使用 PowerShell 为 Intune 应用创建多管理员批准

在本教程中，我将向您展示如何使用 Microsoft Graph PowerShell SDK 在 Microsoft Intune 中创建多管理员审批访问策略。如果您想要自动化构建过程并使多个租户保持相同的标准，同时避免潜在的用户错误，那么这是完美的选择。

如果您想跳转到脚本，请单击此处。

Intune 中的多管理员批准是什么？

Intune 中的多管理员批准访问策略允许您确保第二个管理员批准将应用程序和脚本部署到 Intune 内的终结点。

通过创建此安全工作流程，您可以确保保护端点免受恶意或受损管理员的侵害，它通过允许第二人（可能在合规性或安全性方面）验证应用程序或脚本是否已获得批准、验证或记录来实现这一点。

当租户中的任何用户帐户用于创建受访问策略保护的资源时，多管理员批准适用。

多管理员批准如何运作？

在 Intune 中创建多管理员批准时，您可以定义要保护的资源类型（应用程序或脚本）。然后，您可以通过选择一个组来定义哪些用户能够批准请求。

然后，当用户创建应用程序或脚本时，他们将看到一个文本框来填写该应用程序的业务理由。

然后，审批管理员将登录其多管理员审批请求，并决定是否批准或拒绝该请求。他们还能够从创建者那里看到商业理由。

如何在 Intune 管理中心创建多管理员审批访问策略

要从 Intune 管理中心创建多管理员审批访问策略，请按照以下步骤操作：

1. 登录endpoint.microsoft.com。

2. 从左侧菜单中，选择租户管理。

3. 选择多管理员批准。

4. 选择顶部的访问策略选项卡，然后单击创建以启动多管理员审批策略创建向导。

5. 为您的访问策略输入一个有意义的名称，然后选择该策略将应用的配置文件类型。您可以选择应用或脚本。

6. 在“批准者”选项卡上，单击添加组，然后选择包含您希望能够批准访问请求的用户的组。

7. 在最后一页上，单击创建。然后，您将看到访问策略选项卡上列出的批准策略。

如何使用 PowerShell 创建多管理员审批访问策略

如果您希望能够使用 Microsoft Graph PowerShell SDK 从 PowerShell 部署审批策略，您可以使用以下脚本，该脚本也可以在我的 GitHub 页面上找到。

#Author:    Daniel Bradley
#Website:   https://ourcloudnetwork.com
#LinkedIn:  https://www.linkedin.com/in/danielbradley2/

#Define settings
$DisplayName = "test2"  #Enter the desired policy name
$Description = "test1"  #Enter the desired policy description
$PolicyType  = "Apps"  #Enter either 'Apps' or 'Scripts'
$ApproversGroup = "Approval Admins" #Enter the exact name of the approvers groups

#Checks for Microsoft Graph
if (Get-Module -ListAvailable -Name Microsoft.Graph.Devices.CorporateManagement) 
{
} else {
        Install-Module -Name Microsoft.Graph.Devices.CorporateManagement -Scope CurrentUser
        Write-Host "Microsoft Graph Authentication Installed"
}

#Imports Module
Import-Module Microsoft.Graph.Devices.CorporateManagement, Microsoft.Graph.Groups

#Select Beta Profile
Select-MgProfile -Name Beta

#Connect to Microsoft Graph
Connect-MgGraph -Scopes DeviceManagementConfiguration.ReadWrite.All, Group.Read.All

#Store Target group
$targetgroup = Get-MgGroup | Where-Object {$_.DisplayName -eq $ApproversGroup}

#Define the URI
$uri = "https://graph.microsoft.com/beta/deviceManagement/operationApprovalPolicies"

#Define policy parameters
$json = 
@{
  "@odata.type" = "#microsoft.graph.operationApprovalPolicy"
  displayName = "$DisplayName"
  description = "$Description"
  policyType = "$PolicyType"
  approverGroupIds = @($targetgroup.id)
 } | ConvertTo-Json

#Create policy
$companyportal = Invoke-MgGraphRequest -Uri $uri -Body $json -Method POST -ContentType "application/json"

启用访问策略后的最终用户体验

一旦您制定了策略，大约需要 5 分钟更改才会影响您的最终用户。确保他们退出管理浏览器会话并重新登录。

当用户在 Intune 中创建脚本或应用部署时，在“查看 + 创建”页面上，他们将看到以下文本框，使他们能够提交批准请求。

对于审批管理员来说，当他们返回多管理员审批页面时，他们将看到收到的状态为需要审批的请求。

奇怪的是，审批者需要单击“业务理由”标题下的超链接文本才能显示批准请求的选项。然后，他们可以输入一些相关注释并点击批准请求。

不幸的是，目前没有本地选项来创建电子邮件通知，或者管理中心内根本没有通知来通知审批管理员收到的请求。然而，这可以通过监视审核日志轻松完成。