MAA
Posted inMicrosoft Intune

Multi-Admin Approval in Microsoft Intune: Mehr Sicherheit durch das Vier-Augen-Prinzip

No Comments

Das Worst-Case-Szenario, das jeden Tag passiert

Es ist Freitag, 14:30 Uhr. Ein Intune-Administrator erstellt eine neue Gerätekonfigurationsrichtlinie und setzt – ganz versehentlich – einen Registry-Wert falsch.

  • Minute 1: Die Policy wird gespeichert.
  • Minute 2: Sie wird auf 3.500 Unternehmensgeräte verteilt.
  • Minute 3: Plötzlich können alle Mitarbeitenden nicht mehr auf ihre lokalen Drucker zugreifen.

Der Helpdesk wird überrannt. Der IT-Leiter erfährt davon – vermutlich nicht auf die angenehmste Art.

Das ist kein hypothetisches Szenario. Das passiert in IT-Abteilungen weltweit, jeden Tag. Und jetzt stell dir vor, es wäre schlimmer gewesen: Ein Security-Setting wird deaktiviert. Eine Firewall-Regel gelöscht. Oder ein Administrator erhöht versehentlich Rechte auf Tenant-Ebene.

Genau hier kommt Multi-Admin Approval (MAA) ins Spiel. Mit MAA hätte diese Policy im Status Pending Approval verharrt – und ein zweiter Admin hätte sie geprüft, bevor sie auf 3.500 Geräte ausgerollt wird.

Was ist Multi-Admin Approval in Microsoft Intune?

Multi-Admin Approval (MAA) ist ein Sicherheitsmechanismus in Microsoft Intune, der das klassische Vier-Augen-Prinzip für administrative Aktionen umsetzt.

Das Prinzip ist einfach: Keine kritische Änderung in Intune geht live, bis sie von einem zweiten, unabhängigen Administrator genehmigt wurde.

Damit adressiert Microsoft eines der grössten Risiken in der Endpoint-Verwaltung: unkontrollierte Änderungen durch einzelne Administratoren – ob absichtlich oder versehentlich.

Wie funktioniert Multi-Admin Approval? Der Workflow im Detail

Der Genehmigungsprozess in MAA folgt einem klar definierten Ablauf mit sechs Phasen:

PhaseWas passiert
1. Requestor erstellt oder ändert ein ObjektEin Admin erstellt z. B. eine neue Compliance Policy, ein PowerShell-Skript oder eine Konfigurationsrichtlinie.
2. Status wechselt auf „Pending Approval»Statt sofort gespeichert und verteilt zu werden, bleibt das Objekt im Status Needs Approval im Intune Admin Center.
3. Approver wird benachrichtigtEin anderer Admin sieht die offene Anfrage unter Tenant Administration > Multi Admin Approval > Received Requests.
4. Approver prüft die ÄnderungDer Approver sieht, was geändert wird und warum – dank der vom Requestor hinterlegten Business Justification.
5. Genehmigung oder AblehnungMit einem Klick: Approve Request oder Reject Request.
6. Änderung wird wirksamNur bei Genehmigung wird die Policy auf die Zielgeräte verteilt. Der gesamte Vorgang wird protokolliert.

Wichtig: Wird eine Anfrage abgelehnt, muss sie komplett neu erstellt werden. Eine Überarbeitung der bestehenden Anfrage ist aktuell nicht möglich.

Welche Bereiche schützt Multi-Admin Approval?

MAA deckt die sicherheitskritischsten Bereiche in Intune ab. Die folgende Übersicht zeigt, welche Aktionen geschützt werden können und welches Risiko ohne MAA besteht:

BereichGeschützte AktionenRisiko ohne MAA
AppsApp Deployment, App-ÄnderungenMalware-Verteilung, Compliance-Verlust
SkriptePowerShell- / Shell-Script-DeploymentBotnet-Installation, Datenabfluss
GeräteaktionenWipe, Retire, DeleteDatenverlust, Service-Ausfälle
Compliance PoliciesErstellen, Bearbeiten, LöschenAudit-Findings, Sicherheitsvorfälle
KonfigurationsrichtlinienAlle Geräte-SettingsFirewall deaktiviert, Verschlüsselung ausgeschaltet
RBAC & RollenRollenänderungen, Admin-GruppenzuordnungPrivileg-Eskalation, Insider-Bedrohungen
Tenant-KonfigurationTenant-weite EinstellungenKompletter Kontrollverlust
Access PoliciesKonfiguration der MAA-Regeln selbstUmgehung des gesamten MAA-Schutzes

Warum ist Multi-Admin Approval so wichtig? Vier überzeugende Gründe

1. Schutz vor menschlichen Fehlern

Ein falsch gesetzter Konfigurationswert kann Hunderte oder Tausende Geräte betreffen. MAA stellt sicher, dass jede kritische Änderung von einem zweiten Paar Augen geprüft wird, bevor sie produktiv geht. Das Eingangsbeispiel mit den 3.500 Druckern? Mit MAA wäre das nicht passiert.

