grupp av konton som tillåts godkänna ändringar av dessa resurser.

När ett konto i klientorganisationen används för att göra en ändring i en resurs som skyddas av en åtkomstprincip tillämpar Intune inte ändringen förrän ett annat konto uttryckligen godkänner den. Endast administratörer som är medlemmar i en godkännandegrupp som har tilldelats en skyddad resurs i en åtkomstskyddsprincip kan godkänna ändringar. Godkännare kan också avvisa ändringsbegäranden.

Åtkomstprinciper stöds för följande resurser:

  • Appar – gäller för appdistributioner, men gäller inte för appskyddsprinciper.
  • Enhetsåtgärder – Gäller för åtgärder för att rensa, dra tillbaka och ta bort enheter.
  • Rollbaserad åtkomstkontroll – Gäller för ändringar av roller, inklusive ändringar av rollbehörigheter, administratörsgrupper eller medlemsgruppstilldelningar.
  • Skript – gäller för distribution av skript till enheter som kör Windows.
  • Åtkomstprinciper – Gäller för att skapa eller hantera flera principer för administrativt godkännande.
  • Klientkonfiguration – Gäller för hantering av enhetskategorier, inklusive att skapa, redigera eller ta bort dem.

Krav för åtkomstprinciper och godkännare

Om du vill använda flera administrativa godkännanden måste klientorganisationen ha minst två administratörskonton. Ett konto används för att utföra en ändring i klientorganisationen, det andra kontot används för att godkänna ändringen.

Om du vill skapa en åtkomstprincip måste ditt konto tilldelas rollen Intune-tjänstadministratör eller tilldelas lämpliga behörigheter för flera Admin godkännande för en Intune-roll. Administratörer som hanterar åtkomstprinciperna specifikt för godkännande av flera administratörer kräver behörigheten Godkännande för flera Admin godkännande.

För att vara en godkännare för åtkomstprinciper måste ett konto finnas i den godkännargrupp som har tilldelats åtkomstprincipen för en viss typ av resurs.

Alla godkännargrupper måste också vara medlem i en eller flera Intune-rolltilldelningar. Det finns inget specifikt krav för vilken rolltilldelning som godkännargruppen måste läggas till i. Om godkännargruppen inte läggs till i en rolltilldelning tas godkännargruppens medlemmar bort från gruppen med jämna mellanrum.

Så här fungerar principer för godkännande och åtkomst för flera Admin

När en administratör redigerar eller skapar ett nytt objekt för ett område som skyddas av en åtkomstprincip visas ett alternativ på sidan Spara + granska där de kan ange en beskrivning av ändringen som en affärsmotivering.

  • Affärsmotivering blir en del av godkännandebegäran för ändringen.
  • En administratör som har skickat en ändring kan visa status för sina begäranden i administrationscentret för Microsoft Intune genom att gå till Innehavaradministration>Flera Admin Godkännande och visa sidan Min begäran.

När en ändring har skickats navigerar en godkännare till sidan Mottagen begäran i noden Godkännande för flera Admin. Här visas en lista över begäranden som är aktiva eller nyligen hanterade. Den här vyn innehåller information om begäran, inklusive när och vem som skickade den, vilken typ av åtgärd som ingår, till exempel Skapa eller Tilldela och dess status. Så här hanterar du begäran:

  • Godkännaren väljer länken Affärsmotivering för begäran. Den här åtgärden öppnar fönstret Åtkomstprincipbegäran där du kan visa mer information om ändringen, inklusive fullständig information som anges i fältet Affärsmotivering i begäran.
  • I fönstret Begäran om åtkomstprincip kan godkännaren ange anteckningar i fältet Godkännareanteckningar och sedan välja ett alternativ för att godkänna begäran eller Avvisa begäran. Dessa anteckningar läggs till i begäran och är synliga för den person som begärde ändringen när de granskar sina begäranden på sidan Min begäran . Om begäran till exempel avvisas kan orsaken till avvisandet skickas tillbaka till beställaren via godkännarens anteckningar.
  • Personer som skickar en begäran och även är medlemmar i godkännandegruppen för som kan se sina egna begäranden på sidan Mottagen begäran. De kan dock inte godkänna sina egna begäranden.

Om en ändring godkänns bearbetar Intune den begärda ändringen och uppdaterar objektet. Medan Intune bearbetar begäran kan dess status visas som Godkänd. Den ursprungliga beställaren måste visa begäran och välja Slutför för att initiera ändringen. Statusen uppdateras till Slutförd när den har bearbetats.

