Guía de migración: Configuración o traslado a Microsoft Intune
Después de planear el traslado a Microsoft Intune, el siguiente paso es elegir el enfoque de migración adecuado para su organización. Estas decisiones dependen del entorno actual de administración de dispositivos móviles (MDM), los objetivos empresariales y los requisitos técnicos.
En esta guía de migración se enumeran y describen las opciones para adoptar o migrar a Intune, entre las que se incluyen:
- No se usa una solución de administración de dispositivos móviles
- Usa una solución MDM de asociado de terceros
- Se usa Configuration Manager
- Se usa la directiva de grupo local
- Se usa Microsoft 365 Basic Mobility and Security
Use esta guía para determinar el mejor enfoque de migración y obtener algunas instrucciones & recomendaciones.
Sugerencia
-
Esta guía está en constante evolución. Así pues, no dude en agregar o actualizar las sugerencias e instrucciones existentes que le hayan parecido útiles.
Como complemento a este artículo, el Centro de administración de Microsoft 365 también tiene algunas instrucciones de configuración. La guía personaliza la experiencia en función del entorno. Para acceder a esta guía de implementación, vaya a la guía de configuración de Microsoft Intune en el Centro de administración de Microsoft 365 e inicie sesión con el Lector global (como mínimo). Para obtener más información sobre estas guías de implementación y los roles necesarios, vaya a Guías de implementación avanzada para productos de Microsoft 365 y Office 365.
Para revisar los procedimientos recomendados sin iniciar sesión y activar las características de instalación automatizadas, vaya al portal de instalación de M365.
Antes de empezar
Microsoft Intune es una solución nativa en la nube que ayuda a administrar identidades, dispositivos y aplicaciones. Si su objetivo es convertirse en nativo de la nube, puede obtener más información en los artículos siguientes:
La implementación de Intune puede ser diferente de la implementación de MDM anterior. Intune usa el control de acceso controlado por identidades. No requiere un proxy de red para acceder a los datos de la organización desde dispositivos fuera de la red.
Actualmente no se usa nada
Si actualmente no usa ningún proveedor de administración de aplicaciones móviles (MAM) o MDM, tiene algunas opciones:
Microsoft Intune: si quiere una solución en la nube y está listo para la administración completa de dispositivos, vaya directamente a Intune. Puede usar Intune para comprobar el cumplimiento, configurar las características del dispositivo, implementar aplicaciones e instalar actualizaciones del sistema & aplicación. También obtiene las ventajas del Centro de administración de Microsoft Intune, que es una consola basada en web.
- Información general de las directivas de protección de aplicaciones
- Introducción a Intune
- Paso 1: Configuración de Intune
- Paso 2: Agregar, configurar y proteger aplicaciones con Intune
- Paso 3: Planear directivas de cumplimiento
- Paso 4: Creación de perfiles de configuración de dispositivos para proteger dispositivos
- Paso 5: Inscribir dispositivos
Configuration Manager: si quiere que las características de Configuration Manager (local) se combinen con Intune (nube), considere la posibilidad de asociar inquilinos (en este artículo) o de administración conjunta (en este artículo).
Configuration Manager puede:
- Administre Windows Server local y algunos dispositivos cliente.
- Administrar las actualizaciones de software de asociados o de terceros.
- Cree secuencias de tareas personalizadas al implementar el sistema operativo Windows.
- Implemente y administre muchos tipos de aplicaciones.
Actualmente se usa un proveedor de MDM ajeno
Los dispositivos solo deberían tener un proveedor de MDM. Si usa otro proveedor de MDM, como Workspace ONE (anteriormente denominado AirWatch), MobileIron o MaaS360, puede pasar a Intune.
Los usuarios deben anular la inscripción de sus dispositivos desde el proveedor de MDM actual antes de inscribirse en Intune.
Configure Intune, incluida la configuración de la entidad de MDM en Intune.
Para obtener más información, vaya a:
Implemente aplicaciones y cree directivas de protección de aplicaciones. La idea es ayudar a proteger los datos de la organización en las aplicaciones durante la migración y hasta que los dispositivos se inscriban & administrados por Intune.
Para obtener más información, vaya al Paso 2: Agregar, configurar y proteger aplicaciones con Intune.
Anula la inscripción de dispositivos del proveedor de MDM actual.
Cuando se anula la inscripción de los dispositivos, estos ya no reciben las directivas, incluidas las que proporcionan protección. Los dispositivos son vulnerables hasta que se inscriben en Intune y comienzan a recibir las nuevas directivas.
