Průvodce migrací: Nastavení nebo přechod na Microsoft Intune

Po naplánování přechodu na Microsoft Intune je dalším krokem volba přístupu k migraci, který je pro vaši organizaci nejvhodnější. Tato rozhodnutí závisí na vašem aktuálním prostředí správy mobilních zařízení (MDM), obchodních cílech a technických požadavcích.

Tento průvodce migrací uvádí a popisuje možnosti přechodu na Intune, mezi které patří:

• Nepoužíváte řešení pro správu mobilních zařízení.
• Používáte řešení MDM partnera třetí strany.
• Používáte Configuration Manager
• Používáte místní zásady skupiny.
• Používáte Microsoft 365 Basic Mobility and Security.

V tomto průvodci můžete určit nejlepší přístup k migraci a získat pokyny & doporučení.

Tip

• Tento průvodce je živá věc. Proto nezapomeňte přidat nebo aktualizovat existující tipy a pokyny, které jsou pro vás užitečné.

• Jako doplněk k tomuto článku obsahuje Centrum pro správu Microsoftu 365 také pokyny k nastavení. Průvodce přizpůsobí vaše prostředí na základě vašeho prostředí. Pokud chcete získat přístup k tomuto průvodci nasazením, přejděte do průvodce nastavením Microsoft Intune v Centrum pro správu Microsoftu 365 a přihlaste se alespoň pomocí globálního čtenáře. Další informace o těchto průvodcích nasazením a potřebných rolích najdete v článku Pokročilí průvodci nasazením pro Microsoft 365 a Office 365 produkty.

  Pokud si chcete projít osvědčené postupy bez přihlášení a aktivace funkcí automatizovaného nastavení, přejděte na portál Pro nastavení Microsoftu 365.

Než začnete

• Microsoft Intune je nativní cloudové řešení, které pomáhá spravovat identity, zařízení a aplikace. Pokud je vaším cílem stát se nativní pro cloud, pak se můžete dozvědět více v následujících článcích:

  • Informace o koncových bodech nativních pro cloud
  • Co je Intune?

• Vaše Intune nasazení se může lišit od předchozího nasazení MDM. Intune používá řízení přístupu řízené identitou. Pro přístup k datům organizace ze zařízení mimo vaši síť nevyžaduje síťový proxy server.

Aktuálně nepoužívejte nic.

Pokud v současné době nepoužíváte žádného poskytovatele mdm nebo správy mobilních aplikací (MAM), máte několik možností:

• Microsoft Intune: Pokud chcete cloudové řešení a jste připraveni na úplnou správu zařízení, přejděte přímo na Intune. Pomocí Intune můžete zkontrolovat dodržování předpisů, konfigurovat funkce zařízení, nasazovat aplikace a instalovat aktualizace & aplikací. Získáte také výhody centra pro správu Microsoft Intune, což je webová konzola.

  • Začínáme s Intune
  • Krok 1 – Nastavení Intune
  • Krok 2 – Přidání, konfigurace a ochrana aplikací pomocí Intune
  • Krok 3 – Plánování zásad dodržování předpisů
  • Krok 4 – Vytvoření konfiguračních profilů zařízení pro zabezpečení zařízení
  • Krok 5 – registrace zařízení

• Configuration Manager: Pokud chcete funkce Configuration Manager (místní) kombinovat s Intune (cloud), zvažte připojení tenanta (v tomto článku) nebo spolusprávu (v tomto článku).

  Configuration Manager může:

  • Správa místních Windows Server a některých klientských zařízení
  • Správa aktualizací softwaru pro partnery nebo třetích stran
  • Při nasazování operačního systému Windows můžete vytvářet vlastní pořadí úkolů .
  • Nasaďte a spravujte mnoho typů aplikací.

V současné době používáte poskytovatele MDM třetí strany.

