如果您使用自动化脚本、Azure Automation runbook 或第三方工具管理 Microsoft Intune,需要密切关注 2026 年 6 月 22 日那周推出的最新更新。
Microsoft 已宣布 Multi Admin Approval(MAA)现在对通过 Microsoft Graph API 发出的应用程序身份验证(app-auth)API 调用强制执行审批工作流。
以下是这对企业 IT 意味着什么、重要性以及您应立即采取的步骤的技术分析。
变更内容
此前,Intune 的多重管理员审批功能仅在**交互式(委派)**管理员操作上强制执行。这意味着如果管理员进入门户擦除设备或更改脚本,需要第二位管理员批准。但是,如果自动化脚本或服务主体使用仅应用 token 通过 Graph API 执行完全相同的操作,该操作会直接通过而无需审批。
情况不再如此。 使用仅应用 token 的自动化和脚本调用,当目标资源(如应用、脚本或设备操作)受访问策略保护时,现在会被 MAA 拦截。
如果您的自动化尝试在没有适当审批标头的情况下修改受保护工作负载,API 将返回 HTTP 403 Forbidden 错误。
实际影响
此变更在 UI 和 API 上都强制执行"四眼原则",弥补了一个重大安全漏洞。但是,如果不更新,它将破坏现有的自动化。
- 损坏的 Runbook: 任何使用服务主体修改受保护 Intune 资源的自定义 PowerShell 脚本或 Power Automate 流,在 MAA 策略激活时会立即失败。
- 第三方中断: 利用企业应用管理 Intune 的工具(如补丁管理或配置工具)现在受这些阻止约束,除非明确排除。
- 改善的安全态势: 具有广泛权限(例如
DeviceManagementManagedDevices.ReadWrite.All)的被攻陷服务主体,在没有交互式人工批准步骤的情况下,不再能发起大规模设备擦除或部署恶意脚本。
Intune 管理员的立即行动
为确保您的自动化持续顺畅运行同时维护安全,请采取以下步骤:
1. 识别受保护工作负载
在 Intune 管理中心导航到 Tenant administration > Multi Admin Approval > Access Policies。检查哪些配置文件类型(应用、脚本、设备操作)目前受 MAA 保护,并将其与您的自动化工作流对比。
2. 更新自动化脚本
如果您维护自定义脚本,必须更新 API 请求以处理新的 MAA 工作流:
- 包含
x-msft-approval-justification标头,附带 Base64 编码的业务理由。 - 等待管理员在 Intune 门户中交互式批准请求(应用程序不能批准自己的请求)。
- 使用
x-msft-approval-code标头重新提交原始请求。
3. 配置企业应用排除项
如果立即更新代码不可行——例如您依赖第三方供应商工具——您可以在 MAA 访问策略向导中使用新的 Exclusions 选项卡。这允许您豁免特定企业应用或服务主体不受 MAA 强制,使它们的工作流不会中断。
4. 加固您的服务主体
对于您选择从 MAA 中排除的任何应用,将其视为高特权实体至关重要。使用 Conditional Access for workload identities 锁定它们,限制使用客户端密钥而优先采用基于证书的身份验证,并持续审计其使用情况。
通过主动适应此变更,您可以在不使基本运营自动化停顿的情况下,显著增强租户的安全性。