Utilizar políticas de acesso para exigir a aprovação de vários administradores

Para ajudar a proteger contra uma conta administrativa comprometida, utilize as políticas de acesso do Microsoft Intune para exigir que uma segunda conta administrativa aprove uma alteração antes de a alteração ser aplicada. Esta capacidade é conhecida como Aprovação de Vários Administradores.

Ao utilizar a Aprovação de Vários Administradores, pode configurar políticas de acesso que protegem configurações específicas, como Aplicações ou Scripts para dispositivos. As políticas de acesso especificam o que está protegido e que grupo de contas pode aprovar alterações a esses recursos.

Quando utiliza qualquer conta no inquilino para efetuar uma alteração a um recurso protegido por uma política de acesso, o Intune não aplica a alteração até que uma conta diferente a aprove explicitamente. Apenas os administradores que sejam membros de um grupo de aprovação a que uma política de proteção de acesso atribua um recurso protegido podem aprovar alterações. Os aprovadores também podem rejeitar pedidos de alteração.

A imposição do MAA aplica-se a ações de administração interativas (delegadas) e a chamadas à API autenticadas por aplicações (app-auth) efetuadas através da Microsoft API do Graph. Se a sua organização utilizar principais de serviço, scripts de automatização ou aplicações de terceiros para gerir recursos do Intune através da Microsoft API do Graph, essas chamadas também são intercetados pelo MAA quando o recurso de destino é protegido por uma política de acesso. Para obter detalhes sobre como atualizar a automatização para trabalhar com o MAA, veja Utilizar a Aprovação multiadministração com a Microsoft API do Graph. Para excluir aplicações específicas da imposição, veja Excluir aplicações empresariais de uma política de acesso.

Dica

A imposição do MAA nas chamadas à API efetuadas pela automatização aplica-se apenas a inquilinos que já tenham políticas de acesso MAA configuradas. Não ativa o MAA nem altera a inscrição de qualquer inquilino.

O Intune suporta políticas de acesso para os seguintes recursos:

  • Aplicações – aplica-se a implementações de aplicações, mas não se aplica a políticas de proteção de aplicações.
  • Políticas de conformidade – aplica-se à criação e gestão de políticas de conformidade.
  • Políticas de configuração – aplica-se à criação e gestão de políticas através do catálogo de definições.
  • Ações do dispositivo – aplica-se a ações de eliminação, extinção e eliminação de dispositivos.
  • Controlo de acesso baseado em funções – aplica-se a alterações a funções, incluindo modificações a permissões de funções, grupos de administradores ou atribuições de grupos de membros.
  • Scripts – aplica-se à implementação de scripts em dispositivos com o Windows.
  • Configuração do Inquilino – aplica-se à gestão de categorias de dispositivos, incluindo a criação, edição ou eliminação das mesmas.

As alterações às políticas de acesso requerem a aprovação de um segundo administrador. Uma vez que este tipo de recurso é protegido automaticamente, não está disponível como um tipo de perfil selecionável quando cria uma política de acesso.

Pré-requisitos para políticas de acesso e aprovadores

Para utilizar a Aprovação multiadministrador, o inquilino tem de ter, pelo menos, duas contas de administrador. O fluxo de trabalho do MAA tem três funções distintas, cada uma com requisitos de permissão diferentes:

Licenciamento de administrador

Por predefinição, os administradores que participam no fluxo de trabalho do MAA têm de ter uma licença do Intune atribuída à respetiva conta. Para permitir que os administradores não licenciados participem no fluxo de trabalho do MAA, ative a definição Permitir acesso a administradores não licenciados .

Cuidado

Esta definição é irreversível. Depois de ativada, não pode desativá-la. Certifique-se de que a sua organização compreende esta limitação antes de continuar.

Antes de ativar esta definição, reveja Administradores não licenciados para obter limites importantes e detalhes de comportamento, incluindo limites de associação a grupos e quanto tempo as alterações de acesso demoram a entrar em vigor.

Função 1: Gestor de políticas de acesso

Para criar e gerir políticas de acesso, utilize uma conta com uma das seguintes opções:

  • Função personalizada do Intune (recomendado): utilize uma função personalizada que inclua as seguintes permissões de Aprovação de Vários Administradores:

    Permissão Descrição
    Criar política de acesso Criar novas políticas de acesso do MAA
    Ler política de acesso Ver políticas de acesso do MAA existentes
    Atualizar política de acesso Modificar as políticas de acesso do MAA existentes
    Eliminar política de acesso Remover políticas de acesso do MAA

  • Administrador do Intune (também conhecido como Administrador de Serviços do Intune): esta função do Microsoft Entra fornece acesso completo de leitura/escrita ao Intune. Uma vez que é uma função privilegiada, a Microsoft recomenda a utilização de uma função personalizada do Intune com privilégios mínimos para a gestão de políticas de acesso rotineiro em vez desta função. Para saber mais, veja Funções incorporadas do Microsoft Entra – Administrador do Intune.

