Με αφορμή πρόσφατη προειδοποίηση της CISA σχετικά με επιθέσεις που οδήγησαν σε μαζικό wipe εταιρικών συσκευών μέσω κακόβουλης χρήσης του Microsoft Intune, αναδεικνύεται για ακόμη μία φορά η ανάγκη ενίσχυσης των μηχανισμών ελέγχου και ασφάλειας στα εργαλεία διαχείρισης endpoints.

Οι επιθέσεις αυτού του τύπου εκμεταλλεύονται λογαριασμούς διαχειριστών (leaked credentials/tokens of intune admins), επιτρέποντας σε κακόβουλους χρήστες να εκτελέσουν κρίσιμες ενέργειες – όπως το απομακρυσμένο wipe συσκευών – με άμεσο και εκτεταμένο αντίκτυπο στη λειτουργία του οργανισμού.

Στο πλαίσιο αυτό, η ενεργοποίηση του Multi Admin Approval (MAA) στο Microsoft Intune αποτελεί κρίσιμο μέτρο προστασίας, καθώς εισάγει την αρχή του dual control (four-eyes principle), απαιτώντας την έγκριση από δεύτερο διαχειριστή για την εκτέλεση ευαίσθητων ενεργειών.

Τι είναι το Multi Admin Approval (MAA)

Το Multi Admin Approval είναι ένας μηχανισμός που διασφαλίζει ότι κρίσιμες ενέργειες – όπως device wipe ,scripts ή άλλες υψηλού ρίσκου λειτουργίες – δεν μπορούν να εκτελεστούν μονομερώς από έναν μόνο διαχειριστή σε περίπτωση που διαρρεύσει ο λογαριασμός του.

Αντίθετα: Ένας admin υποβάλλει το αίτημα & Ένας δεύτερος admin το αξιολογεί και το εγκρίνει

Προϋποθέσεις Υλοποίησης

Για την ενεργοποίηση και χρήση του Multi Admin Approval απαιτούνται τα εξής:

να είσαι Intune Administrator, Global Administrator , να έχετε τουλάχιστον δύο admin accounts

Δημιουργία Microsoft 365 security group με τους admins που θα εγκρίνουν αιτήματα

Άδεια Microsoft Intune Plan 1 και για τους δύο εμπλεκόμενους admins

Βασικά Βήματα Υλοποίησης

Οι διαχειριστές καλούνται να προχωρήσουν στις παρακάτω ενέργειες:

Δημιουργία Security Group
Δημιουργείστε μια ομάδα στο Microsoft 365 που περιλαμβάνει τους αρμόδιους approvers.

Multi Admin Approval Policy
Μεταβαίνουμε στο intune ώστε να δημιουργήσουμε μια νέα πολιτική:

Ο δεύτερος admin επιλέγει Approve για την ολοκλήρωση της ενέργειας

Εμείς που κάναμε το αίτημα πρέπει να πατήσουμε complete:

Η πολιτική μας τότε εμφανίζεται :

Δοκιμή λειτουργίας (lab).

επιλέγουμε μια συσκευή και πατάμε wipe. Θα δούμε πως μας ζητείται να δικαιολογήσουμε την κίνηση μας.

Επιπλέον auditing: