如何在 Intune 中配置多个管理员批准

在本文中，您将了解如何在 Intune 中配置多个管理员批准。您可以使用访问策略来要求对 Intune 资源进行多个管理批准 (MAA)。

我们将逐步完成该过程，了解 Intune 中的多重管理员批准是什么、谁可以在 Intune 中创建和批准 MAA 策略，以及如何创建访问策略、提交请求并获得批准。

多个管理员批准是 Microsoft Intune 11 月 (2211) 服务版本中引入的一项新功能。通过 MAA，您可以设置访问策略来保护特定设置，例如设备的应用程序或脚本。此功能目前处于公共预览版。您可以在 Intune 租户中测试此新功能并向 Microsoft 提供反馈。 Microsoft 将很快宣布全面推出此功能。

如果您使用配置管理器，您可以批准用户的应用程序请求并通过电子邮件批准 SCCM 应用程序请求。 Intune 中的多个管理员批准更高级，并提供更多功能。

• 什么是多重行政审批 (MAA)？
• 谁可以创建和批准请求？
• • 步骤 1：在 Intune 中为 MAA 创建访问策略
• 第 2 步：提交请求
• 第 3 步：批准请求
• 第 4 步：监控您的请求的状态

什么是多重行政审批 (MAA)？

为了帮助防止管理帐户受损，请使用 Intune 访问策略要求在应用更改之前使用第二个管理帐户来批准更改。此功能称为多重行政审批 (MAA)。

通过 MAA，您可以设置访问策略来保护设备上的某些设置，例如应用程序或脚本。受保护的内容以及允许哪些帐户组批准对这些资源的修改均由访问策略指定。

当租户中的任何帐户更改受访问策略保护的资源时，在其他帐户明确批准之前，Intune 不会使更改生效。更改只能由属于批准组的管理员批准，该批准组已通过访问保护策略获得受保护的资源。变更请求也可能被批准者拒绝。

目前，Intune 中的访问策略仅支持以下资源：

• 应用：适用于应用部署，但不适用于应用保护政策。
• 脚本：适用于将脚本部署到运行 macOS 或 Windows 的设备。

谁可以创建和批准请求？

要创建 MAA 访问策略，必须为该帐户分配 Intune 服务管理员或 Azure 全局管理员角色。只有这两个角色有权在 Intune 中创建 MAA 策略。

要批准 MAA 策略，帐户必须位于分配给特定类型资源的访问策略的组中。在 Intune 中测试管理员批准之前，请确保用户属于可以批准请求的组的一部分。

如何在 Intune 中配置多个管理员批准

现在，我们将完成在 Intune 中配置多个管理员批准的步骤。获得多项行政审批的工作涉及许多步骤。我们将完成每个步骤并了解如何在 Intune 中配置管理员批准。

步骤 1：在 Intune 中为 MAA 创建访问策略

执行以下步骤在 Intune 中创建多个管理审批的访问策略：

• 启动浏览器并登录 Intune 门户。
• 转到租户管理 > 多管理员管理 > 访问策略，然后选择创建。

在基本页面上，提供名称和可选的说明。对于配置文件类型，有两个可用选项：应用和脚本。从可用选项中选择应用程序。每个策略支持单一配置文件类型。单击下一步。

在审批者页面上，选择添加组，然后选择一个组作为此政策的审批者组。不支持排除组的更复杂的配置。单击下一步。

在查看 + 创建页面上，查看访问策略，然后保存更改。 Intune 应用此策略后，受保护配置文件类型的配置将需要多个管理员的批准。

控制台右上角会显示一条消息，表明已成功创建多个管理员批准。您创建的所有访问策略都将显示在 Intune 控制台的租户管理 > 多管理员批准边栏选项卡下。

第 2 步：提交请求

创建 MAA 的访问策略后，它会立即生效。当管理员为受访问策略保护的区域编辑或创建新对象时，他们会在保存 + 查看界面上看到一个选项，可以在其中输入更改的描述作为业务理由。

当应用程序受访问策略保护时，对现有应用程序进行的任何更改或添加新应用程序都需要业务理由。请求者可以添加附加注释，说明所做的更改以及原因。只有添加业务理由后，审批者才能批准或拒绝请求。

要对此进行测试，您可以将新应用添加到 Intune 中，也可以编辑任何现有应用并进行一些更改。例如，您可以修改应用程序描述、添加/删除作业等。完成对应用程序的更改后，单击查看并保存。

请求者现在会看到以下消息“在更新此资源之前，必须得到另一位管理员的批准。在提交此请求之前，您必须输入您的业务理由。”

在保存最后一页上的更改之前，请先在业务理由字段中填写信息，然后提交请求。添加完业务理由后，点击保存。

注意：当对同一对象的请求已等待批准时，您将无法提交请求。 Intune 会显示一条消息来提醒您注意这种情况。

提交请求的管理员现在会在 Intune 控制台中看到一条通知“已提交更改请求”，确认批准请求已提交。

第 3 步：批准请求

该请求需要在管理员提交后获得批准。您需要执行以下步骤来查找要批准的请求：

在 Intune 管理中心中，转到租户管理 > 多管理员管理 > 收到的请求。选择请求的业务理由链接以打开审核页面，您可以在其中了解有关请求的更多信息，并管理批准或拒绝。

查看详细信息后，在审批者注释字段中输入相关详细信息，然后选择批准请求或拒绝请求。多管理员批准请求的示例。该示例说明请求的更改是更新有关 Windows 应用程序的信息。更改会突出显示，管理员可以批准或拒绝请求，并添加批准者注释。

批准请求后，Intune 会处理更改并在成功应用后将状态更新为已完成。如果资源更新需要一些时间来处理，则请求状态可能会在有限的时间内更改为已批准。

第 4 步：监控您的请求的状态

提交更改请求的管理员可以在 Microsoft Endpoint Manager 管理中心查看其请求的状态，方法是转到租户管理 > 多管理员批准并查看“我的请求”页面。

这里需要注意一些重要的事情：

• 您可以在请求获得批准之前取消该请求，方法是从“我的请求”页面中选择该请求，然后选择“取消请求”。
• 当某个对象已等待批准时，无法为其提交新请求。
• 请求操作和批准过程记录在 Intune 审核日志中。

Intune 多管理员批准状态

该表列出了管理员提交的请求可用的所有状态条件。

此请求正在等待审批者采取行动。

Intune 正在处理此请求。

此请求已成功应用。

此请求被审批人拒绝。

此请求已被提交该请求的管理员取消。

请求已过期。

在下图中，您可以看到同时也是审批者的管理员如何查看不同的状态。

结论

Intune 的多管理员批准是一项出色的功能。鉴于保护策略的重要性，这可能是对您的变更流程的一个很好的补充，以加快策略操作。这是一个良好的开端，我相信一旦准备好全面上市，相同的功能将被添加到安全策略、设备配置配置文件、应用程序配置配置文件和应用程序保护配置文件中。