Dar a los usuarios pasos específicos de anulación de inscripción. Incluya instrucciones del proveedor de MDM existente sobre cómo anular la inscripción de los dispositivos. La comunicación clara y útil minimiza el tiempo de inactividad del usuario final, la insatisfacción y las llamadas del departamento de soporte técnico.
Opcional, pero recomendado. Si tiene Microsoft Entra ID P1 o P2, use también el acceso condicional para bloquear los dispositivos hasta que se inscriban en Intune.
Para obtener más información, vaya al Paso 3: Planear directivas de cumplimiento.
Opcional, pero recomendado. Cree una línea base de cumplimiento y la configuración del dispositivo que todos los usuarios y dispositivos deben tener. Estas directivas se pueden implementar cuando los usuarios se inscriben en Intune.
Para obtener más información, vaya a:
Inscríbase en Intune. Asegúrese de proporcionar a los usuarios pasos de inscripción específicos.
Para obtener más información, vaya a:
Importante
No configure Intune y ninguna solución MDM de terceros existente simultáneamente para aplicar controles de acceso a los recursos, incluidos Exchange o SharePoint.
Recomendaciones:
Si va a pasar de un proveedor de MDM/MAM asociado, anote las tareas que ejecuta y las características que usa. Esta información proporciona una idea de qué tareas hacer también en Intune.
Use un método por fases. Comience con un pequeño grupo de usuarios piloto y agregue más grupos hasta llegar a la implementación completa.
Supervise la carga del departamento de soporte técnico y el éxito de la inscripción en cada fase. Deje un tiempo en la programación para evaluar los criterios de éxito de cada grupo antes de migrar el siguiente.
La implementación piloto debe validar las siguientes tareas:
Que las tasas de éxito y error de inscripción se encuentren dentro de lo esperado.
Productividad del usuario:
- Que los recursos corporativos funcionan, lo que incluye VPN, Wi-Fi, correo electrónico y certificados.
- Que se puede obtener acceso a las aplicaciones implementadas.
Seguridad de datos:
- Revise los informes de cumplimiento y busque tendencias y problemas comunes. Comunique problemas, resoluciones y tendencias al departamento de soporte técnico.
- Que se han aplicado protecciones de aplicaciones móviles.
Cuando esté satisfecho con la primera fase de las migraciones, repita el ciclo de migración en la siguiente fase.
- Repita los ciclos por fases hasta que todos los usuarios se hayan migrado a Intune.
- Confirme que el departamento de soporte técnico está preparado para asistir a los usuarios finales durante la migración. Ejecute una migración voluntaria hasta que pueda calcular la carga de trabajo de llamadas de soporte técnico.
- No establezca fechas límite para la inscripción hasta que el departamento de soporte técnico pueda controlar todos los usuarios restantes.
Información de utilidad:
- Introducción a Intune
- Guía de implementación de inscripción de Intune
- Paso 1: Configuración de Intune y su inquilino
Actualmente se usa Configuration Manager
Configuration Manager admite servidores Windows y dispositivos cliente de Windows & macOS. Si su organización usa otras plataformas, es posible que tenga que restablecer los dispositivos y, a continuación, inscribirlos en Intune. Una vez inscritos, reciben las directivas y los perfiles que se crean. Para obtener más información, vea la guía de implementación de la inscripción en Intune.
Si actualmente usa Configuration Manager y quiere usar Intune, tiene las siguientes opciones.
Opción 1: Agregar asociación de inquilinos
La asociación de inquilinos le permite cargar los dispositivos de Configuration Manager en la organización en Intune, lo que también se conoce como "inquilino". Después de adjuntar los dispositivos, use el Centro de administración de Microsoft Intune para ejecutar acciones remotas, como la máquina de sincronización y la directiva de usuario. También puede ver los servidores locales y obtener información del sistema operativo.
La conexión de inquilinos está incluida sin costo adicional con la licencia de administración conjunta de Configuration Manager. Es la manera más sencilla de integrar la nube (Intune) con la configuración local de Configuration Manager.
Para obtener más información, vea habilitación de la asociación de inquilinos.
Opción 2: Configurar la administración conjunta
Esta opción usa Configuration Manager para algunas cargas de trabajo e Intune para otras.
- En Configuration Manager, configure la administración conjunta.
- Configure Intune, incluida la configuración de la entidad de MDM en Intune.