2. Absicherung gegen kompromittierte Admin-Konten

Selbst wenn ein Angreifer einen Admin-Account übernommen hat, kann er allein keine kritischen Änderungen durchsetzen. Ein zweiter Administrator muss die Aktion bestätigen. Das erhöht die Hürde für Angreifer erheblich und gibt dem Sicherheitsteam Zeit, den Vorfall zu erkennen.

3. Compliance und Auditfähigkeit

Viele Sicherheitsstandards und regulatorische Frameworks fordern explizit Freigabeprozesse für administrative Änderungen. Dazu gehören unter anderem ISO 27001, BSI IT-Grundschutz und branchenspezifische Vorgaben wie FINMA (Finanzsektor) oder DSGVO-relevante Massnahmen. Mit MAA ist der komplette Genehmigungsablauf im Intune Activity Log lückenlos nachvollziehbar.

4. Ideal für Managed-Service-Provider (MSP) und geteilte Verantwortlichkeiten

Gerade in Umgebungen, in denen externe Dienstleister und interne Teams gemeinsam an der Endpoint-Verwaltung arbeiten, schafft MAA klare Grenzen. Kein externer Admin kann unkontrolliert Änderungen vornehmen – und umgekehrt. Das stärkt das Vertrauen auf beiden Seiten und reduziert Haftungsrisiken.

Voraussetzungen für Multi-Admin Approval

Bevor du MAA aktivieren kannst, solltest du sicherstellen, dass folgende Voraussetzungen erfüllt sind:

Lizenzen

  • Microsoft Intune Plan 1 oder höher ist erforderlich.
  • Microsoft Entra ID Free reicht aktuell aus – ein Upgrade auf P1 oder P2 ist für MAA nicht zwingend notwendig.

Rollen und Berechtigungen

  • Eine Approver-Gruppe muss definiert werden. Diese enthält Benutzer mit Rollen wie Intune Administrator oder Policy Manager.
  • Die Requestor-Rolle berechtigt Admins, Änderungen anzustossen.
  • Die Approver-Gruppe muss diese Änderungen bestätigen.
  • Wichtig: Ein Admin kann nicht gleichzeitig Requestor und Approver für dieselbe Änderung sein.

Technische Voraussetzungen

  • Zugriff auf das Microsoft Intune Admin Center (intune.microsoft.com).
  • Definierte Verwaltungsgruppen für Richtlinien und Objekte sind optional, aber für eine saubere Governance empfohlen.

Schritt-für-Schritt: Multi-Admin Approval in Intune konfigurieren

Schritt 1: Access Policy erstellen

  1. Öffne das Intune Admin Center und navigiere zu Tenant Administration > Multi-Admin Approval > Access Policies.
  2. Klicke auf Create.
  3. Vergib einen aussagekräftigen Namen und eine Beschreibung (z. B. „MAA – Schutz für kritische Konfigurationsänderungen»).
  4. Wähle die Aktionen aus, die durch MAA geschützt werden sollen. Mögliche Optionen sind unter anderem Scripts, Apps, Device Wipe/Retire/Delete, Compliance Policies, Configuration Policies, Roles und Tenant Settings.

(Abbildung 1 – Basics – Access Policy)

Schritt 2: Approver-Gruppe zuweisen

  1. Definiere die Approver Group – also die Gruppe, deren Mitglieder Genehmigungen erteilen dürfen.

(Abbildung 2 – Hinzufügen von Gruppe)

Schritt 3: Review + Submit for Approval

  1. Im letzten Schritt des Assistenten landest du auf der Seite „Review + submit for approval». Hier siehst du eine Zusammenfassung aller Einstellungen – Name, Beschreibung, Policy Type, Plattform und die zugewiesene Approver-Gruppe.

Oben erscheint ein gelber Hinweisbalken:

⚠️ „Before this resource can be created, it must be approved by another admin. Before you can submit this request, you must enter your business justification.»

  1. Trage im Feld Business Justification eine nachvollziehbare Begründung ein (z. B. „Einführung von MAA für Configuration Policies gemäss Sicherheitsrichtlinie XY»).
  2. Klicke auf Submit for approval, um die Access Policy zur Genehmigung einzureichen.

(Abbildung 3 – Review + Submit for Approval mit Business Justification)

Die Policy ist damit noch nicht aktiv – sie muss zuerst von einem Mitglied der Approver-Gruppe genehmigt werden. Auch die Erstellung der MAA-Policy selbst unterliegt also dem Vier-Augen-Prinzip.