Função 2: Aprovador

Para aprovar ou rejeitar pedidos MAA submetidos por outros administradores, uma conta tem de cumprir todos os seguintes requisitos:

  1. Associação ao grupo aprovador: a conta tem de ser um membro do grupo de aprovadores atribuído à política de acesso para o tipo de recurso específico.

  2. Permissão de função do Intune: a conta do aprovador tem de ter a permissão de Leitura específica do recurso para o tipo de política que está a aprovar. Por exemplo, para aprovar um pedido para uma ação de eliminação de dispositivos, o aprovador tem de ter ManagedDevices/Read. Para obter uma lista completa das permissões disponíveis, veja Permissões de função personalizadas.

  3. Atribuição de função RBAC para o grupo: o grupo de segurança do aprovador tem de ser adicionado como um grupo de membros a, pelo menos, uma atribuição de função do Intune. Se o grupo de aprovadores não for adicionado a uma atribuição de função, os membros do grupo de aprovadores são removidos periodicamente do grupo.

    Importante

    O grupo de aprovadores tem dois requisitos:

    • Tem de ser um grupo de segurança. As listas de distribuição, os grupos do Microsoft 365 e os grupos de segurança com capacidade de correio não são suportados e falham silenciosamente na resolução da associação do aprovador.
    • Tem de ser atribuída diretamente a uma função RBAC no Intune como um grupo membro. As permissões de função do Intune detidas por membros individuais, seja através de outros grupos ou atribuições diretas de utilizadores, não satisfazem este requisito.

Função 3: Pedir alterações

Para submeter pedidos de alteração e concluir as alterações aprovadas para recursos protegidos, um administrador precisa das permissões RBAC padrão do Intune para a ação específica que está a executar. A mesma conta executa ambos os passos : submeter o pedido inicial e selecionar Concluir após aprovação por outro administrador. Por exemplo, MobileApps/Create para criar uma aplicação ou RemoteTasks/Wipe para apagar um dispositivo.

Observação

  • Um administrador não pode aprovar os seus próprios pedidos, mesmo que seja membro do grupo de aprovadores. Um administrador diferente tem de aprovar o pedido.
  • As alterações submetidas por uma conta de Administrador Global ou administrador do Intune ainda têm de ser aprovadas por um administrador diferente.

Como funcionam as políticas de Aprovação e Acesso de Vários Administradores

Quando um administrador edita ou cria um novo objeto para uma área protegida por uma política de acesso, vê uma opção na superfície Guardar + Rever , onde pode introduzir uma descrição da alteração como justificação comercial.

  • A justificação comercial torna-se parte do pedido de aprovação para a alteração.
  • Um administrador que submeteu uma alteração pode ver o estado dos pedidos no centro de administração do Microsoft Intune ao aceder àAprovação multiadministrador da administração> de inquilinose visualizar a página Os meus pedidos.

Depois de uma alteração ser submetida, um aprovador pode navegar para a página Todos os pedidos do nó Aprovação de Vários Administradores ou aceder a Tarefas de Administração de Administração> deInquilinos para gerir os pedidos. Ambas as localizações fornecem a lista de pedidos que estão ativos ou geridos recentemente. Esta vista fornece alguns detalhes sobre o pedido, incluindo quando e quem o submeteu, o tipo de operação envolvida, como Criar ou Atribuir, e o respetivo estado. Para gerir o pedido:

  • O aprovador seleciona a ligação Justificação comercial para o pedido. Esta ação abre o painel Pedido de política de acesso onde pode ver mais informações sobre a alteração, incluindo os detalhes completos fornecidos no campo Justificação comercial do pedido.
  • No painel Pedido de política de acesso, o aprovador pode introduzir notas no campo Notas do Aprovador e, em seguida, selecionar uma opção para Aprovar pedido ou Rejeitar pedido. Estas notas são adicionadas ao pedido e são visíveis para o indivíduo que pediu a alteração quando revê os pedidos na página Os meus pedidos . Por exemplo, se o pedido for rejeitado, o motivo da rejeição pode ser repercutido no requerente através das notas do Aprovador.
  • Os indivíduos que submetem um pedido e também são membros do grupo de aprovação para os quais podem ver os seus próprios pedidos na página Todos os pedidos. No entanto, não podem aprovar os seus próprios pedidos.

