Verwenden von Zugriffsrichtlinien zum Anfordern mehrerer administratorrechtlicher Genehmigungen

Um sich vor einem kompromittierten Administratorkonto zu schützen, verwenden Sie Intune-Zugriffsrichtlinien , um zu verlangen, dass ein zweites Administratorkonto verwendet wird, um eine Änderung zu genehmigen, bevor die Änderung angewendet wird. Diese Funktion wird als mehrfache administrative Genehmigung (MAA) bezeichnet.

Mit MAA konfigurieren Sie Zugriffsrichtlinien, die bestimmte Konfigurationen schützen, z. B. Apps oder Skripts für Geräte. Zugriffsrichtlinien geben an, was geschützt ist und welche Gruppe von Konten Änderungen an diesen Ressourcen genehmigen darf.

Wenn ein Konto im Mandanten verwendet wird, um eine Änderung an einer Ressource vorzunehmen, die durch eine Zugriffsrichtlinie geschützt ist, wendet Intune die Änderung erst an, wenn sie von einem anderen Konto explizit genehmigt wird. Nur Administratoren, die Mitglieder einer Genehmigungsgruppe sind, der eine geschützte Ressource in einer Zugriffsschutzrichtlinie zugewiesen ist, können Änderungen genehmigen. Genehmigende Personen können auch Änderungsanforderungen ablehnen.

Zugriffsrichtlinien werden für die folgenden Ressourcen unterstützt:

  • Apps: Gilt für App-Bereitstellungen, gilt jedoch nicht für App-Schutzrichtlinien.
  • Skripts: Gilt für die Bereitstellung von Skripts auf Geräten, auf denen Windows ausgeführt wird.
  • Zugriffsrichtlinien: Gilt für das Erstellen oder Verwalten mehrerer Administratorgenehmigungsrichtlinien.

Voraussetzungen für Zugriffsrichtlinien und genehmigende Personen

Um die Genehmigung mehrerer Administratoren verwenden zu können, muss Ihr Mandant über mindestens zwei Administratorkonten verfügen. Ein Konto wird verwendet, um eine Änderung im Mandanten vorzunehmen, und das zweite Konto wird verwendet, um die Änderung zu genehmigen.

Um eine Zugriffsrichtlinie zu erstellen, muss Ihrem Konto die Rolle "Intune-Dienstadministrator " oder " Globaler Azure-Administrator " zugewiesen sein oder die entsprechenden Genehmigungsberechtigungen für mehrere Administratoren für eine Intune-Rolle zugewiesen werden. Administratoren, die die Zugriffsrichtlinien speziell für die Genehmigung mehrerer Administratoren verwalten, benötigen die Genehmigung für die Genehmigung mehrerer Administratoren .

Um eine genehmigende Person für Zugriffsrichtlinien zu sein, muss sich ein Konto in der Genehmigendengruppe befinden, die der Zugriffsrichtlinie für einen bestimmten Ressourcentyp zugewiesen ist.

Wenn Ihre Organisation nicht lizenzierte Administratoren für Intune-Rollen zulässt, müssen alle genehmigenden Gruppen auch eine Mitgliedergruppe einer oder mehrerer Intune-Rollenzuweisungen sein.

Funktionsweise von Genehmigungs- und Zugriffsrichtlinien für mehrere Administratoren

Wenn ein Administrator ein Objekt für einen Bereich bearbeitet oder erstellt, der durch eine Zugriffsrichtlinie geschützt ist, wird auf der Oberfläche Speichern + Überprüfen eine Option angezeigt, in der er eine Beschreibung der Änderung als geschäftliche Begründung eingeben kann.

  • Die geschäftliche Begründung wird Teil der Genehmigungsanforderung für die Änderung.
  • Ein Administrator, der eine Änderung übermittelt hat, kann den Status seiner Anforderungen im Microsoft Intune Admin Center anzeigen, indem er zu Mandantenverwaltung>Multi-Admin-Genehmigung wechselt und die Seite Meine Anforderung anzeigen.