Varje statusändring förblir synlig i upp till 30 dagar efter den senaste statusändringen. Om en begäran inte bearbetas ytterligare inom 30 dagar blir den Förfallen och måste skickas på nytt.

Skapa en åtkomstprincip

  1. Logga in på administrationscentret för Microsoft Intune, gå till Administration av klientorganisation>Flera Admin Principer föradministrationsåtkomst>> och välj Skapa.

  2. På sidan Grundläggande anger du ett Namn och en valfri Beskrivning, och för Profiltyp väljer du bland tillgängliga alternativ. Varje princip stöder en enskild profiltyp.

  3. sidan Godkännare väljer du Lägg till grupper och väljer sedan en grupp som grupp av godkännare för den här principen. Mer komplexa konfigurationer som exkluderar grupper stöds inte.

  4. På sidan Granska + skapa granskar du och sparar sedan ändringarna.

  5. Använd sedan ett separat administrativt konto för att logga in på administrationscentret för att granska och godkänna den nya åtkomstprincipen.

  6. Logga in på administrationscentret igen med det första administratörskontot som skapade åtkomstprincipen, visa principen och slutför den genom att välja Slutför. När Intune tillämpar den här principen kräver konfigurationer för den skyddade profiltypen flera administratörsgodkännanden.

Skicka en begäran

Om du vill skicka en begäran när Multi Admin-godkännande är aktiverat använder du din normala process för att skapa eller redigera en resurs.

På den sista sidan innan du kan spara ändringarna lägger du till information i fältet Affärsmotivering och skickar sedan begäran. För brådskande begäranden kan du kontakta en känd lista över godkännare för att säkerställa att din begäran visas i tid.

När en begäran för samma objekt redan väntar på godkännande kan du inte skicka din begäran. Intune visar ett meddelande som varnar dig om den här situationen.

Om du vill övervaka status för dina begäranden går du till administrationscentret för Microsoft Intune och går till Administration av klientorganisation>Flera Admin Godkännande>mina begäranden.

Du kan avbryta en begäran innan den godkänns genom att välja den på sidan Mina begäranden och sedan välja Avbryt begäran.

Godkänna begäranden

  1. Om du vill hitta begäranden att godkänna går du till Administration av klientorganisation> i Administrationav flera Admin>Mottagna begäranden i Administration av Microsoft Intune.

  2. Välj länken Affärsmotivering för en begäran för att öppna granskningssidan där du kan lära dig mer om begäran och hantera godkännande eller avvisande.

  3. När du har granskat informationen anger du relevant information i fältet Godkännareanteckningar och väljer sedan Godkänn begäran eller Avvisa begäran.

  4. När du har godkänt en begäran måste beställaren välja Slutför. Intune bearbetar ändringen och ändrar statusen till Slutförd. Kontrollera att godkännandet lyckades (eller misslyckades) genom att granska konsolmeddelandet när det har slutförts.

    Kontrollera om godkännandet lyckades (eller misslyckades) genom att titta på meddelandena i Administrationscenter för Intune. Ett meddelande visar om godkännandet lyckades eller misslyckades.

Fler överväganden

  • Intune skickar inte meddelanden när nya begäranden skapas eller statusen för en befintlig begäran ändras. Vi rekommenderar att du kontaktar personer som har behörighet att godkänna dessa begäranden när du skickar en brådskande ändringsbegäran.

  • Planera att övervaka statusen för dina begäranden via sidan Mina begäranden på noden Multi Admin Approval (Godkännande av flera Admin) i administrationscentret för Microsoft Intune.

  • När ett godkännande redan väntar på ett objekt kan en ny begäran inte skickas för det.

  • Alla åtgärder för en skyddad resurs är skyddade, inklusive men inte begränsade till:

    • Redigera
    • Skapa
    • Ändra
    • Radera
    • Tilldela

  • Åtgärder för begäranden och godkännandeprocessen loggas i Intune-granskningsloggarna. Mer information finns i Granskningsloggar för Intune-aktiviteter.

  • Följande statusvillkor är tillgängliga för en begäran:

    • Behöver godkännande – den här begäran väntar på åtgärd av en godkännare.
    • Godkänd – Den här begäran bearbetas av Intune.
    • Slutförd – Den här begäran har tillämpats.
    • Avvisad – Denna begäran avvisades av en godkännare.
    • Avbruten – Den här begäran avbröts av administratören som skickade den.

Relaterat innehåll

Hantera rollbaserad åtkomstkontroll