Los dispositivos están listos para inscribirse en Intune y recibir las directivas.
Información de utilidad:
- ¿Qué es la administración conjunta?
- Administración conjunta de cargas de trabajo
- Cambiar cargas de trabajo de Configuration Manager a Intune
- Preguntas más frecuentes sobre productos y licencias de Configuration Manager
Opción 3: Pasar de Configuration Manager a Intune
La mayoría de los clientes existentes de Configuration Manager quieren seguir usándolo. Incluye servicios que son beneficiosos para los dispositivos locales.
Estos pasos son una introducción que solo se incluye para aquellos usuarios que quieren una solución cien por cien en la nube. Con esta opción puede:
- Registre los dispositivos cliente de Windows de Active Directory locales existentes como dispositivos en Microsoft Entra ID.
- Migrar las cargas de trabajo locales existentes de Configuration Manager a Intune.
Esta opción es más laboriosa para los administradores, pero puede crear una experiencia más fluida en los dispositivos cliente de Windows existentes. Para los nuevos dispositivos cliente de Windows, se recomienda empezar desde cero con Microsoft 365 e Intune (en este artículo).
Configure Active Directory híbrido y el identificador de Microsoft Entra para los dispositivos. Los dispositivos unidos híbridos de Microsoft Entra se unen a su Instancia local de Active Directory y se registran con el identificador de Microsoft Entra. Cuando los dispositivos están en Microsoft Entra ID, también están disponibles para Intune.
El id. de Microsoft Entra híbrido admite dispositivos Windows. Para conocer otros requisitos previos, incluidos los requisitos de inicio de sesión, consulte Planeamiento de la implementación de la unión híbrida de Microsoft Entra.
En Configuration Manager, configure la administración conjunta.
Configure Intune, incluida la configuración de la entidad de MDM en Intune.
En Configuration Manager, realice el Cambio de las cargas de trabajo de Configuration Manager a Intune.
En los dispositivos, desinstale el cliente de Configuration Manager. Para obtener más información, vea Desinstalación del cliente.
Una vez configurado Intune, puede crear una directiva de configuración de aplicaciones de Intune que desinstale el cliente de Configuration Manager. Por ejemplo, puede invertir los pasos de Instalación del cliente de Configuration Manager mediante Intune.
Los dispositivos están listos para inscribirse en Intune y recibir las directivas.
Importante
El identificador híbrido de Microsoft Entra solo admite dispositivos Windows. Configuration Manager admite dispositivos Windows y macOS. En el caso de los dispositivos macOS administrados en Configuration Manager, puede:
- Desinstalar el cliente de Configuration Manager. Cuando se anula la inscripción, los dispositivos ya no reciben las directivas, incluidas las que proporcionan protección. Son vulnerables hasta que se inscriben en Intune y comienzan a recibir las nuevas directivas.
- Inscribir los dispositivos en Intune para recibir directivas.
Para ayudar a minimizar las vulnerabilidades, mueva los dispositivos macOS después de configurar Intune y cuando las directivas de inscripción estén listas para implementarse.
Opción 4: Empezar desde cero con Microsoft 365 e Intune
Esta opción se aplica a los dispositivos cliente Windows. Si usa Windows Server, como Windows Server 2022, no use esta opción. Use Configuration Manager.
Para administrar los dispositivos cliente de Windows:
Implemente Microsoft 365, lo que incluye la creación de usuarios y grupos. No use ni configure Microsoft 365 Basic Mobility and Security.
Vínculos útiles:
Configure Intune, incluida la configuración de la entidad de MDM en Intune.
En los dispositivos existentes, desinstale el cliente de Configuration Manager. Para obtener más información, vea Desinstalación del cliente.
Los dispositivos están listos para inscribirse en Intune y recibir las directivas.
Actualmente se usa la directiva de grupo local
En la nube, los proveedores de MDM, como Intune, administran la configuración y las características en los dispositivos. No se usan objetos de directiva de grupo (GPO).
Al administrar dispositivos, los perfiles de configuración de dispositivos de Intune reemplazan al GPO local. Los perfiles de configuración de dispositivos usan la configuración expuesta por Apple, Google y Microsoft.
En concreto:
- En los dispositivos Android, estos perfiles usan Management API y EMM API de Android.
- En los dispositivos Apple, estos perfiles usan las cargas de administración de dispositivos.
- En los dispositivos Windows, estos perfiles usan los proveedores de servicios de configuración (CSP) de Windows.