Nachdem eine Änderung übermittelt wurde, navigiert eine genehmigende Person zur Seite Empfangene Anforderung des Knotens Genehmigung für mehrere Administratoren . Hier wird eine Liste der Anforderungen angezeigt, die aktiv oder kürzlich verwaltet wurden. Diese Ansicht enthält einige Details zur Anforderung, einschließlich wann und wer sie übermittelt hat, den Typ des beteiligten Vorgangs wie Erstellen oder Zuweisen und ihren Status. So verwalten Sie die Anforderung:

  • Die genehmigenden Personen wählen den Link Geschäftliche Begründung für die Anforderung aus. Mit dieser Aktion wird der Bereich Zugriffsrichtlinienanforderung geöffnet, in dem Sie weitere Informationen zur Änderung anzeigen können, einschließlich der vollständigen Details, die im Feld Geschäftliche Begründung der Anforderung angegeben sind.
  • Im Bereich Zugriffsrichtlinienanforderung kann die genehmigende Person Notizen in das Feld Hinweise zur genehmigenden Person eingeben und dann die Option Anforderung genehmigen oder Anforderung ablehnen auswählen. Diese Hinweise werden der Anforderung hinzugefügt und sind für die Person sichtbar, die die Änderung angefordert hat, wenn sie ihre Anforderungen auf der Seite Meine Anforderung überprüft. Wenn die Anforderung beispielsweise abgelehnt wird, kann der Grund für die Ablehnung über die Genehmigenden Notizen an den Anforderer zurückgegeben werden.
  • Personen, die eine Anforderung übermitteln und auch Mitglieder der Genehmigungsgruppe sind, für die ihre eigenen Anforderungen auf der Seite Empfangene Anforderung angezeigt werden. Sie können ihre eigenen Anforderungen jedoch nicht genehmigen.

Wenn eine Änderung genehmigt wird, verarbeitet Intune die angeforderte Änderung und aktualisiert das Objekt. Während Intune die Anforderung verarbeitet, kann der Status Genehmigt angezeigt werden. Nach der erfolgreichen Verarbeitung wird der Status in Abgeschlossen aktualisiert.

Jede Statusänderung bleibt bis zu 30 Tage nach der letzten Statusänderung sichtbar. Wenn eine Anforderung nicht innerhalb von 30 Tagen weiter verarbeitet wird, wird sie abgelaufen und muss erneut übermittelt werden.

Erstellen einer Zugriffsrichtlinie

  1. Um eine Zugriffsrichtlinie zu erstellen, wechseln Sie im Microsoft Intune Admin Center zu Mandantenverwaltungsrichtlinien> fürMehradministratorverwaltung>, und wählen Sie Erstellen aus.

  2. Geben Sie auf der Seite Grundlagen einen Namen und eine optionale Beschreibung an, und wählen Sie für Profiltyp aus den verfügbaren Optionen aus. Jede Richtlinie unterstützt einen einzelnen Profiltyp.

  3. Wählen Sie auf der Seite Genehmigende Personendie Option Gruppen hinzufügen und dann eine Gruppe als Gruppe genehmigende Personen für diese Richtlinie aus. Komplexere Konfigurationen, die Gruppen ausschließen, werden nicht unterstützt.

  4. Überprüfen Und speichern Sie auf der Seite Überprüfen + erstellen Ihre Änderungen. Nachdem Intune diese Richtlinie angewendet hat, erfordern Konfigurationen für den geschützten Profiltyp mehrere Administratorgenehmigungen.

Senden einer Anforderung

Um eine Anforderung zu übermitteln, wenn MAA aktiviert ist, verwenden Sie Ihren normalen Prozess, um eine Ressource zu erstellen oder zu bearbeiten.

Fügen Sie auf der letzten Seite, bevor Sie Ihre Änderungen speichern können, dem Feld Geschäftliche Begründung Details hinzu, und übermitteln Sie dann die Anforderung. Bei dringenden Anforderungen sollten Sie sich an eine bekannte Liste von genehmigenden Personen wenden, um sicherzustellen, dass Ihre Anforderung rechtzeitig angezeigt wird.

Wenn eine Anforderung für dasselbe Objekt vorliegt, das bereits aussteht, können Sie Ihre Anforderung nicht übermitteln. Intune zeigt eine Meldung an, die Sie auf diese Situation aufmerksam machen soll.

Um den Status Ihrer Anforderungen zu überwachen, wechseln Sie im Microsoft Intune Admin Center zu Mandantenverwaltung>Multi-Admin-Genehmigung>Meine Anforderungen.

Sie können eine Anforderung abbrechen, bevor sie genehmigt wird, indem Sie sie auf der Seite Meine Anforderungen auswählen und dann Anforderung abbrechen auswählen.

Genehmigen von Anforderungen

  1. Um Genehmigungsanforderungen zu finden, wechseln Sie im Microsoft Intune Admin Center zu Mandantenverwaltung>Multi-Admin-Verwaltung>Empfangene Anforderungen.

  2. Wählen Sie den Link Geschäftliche Begründung für eine Anforderung aus, um die Überprüfungsseite zu öffnen, auf der Sie mehr über die Anforderung erfahren und die Genehmigung oder Ablehnung verwalten können.

  3. Nachdem Sie die Details überprüft haben, geben Sie relevante Details in das Feld Hinweise für genehmigende Personen ein, und wählen Sie dann Anforderung genehmigen oder Anforderung ablehnen aus.

  4. Nachdem Sie eine Anforderung genehmigt haben, muss der Anforderer Abschließen auswählen. Intune verarbeitet die Änderung und ändert den Status in Abgeschlossen. Überprüfen Sie, ob die Genehmigung erfolgreich war (oder fehlgeschlagen ist), indem Sie die Konsolenbenachrichtigung nach Abschluss überprüfen.

    Um zu überprüfen, ob die Genehmigung erfolgreich war (oder fehlgeschlagen ist), sehen Sie sich die Benachrichtigungen im Intune Admin Center an. Eine Meldung zeigt an, ob die Genehmigung erfolgreich war oder fehlgeschlagen ist.

Weitere Überlegungen

  • Intune sendet keine Benachrichtigungen, wenn neue Anforderungen erstellt werden oder sich der Status einer vorhandenen Anforderung ändert. Es wird empfohlen, sich beim Übermitteln einer dringenden Änderungsanforderung an Personen zu wenden, die über die Berechtigung zum Genehmigen dieser Anforderungen verfügen.

  • Planen Sie die Überwachung des Status Ihrer Anforderungen über die Seite Meine Anforderungen des Knotens Genehmigung für mehrere Administratoren im Microsoft Intune Admin Center.

  • Wenn bereits eine Genehmigung für ein Objekt aussteht, kann dafür keine neue Anforderung übermittelt werden.

  • Alle Aktionen für eine geschützte Ressource sind geschützt, einschließlich, aber nicht beschränkt auf:

    • Bearbeiten
    • Erstellen
    • Ändern
    • Löschen
    • Zuweisen
  • Aktionen für Anforderungen und der Genehmigungsprozess werden in den Intune-Überwachungsprotokollen protokolliert. Weitere Informationen finden Sie unter Überwachungsprotokolle für Intune-Aktivitäten.

  • Die folgenden Statusbedingungen sind für eine Anforderung verfügbar:

    • Genehmigung erforderlich: Diese Anforderung steht von einer genehmigenden Person aus.
    • Genehmigt: Diese Anforderung wird von Intune verarbeitet.
    • Abgeschlossen: Diese Anforderung wurde erfolgreich angewendet.
    • Abgelehnt: Diese Anforderung wurde von einer genehmigenden Person abgelehnt.
    • Abgebrochen: Diese Anforderung wurde vom Administrator abgebrochen, der sie übermittelt hat.

Nächste Schritte

Verwalten der rollenbasierten Zugriffssteuerung