The new multiple administrative approvals (MAAs)

Die neuen Multiple Administrative Approvals (MAAs)

Möchtest du deine Gerätekonfigurationen in Microsoft Intune mit einer zusätzlichen Sicherheitsebene versehen? Die neue Funktion Multiple Administrative Approvals (MAAs), die mit dem Service Release vom November 2211 eingeführt wurde, könnte genau das sein, was du brauchst. In diesem Blogbeitrag führen wir dich durch die Einrichtung und Nutzung von MAAs, um bestimmte Konfigurationen wie Apps oder Skripte für Geräte zu schützen. Multiple Administrative Approval (MAA) hilft, große Umgebungen mit vielen Administratoren abzusichern, indem ein zweites administratives Konto Änderungen genehmigen muss, bevor diese angewendet werden.

Aktuell befindet sich die Funktion in der Public Preview – du kannst sie in deinem Intune-Tenant ausprobieren und Microsoft Feedback geben. Behalte die Ankündigungen zur allgemeinen Verfügbarkeit (General Availability) der MAAs im Auge, die Microsoft in naher Zukunft bekanntgeben wird.

Die neuen Multiple Administrative Approvals (MAAs)

Warum mehrere administrative Genehmigungen nutzen

Das Modell der mehrfachen administrativen Genehmigungen fügt wirkungsvollen Intune-Aktionen ein eingebautes Vier-Augen-Prinzip hinzu. Indem ein zweiter Admin eine Änderung an Apps oder Skripten prüfen und freigeben muss, sinkt das Risiko, dass eine versehentliche oder böswillige Konfigurationsänderung unbemerkt auf deinen verwalteten Geräten landet. Gerade in großen Umgebungen mit vielen Administratoren sorgt das für mehr Kontrolle und eine klar nachvollziehbare Änderungshistorie.

So konfigurierst du MAA

Um MAA zu konfigurieren, benötigst du die Rolle Intune Service Administrator oder Azure Global Administrator.

  • Öffne das Intune Portal im Browser
  • Navigiere zu Tenant administration -> Multi-Admin Approval
  • Wähle Access policies
  • Klicke auf + Create
  • Gib einen Name ein und wähle den Profile type (Apps oder Scripts)
  • Wähle die group der MAA-Admins aus, die Anfragen genehmigen dürfen
  • Klicke auf Next
  • Klicke auf Create
Die neuen Multiple Administrative Approvals (MAAs)
  • Die Erstellung der Access policy ist abgeschlossen

Eine Anfrage erstellen

Sobald eine Access policy für MAA erstellt wurde, ist sie sofort aktiv. Wenn ein Administrator ein Objekt in einem geschützten Bereich bearbeitet oder neu erstellt, sieht er auf der Seite Save + Review die Möglichkeit, eine Beschreibung der Änderung als Business Justification einzugeben. Dies ist für alle Änderungen an Apps erforderlich, einschließlich des Hinzufügens oder Anpassens bestehender Apps oder des Hinzufügens neuer Apps. Der Antragsteller kann zusätzliche Hinweise zu den vorgenommenen Änderungen und den Gründen dafür hinterlegen. Erst nachdem die Business Justification angegeben wurde, kann der Genehmiger die Anfrage genehmigen oder ablehnen. Lass uns das also testen.

  • Öffne das Intune Portal im Browser
  • Navigiere zu Apps -> All Apps
  • Wähle eine App zum Testen aus (in meinem Fall CMTrace)
  • Gehe zu Properties und klicke auf Edit
  • Klicke auf Edit Description und ändere die Beschreibung
  • Klicke mehrmals auf Review + Save, bis du auf der Seite Review + save bist
Die neuen Multiple Administrative Approvals (MAAs)
  • Um eine Genehmigungsanfrage zu erstellen, musst du eine Business justification eingeben
  • Klicke auf Save
Die neuen Multiple Administrative Approvals (MAAs)

Die Anfrage genehmigen

  • Gehe zurück zum Menü Multi-Admin Approval in der Tenant administration
  • Hier siehst du deine Anfrage
Die neuen Multiple Administrative Approvals (MAAs)
  • Klicke auf die Business justification.
  • Hier siehst du alle vorgenommenen Änderungen (interessant ist, dass wir auch einige Änderungen sehen, die nicht mit der Änderung der Beschreibung zusammenhängen)
  • In diesem Fall habe ich meine eigene Anfrage gesehen. Zum Genehmigen muss ich mich mit einem anderen MAA-Benutzer anmelden.
Die neuen Multiple Administrative Approvals (MAAs)

Ein paar praktische Hinweise zum Schluss: MAA schützt nur die Objekttypen, die du gezielt mit einer Access policy auswählst – aktuell sind das Apps und Skripte – gehe also nicht davon aus, dass damit jede Änderung im Tenant abgedeckt ist. Achte außerdem darauf, dass die Genehmiger-Gruppe mehr als einen aktiven Admin enthält: Ist der einzige Genehmiger nicht verfügbar, bleiben auch berechtigte Änderungen blockiert. Da Antragsteller und Genehmiger unterschiedliche Personen sein müssen, solltest du deinen Bereitschaftsplan so gestalten, dass im Notfall niemand in einer Self-Approval-Sackgasse landet.