Zařízení by měla mít jenom jednoho poskytovatele MDM. Pokud používáte jiného poskytovatele MDM, například Workspace ONE (dříve označovaný jako AirWatch), MobileIron nebo MaaS360, můžete přejít na Intune.

Před registrací do Intune musí uživatelé zrušit registraci svých zařízení u aktuálního poskytovatele MDM.

1. Nastavte Intune, včetně nastavení autority MDM na Intune.

   Další informace najdete v článku:

   • Začínáme s nasazením Microsoft Intune
   • Krok 1 – Nastavení Intune

2. Nasaďte aplikace a vytvořte zásady ochrany aplikací. Cílem je pomoct chránit data organizace v aplikacích během migrace a dokud nebudou zařízení zaregistrovaná & spravována službou Intune.

   Další informace najdete v části Krok 2 – Přidání, konfigurace a ochrana aplikací pomocí Intune.

3. Zrušte registraci zařízení u aktuálního poskytovatele MDM.

   Když se zruší registrace zařízení, nedostávají vaše zásady, včetně zásad, které poskytují ochranu. Zařízení jsou zranitelná, dokud se nezaregistrují do Intune a nezačnou přijímat nové zásady.

   Udělte uživatelům konkrétní kroky zrušení registrace. Uveďte pokyny od stávajícího poskytovatele MDM, jak zrušit registraci zařízení. Jasná a užitečná komunikace minimalizuje výpadky koncových uživatelů, jejich neuspokojení a hovory na helpdesk.

4. Volitelné, ale doporučené. Pokud máte Microsoft Entra ID P1 nebo P2, můžete také pomocí podmíněného přístupu blokovat zařízení, dokud se neregistrují v Intune.

   Další informace najdete v části Krok 3 – Plánování zásad dodržování předpisů.

5. Volitelné, ale doporučené. Vytvořte standardní hodnoty nastavení dodržování předpisů a zařízení, které musí mít všichni uživatelé a zařízení. Tyto zásady je možné nasadit, když se uživatelé zaregistrují do Intune.

   Další informace najdete v článku:

   • Krok 3 – Plánování zásad dodržování předpisů
   • Krok 4 – Konfigurace funkcí a nastavení zařízení pro zabezpečení zařízení a přístup k prostředkům
   • Úrovně ochrany a konfigurace v Microsoft Intune

6. Zaregistrujte se v Intune. Nezapomeňte uživatelům zadat konkrétní kroky registrace.

   Další informace najdete v článku:

   • Krok 5 – Registrace zařízení v Microsoft Intune
   • průvodce nasazením registrace Intune

Důležité

Nekonfigurujte Intune a žádné existující řešení MDM třetích stran současně tak, aby se u prostředků, včetně Exchange nebo SharePointu, použilo řízení přístupu.

Doporučení:

• Pokud přecházíte od partnerského poskytovatele MDM/MAM, poznamenejte si úlohy, které spouštíte, a funkce, které používáte. Tyto informace poskytují představu o tom, jaké úkoly provádět také v Intune.

• Použijte fázovaný přístup. Začněte s malou skupinou pilotních uživatelů a přidejte další skupiny, dokud nedosáhnete plně škálovatelného nasazení.

• Monitorujte zatížení helpdesku a úspěšnost registrace každé fáze. Před migrací další skupiny ponechte v plánu čas na vyhodnocení kritérií úspěšnosti každé skupiny.

  Vaše pilotní nasazení by mělo ověřit následující úlohy:

  • Úspěšnost a míra selhání registrace jsou podle vašich očekávání.

  • Produktivita uživatelů:

    • Firemní prostředky, včetně sítě VPN, Wi-Fi, e-mailu a certifikátů, fungují.
    • Nasazené aplikace jsou přístupné.

  • Zabezpečení dat:

    • Zkontrolujte sestavy dodržování předpisů a hledejte běžné problémy a trendy. Komunikujte problémy, řešení a trendy s helpdeskem.
    • Používá se ochrana mobilních aplikací.

• Až budete s první fází migrace spokojeni, opakujte cyklus migrace pro další fázi.

  • Opakujte postupně rozfázované cykly, dokud se všichni uživatelé nemigrují do Intune.
  • Ověřte, že je helpdesk připravený podporovat koncové uživatele během migrace. Spusťte dobrovolnou migraci, dokud nebudete moct odhadnout úlohu volání podpory.
  • Nenastavujte termíny registrace, dokud váš helpdesk nezpracuje všechny zbývající uživatele.

Užitečné informace:

• Začínáme s Intune
• průvodce nasazením registrace Intune
• Krok 1 – Nastavení Intune a tenanta

Aktuálně používáte Configuration Manager

Configuration Manager podporuje windows servery a klientská zařízení s Windows & macOS. Pokud vaše organizace používá jiné platformy, možná budete muset resetovat zařízení a pak je zaregistrovat v Intune. Po registraci obdrží zásady a profily, které vytvoříte. Další informace najdete v průvodci nasazením registrace Intune.

Pokud aktuálně používáte Configuration Manager a chcete použít Intune, máte následující možnosti.

Možnost 1 – Přidání připojení tenanta

Připojení tenanta umožňuje nahrát zařízení Configuration Manager do vaší organizace v Intune, označované také jako tenant. Po připojení zařízení použijete Centrum pro správu Microsoft Intune ke spouštění vzdálených akcí, jako je synchronizace počítače a zásad uživatelů. Můžete také zobrazit místní servery a získat informace o operačním systému.

Připojení tenanta je součástí vaší licence Configuration Manager spolusprávy bez dalších poplatků. Je to nejjednodušší způsob, jak integrovat cloud (Intune) s místním nastavením Configuration Manager.

Další informace najdete v tématu povolení připojení tenanta.

Možnost 2 – Nastavení spolusprávy

Tato možnost používá Configuration Manager pro některé úlohy a Intune pro jiné úlohy.

1. V Configuration Manager nastavte spolusprávu.
2. V Intune nastavte Intune, včetně nastavení autority MDM na Intune.

Zařízení jsou připravená k registraci do Intune a obdrží vaše zásady.

Užitečné informace:

• Co je spoluspráva?
• Úlohy spolusprávy
• Přepnutí úloh Configuration Manager na Intune
• nejčastější dotazy k produktům a licencím Configuration Manager

Možnost 3 – Přechod z Configuration Manager na Intune

Většina stávajících zákazníků Configuration Manager chce dál používat Configuration Manager. Zahrnuje služby, které jsou výhodné pro místní zařízení.

Tyto kroky jsou přehledné a jsou zahrnuté jenom pro uživatele, kteří chtějí 100% cloudové řešení. S touto možností:

• Zaregistrujte existující místní Active Directory klientská zařízení s Windows jako zařízení v Microsoft Entra ID.
• Přesuňte stávající místní úlohy Configuration Manager do Intune.

Tato možnost je pro správce více práce, ale může vytvořit plynulejší prostředí pro stávající klientská zařízení s Windows. U nových klientských zařízení s Windows doporučujeme začít s Microsoftem 365 a Intune úplně od začátku (v tomto článku).

1. V Microsoft Entra nastavte pro svá zařízení hybridní službu Active Directory a Microsoft Entra ID. Microsoft Entra zařízení připojená k hybridnímu připojení se připojí k vašemu místní Active Directory a zaregistrují se do vašeho Microsoft Entra ID. Když jsou zařízení v Microsoft Entra ID, jsou také dostupná pro Intune.

   Hybridní Microsoft Entra ID podporuje zařízení s Windows. Další požadavky, včetně požadavků na přihlášení, najdete v tématu Plánování implementace Microsoft Entra hybridního připojení.