Al migrar dispositivos desde la directiva de grupo, use Análisis de directiva de grupo. El análisis de directivas de grupo es una herramienta y una característica de Intune que analiza los GPO. En Intune, importe los GPO y vea qué directivas están disponibles (y no disponibles) en Intune. Para las directivas que están disponibles en Intune, puede crear una directiva de catálogo de configuración mediante la configuración que importó. Para obtener más información sobre esta característica, vaya a Crear una directiva de catálogo de configuración mediante los GPO importados en Microsoft Intune.
A continuación, paso 1: Configuración de Microsoft Intune.
Uso actualmente de Microsoft 365 Basic Mobility and Security
Si ha creado e implementado directivas de movilidad y seguridad básicas de Microsoft 365, puede migrar los usuarios, grupos y directivas a Microsoft Intune.
Para obtener más información, vaya a Migración de Microsoft 365 Basic Mobility and Security a Intune.
Migración de inquilino a inquilino
Un inquilino es su organización en Microsoft Entra ID, como Contoso. Incluye una instancia de servicio de Microsoft Entra dedicada que Contoso recibe cuando obtiene un servicio en la nube de Microsoft, como Microsoft Intune o Microsoft 365. Intune y Microsoft 365 usan Microsoft Entra ID para identificar usuarios y dispositivos, controlar el acceso a las directivas que cree y mucho más.
En Intune, puede exportar e importar algunas de las directivas mediante Microsoft Graph y Windows PowerShell.
Por ejemplo, cree una suscripción de Microsoft Intune de prueba. En este inquilino de prueba de suscripción, tiene directivas que configuran aplicaciones y características, comprueban el cumplimiento y mucho más. Le gustaría mover estas directivas a otro inquilino.
En esta sección se muestra cómo usar los scripts de Microsoft Graph para una migración de inquilino a inquilino. También muestra algunos tipos de directiva que se pueden exportar o no.
Importante
- En estos pasos se usan los ejemplos de Graph beta de Intune en GitHub. Los scripts de ejemplo hacen cambios en el inquilino. Están disponibles tal y como están y deben validarse con una cuenta de inquilino que no sea de producción o de "prueba". Asegúrese de que los scripts cumplen las directrices de seguridad de la organización.
- Los scripts no exportan ni importan todas las directivas, como los perfiles de certificado. Prepárese para realizar más tareas de las que están disponibles en estos scripts. Tendrá que volver a crear algunas directivas.
- Para migrar el dispositivo de un usuario, el usuario debe anular la inscripción del dispositivo del inquilino anterior y, a continuación, volver a inscribirlo en el nuevo inquilino.
Descargue los ejemplos y ejecute el script.
En esta sección se incluye información general sobre estos pasos. Use estos pasos como guía y sepa que los pasos específicos pueden ser diferentes.
Descargue los ejemplos y utilice Windows PowerShell para exportar las directivas:
Vaya a microsoftgraph/powershell-intune-samples y seleccione Código>Descargar archivo Zip. Extraiga el contenido del archivo
.zip
.Abra la aplicación de Windows PowerShell como administrador y cambie el directorio a su carpeta. Por ejemplo, escriba el siguiente comando:
cd C:\psscripts\powershell-intune-samples-master
Instale el módulo de PowerShell de Azure AD:
Install-Module AzureAD
Seleccione Y para instalar el módulo desde un repositorio que no es de confianza. Esta comprobación puede tardar unos minutos.
Cambie el directorio a la carpeta con el script que desea ejecutar. Por ejemplo, cambie el directorio a la carpeta
CompliancePolicy
:cd C:\psscripts\powershell-intune-samples-master\powershell-intune-samples-master\CompliancePolicy
Ejecute el script de exportación. Por ejemplo, escriba el siguiente comando:
.\CompliancePolicy_Export.ps1
Inicie sesión con su cuenta. Cuando se le solicite, escriba la ruta de acceso para colocar las directivas. Por ejemplo, escriba:
C:\psscripts\ExportedIntunePolicies\CompliancePolicies
En la carpeta, se exportan las directivas.