Alterar as sugestões do Agente de Revisão na Aprovação de Vários Administradores

Quando o Agente de Revisão de Alterações estiver configurado e tiver concluído uma execução, os separadores Os meus pedidos e Todos os pedidos apresentam uma coluna Resposta do Agente para pedidos de script do PowerShell. Quando estiver disponível uma sugestão, pode selecioná-la para abrir e concluir o fluxo de trabalho de aprovação do Agente de Revisão de Alterações para esse pedido sem sair do nó Aprovação de Vários Administradores.

Alterar As sugestões do Agente de Revisão também continuam disponíveis na experiência principal do agente . Para obter mais informações sobre o agente, veja Descrição geral do Agente de Revisão de Alterações.

Se uma alteração for aprovada, o Intune processa a alteração pedida e atualiza o objeto. Enquanto o Intune processa o pedido, o respetivo estado pode ser apresentado como Aprovado. O requerente original tem de ver o pedido e selecionar Concluir para iniciar a alteração. Depois de ser processado com êxito, o estado é atualizado para Concluído.

Se um pedido não for processado mais dentro de 3 dias, este será Expirado e terá de ser novamente submetido. Cada alteração de estado permanece visível até 30 dias após a alteração do estado.

Criar uma política de acesso

  1. Inicie sessão no centro de administração do Microsoft Intune, aceda a Administração> deinquilinos Políticas deAcesso de Aprovação> multiadministração > selecione Criar.

  2. Em Noções Básicas, introduza um Nome e uma Descrição opcional. Em Tipo de perfil, selecione uma das opções disponíveis. Cada política suporta um único tipo de perfil.

  3. Em Aprovadores, selecione Adicionar grupos e, em seguida, selecione um grupo como o grupo de aprovadores para esta política. As configurações mais complexas que excluem grupos não são suportadas.

  4. Em Exclusões, opcionalmente, selecione Adicionar aplicações empresariais para excluir aplicações empresariais específicas que utilizem tokens de autenticação de aplicações da imposição do MAA para esta política. As aplicações excluídas podem modificar recursos protegidos sem passar pelo fluxo de trabalho de aprovação. Para obter mais informações, veja Excluir aplicações empresariais de uma política de acesso.

  5. Em Rever + submeter para aprovação, reveja o resumo da política, incluindo as noções básicas, aprovadores e quaisquer exclusões. Introduza uma Justificação comercial e, em seguida, selecione Submeter para aprovação.

  6. Em seguida, utilize uma conta administrativa separada com a permissão Aprovação para Aprovação de Vários Administradores para iniciar sessão no centro de administração para rever e aprovar a nova política de acesso.

  7. Volte a iniciar sessão no centro de administração com a primeira conta de administrador que criou a política de acesso, veja a política e finalize-a ao selecionar Concluir. Depois de o Intune aplicar esta política, as configurações para o tipo de perfil protegido requerem várias aprovações de administrador.

Excluir aplicações empresariais de uma política de acesso

Quando cria ou edita uma política de acesso, pode excluir aplicações empresariais específicas da imposição do MAA para essa política. As aplicações excluídas podem modificar o tipo de recurso protegido sem passar pelo fluxo de trabalho de aprovação.

Importante

As exclusões aplicam-se apenas a chamadas de autenticação de aplicações (autenticadas por aplicações). As chamadas efetuadas com autenticação delegada estão sempre sujeitas à imposição do MAA, mesmo que a aplicação esteja excluída.

Aviso

Excluir uma aplicação ignora a proteção do MAA para o tipo de recurso afetado. Cada exclusão cria uma lacuna no fluxo de trabalho de aprovação que pode ser explorada se a aplicação excluída for comprometida. Exclua apenas as aplicações quando necessário e reveja regularmente a sua lista de exclusão para remover entradas que já não são necessárias.

Tenha em atenção os seguintes detalhes:

  • Âmbito por política – cada exclusão aplica-se apenas à política de acesso onde está configurada. Uma exclusão numa política de acesso não afeta outras políticas ou cargas de trabalho.
  • Limite – as exclusões de aplicações estão limitadas a 50 aplicações por política de acesso.
  • Aprovação necessária — Adicionar, remover ou modificar exclusões requer a aprovação de um segundo administrador, tal como outras alterações à política de acesso.
  • Registo de auditoria – todas as ações para adicionar, remover e modificar na lista de exclusão são capturadas no registo de auditoria do Intune.

Submeter um pedido

Para submeter um pedido quando a Aprovação de Vários Administradores está ativada, utilize o processo normal para criar ou editar um recurso.

Na página final antes de poder guardar as alterações, adicione detalhes ao campo Justificação comercial e, em seguida, submeta o pedido. Para pedidos urgentes, considere contactar uma lista conhecida de aprovadores para garantir que o seu pedido é visto atempadamente.

Quando um pedido para o mesmo objeto já está pendente de aprovação, não pode submeter o seu pedido. O Intune apresenta uma mensagem para alertá-lo para esta situação.

Para monitorizar o estado dos seus pedidos, no centro de administração do Microsoft Intune, aceda a Administração de inquilinos Aprovação>>MultidminOs meus pedidos.

Pode cancelar um pedido antes de ser aprovado ao selecioná-lo na página Os meus pedidos e, em seguida, selecionar Cancelar pedido.

Aprovar pedidos

  1. Para localizar pedidos de aprovação, no centro de administração do Microsoft Intune, aceda aPedidos recebidos deAprovação Multidmin da administração>> de inquilinos.

  2. Selecione a ligação Justificação comercial para um pedido para abrir a página de revisão, onde pode saber mais sobre o pedido e gerir a aprovação ou rejeição.

  3. Depois de rever os detalhes, introduza os detalhes relevantes no campo Notas do Aprovador e, em seguida, selecione Aprovar pedido ou Rejeitar pedido.

  4. Depois de aprovar um pedido, o requerente tem de selecionar Concluir. O Intune processa a alteração e altera o estado para Concluído. Verifique se a aprovação foi bem-sucedida (ou falhou) ao rever a notificação da consola após a conclusão.

    Para verificar se a aprovação foi bem-sucedida (ou falhou), veja as notificações no centro de administração do Intune. Uma mensagem mostra se a aprovação foi concluída com êxito ou falhou.

Dica

Também pode gerir estas tarefas a partir do painel de tarefas de Administração centralizado no centro de administração do Intune.

Mais considerações

  • O Intune não envia notificações quando são criados novos pedidos ou o estado de um pedido existente é alterado. Quando submeter um pedido de alteração urgente, contacte as pessoas com permissão para aprovar esses pedidos.

  • Monitorize o estado dos seus pedidos através da página Os meus pedidos do nó Aprovação de Vários Administradores no centro de administração do Intune.

  • Quando uma aprovação já está pendente para um objeto, não pode submeter um novo pedido para o mesmo.

  • Todas as ações de um recurso protegido estão protegidas, incluindo, entre outros:

    • Editar
    • Criar
    • Modificar
    • Excluir
    • Atribuir

  • Os registos de auditoria do Intune registam ações para pedidos e o processo de aprovação. Para obter mais informações, veja Registos de auditoria para atividades do Intune.

  • As seguintes condições de estado estão disponíveis para um pedido:

    • Precisa de aprovação – este pedido está pendente de uma ação por parte de um aprovador.
    • Aprovado – este pedido está a ser processado pelo Intune.
    • Concluído – este pedido foi aplicado com êxito.
    • Rejeitado – este pedido foi rejeitado por um aprovador.
    • Cancelado – este pedido foi cancelado pelo administrador que o submeteu.

  • Tenha cuidado ao criar uma política de acesso para o tipo de política Função . Este tipo de política protege todas as alterações relacionadas com funções, incluindo a criação, atualização e eliminação de funções RBAC e atribuições de funções. Uma vez ativas, qualquer tentativa de modificar funções, incluindo as atribuições RBAC necessárias pelo próprio MAA, precisa primeiro da aprovação do MAA. Este requisito pode criar uma situação de impasse em que não pode configurar as atribuições RBAC necessárias para o MAA funcionar.

    Se ocorrer este impasse:

    1. Aceda a Administração> deinquilinos Políticas de Acesso à Aprovação >de Vários Administradores.
    2. Localize e elimine a política de acesso configurada para o tipo de política Função .
    3. Aguarde 3 a 5 minutos para que a alteração se propague.
    4. Aceda aFunções de administração> de inquilinos e conclua as atribuições de funções RBAC necessárias, adicionando o grupo de aprovadores a uma atribuição de função.
    5. Depois de o RBAC estar configurado corretamente, pode recriar a política de acesso de Função, se assim o desejar.

    Para evitar este problema, configure todas as outras políticas de acesso do MAA e verifique se as atribuições RBAC estão corretas antes de ativar uma política de acesso para o tipo de política Função .

Conteúdo relacionado

  • Last updated on