2. V Configuration Manager nastavte spolusprávu.

3. V Intune nastavte Intune, včetně nastavení autority MDM na Intune.

4. V Configuration Manager posuňte všechny úlohy z Configuration Manager do Intune.

5. Na zařízeních odinstalujte klienta Configuration Manager. Další informace najdete v tématu odinstalace klienta.

   Po nastavení Intune můžete vytvořit zásadu konfigurace aplikace Intune, která odinstaluje klienta Configuration Manager. Můžete například obrátit kroky v tématu Instalace klienta Configuration Manager pomocí Intune.

Zařízení jsou připravená k registraci do Intune a obdrží vaše zásady.

Důležité

Hybridní Microsoft Entra ID podporuje jenom zařízení s Windows. Configuration Manager podporuje zařízení s Windows a macOS. U zařízení s macOS spravovaných v Configuration Manager můžete:

1. Odinstalujte klienta Configuration Manager. Když odinstalujete, zařízení nedostávají vaše zásady, včetně zásad, které poskytují ochranu. Jsou zranitelní, dokud se nezaregistrují do Intune a nezačnou přijímat nové zásady.
2. Zaregistrujte zařízení v Intune pro příjem zásad.

Pokud chcete minimalizovat ohrožení zabezpečení, přesuňte zařízení s macOS po nastavení Intune a až budou zásady registrace připravené k nasazení.

Možnost 4 – Začněte od začátku s Microsoftem 365 a Intune

Tato možnost platí pro klientská zařízení s Windows. Pokud používáte Windows Server, například Windows Server 2022, nepoužívejte tuto možnost. Použijte Configuration Manager.

Správa klientských zařízení s Windows:

1. Nasaďte Microsoft 365 včetně vytváření uživatelů a skupin. Nepoužívejte ani nekonfigurujte Microsoft 365 Basic Mobility and Security.

   Užitečné odkazy:

   • průvodce nasazením Microsoft 365 Enterprise
   • Nastavení Microsoftu 365 Business

2. Nastavte Intune, včetně nastavení autority MDM na Intune.

3. Odinstalujte klienta Configuration Manager na existujících zařízeních. Další informace najdete v tématu odinstalace klienta.

Zařízení jsou připravená k registraci do Intune a obdrží vaše zásady.

Aktuálně používejte místní zásady skupiny.

V cloudu spravují nastavení a funkce na zařízeních poskytovatelé MDM, například Intune. Objekty zásad skupiny (GPO) se nepoužívají.

Když spravujete zařízení, Intune profily konfigurace zařízení nahradí místní objekt zásad zabezpečení. Profily konfigurace zařízení používají nastavení vystavená společností Apple, Google a Microsoft.

Konkrétně:

• Na zařízeních s Androidem tyto profily používají rozhraní API pro správu Androidu a rozhraní API EMM.
• Na zařízeních Apple tyto profily používají datové části Správy zařízení.
• Na zařízeních s Windows tyto profily používají zprostředkovatele konfiguračních služeb (CSP) systému Windows.

Při přesouvání zařízení ze zásad skupiny použijte analýzu zásad skupiny. Zásady skupiny analytics je nástroj a funkce v Intune, která analyzuje vaše objekty zásad skupiny. V Intune naimportujete objekty zásad skupiny a zjistíte, které zásady jsou (a nejsou dostupné) v Intune. Pro zásady, které jsou dostupné v Intune, můžete vytvořit zásady katalogu nastavení pomocí nastavení, která jste naimportovali. Další informace o této funkci najdete v tématu Vytvoření zásady katalogu nastavení pomocí importovaných objektů zásad skupiny v Microsoft Intune.

Dále krok 1: Nastavení Microsoft Intune.

Aktuálně používáte Microsoft 365 Basic Mobility and Security.

Pokud jste vytvořili a nasadili zásady mobility a zabezpečení Microsoft 365 Basic, můžete uživatele, skupiny a zásady migrovat do Microsoft Intune.

Další informace najdete v tématu Migrace z Microsoft 365 Basic Mobility and Security do Intune.

Migrace tenanta na tenanta

Tenant je vaše organizace v Microsoft Entra ID, například Contoso. Zahrnuje vyhrazenou instanci služby Microsoft Entra, kterou contoso obdrží, když získá cloudovou službu Microsoftu, jako je Microsoft Intune nebo Microsoft 365. Microsoft Entra ID používají Intune a Microsoft 365 k identifikaci uživatelů a zařízení, řízení přístupu k vytvořeným zásadám atd.

V Intune můžete některé zásady exportovat a importovat pomocí Microsoft Graphu a Windows PowerShell.

Můžete například vytvořit Microsoft Intune zkušební předplatné. V tomto zkušebním tenantovi předplatného máte zásady, které konfigurují aplikace a funkce, kontrolují dodržování předpisů a další. Tyto zásady byste chtěli přesunout do jiného tenanta.

V této části se dozvíte, jak používat skripty Microsoft Graphu pro migraci tenanta na tenanta. Obsahuje také seznam některých typů zásad, které se dají nebo nedají exportovat.

Důležité

• V těchto krocích se používají ukázky Intune beta graphu na GitHubu. Ukázkové skripty dělají změny ve vašem tenantovi. Jsou dostupné tak, jak jsou, a měly by se ověřit pomocí neprodukčního nebo "testovacího" účtu tenanta. Ujistěte se, že skripty splňují pokyny k zabezpečení vaší organizace.
• Skripty neexportují a neimportují všechny zásady, například profily certifikátů. Očekávejte, že budete provádět více úloh, než je v těchto skriptech k dispozici. Budete muset znovu vytvořit některé zásady.
• Uživatelé musí zrušit registraci zařízení ve starém tenantovi a pak se znovu zaregistrovat v novém tenantovi.

Stáhněte si ukázky a spusťte skript.

Tato část obsahuje přehled kroků. Tyto kroky použijte jako vodítko a mějte na to, že konkrétní kroky se můžou lišit.

1. Stáhněte si ukázky a pomocí Windows PowerShell vyexportujte zásady:

   1. Přejděte na microsoftgraph/powershell-intune-samples a vyberte Kód>Stáhnout ZIP. Extrahujte obsah .zip souboru.

   2. Otevřete aplikaci Windows PowerShell jako správce a změňte adresář na složku. Zadejte například následující příkaz:

      cd C:\psscripts\powershell-intune-samples-master

   3. Nainstalujte modul AzureAD PowerShellu:

      Install-Module AzureAD

      Vyberte Y a nainstalujte modul z nedůvěryhodného úložiště. Instalace může trvat několik minut.

   4. Změňte adresář na složku se skriptem, který chcete spustit. Například změňte adresář na CompliancePolicy složku:

      cd C:\psscripts\powershell-intune-samples-master\powershell-intune-samples-master\CompliancePolicy

   5. Spusťte skript pro export. Zadejte například následující příkaz:

      .\CompliancePolicy_Export.ps1

      Přihlaste se pomocí svého účtu. Po zobrazení výzvy zadejte cestu k vložení zásad. Zadejte například:

      C:\psscripts\ExportedIntunePolicies\CompliancePolicies

   Ve vaší složce se zásady vyexportují.

2. Import zásad v novém tenantovi:

   1. Změňte adresář na složku PowerShellu pomocí skriptu, který chcete spustit. Například změňte adresář na CompliancePolicy složku:

      cd C:\psscripts\powershell-intune-samples-master\powershell-intune-samples-master\CompliancePolicy

   2. Spusťte skript importu. Zadejte například následující příkaz:

      .\CompliancePolicy_Import_FromJSON.ps1

      Přihlaste se pomocí svého účtu. Po zobrazení výzvy zadejte cestu k souboru zásad .json , který chcete importovat. Zadejte například:

      C:\psscripts\ExportedIntunePolicies\CompliancePolicies\PolicyName.json

3. Přihlaste se do Centra pro správu Intune. Zobrazí se zásady, které jste naimportovali.

Co nemůžete dělat

Existují některé typy zásad, které se nedají exportovat. Existují některé typy zásad, které se dají exportovat, ale nedají se importovat do jiného tenanta. Jako vodítko použijte následující seznam. Zjistěte, že existují jiné typy zásad, které tu nejsou uvedené.