Hinweis: MAA unterstützt aktuell keine automatischen Genehmigungen oder regelbasierte Auto-Approvals. Jede Anfrage muss manuell von einem Mitglied der definierten Approver-Gruppe bestätigt werden.

So läuft eine genehmigungspflichtige Änderung ab

Sobald MAA aktiv ist, ändert sich der Workflow für geschützte Aktionen wie folgt:

  1. Ein Requestor erstellt oder ändert eine Richtlinie (z. B. eine neue Device Configuration Policy).
  2. Statt sofort gespeichert zu werden, landet die Änderung im Status Pending Approval.
  3. Ein Approver erhält eine Benachrichtigung im Intune Portal unter Tenant Admin > Multi-Admin Approval > All Requests.
  4. Der Approver prüft die Änderung, liest die Business Justification und entscheidet: Approve oder Reject.
  5. Erst nach der Genehmigung wird die Änderung aktiv und auf die Zielgeräte verteilt.

(Abbildung 2 – Genehmigungsansicht im Intune Portal)

Multi-Admin Approval testen und überprüfen

Eine sorgfältige Testphase ist entscheidend, bevor MAA in der Produktivumgebung ausgerollt wird. So gehst du vor:

Testvorgang

  1. Melde dich mit einem Intune-Admin-Konto an, das als Requestor fungiert.
  2. Erstelle eine neue Gerätekonfigurationsrichtlinie unter Devices > Configuration > Create.
  3. Beim Speichern sollte der Status Review + Submit for Approval erscheinen – das bestätigt, dass MAA korrekt greift.
  4. Wechsle zu einem Approver-Konto und melde dich an.
  5. Navigiere zu Tenant Admin > Multi-Admin Approval > All Requests.
  6. Dort findest du die offene Anfrage. Genehmige oder lehne sie ab – je nach Testziel.

(Abbildung 4 – Status „Submit for Approval» bei einer neuen Configuration Policy)

Erwartetes Verhalten

  • Ohne Genehmigung wird die Richtlinie nicht auf Geräte verteilt.
  • Nach Genehmigung erscheint die Richtlinie in der normalen Intune-Objektliste und wird regulär ausgerollt.
  • Der gesamte Vorgang wird im Intune Activity Log protokolliert und ist für Audits nachvollziehbar.

Best Practices für Multi-Admin Approval im Unternehmenseinsatz

Damit MAA in der Praxis reibungslos funktioniert, empfehle ich folgende Best Practices:

  • Approver-Gruppe sorgfältig zusammenstellen: Die Gruppe sollte mindestens zwei bis drei Personen umfassen, um Engpässe bei Abwesenheiten zu vermeiden. Gleichzeitig sollte die Gruppe nicht zu gross sein, damit die Verantwortlichkeit klar bleibt.
  • Business Justification zur Pflicht machen: Stelle sicher, dass Requestors immer eine nachvollziehbare Begründung hinterlegen. Das erleichtert dem Approver die Prüfung und schafft eine saubere Dokumentation.
  • MAA schrittweise einführen: Beginne mit den kritischsten Bereichen wie Skripten und Geräteaktionen (Wipe, Delete) und erweitere den Schutz schrittweise auf weitere Bereiche.
  • Notfallprozesse definieren: Kläre vorab, wie in Ausnahmefällen – etwa bei einem Sicherheitsvorfall ausserhalb der Geschäftszeiten – vorgegangen wird. Wer genehmigt ausserhalb der Bürozeiten?
  • Regelmässige Reviews: Überprüfe die Approver-Gruppe und die geschützten Aktionen regelmässig. Anforderungen ändern sich, und MAA-Konfigurationen sollten mitwachsen.

Fazit: Multi-Admin Approval gehört in jede Intune-Umgebung

Multi-Admin Approval ist eines der wirkungsvollsten Sicherheitsfeatures, das Microsoft Intune in den letzten Jahren erhalten hat. Es hebt die Endpoint-Verwaltung auf Enterprise-Niveau und adressiert reale Risiken, die in jeder IT-Abteilung existieren.

Ob du ein Unternehmen mit strengen Compliance-Anforderungen betreust, als Managed Service Provider für mehrere Kunden arbeitest oder einfach sicherstellen möchtest, dass eine einzelne Fehlkonfiguration nicht den gesamten Betrieb lahmlegt – MAA ist ein Muss.

Microsoft zeigt mit diesem Feature klar, wohin sich Intune entwickelt: weniger Risiko, mehr Governance, bessere Kontrolle. Ich bin gespannt, welche zusätzlichen Bereiche Microsoft als Nächstes über MAA absichern wird.

Hast du Fragen zur Einrichtung von Multi-Admin Approval in deiner Umgebung? Schreib mir gerne – ich freue mich auf den Austausch!

Viele Grüsse, Edgar

Weiterführende Ressourcen

Tags:

Comments

No comments yet. Why don’t you start the discussion?

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert