若您以自動化指令碼、Azure Automation Runbook 或第三方工具管理 Microsoft Intune,需要密切注意 2026 年 6 月 22 日當週推出的最新更新。

Microsoft 已宣布 Multi Admin Approval (MAA) 現在對透過 Microsoft Graph API 進行的應用程式驗證(app-auth)API 呼叫強制執行核准工作流程

以下是此變更對企業 IT 的意義、為何重要,以及您應採取的立即步驟的技術剖析。

變更內容

先前,Intune 的 Multi Admin Approval 功能僅對**互動式(委派)**管理員動作強制執行。這意味若管理員進入入口網站抹除裝置或變更指令碼,需要第二名管理員核准。但若自動化指令碼或服務主體透過 Graph API 使用僅應用程式權杖執行完全相同的動作,該動作會直接通過而無需核准。

此情況已不復存在。 當目標資源(如應用程式、指令碼或裝置動作)受存取原則保護時,使用僅應用程式權杖的自動化與指令碼呼叫現在會被 MAA 攔截。

若您的自動化嘗試在沒有適當核准標頭的情況下修改受保護的工作負載,API 將回傳 HTTP 403 Forbidden 錯誤。

實務影響

此變更跨 UI 與 API 強制執行「四眼原則」,關閉了一個重大的安全漏洞。但若未更新,將破壞現有自動化。

  1. 失效的 Runbooks: 任何使用服務主體修改受保護 Intune 資源的自訂 PowerShell 指令碼或 Power Automate 流程,若 MAA 原則作用中,將立即失敗。
  2. 第三方中斷: 利用企業應用程式管理 Intune 的工具(如修補管理或佈建工具),現在受這些封鎖約束,除非特別排除。
  3. 改善的安全態勢: 具備廣泛權限的遭入侵服務主體(例如 DeviceManagementManagedDevices.ReadWrite.All)無法在沒有互動式人類核准步驟的情況下,發動大量裝置抹除或部署惡意指令碼。

Intune 管理員的立即行動

為確保您的自動化在維持安全性的同時持續順暢執行,請採取以下步驟:

1. 識別受保護的工作負載

在 Intune 管理中心瀏覽至 Tenant administration > Multi Admin Approval > Access Policies。檢查哪些設定檔類型(Apps、Scripts、Device Actions)目前受 MAA 保護,並將此與您的自動化工作流程進行比對。

2. 更新自動化指令碼

若您維護自訂指令碼,必須更新 API 要求以處理新的 MAA 工作流程:

  • 包含 x-msft-approval-justification 標頭,內含 Base64 編碼的業務理由。
  • 等待管理員在 Intune 入口網站互動式核准要求(應用程式無法自行核准其請求)。
  • 使用 x-msft-approval-code 標頭重新提交原始請求。

3. 設定企業應用程式排除

若無法立即更新程式碼 — 例如,您依賴第三方供應商工具 — 可使用 MAA 存取原則精靈內新的 Exclusions 索引標籤。這讓您可將特定企業應用程式或服務主體從 MAA 強制執行中豁免,使其工作流程不致中斷。

4. 強化您的服務主體

對於您選擇從 MAA 排除的任何應用程式,將其視為高度特權實體至關重要。使用 Conditional Access for workload identities 鎖定它們,限制用戶端密碼而改用憑證式驗證,並持續稽核其使用情形。

透過主動適應此變更,您可在不讓基本營運自動化停擺的情況下,顯著強化租用戶的安全性。