Importe las directivas en el nuevo inquilino:
Cambie el directorio a la carpeta de PowerShell con el script que desea ejecutar. Por ejemplo, cambie el directorio a la carpeta
CompliancePolicy
:cd C:\psscripts\powershell-intune-samples-master\powershell-intune-samples-master\CompliancePolicy
Ejecute el script de importación. Por ejemplo, escriba el siguiente comando:
.\CompliancePolicy_Import_FromJSON.ps1
Inicie sesión con su cuenta. Cuando se le solicite, escriba la ruta de acceso al archivo
.json
de la directiva que desea importar. Por ejemplo, escriba:C:\psscripts\ExportedIntunePolicies\CompliancePolicies\PolicyName.json
Inicie sesión en el Centro de administración de Intune. Se muestran las directivas que ha importado.
Lo que no se puede hacer
Hay algunos tipos de directiva que no se pueden exportar. Hay algunos tipos de directiva que se pueden exportar, pero no se pueden importar a un inquilino diferente. Use la siguiente tabla como guía. Sepa que hay otros tipos de directivas que no aparecen en la lista.
Tipo de perfil o directiva | Información |
---|---|
Aplicaciones | |
Aplicaciones Android de línea de negocios |
❌ Exportar ❌ Importar Para agregar la aplicación de LOB a un nuevo inquilino, también necesita los archivos de origen de la aplicación .apk originales. |
Apple: Programa de Compras por Volumen de Apple (VPP) |
❌ Exportar ❌ Importar Estas aplicaciones se sincronizan con el VPP de Apple. En el nuevo inquilino, agregue el token de VPP, que muestra las aplicaciones disponibles. |
Aplicaciones de línea de negocio de iOS/iPadOS |
❌ Exportar ❌ Importar Para agregar la aplicación de LOB a un nuevo inquilino, también necesita los archivos de origen de la aplicación .ipa originales. |
Google Play administrado |
❌ Exportar ❌ Importar Estas aplicaciones y vínculos web se sincronizan con Google Play administrado. En el nuevo inquilino, agregue la cuenta de Google Play administrado, que muestra las aplicaciones disponibles. |
Microsoft Store para Empresas |
❌ Exportar ❌ Importar Estas aplicaciones se sincronizan con Microsoft Store para Empresas. En el nuevo inquilino, agregue la cuenta de Microsoft Store para Empresas, que muestra las aplicaciones disponibles. |
Aplicación Windows (Win32) |
❌ Exportar ❌ Importar Para agregar la aplicación de LOB a un nuevo inquilino, también necesita los archivos de origen de la aplicación .intunewin originales. |
Directivas de cumplimiento | |
Las acciones de no cumplimiento |
❌ Exportar ❌ Importar Es posible que haya un vínculo a una plantilla de correo electrónico. Al importar una directiva que tiene acciones de no cumplimiento, en su lugar se agregan las acciones predeterminadas de no cumplimiento. |
Tareas |
✅ Exportar ❌ Importar Las asignaciones se dirigen a un identificador de grupo. En un nuevo inquilino, el identificador de grupo es diferente. |
Perfiles de configuración | |
Correo electrónico |
✅ Exportar ✅ Si un perfil de correo electrónico no usa certificados, la importación debería funcionar. ❌ Si un perfil de correo electrónico usa un certificado raíz, el perfil no se puede importar a un nuevo inquilino. El identificador del certificado raíz es diferente en un nuevo inquilino. |
Certificado SCEP |
✅ Exportar ❌ Importar Los perfiles de certificado SCEP usan un certificado raíz. El identificador del certificado raíz es diferente en un nuevo inquilino. |
VPN |
✅ Exportar ✅ Si un perfil de VPN no usa certificados, la importación debería funcionar. ❌ Si un perfil de VPN usa un certificado raíz, el perfil no se puede importar a un nuevo inquilino. El identificador del certificado raíz es diferente en un nuevo inquilino. |
Wi-Fi |
✅ Exportar ✅ Si un perfil de Wi-Fi no usa certificados, la importación debería funcionar. ❌ Si un Wi-Fi utiliza un certificado raíz, el perfil no se puede importar a un nuevo inquilino. El identificador del certificado raíz es diferente en un nuevo inquilino. |
Tareas |
✅ Exportar ❌ Importar Las asignaciones se dirigen a un identificador de grupo. En un nuevo inquilino, el identificador de grupo es diferente. |
Seguridad de puntos de conexión | |
Detección y respuesta de puntos de conexión |
❌ Exportar ❌ Importar Esta directiva está vinculada a Microsoft Defender para punto de conexión. En el nuevo inquilino, configurará Microsoft Defender para punto de conexión, que incluye automáticamente la directiva de detección y respuesta de puntos de conexión. |