Intune Multi Admin Approval

Intune Multi Admin Approval : comment sécuriser les actions critiques ?

Intune Digital Workplace
Auteur : Jonathan Fievet, Ingénieur Modern Workplace
Jonathan Fievet Ingénieur Modern Workplace
8 mins
09 septembre 2025
Dans cet article :
  1. Quels sont les objectifs du Multi Admin Approval dans Intune ?
  2. Multi Admin Approval : quelles actions peuvent être protégées dans Intune ?
  3. Les bonnes pratiques avant la mise en place d'Intune Multi Admin Approval
  4. Comment fonctionne le processus d’approbation ?
  5. Comment mettre en place la politique Multi Admin Approval dans Intune ?
  6. Conclusion : pourquoi adopter le Multi Admin Approval dans Intune ?

Dans un contexte où la sécurité informatique est plus que jamais au cœur des préoccupations des entreprises, Microsoft Intune propose une fonctionnalité stratégique : Multi Admin Approval (MAA).

Pensée pour renforcer le contrôle des actions sensibles comme le déploiement d’applications, de scripts, voire le lancement d’action critiques comme un remote wipe, cette approche impose une validation croisée entre administrateurs avant toute modification critique.

Cette fonctionnalité existe déjà depuis quelques temps dans Intune mais a évolué dernièrement. Le moment idéal pour refaire un tour d’horizon du MMA au travers d’un article 😊

Quels sont les objectifs du Multi Admin Approval dans Intune ?

Le Multi Admin Approval dans Intune apporte plusieurs bénéfices pour renforcer la sécurité et le pilotage des environnements IT.

Parmi les principaux avantages :

  • Prévenir les erreurs humaines : Un administrateur peut, par inadvertance, déployer une application défaillante ou un script mal configuré. Grâce à MAA, vous imposez une validation par un pair avant le lancement du déploiement.
  • Limiter les risques en cas de compromission : Si un compte admin est compromis, l’attaquant ne pourra pas déployer un ransomware ou désactiver une protection sans approbation d’un autre administrateur.
  • Renforcer la gouvernance : Grâce aux journaux d’audit, MAA permet de tracer les décisions critiques, ce qui peut être essentiel en cas d’audit.
  • Encourager la collaboration : Les équipes IT doivent se coordonner pour valider ensemble les actions sensibles, ce qui améliore la communication entre elles et la transparence.

Lire aussi : Zero Trust : comment sécuriser les appareils avec Intune ?

Multi Admin Approval : quelles actions peuvent être protégées dans Intune ?

Les politiques MAA permettent aujourd’hui de sécuriser plusieurs types d’actions :

  • Le déploiement d’applications,
  • Le déploiement de scripts PowerShell,
  • Les actions sur l’appareil comme un effacement ou une suppression de la console,
  • La création de politiques d’accès MAA,
  • La gestion des rôles via RBAC.

Les stratégies de configuration et de conformité ne sont pas encore prises en charge mais on peut penser que cela sera le cas dans un futur proche (je l’espère et cela serait logique 😊).

Les bonnes pratiques avant la mise en place d’Intune Multi Admin Approval

Avant de voir comment mettre en place cette fonctionnalité, quelques tips à savoir :

  • Intune n’envoie pas d’alertes lorsqu’une nouvelle demande est créée ou lorsqu’une demande existante change de statut. Par conséquent, si vous soumettez une demande urgente, il est préférable d’en informer directement un approbateur.
  • Vous pouvez toujours suivre vos demandes dans le centre d’administration Intune.
  • S’il existe déjà une approbation en attente pour un objet, vous ne pouvez pas soumettre une autre demande tant que celle-ci n’est pas résolue.
  • Chaque étape du processus de demande et d’approbation est enregistrée dans les journaux d’audit Intune.
Cta Livre Blanc Windows Intune

Comment fonctionne le processus d’approbation ?

Lorsqu’un administrateur modifie ou crée un objet protégé par une politique MAA, une justification (la raison de la modification) lui est demandée lors de la création de celui-ci. Cette justification est incluse dans la demande d’approbation.

Pour les demandeurs

Après avoir soumis une demande, vous pouvez la suivre dans le centre d’administration Intune sous Administration des locataires > Approbation multi-administrateurs > Mes demandes.

Pour les approbateurs

Ils accèdent à la page Demandes reçues, où ils voient les demandes en attente, ainsi que des détails tels qui les a soumises, quand et de quel type de modification il s’agit.

À partir de là, l’approbateur :

  • Clique sur le lien Justification pour voir les détails indiqués par le demandeur,
  • Peut ajouter des notes,
  • Choisit d’approuver ou de rejeter la demande.

En cas de rejet, la justification est partagée avec le demandeur afin qu’il en connaisse les raisons.

Quand le demandeur est aussi approbateur

Si une personne est à la fois demandeur et approbateur, elle verra toujours sa demande dans la section « Demandes reçues », mais ne pourra pas approuver ses propres modifications.

Processus post-approbation

Lorsqu’une modification est approuvée, Intune la traite et met à jour l’objet. Pendant le traitement, le statut est « Approuvé ». Le demandeur initial doit ensuite cliquer sur « Terminer » pour lancer la modification. Une fois la modification effectuée, le statut passe à « Terminé ».

Les statuts restent actifs pendant 30 jours. Si rien ne se passe pendant ce temps, la demande expire et doit être soumise à nouveau.

Comment mettre en place la politique Multi Admin Approval dans Intune ?

Prérequis pour la configuration

Pour utiliser l’approbation multi-administrateur, vous devez posséder au moins deux comptes d’administrateur. Un compte est utilisé pour créer les stratégies, le deuxième pour les approuver.

Pour créer une access policy, vous devez posséder le rôle « Intune Administrator » ou avoir le rôle approprié avec les permissions « Multi Admin Approval ».

Le compte de l’administrateur doit faire partie du groupe d’approbation pour être en mesure d’approuver la stratégie ciblée.  Ce même groupe d’approbation doit aussi être membre d’un ou plusieurs rôles Intune.

Mise en place d’une access policy en quelques clics

Create An Access Policy Intune Maa
Processus De Création D'une Access Policy Avec Intune Maa

Voilà c’est prêt 😊 C’est cette policy qui permettra de placer le mécanisme d’approbation.

Les actions liées aux objets ciblés dans cette politique sont désormais sécurisées au sein de votre tenant Intune.

Process de justification et d’approbation d’une demande de modification d’un objet sécurisé

Processus De Justification Et D'approbation Demande Sur Intune Maa
Business Justification Intune Maa
Approver Notes Intune Maa

Bon à savoir et rappel : Intune n’envoie pas de notifications aux approbateurs lorsque de nouvelles demandes sont créées, ni au demandeur lorsque le statut d’une demande existante change.

Conclusion : pourquoi adopter le Multi Admin Approval dans Intune ?

La fonctionnalité Multi-Admin Approval marque une avancée majeure dans la sécurisation des actions effectuées dans Microsoft Intune. En imposant une validation croisée entre administrateurs, elle réduit considérablement les risques liés aux erreurs humaines ou aux actions malveillantes.

Adopter cette fonctionnalité, c’est faire le choix d’un pilotage plus rigoureux et collaboratif de son infrastructure Intune.

L’absence d’alerte lorsqu’une demande est en attente peut être un frein à sa mise en place, mais elle peut probablement être automatisée ; une piste à explorer prochainement ! (Peut-être même que Microsoft l’a en visu 😉)

Pour plus d’infos, lien vers la documentation Microsoft : https://learn.microsoft.com/en-us/intune/intune-service/fundamentals/multi-admin-approval

Articles similaires

Intune

iOS26 / macOS26 : Apple facilite la migration d’un MDM tiers vers Microsoft Intune

Avec iOS 26 et macOS 26, Apple révolutionne la gestion des appareils : migrez facilement votre MDM vers Microsoft Intune...

Intune

Hardening Windows : sécuriser efficacement les environnements modernes avec Intune

La surface d’attaque des systèmes d’exploitation Windows continue de croître à mesure que les postes s’intègrent dans des environnements hybrides...

Intune

Zero Trust : comment sécuriser les appareils avec Intune ?

Face à la multiplication des cybermenaces, le modèle Zero Trust devient une nécessité. Découvrez comment Microsoft Intune vous permet de...