Typ zásady nebo profilu	Informace
Aplikace
Obchodní aplikace pro Android	❌ Vývoz ❌ Dovoz Pokud chcete přidat obchodní aplikaci do nového tenanta, potřebujete také původní .apk zdrojové soubory aplikace.
Apple – Volume Purchase Program (VPP)	❌ Vývoz ❌ Dovoz Tyto aplikace se synchronizují s Apple VPP. V novém tenantovi přidáte token VPP, který zobrazuje dostupné aplikace.
Obchodní aplikace pro iOS/iPadOS	❌ Vývoz ❌ Dovoz Pokud chcete přidat obchodní aplikaci do nového tenanta, potřebujete také původní .ipa zdrojové soubory aplikace.
Spravovaný Google Play	❌ Vývoz ❌ Dovoz Tyto aplikace a webové odkazy se synchronizují se spravovaným Google Play. V novém tenantovi přidáte svůj spravovaný účet Google Play, který zobrazuje dostupné aplikace.
Microsoft Store pro firmy	❌ Vývoz ❌ Dovoz Tyto aplikace se synchronizují s Microsoft Store pro firmy. V novém tenantovi přidáte účet Microsoft Store pro firmy, který zobrazuje dostupné aplikace.
Aplikace pro Windows (Win32)	❌ Vývoz ❌ Dovoz Pokud chcete přidat obchodní aplikaci do nového tenanta, potřebujete také původní .intunewin zdrojové soubory aplikace.
Zásady dodržování předpisů
Akce pro nedodržování předpisů	❌ Vývoz ❌ Dovoz Je možné, že existuje odkaz na šablonu e-mailu. Při importu zásad, které mají akce nedodržování předpisů, se místo toho přidají výchozí akce pro nedodržování předpisů.
Přiřazení	✅ Vývoz ❌ Dovoz Přiřazení jsou cílená na ID skupiny. V novém tenantovi se ID skupiny liší.
Konfigurační profily
E-mail	✅ Vývoz ✅ Pokud e-mailový profil nepoužívá certifikáty, import by měl fungovat. ❌ Pokud e-mailový profil používá kořenový certifikát, není možné ho importovat do nového tenanta. ID kořenového certifikátu se v novém tenantovi liší.
Certifikát SCEP	✅ Vývoz ❌ Dovoz Profily certifikátů SCEP používají kořenový certifikát. ID kořenového certifikátu se v novém tenantovi liší.
Integrace VPN	✅ Vývoz ✅ Pokud profil VPN nepoužívá certifikáty, import by měl fungovat. ❌ Pokud profil VPN používá kořenový certifikát, není možné ho importovat do nového tenanta. ID kořenového certifikátu se v novém tenantovi liší.
Wi-Fi	✅ Vývoz ✅ Pokud Wi-Fi profil nepoužívá certifikáty, import by měl fungovat. ❌ Pokud profil Wi-Fi používá kořenový certifikát, není možné ho importovat do nového tenanta. ID kořenového certifikátu se v novém tenantovi liší.
Přiřazení	✅ Vývoz ❌ Dovoz Přiřazení jsou cílená na ID skupiny. V novém tenantovi se ID skupiny liší.
Zabezpečení koncového bodu
Detekce a reakce koncového bodu	❌ Vývoz ❌ Dovoz Tato zásada je propojená s Microsoft Defender for Endpoint. V novém tenantovi nakonfigurujete Microsoft Defender for Endpoint, který automaticky zahrnuje zásady detekce koncových bodů a odpovědí.

Související články

• Začínáme s Intune
• Průvodci nasazením registrace