如何在Intune中配置多个管理审批
在这篇文章中,您将学习如何在Intune中配置多个管理审批。您可以使用访问策略要求对Intune资源进行多个管理审批(maa)。
我们将逐步了解Intune中的多重管理审批是什么,谁可以在Intune中创建和批准MAA策略,如何创建访问策略,提交请求,并获得批准。
多个管理审批是在Microsoft Intune 11月(2211)服务发布.使用MAA,您可以配置访问策略来保护特定的配置,例如设备的应用程序或脚本。该功能目前处于公开预览阶段。您可以在Intune租户中尝试这个新功能,并让Microsoft知道您的想法。微软将很快宣布该功能的一般可用性。
如果您正在使用配置管理器,则可以为用户批准应用程序请求而且通过电子邮件批准SCCM申请.多重管理审批是Intune更先进,提供了更多的功能。
目录
什么是多重行政审批?
为了帮助防止管理帐户受到损害,使用Intune访问策略要求在应用更改之前使用第二个管理帐户来批准更改。这种能力被称为多重行政审批.
您可以通过MAA设置访问策略来保护特定的设备配置,如应用程序或脚本。受保护的内容以及允许哪组帐户批准对这些资源的修改都由访问策略指定。
当Tenant中的任何帐户更改受访问策略保护的资源时,Intune不会使更改生效,直到另一个帐户显式地批准该更改。更改只能由属于由访问保护策略授予受保护资源的审批组的管理员批准。变更请求也可能被审批人拒绝。
目前Intune只支持以下资源的访问策略:
谁可以创建和批准请求?
要创建MAA访问策略,帐户必须被分配Intune服务管理员或Azure全局管理员角色。只有这两个角色有权限在Intune中创建MAA策略。
要批准MAA策略,帐户必须位于分配给特定类型资源的访问策略的组中。在Intune中测试管理审批之前,确保该用户属于可以批准请求的组。
如何在Intune中配置多个管理审批
现在我们将详细介绍在Intune中配置多个管理审批的步骤。获得多重行政批准需要很多步骤。我们将详细介绍每个步骤,并了解如何在Intune中配置管理审批。
步骤1:在Intune中为MAA创建访问策略
执行以下步骤在Intune中为多个管理审批创建访问策略:
- 启动浏览器并登录到Intune门户.
- 去租户管理>多管理员管理>访问策略并选择创建.
在基础知识页,提供的名字,可选描述.对于Profile类型,有两个可用的选项:应用程序而且脚本.从可用选项中选择“应用程序”。每个策略支持单一的配置文件类型。点击下一个.
在审批人员页面,选择添加组然后选择一个组作为该策略的审批人组。不支持排除组的更复杂的配置。点击下一个.
在回顾+创建页,检查访问策略,然后保存更改。Intune应用此策略后,受保护配置文件类型的配置需要得到多个管理员的批准。
在控制台的右上角可以看到一条消息,说明成功创建了多个管理批准。创建的所有访问策略将显示在租户管理>多重管理审批刀锋之剑Intune控制台.
第二步:提交请求
创建MAA的访问策略后,它将立即生效。当管理员为受访问策略保护的区域编辑或创建新对象时,他们会在保存+回顾表面,他们可以在其中输入更改的描述作为业务证明。
当应用程序受到访问策略的保护时,对现有应用程序的任何更改或添加新应用程序都需要业务理由。请求者可以添加额外的注释,说明所做的更改及其原因。只有在添加业务理由之后,审批者才能批准或拒绝请求。
为了测试这一点,您可以选择添加一个新的应用程序到Intune或者编辑任何现有的应用程序并进行一些更改。例如,您可以修改应用程序描述,添加/删除作业等。对应用程序进行更改后,单击回顾+保存.
请求者现在看到以下消息“在更新此资源之前,必须由另一个管理员批准。在提交此请求之前,您必须输入您的业务理由.”
在保存更改之前的最后一页上,向Business justification字段添加详细信息,然后提交请求。添加业务理由后,单击保存.
请注意:当对同一对象的请求已经在等待批准时,您将无法提交您的请求。Intune会显示一条消息,提醒您注意这种情况。
提交请求的管理员现在在Intune控制台中看到一条通知。”提交更改请求,确认批准请求已提交。
步骤3:批准请求
管理员提交更改请求之后,就该批准请求了。下面是找到需要批准的请求时需要遵循的步骤
在微软端点管理器管理中心转到租户管理>多管理员管理>收到请求.选择商业论证链接对于请求,打开审查页面,在那里您可以了解有关请求的更多信息,并管理批准或拒绝。
查看详细信息后,在Approver notes字段中输入相关详细信息,然后选择批准请求或拒绝请求.一个多管理员批准请求的示例。该示例说明所请求的更改是更新关于Windows应用程序的信息。更改将高亮显示,管理员有能力批准或拒绝请求,并添加审批人备注。
批准请求后,Intune处理更改并将状态更新为完成在成功应用之后。请求状态可能变为批准如果对资源的更新需要时间来处理,则在有限的时间内。
步骤4:监视请求的状态
提交了更改的管理员可以通过转到Microsoft Endpoint Manager管理中心查看其请求的状态租户管理>多重管理审批然后看"我的请求”页面。
这里有几件重要的事情需要注意:
- 您可以在批准请求之前取消请求,方法是从“我的请求页面,然后选择取消请求。
- 当一个对象的审批已经悬而未决时,一个新的请求就不能提交。
- 请求的操作和批准过程被记录在导入审计日志.
调入多个管理员审批状态
该表列出了管理员提交的请求可用的所有状态条件。
| 多个管理员审批状态 | 描述 |
|---|---|
| 需要批准 | 此请求正在等待审批人的处理。 |
| 批准 | Intune正在处理此请求。 |
| 完成 | 此请求已成功应用。 |
| 拒绝了 | 这个请求被审批人拒绝了。 |
| 取消了 | 提交该请求的管理员取消了该请求。 |
下面的截图说明了管理员同时也是审批人所查看的不同状态。
结论
多重管理员审批是Intune中的一个很好的特性。由于保护策略是必不可少的,这可能是对您的变更过程的极大补充,以加快策略操作。这是一个很好的开始,当它准备好全面可用时,我认为同样的功能将被添加到安全策略、设备配置配置文件、应用配置配置文件和应用保护配置文件中。
